Looker bietet die Bestätigung in zwei Schritten als zusätzliche Sicherheitsebene zum Schutz von Daten, die über Looker zugänglich sind. Wenn 2FA aktiviert ist, muss sich jeder Nutzer, der sich anmeldet, mit einem einmaligen Code authentifizieren, der von seinem Mobilgerät generiert wurde. Es ist nicht möglich, 2FA für eine Untergruppe von Nutzern zu aktivieren.
Auf der Seite Zwei-Faktor-Authentifizierung im Abschnitt Authentifizierung des Menüs Verwaltung können Sie 2FA aktivieren und konfigurieren.
Die Bestätigung in zwei Schritten hat keinen Einfluss auf die Verwendung der Looker API.
Die Bestätigung in zwei Schritten hat keine Auswirkungen auf die Authentifizierung über externe Systeme wie LDAP, SAML, Google OAuth oder OpenID Connect. 2FA wirkt sich auf alle alternativen Anmeldedaten aus, die mit diesen Systemen verwendet werden.
Bestätigung in zwei Schritten verwenden
Im Folgenden finden Sie den allgemeinen Workflow für die Einrichtung und Verwendung von 2FA. Beachten Sie die Anforderungen an die Zeitsynchronisierung, die für den korrekten Betrieb von 2FA erforderlich sind.
Der Administrator aktiviert die 2FA in den Administratoreinstellungen von Looker.
Wenn Sie 2FA aktivieren, werden alle in Looker angemeldeten Nutzer abgemeldet und müssen sich dann wieder mit 2FA anmelden.
Nutzer installieren die Google Authenticator App für iPhone oder Android auf ihren Mobilgeräten.
Bei der ersten Anmeldung wird dem Nutzer ein Bild des QR-Codes auf dem Computerbildschirm angezeigt, das er mit der Google Authenticator App auf seinem Smartphone scannen kann:
Wenn der Nutzer einen QR-Code nicht mit seinem Smartphone scannen kann, kann er auch einen Textcode generieren, den er auf seinem Smartphone eingeben kann.
Nach Abschluss dieses Schritts können die Nutzer Authentifizierungsschlüssel für Looker generieren.
Bei nachfolgenden Anmeldungen in Looker muss der Nutzer einen Authentifizierungsschlüssel eingeben, nachdem er seinen Nutzernamen und sein Passwort eingegeben hat.
Wenn ein Nutzer die Option Dies ist ein vertrauenswürdiger Computer aktiviert, authentifiziert der Schlüssel den Anmeldebrowser für einen 30-tägigen Zeitraum. In diesem Fenster kann sich der Nutzer nur mit seinem Nutzernamen und Passwort anmelden. Bei Looker müssen alle Nutzer alle 30 Tage den Browser mithilfe von Google Authenticator neu authentifizieren.
Anforderungen an die Zeitsynchronisierung
Google Authenticator erzeugt zeitbasierte Tokens, die eine zeitliche Synchronisierung zwischen dem Looker-Server und den einzelnen Mobilgeräten erfordern, damit die Tokens funktionieren. Wenn der Looker-Server und ein Mobilgerät nicht synchronisiert sind, kann der Nutzer des Mobilgeräts sich möglicherweise nicht mit 2FA authentifizieren. So synchronisieren Sie Zeitquellen:
- Sie können Mobilgeräte für die automatische Zeitsynchronisierung mit dem Netzwerk einrichten.
- Achten Sie bei vom Kunden gehosteten Looker-Bereitstellungen darauf, dass NTP ausgeführt und auf dem Server konfiguriert wird. Wenn der Server auf AWS bereitgestellt wird, müssen Sie eventuell NTP in der AWS-Netzwerk-ACL explizit zulassen.
- Ein Looker-Administrator kann im Bereich Admin von Looker die maximal zulässige Zeitverschiebung festlegen, die definiert, wie stark ein Unterschied zwischen dem Server und den Mobilgeräten ist. Wenn die Einstellung für die Uhrzeit auf einem Mobilgerät um mehr als die erlaubte Abweichung deaktiviert ist, funktionieren die Authentifizierungsschlüssel nicht. Die Standardeinstellung beträgt 90 Sekunden.
Bestätigung in zwei Schritten zurücksetzen
Wenn ein Nutzer sein 2FA-Abo zurücksetzen muss (z. B. auf einem neuen Mobilgerät):
- Klicken Sie auf der Seite Nutzer im Abschnitt Admin von Looker rechts auf Bearbeiten, um die Kontoinformationen des Nutzers zu bearbeiten.
- Klicken Sie im Abschnitt Zwei-Faktor-Secret auf Zurücksetzen. Dadurch werden Benutzer in Looker aufgefordert, einen neuen QR-Code mit der Google Authenticator-App zu scannen, wenn sie sich das nächste Mal bei der Looker-Instanz anmelden.