Configurações de administrador: autenticação do Google

Na página Autenticação do Google na seção Autenticação do menu Administrador, é possível configurar o OAuth do Google no Looker.

Visão geral do recurso

Se você quiser, o Looker pode fazer a autenticação pelo Google OAuth para usuários com contas registradas no Google Workspace.

  • As organizações que usam o Google Workspace podem autenticar usuários do Looker com Contas do Google.
  • Os usuários fazem login no Looker fazendo a autenticação com a Conta do Google.
  • As novas Contas do Google têm acesso automático ao Looker. Não é necessário convidar usuários para usar o Looker separadamente. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
  • Quando ativada, o Looker autentica os usuários apenas com o Google OAuth, a menos que a opção "Login alternativo" esteja selecionada. Confira mais instruções abaixo.
  • O avatar do Google de um usuário aparece na barra de navegação em vez do símbolo padrão do usuário.
  • Ao ativar o Google OAuth, a instância do Looker pode mesclar contas de usuário existentes com o domínio registrado pelo Google, mas apenas para contas cujo endereço de e-mail corresponda ao domínio. Não será possível fazer login nas outras contas que não são de administrador.
  • Todos os usuários no domínio especificado têm acesso à instância do Looker.
  • Por padrão, as permissões para novos usuários do Google são de acesso básico a uma lista específica de modelos (que pode, opcionalmente, ser acesso a modelos zero). As permissões podem ser atualizadas por um administrador após a criação da conta.
  • As novas contas do Looker que são autenticadas pelo OAuth do Google não podem mudar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

O uso do Google OAuth exige o seguinte:

Como ativar a autenticação com o Google OAuth

Para ativar a autenticação com o Google OAuth, o administrador precisa executar etapas tanto do lado do Google quanto do Looker, conforme descrito nas seções a seguir.

Configuração feita pelo Google

As etapas para ativar o Google OAuth no Google são descritas abaixo. Você encontra uma descrição genérica dessas etapas na página de Suporte do Google que ensina a configurar o OAuth 2.0. Você encontra a documentação no Google Dev Console na página de Ajuda do console do Google Cloud.

  1. Acesse o Console do Google Cloud.

  2. Clique na seta para baixo no menu suspenso Selecionar um projeto. Talvez você veja o nome de um projeto existente na lista suspensa. Clique na seta para baixo para ver a opção de criar um novo projeto.

  3. Na página Selecionar um projeto, clique em Novo projeto.

    O Google exibe a página New Project.

  4. Preencha as informações na página Novo projeto e clique em Criar.

    Quando o Google terminar de criar o novo projeto, ele retornará ao console do Google Cloud e mostrará o novo projeto.

  5. No menu à esquerda, selecione APIs e serviços > Credenciais.

  6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente OAuth no menu suspenso.

    O Google exibe a página Criar ID do cliente OAuth.

  7. O Google exige que você configure uma tela de consentimento OAuth, que permite que os usuários escolham como conceder acesso aos dados particulares e fornece um link para os Termos de Serviço e a Política de Privacidade da organização. Clique em Configurar tela de consentimento. Se você tiver configurado o consentimento do OAuth para um projeto anterior, não verá essa opção e poderá pular para a etapa 13.

    O Google vai mostrar a página Tela de consentimento OAuth.

  8. Insira o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

  9. Configure a tela de permissão OAuth e clique em Salvar e continuar.

  10. Na página Escopos, clique em Salvar e continuar. Nenhuma configuração de escopo adicional é necessária.

  11. Na página Resumo, clique em Voltar para o painel.

    O Google retornará à página Criar ID do cliente OAuth.

  12. Em Tipo de aplicativo, selecione Aplicativo da Web.

  13. No campo Nome, digite um nome para o ID do cliente OAuth.

  14. No campo Origens JavaScript autorizadas, digite o URL da sua instância do Looker, incluindo o https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

  15. No campo URIs de redirecionamento autorizados, insira o URL da sua instância do Looker seguido de /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Clique em Criar.

  17. Copie os valores de ID do cliente e Chave secreta do cliente. Você vai precisar deles para configurar o Looker.

Configuração no lado do Looker

Para ativar o Google OAuth no Looker, siga estas etapas.

  1. No aplicativo Looker, após fazer login como administrador, clique no menu suspenso Admin para abrir o menu Admin.

  2. No grupo Autenticação, clique em Google. O Looker exibe a página Autenticação do Google.

  3. Clique em Ativado para exibir e editar as configurações do OAuth do Google. Isso não ativa a autenticação do Google imediatamente. Você precisa confirmar sua escolha mais tarde.

  4. Insira suas Configurações de autenticação do Google.

    • ID do cliente e chave secreta do cliente: copie e cole esses valores da página Cliente OAuth do Google, conforme discutido nas instruções de configuração do Google acima.
    • Domínios: os nomes de domínio da sua organização gerenciados pelo Google. Qualquer usuário do Google no domínio especificado pode fazer login na sua instância do Looker. Se você controla vários domínios do Google, pode inseri-los separados por vírgulas.

  5. Digite Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o Google OAuth.

    • Login alternativo para administradores: permite que os administradores continuem fazendo login com e-mail e senha, o que é uma alternativa útil em caso de problemas para configurar o Google OAuth. Essa configuração é recomendada e está descrita abaixo.
    • Mesclar por e-mail: converte usuários existentes com endereços de e-mail nos Domínios especificados para usar o Google OAuth no próximo login. Essa configuração é recomendada.
    • Funções para novos usuários: especifica a funcionalidade e o acesso ao modelo que novos usuários não administradores têm. Essa lista pode ser atualizada mais tarde. Se deixado em branco, os novos usuários autenticados pelo Google terão funcionalidade limitada na plataforma Looker até que um administrador adicione um papel à conta. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, especifique uma função padrão para os novos usuários que limite o acesso adequadamente.

  6. Clique em Testar a autenticação do Google para usar as configurações atuais e tente autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

    Se você não tiver feito login no Google, será necessário fazer login e dar seu consentimento para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da tela de consentimento que você definiu na configuração do Google.

    Quando terminar, a seção Informações do usuário vai aparecer com seu nome, e-mail e domínio. A presença da seção Informações do usuário mostra que o usuário seria autenticado pelo Looker.

    Após a falha, as descrições dos erros são exibidas. Veja a seguir alguns problemas comuns:

    • ID ou chave secreta do cliente copiado. Eles precisam ser cuidadosamente copiados e colados por completo.
    • O usuário está fora do domínio. Se você vir uma seção Informações da pessoa, mas nenhuma Informações do usuário, é provável que o usuário não esteja no domínio especificado. Isso mostra que a pessoa fez a autenticação corretamente no Google, mas não está usando uma Conta do Google que você permitiu na sua instância do Looker.
    • Um URL do Looker ou de redirecionamento não está configurado corretamente no Google para sua instância do Looker.

  7. Para salvar e aplicar as mudanças, marque a opção Eu confirmei a configuração acima e quero ativá-la globalmente. Clique em Atualizar.

Dicas

  • Para testar o ciclo completo de autenticação, saia do Google e observe que o Google solicita que você faça login novamente quando tentar entrar no Looker.

  • No Google, clique em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

    Nessa página, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Apps e websites Ver tudo, você (como usuário) pode ver e gerenciar os serviços e apps para os quais concedeu permissões.

    Clique nas permissões do Looker que você concedeu para fazer login e confira os detalhes que os usuários veem na tela de consentimento que você personalizou acima. Também é possível clicar em Revogar acesso para que a tela de consentimento apareça na próxima vez que você fizer login no Looker (ou testar autorização). Você pode usar esse fluxo de trabalho para personalizar sua tela de consentimento e visualizar o que os usuários veem.

Solução de problemas

  • Se a tentativa de login de um usuário falhar, primeiro verifique se o usuário tem um nome e um sobrenome na Conta do Google. Se o usuário tiver excluído o nome ou sobrenome da Conta do Google, talvez o Looker não consiga autenticar o usuário com o Google OAuth.

  • Se a tentativa de login de um usuário falhar e o Looker mostrar um erro como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd tiver um domínio, confira se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta em uma conta gerenciada no domínio.

  • Se a tentativa de login de um usuário falhar, mas o Looker não exibir uma mensagem de erro, talvez o usuário tenha editado o nome da conta do Google Workspace e excluído o nome ou sobrenome. Nesse caso, o nome da conta do Google Workspace ainda pode parecer completo no Admin Console, o que talvez não mostre as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem esta configuração.

Como ativar logins de e-mail enquanto o Google Auth está ativado

As novas Contas do Google têm acesso automático ao Looker. Por isso, não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário por um endereço de e-mail que não está no seu domínio do Google:

  1. Ative a opção Login alternativo para administradores e usuários especificados na página do Google Auth
  2. Crie ou modifique uma função do usuário para adicionar a permissão login_special_email.
  3. Acesse Adicionar usuários no painel de usuários (/admin/users/new).
  4. Adicione os endereços de e-mail que você quer incluir e os papéis desses usuários. Eles precisam ter um papel com a permissão login_special_email
  5. Esses usuários agora podem fazer login por https://mycompany.looker.com/login/email (URL oculto)

Desativar o Google Auth após a ativação

Para desativar a autenticação do Google na sua instância do Looker após a ativação, considere o seguinte:

  • Os usuários criados antes da adição da autenticação do Google e que já tiverem configurado um login de e-mail e uma senha normais continuarão funcionando.
  • Os usuários criados após a adição da autenticação do Google não poderão mais fazer login. Apesar de existirem suas contas, eles não têm como acessá-las, e suas contas estão efetivamente órfãs.

É por isso que sugerimos evitar esse trajeto. Se você precisar seguir esse caminho, talvez haja um método para corrigir as contas órfãs usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.