Vous consultez la documentation de Looker 22.16. Pour accéder à la documentation la plus récente, cliquez ici.

Authentification à deux facteurs

Looker fournit l'authentification à deux facteurs (2FA) comme couche de sécurité supplémentaire pour protéger les données accessibles via Looker. Lorsque l'A2F est activée, chaque utilisateur qui se connecte doit s'authentifier à l'aide d'un code unique généré par son appareil mobile. Il n'existe aucune option permettant d'activer l'authentification à deux facteurs pour un sous-ensemble d'utilisateurs.

La page Authentification à deux facteurs de la section Authentification du menu Admin vous permet d'activer et de configurer l'authentification à deux facteurs.

L'authentification à deux facteurs n'a aucune incidence sur l'utilisation de l'API Looker.

L'authentification à deux facteurs n'a pas d'incidence sur l'authentification via des systèmes externes tels que LDAP, SAML, Google OAuth ou OpenID Connect. L'A2F affecte les autres identifiants de connexion utilisés avec ces systèmes.

Utiliser l'authentification à deux facteurs

Vous trouverez ci-dessous le workflow général de configuration et d'utilisation de l'A2F. Veuillez noter les exigences de synchronisation temporelle, qui sont nécessaires pour le bon fonctionnement de l'A2F.

L'administrateur active l'A2F dans les paramètres d'administration de Looker.

Lorsque vous activez l'authentification à deux facteurs, tous les utilisateurs connectés à Looker sont déconnectés et doivent se reconnecter.
Les utilisateurs peuvent installer l'application iPhone ou l'application Android Google Authenticator sur leur appareil mobile.
Lors de la première connexion, l'utilisateur se voit présenter la photo d'un code QR affiché sur son ordinateur, qu'il scanne à l'aide de son téléphone à l'aide de l'application Google Authenticator:

Si l'utilisateur ne peut pas scanner de code QR avec son téléphone, une option permet de générer un code texte qu'il peut saisir sur son téléphone.

Une fois cette étape terminée, les utilisateurs peuvent générer des clés d'authentification pour Looker.
Lors des connexions suivantes à Looker, l'utilisateur devra saisir une clé d'authentification après avoir saisi son nom d'utilisateur et son mot de passe.

Si l'utilisateur active l'option Cet ordinateur est fiable, la clé authentifie le navigateur pendant 30 jours. Pendant cette période, l'utilisateur peut se connecter avec un nom d'utilisateur et un mot de passe uniquement. Tous les 30 jours, Looker demande à chaque utilisateur de s'authentifier à nouveau avec le navigateur avec Google Authenticator.

Conditions requises pour la synchronisation temporelle

Google Authenticator génère des jetons basés sur l'heure, qui nécessitent une synchronisation de l'heure entre le serveur Looker et chaque appareil mobile pour fonctionner. Si le serveur Looker et un appareil mobile ne sont pas synchronisés, cela peut empêcher l'utilisateur de l'appareil mobile de s'authentifier avec l'A2F. Pour synchroniser des sources temporelles:

Configurez la synchronisation automatique de l'heure avec le réseau sur les appareils mobiles.
Pour les déploiements Looker hébergés par le client, assurez-vous que NTP est en cours d'exécution et configuré sur le serveur. Si le serveur est provisionné sur AWS, vous devrez peut-être autoriser explicitement NTP dans la LCA d'AWS Network.
Un administrateur Looker peut définir la dérive maximale autorisée dans le panneau Administration de Looker, qui définit la différence entre le serveur et les appareils mobiles. Si le paramètre de temps de l'appareil mobile est supérieur à la dérive autorisée, les clés d'authentification ne fonctionneront pas. La valeur par défaut est de 90 secondes.

Réinitialisation de l'authentification à deux facteurs

Si un utilisateur doit réinitialiser son A2F (par exemple, s'il a un nouvel appareil mobile):

Sur la page Utilisateurs de la section Administration de Looker, cliquez sur Modifier à droite de la ligne de l'utilisateur pour modifier les informations de son compte.
Dans la section Secret à deux facteurs, cliquez sur Réinitialiser. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.