Contatta il tuo account manager Looker se vuoi utilizzare queste funzionalità.
L'incorporamento del servizio SSO (Single Sign-On) è un modo per presentare ai tuoi utenti Look, visualizzazioni, visualizzazioni, dashboard o dashboard LookML privati senza richiedere che abbiano un accesso Looker separato. Gli utenti verranno invece autenticati tramite la tua applicazione.
L'incorporamento SSO funziona creando un URL Looker speciale che utilizzerai in un iframe. L'URL contiene le informazioni che vuoi condividere, l'ID dell'utente presente nel tuo sistema e le autorizzazioni di cui dispone per quell'utente. Quindi, firma l'URL con una chiave segreta fornita da Looker.
Per l'incorporamento pubblico, consulta la sezione Incorporamento pubblico con tag iframe della pagina della documentazione Condivisione pubblica, importazione e incorporamento di Look.
Hosting corretto per l'incorporamento SSO
Alcuni browser, ad esempio Safari o i browser in cui sono installate estensioni di blocco degli annunci o del monitoraggio, utilizzano per impostazione predefinita una norma sui cookie che blocca i cookie di terze parti. Poiché Looker utilizza i cookie per l'autenticazione degli utenti, non è possibile tentare di autenticare l'iframe incorporato in più domini in questi browser (a meno che l'utente non modifichi le impostazioni sulla privacy dei cookie del browser). Ad esempio, se vuoi incorporare informazioni su https://mycompany.com, devi assicurarti che Looker condivida lo stesso dominio, ad esempio https://analytics.mycompany.com.
Se Looker ospita l'istanza, contatta l'assistenza Looker per impostare la configurazione DNS necessaria per abilitare l'uso del dominio personalizzato. Questo consentirà a Looker di condividere lo stesso dominio dell'applicazione di incorporamento e di utilizzare i cookie originali, che sono accettati per impostazione predefinita in tutti i browser. Apri una richiesta di assistenza nel Centro assistenza Looker facendo clic su Contattaci.
Se hai un'istanza di Looker ospitata dal cliente, assicurati che l'applicazione che utilizzerà l'incorporamento SSO utilizzi lo stesso dominio dell'istanza di Looker.
Controllare la visibilità dei client con un sistema chiuso
In genere, in una configurazione di incorporamento SSO gli utenti di Looker presentano dati ai propri clienti mentre hanno clienti di aziende o gruppi diversi che non devono essere a conoscenza gli uni degli altri. In questo scenario, per salvaguardare le informazioni private dei tuoi clienti, ti consigliamo vivamente di configurare Looker come un sistema chiuso, chiamato anche installazione multitenant. In un sistema chiuso, i contenuti sono isolati per impedire a utenti di gruppi diversi di avere informazioni sugli altri. Per questo motivo, ti consigliamo di abilitare l'opzione Sistema chiuso prima di consentire a qualsiasi utente esterno di accedere alla tua istanza.
Per ulteriori informazioni, consulta le pagine della documentazione Progettazione e configurazione di un sistema di livelli di accesso e Best practice per la sicurezza per le analisi incorporate.
Generazione della chiave segreta di Looker
Per verificare che una richiesta di incorporamento SSO sia legittima e non sia stata falsificata da qualcun altro, devi prima generare un "secret incorporato". Ecco come fare:
- Vai alla pagina Embed (Incorpora) nella sezione Admin (Amministrazione) di Looker.
- Seleziona Abilitata dal menu a discesa Incorpora autenticazione SSO, quindi fai clic su Aggiorna.
- Fai clic sul pulsante Reimposta secret per generare il secret di incorporamento. Assicurati di copiare questo secret in una posizione sicura, perché non potrai più recuperarlo da Looker senza reimpostarlo. La reimpostazione della chiave comporterà l'interruzione di tutti gli incorporamenti che utilizzavano la chiave precedente.
Chiunque abbia accesso alla chiave segreta può creare un URL per accedere a qualsiasi modello a cui l'istanza di Looker è connessa, come qualsiasi utente, con qualsiasi autorizzazione. Proteggi il secret di incorporamento SSO come faresti con le credenziali amministrative dell'istanza di Looker incorporata e mantieni disabilitato l'incorporamento SSO se non lo utilizzi.
Creare l'URL di incorporamento
Per creare l'URL corretto dovrai scrivere codice in modo da poter codificare correttamente l'URL con la tua chiave segreta e generare altri elementi relativi alla sicurezza. Puoi trovare diversi script di esempio nel nostro repository GitHub di esempi SSO. Le seguenti sezioni spiegano le informazioni che dovrai fornire a questi script.
Raccolta delle informazioni di Looker necessarie
Come punto di partenza per la creazione del tuo URL, innanzitutto vuoi determinare tutte le informazioni che dovrai includere. Requisiti:
Incorpora URL
Recupera l'URL dell'aspetto, dell'esplorazione, della visualizzazione della query o della dashboard che vuoi incorporare. Quindi rimuovi il dominio e posiziona /embed prima del percorso, come segue:
| Elemento | Pattern URL normale | Incorpora URL |
|---|---|---|
| Look | https://instance_name.looker.com/looks/4 |
/embed/looks/4 |
| Esplora | https://instance_name.looker.com/explore/my_model/my_explore |
/embed/explore/my_model/my_explore |
| Visualizzazione query | https://instance_name.looker.com/explore/my_model/my_explore?qid=1234567890abcdefghij12I 22 caratteri alfanumerici che seguono il parametro qid= nell'URL di esplorazione includono Query.client_id. Il valore Query.client_id è una stringa univoca che rappresenta la query e le impostazioni di visualizzazione.Per incorporare una visualizzazione query, recupera il valore Query.client_id della query di query e copia Query.client_id nell'URL di incorporamento.Puoi utilizzare l'interfaccia utente di Explore di Looker per creare una query con una visualizzazione supportata e copiare il valore Query.client_id dal parametro qid=. In alternativa, puoi recuperare Query.client_id con l'API Looker utilizzando, ad esempio, il metodo Get Query. |
/embed/query-visualization/Query.client_id |
| Dashboard definita dall'utente | https://instance_name.looker.com/dashboards/1 |
/embed/dashboards/1 |
| Dashboard legacy definita dall'utente |
https://instance_name.looker.com/dashboards-legacy/1 |
/embed/dashboards-legacy/1 |
| dashboard LookML | https://instance_name.looker.com/dashboards/my_model::my_dashboard |
/embed/dashboards/my_model::my_dashboard |
| Dashboard LookML legacy |
https://instance_name.looker.com/dashboards-legacy/my_model::my_dashboard |
/embed/dashboards-legacy/my_model::my_dashboard |
I contenuti incorporati riflettono sempre la versione di produzione dei contenuti. Qualsiasi modifica apportata in modalità di sviluppo che abbia un impatto sui contenuti e di cui non è stato eseguito il deployment in produzione non verrà visualizzata in un incorporamento.
Autorizzazioni
Un set di autorizzazioni definisce le azioni che un utente o un gruppo può eseguire. Le autorizzazioni possono essere applicate in due modi:
- Specifica del modello: questo tipo di autorizzazione viene applicato solo ai set di modelli che fanno parte dello stesso ruolo.
- A livello di istanza: questo tipo di autorizzazione si applica all'istanza di Looker nel suo complesso. Gli utenti incorporati con autorizzazioni a livello di istanza possono eseguire determinate funzioni sull'intera istanza di Looker, ma non possono accedere ai contenuti in base ai modelli non inclusi nel set di modelli del loro ruolo.
Determina le autorizzazioni che vuoi concedere all'utente. Il seguente elenco mostra tutte le autorizzazioni disponibili per l'incorporamento SSO. Le autorizzazioni non incluse nel seguente elenco non sono supportate per l'incorporamento SSO:
| Autorizzazione | Dipende | Tipo | Definizione |
|---|---|---|---|
access_data |
Nessuno | Specifico per il modello | Consente all'utente di accedere ai dati (obbligatorio per visualizzare Look, dashboard o Esplorazioni) |
see_lookml_dashboards |
access_data |
Specifico per il modello | Consenti all'utente di visualizzare le dashboard di LookML |
see_looks |
access_data |
Specifico per il modello | Consenti all'utente di visualizzare i Look |
see_user_dashboards |
see_looks |
Specifico per il modello | Consente all'utente di visualizzare le dashboard definite dall'utente e di sfogliare le cartelle da un incorporamento |
explore |
see_looks |
Specifico per il modello | Consente all'utente di visualizzare le pagine Esplora |
create_table_calculations |
explore |
A livello di istanza | Necessità di creare calcoli tabulari in un'esplorazione |
create_custom_fields |
explore |
A livello di istanza | AGGIUNTO 22.4 necessaria per creare campi personalizzati in un'esplorazione |
can_create_forecast |
explore |
A livello di istanza | AGGIUNTO 22.12 Consente agli utenti di creare o modificare le previsioni nelle visualizzazioni. |
save_content |
see_looks |
A livello di istanza | Consente all'utente di apportare e salvare le modifiche a Look e dashboard |
send_outgoing_webhook |
see_looks |
Specifico per il modello | Consente all'utente di pianificare le dashboard e l'aspetto di un webhook arbitrario |
send_to_s3 |
see_looks |
Specifico per il modello | Consente all'utente di pianificare dashboard e Look a un bucket Amazon S3 |
send_to_sftp |
see_looks |
Specifico per il modello | Consente all'utente di pianificare le dashboard e l'aspetto di un server SFTP |
schedule_look_emails |
see_looks |
Specifico per il modello | Consenti all'utente di pianificare le dashboard e l'invio di Look al proprio indirizzo email (che è impostato con un attributo utente denominato "email") o a un indirizzo email che rientra nelle limitazioni impostate dalla lista consentita dei domini email. Consente all'utente con autorizzazioni di create_alerts di inviare notifiche di avviso a un indirizzo email che rientra nelle limitazioni impostate dalla lista consentita dei domini email. |
schedule_external_look_emails |
schedule_look_emails |
Specifico per il modello | Consente all'utente di pianificare le dashboard e l'aspetto a qualsiasi email. Consente all'utente con autorizzazioni di create_alerts di inviare notifiche di avviso a qualsiasi dominio email. |
send_to_integration |
see_looks |
Specifico per il modello | Consente all'utente di fornire contenuti Looker ai servizi di terze parti integrati con Looker tramite l'hub azioni di Looker. Questa autorizzazione non è correlata alle azioni sui dati. |
create_alerts |
see_looks |
A livello di istanza | Consente all'utente di creare avvisi sui riquadri della dashboard per ricevere notifiche quando le condizioni specificate vengono soddisfatte o superate. Gli utenti possono modificare, duplicare ed eliminare i loro avvisi e quelli di altri utenti. Pubblico. Se l'area di lavoro di Slack dell'utente non è connessa all'istanza di Looker, l'utente non potrà creare avvisi che inviano notifiche a Slack. |
download_with_limit |
see_looks |
A livello di istanza | Consente all'utente di scaricare i risultati di una query con un limite applicato |
download_without_limit |
see_looks |
A livello di istanza | Consente all'utente di scaricare i risultati di una query senza applicare limiti |
see_sql |
see_looks |
Specifico per il modello | Consente all'utente di visualizzare il linguaggio SQL per le query e gli eventuali errori SQL derivanti dall'esecuzione di query |
clear_cache_refresh |
access_data |
Specifico per il modello | AGGIUNTO 21.14 Gli utenti possono cancellare la cache e aggiornare le dashboard incorporate, le dashboard precedenti, i riquadri della dashboard, i Look e le esplorazioni. |
see_drill_overlay |
access_data |
Specifico per il modello | Consente all'utente di eseguire il drill-down senza dover accedere alla pagina Esplora completa. |
embed_browse_spaces |
Nessuno | A livello di istanza | Attiva il browser dei contenuti in modo che l'utente possa sfogliare le cartelle di un incorporamento. A ogni utente incorporato a cui viene concessa l'autorizzazione embed_browse_spaces viene concesso l'accesso a una cartella di incorporamento personale e alla cartella Condivisi della tua organizzazione, se presente. L'autorizzazione embed_browse_spaces è consigliata agli utenti in possesso dell'autorizzazione save_content, in modo che l'utente possa sfogliare le cartelle quando seleziona dove salvare i contenuti. Per vedere i contenuti nelle cartelle, l'utente deve avere anche le autorizzazioni see_looks, see_user_dashboards e see_lookml_dashboards. |
embed_save../_shared_space |
Nessuno | A livello di istanza |
AGGIUNTO 21.4
Consente all'utente che dispone anche dell'autorizzazione save_content di accedere alla cartella Condivisi dell'organizzazione, se presente, nella finestra di dialogo Salva. Gli utenti che dispongono dell'autorizzazione save_content, ma non dell'autorizzazione embed_save_shared_space, potranno salvare solo i contenuti nella cartella di incorporamento personale.L'autorizzazione embed_save_shared_space non sostituisce le autorizzazioni di accesso ai contenuti. Ad esempio, per abilitare il salvataggio dell'utente nella cartella Shared, devono comunque richiedere l'accesso Manage Access, Edit (Gestione accesso, modifica) alla cartella Shared. Inoltre, la mancanza dell'autorizzazione embed_save_shared_space non impedisce a un utente con l'autorizzazione save_content e con l'accesso Gestione accesso, modifica della cartella Condivisi di salvare i contenuti in quella posizione se ha un metodo alternativo per accedere alla cartella Condivisi, ad esempio utilizzando l'opzione Esplora da qui da una dashboard incorporata. |
Accesso al modello
Stabilisci a quali modelli LookML deve accedere l'utente. Si tratta semplicemente di un elenco di nomi di modello.
Attributi utente
Stabilisci quali attributi dell'utente deve avere l'utente, se presenti. Avrai bisogno del nome dell'attributo utente di Looker e del valore che l'utente deve avere per quell'attributo.
Gruppi
Stabilisci a quali gruppi dovrebbe appartenere l'utente. Dovrai utilizzare gli ID dei gruppi e non i nomi dei gruppi. L'aggiunta di un utente di incorporamento SSO a un gruppo Looker ti consente di gestire l'accesso di quell'utente alle cartelle di Looker. Gli utenti di incorporamento SSO avranno accesso a tutte le cartelle condivise con i membri dei loro gruppi Looker.
Puoi anche utilizzare il parametro external_group_id per creare un gruppo esterno ai normali gruppi Looker. In tal caso, gli utenti di incorporamento SSO con lo stesso external_group_id avranno accesso a una cartella condivisa, denominata "Group," univoca per il gruppo esterno.
Ruoli incorporati
I parametri permissions e models creano un ruolo per l'utente di incorporamento. Questo ruolo viene visualizzato come "Ruolo incorporato" nella pagina Utenti della sezione Amministratore di Looker. Se i parametri permissions, models e group_ids sono tutti specificati nell'URL di incorporamento, il ruolo incorporato è additivo per tutti i ruoli già assegnati ai gruppi elencati nel parametro group_ids. Questo è lo stesso dei ruoli standard poiché tutti i ruoli in Looker sono cumulativi.
Ad esempio, supponiamo che tu abbia un gruppo esistente in Looker con l'ID gruppo 1 e che abbia già l'autorizzazione explore per un modello denominato model_one e crei un URL di incorporamento con i seguenti parametri:
group_ids=[1]permissions=["access_data","see_looks"]models=["model_two"]
In tal caso, l'utente di incorporamento erediterà la possibilità di visualizzare ed esplorare i dati su model_one e il ruolo di incorporamento creato con i parametri precedenti concederà anche la possibilità di visualizzare i dati su model_two.
Creazione dell'URL di incorporamento
Un URL di incorporamento SSO ha il seguente formato:
https://HOST/login/incorporamento/URL YOUTUBE?PARAMETRI&signature=SIGNATURE
Host
L'host è la posizione in cui viene ospitata l'istanza di Looker. Ad esempio, analytics.mycompany.com. Assicurati di includere il numero di porta se non hai attivato il port forwarding, ad esempio analytics.mycompany.com:9999.
Incorpora URL
L'URL di incorporamento è stato determinato in precedenza. Il formato sarà il seguente:
/embed/looks/4/embed/explore/my_model/my_explore/embed/query-visualization/Query.client_id/embed/dashboards/1o/embed/dashboards-legacy/1/embed/dashboards/my_model::my_dashboardo/embed/dashboards-legacy/my_model::my_dashboard
Ciò significa che il pattern /embed//embed/ verrà visualizzato nell'URL finale; questo è corretto.
Se utilizzi eventi JavaScript incorporati, assicurati di aggiungere un elemento embed_domain (il dominio in cui viene utilizzato l'iframe) alla fine dell'URL di incorporamento, in questo modo:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com
embed_domain viene aggiunto dopo l'URL di incorporamento e prima di qualsiasi parametro. Quindi, se avessi parametri esistenti, come nonce=626, l'aggiunta di embed_domain avrebbe il seguente aspetto:
/embed/looks/4?nonce=626
/embed/looks/4?embed_domain=https://mywebsite.com?nonce=626
Se utilizzi l'SDK Embed, assicurati di aggiungere embed_domain e includere sdk=2 alla fine dell'URL di incorporamento, in questo modo:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com&sdk=2
Il parametro sdk=2 consente a Looker di identificare la presenza dell'SDK e di sfruttare le funzionalità aggiuntive fornite dall'SDK. L'SDK non può aggiungere questo parametro perché fa parte dell'URL SSO firmato.
Parametri
I seguenti parametri URL vengono utilizzati per specificare le informazioni necessarie per l'incorporamento SSO:
| Parametro | Valore obbligatorio? | Descrizione | Tipo di dati | Esempio |
|---|---|---|---|---|
nonce |
Sì | Qualsiasi stringa casuale ti piace, ma non può essere ripetuta entro un'ora e deve contenere meno di 255 caratteri. In questo modo impedisci a un utente malintenzionato di inviare di nuovo l'URL di un utente legittimo per raccogliere informazioni che non dovrebbe avere. |
Stringa JSON | "22b1ee700ef3dc2f500fb7" |
time |
Sì | L'ora corrente come timestamp UNIX. | Numero intero | 1407876784 |
session_length |
Sì | Il numero di secondi per cui l'utente deve rimanere connesso a Looker, compreso tra 0 e 2.592.000 secondi (30 giorni). | Numero intero | 86400 |
external_user_id |
Sì | Un identificatore di ciascun utente nell'applicazione che incorpora Looker. Looker utilizza external_user_id per differenziare gli utenti di incorporamento SSO, quindi ogni utente deve avere un ID univoco assegnato.Puoi creare un external_user_id per un utente con qualsiasi stringa, a condizione che sia univoco per l'utente. Ogni ID è associato a un insieme di autorizzazioni, attributi utente e modelli. Un singolo browser può supportare una sola external_user_id o sessione utente alla volta. Non è possibile apportare modifiche alle autorizzazioni o agli attributi utente di un utente durante la sessione.Per motivi di sicurezza, assicurati di non utilizzare lo stesso external_user_id in sessioni di incorporamento diverse per utenti diversi interattivi e assicurati di non utilizzare lo stesso external_user_id per un singolo utente con autorizzazioni, valori di attributi utente o accesso al modello diversi.Utilizzare lo stesso external_user_id per più utenti o per lo stesso utente con più autorizzazioni, attributi utente o altrimenti set di dati che potrebbero non essere visibili. |
Stringa JSON | "user-4" |
permissions |
Sì | L'elenco delle autorizzazioni che l'utente deve avere. Per informazioni, consulta la sezione Autorizzazioni in questa pagina. |
Array di stringhe | ["access_data","see_looks"] |
models |
Sì | L'elenco dei nomi dei modelli a cui l'utente deve avere accesso. | Array di stringhe | ["model_one","model_two"] |
group_ids |
No | L'elenco dei gruppi Looker di cui l'utente deve essere membro, se presente. Utilizza gli ID gruppo al posto dei nomi. | Array di numeri interi | [4, 3] |
external_group_id |
No | Un identificatore univoco del gruppo a cui appartiene l'utente nell'applicazione che incorpora Looker, se necessario. Gli utenti che sono autorizzati a salvare i contenuti e a condividere un ID gruppo esterno possono salvare e modificare i contenuti in una cartella di Looker condivisa denominata "quot;Group".". |
Stringa JSON | "Accounting" |
user_attributes |
No | L'elenco degli attributi utente di cui l'utente deve eventualmente disporre. Contiene un elenco di nomi di attributi utente seguiti dal valore di attributo utente. Se il tuo modello LookML è localizzato, puoi utilizzare l'attributo utente locale nell'URL di incorporamento per specificare una lingua per l'incorporamento. Ad esempio, l'inclusione del parametro user_attributes { "locale" : "fr_FR" } comporta il caricamento della lingua francese per l'incorporamento. |
Hash di stringhe | {"vendor_id" : "17","company" : "xactness"} |
access_filters |
Sì | In Looker 3.10 questo parametro è stato rimosso, ma è ancora obbligatorio nell'URL. Utilizza access_filters con un segnaposto vuoto, ad esempio access_filters={}. |
Segnaposto vuoto | {} |
first_name |
No | Il nome dell'utente. Se il campo viene lasciato vuoto, first_name conserverà il valore dell'ultima richiesta oppure, se non è stato impostato alcun nome, verrà utilizzato"Incorpora". |
Stringa JSON | "Alice" |
last_name |
No | Il cognome dell'utente. Se il campo viene lasciato vuoto, last_name conserverà il valore dell'ultima richiesta oppure, se non è stato impostato il cognome, verrà impostato "&Incorpora". |
Stringa JSON | "Jones" |
user_timezone |
No | Se hai attivato i fusi orari specifici dell'utente, imposta il valore dell'opzione Fuso orario dello spettatore nel menu a discesa Fuso orario nella dashboard o nel look incorporato. Questo parametro non modifica direttamente il fuso orario in cui vengono visualizzati i contenuti; l'utente dovrà selezionare il fuso orario desiderato dal menu a discesa. Vedi i valori validi nella pagina della documentazione relativa al fuso orario di incorporamento SSO. Suggerimento del team di Chat: se vuoi che i contenuti incorporati vengano impostati automaticamente sul fuso orario dello spettatore, utilizza uno dei seguenti metodi: ?query_timezone=user_timezone all'URL di incorporamento. Ad esempio:/embed/dashboards/1?query_timezone=user_timezone |
Stringa JSON o null | "US/Pacific"oppure - null |
force_logout_login |
Sì | Se un utente normale di Looker ha già eseguito l'accesso a Looker e visualizza un elemento incorporato SSO, puoi scegliere se: 1) Deve visualizzare l'elemento con le sue credenziali attuali oppure 2) deve essere disconnesso e accedere di nuovo con le credenziali SSO. |
Booleano (true [vero] o false [falso]) | true |
Tutti i parametri precedenti sono obbligatori, ma qualsiasi parametro con "No" nella colonna "Valore obbligatorio?" può essere utilizzato con un valore vuoto. Ad esempio, potresti utilizzare group_ids [] o user_attributes {}.
Firma
Per generare la firma devi seguire questi passaggi.
- Raccogli i seguenti valori dei parametri in questo ordine:
- Host, seguito da
login/embed/(ad esempio,analytics.mycompany.com/login/embed/) - Incorpora URL
- Nonce
- Ora corrente
- Durata sessione
- ID utente esterno
- Autorizzazioni
- Modelli
- ID gruppi
- ID gruppo esterno
- Attributi dell'utente
- Filtri di accesso (è necessario un segnaposto vuoto)
- Host, seguito da
- Formattare tutti i valori diversi dall'host e dall'URL di incorporamento come JSON
- Concatena i valori con interruzioni di riga (
\n) - Firma HMAC con la stringa concatenata con il secret di incorporamento Looker
Codifica
Il passaggio finale consiste nella codifica dell'URL.
Prima di codificare l'URL, un URL di incorporamento formattato in modo corretto che utilizza tutti i parametri possibili potrebbe avere il seguente aspetto:
https://analytics.mycompany.com/login/embed//embed/dashboards/1?
nonce="22b1ee700ef3dc2f500fb7"&
time=1407876784&
session_length=86400&
external_user_id="user-4"&
permissions=["access_data","see_user_dashboards","see_looks"]&
models=["model_one","model_two"]&
group_ids=[4,3]&
external_group_id="Allegra K"&
user_attributes={"vendor_id":"17","company":"xactness"}&
access_filters={}&
first_name="Alice"&
last_name="Jones"&
user_timezone="US/Pacific"&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
Come indicato in precedenza, è corretto che /embed//embed/ venga visualizzato nell'URL.
Dopo la codifica dell'URL, l'URL avrà il seguente aspetto:
https://analytics.mycompany.com/login/embed/%2embed%2Fdashboards%2F1?
nonce=%2222b1ee700ef3dc2f500fb7&%22&
time=1407876784&
session_length=86400&
external_user_id=%22user-4%22&
permissions=%5B%22access_data%22%2C%22see_user_dashboards%22%2C%22see_looks%22%5D&
models=%5B%22model_one%22%2C%22model_two%22%5D&
group_ids=%5B4%2C3%5D&
external_group_id=%22Allegra%20K%22&
user_attributes=%7B%22vendor_id%22%3A%2217%22%2C%22company%22%3A%22xactness%22%7D&
access_filters%7B%7D%26%0A
first_name=%22Alice%22&
last_name=%22Jones%22&
user_timezone=%22US%2FPacific%22&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
Utilizzare l'endpoint API create_sso_embed_url
L'API Looker include l'endpoint create_sso_embed_url, che accetta un set di parametri di incorporamento SSO che includono l'URL dei contenuti che vuoi incorporare e restituisce un URL SSO completo, codificato e criptato.
Per utilizzare questo endpoint API da un server web, il server web deve essere in grado di autenticarsi nell'API Looker con privilegi di amministratore. Il dominio del server web deve essere presente anche nell'incorporamento della lista consentita del dominio.
Puoi anche utilizzare API Explorer per generare un URL SSO che utilizzi questo endpoint. Puoi installare Explorer API sulla tua istanza di Looker da Looker Marketplace oppure puoi visualizzare una versione pubblica sul portale per sviluppatori di Looker. Una volta generato, l'URL SSO deve essere copiato esattamente e può essere utilizzato una sola volta, altrimenti non riuscirà. Explorer API è anche utile per generare un URL SSO e confrontarlo con un URL SSO creato manualmente per la risoluzione dei problemi.
Per ulteriori informazioni sull'API Looker, consulta la pagina della documentazione relativa all'uso dell'API Looker.
Test dell'URL di incorporamento
Per verificare l'URL finale, incollalo nello Strumento di convalida URI di incorporamento nella pagina Incorpora della sezione Amministratore di Looker. Questa opzione non può dirti se i dati e le autorizzazioni che credi siano stati configurati correttamente, ma possono comunque confermare che l'autenticazione funzioni correttamente.