Você está vendo a documentação do Looker 22.16. A documentação mais recente está disponível aqui.

Autenticação de dois fatores

O Looker oferece autenticação de dois fatores (2FA) como uma camada adicional de segurança para proteger os dados que podem ser acessados por ele. Com a autenticação de dois fatores ativada, todos os usuários que fizerem login precisarão se autenticar com um código de uso único gerado pelo dispositivo móvel. Não há opção de ativar a autenticação de dois fatores para um subconjunto de usuários.

Na página Autenticação de dois fatores da seção Autenticação do menu Administrador, você pode ativar e configurar a autenticação de dois fatores.

A autenticação de dois fatores não afeta o uso da API Looker.

A autenticação de dois fatores não afeta a autenticação por sistemas externos, como LDAP, SAML, Google OAuth ou OpenID Connect. A autenticação de dois fatores afeta as credenciais alternativas de login usadas com esses sistemas.

Como usar a autenticação de dois fatores

Veja a seguir o fluxo de trabalho de alto nível para configurar e usar a autenticação de dois fatores. Observe os requisitos de sincronização de tempo, que são necessários para o funcionamento correto da 2FA.

O administrador ativa a autenticação de dois fatores nas configurações do administrador do Looker.

Quando você ativa a 2FA, todos os usuários que fazem login no Looker são desconectados e precisam fazer login novamente usando a 2FA.
Os usuários instalam o app iPhone ou o app Android do Google Authenticator nos dispositivos móveis.
No primeiro login, uma imagem de um código QR é exibida na tela do computador para o usuário, que vai ser lido no smartphone usando o app Google Authenticator:

Se o usuário não conseguir ler um código QR com o smartphone, também há a opção de gerar um código de texto que pode ser inserido no smartphone.

Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.
Nos logins seguintes para o Looker, o usuário precisará digitar uma chave de autenticação depois de enviar o nome de usuário e a senha.

Se um usuário ativar a opção Este é um computador confiável, a chave autenticará o navegador de login em uma janela de 30 dias. Durante esse processo, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário faça uma nova autenticação do navegador com o Google Authenticator.

Requisitos de sincronização de tempo

Para que os tokens funcionem, o Google Authenticator produz tokens baseados em tempo, que exigem sincronização de tempo entre o servidor Looker e cada dispositivo móvel. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, isso poderá fazer com que o usuário de dispositivo móvel não possa ser autenticado com a autenticação de dois fatores. Para sincronizar origens de tempo:

Defina dispositivos móveis para sincronização automática de tempo com a rede.
Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor for provisionado na AWS, talvez seja necessário permitir explicitamente o NTP na ACL da rede da AWS.
Um administrador do Looker pode definir o deslocamento máximo permitido no painel Administrador do Looker, que define a diferença permitida entre o servidor e os dispositivos móveis. Se a configuração de horário de um dispositivo móvel estiver acima do desvio permitido, as chaves de autenticação não funcionarão. O padrão é 90 segundos.

Redefinindo a autenticação de dois fatores

Se um usuário precisar redefinir a 2FA (por exemplo, se tiver um novo dispositivo móvel):

Na página Usuários da seção Administrador do Looker, clique em Editar no lado direito da linha do usuário para editar as informações da conta do usuário.
Na seção Secret de dois fatores, clique em Redefinir. Isso faz com que o Looker solicite que o usuário leia novamente um código QR com o aplicativo Google Authenticator na próxima vez que tentar fazer login na instância do Looker.