Administratoreinstellungen – Google-Authentifizierung

Auf der Seite Google-Authentifizierung im Abschnitt Authentifizierung des Menüs Verwaltung können Sie Google OAuth auf Looker-Seite einrichten.

Features

Looker kann die Authentifizierung mit Google OAuth für Nutzer mit bei Google Workspace registrierten Konten durchführen.

  • Organisationen, die Google Workspace verwenden, können Looker-Nutzer mit Google-Konten authentifizieren.
  • Benutzer melden sich bei Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Nutzer müssen nicht separat zu Looker eingeladen werden. Sie legen eine Standardrolle für neue Nutzer fest, die ihren Zugriff auf Funktionen und Daten einschränken kann.
  • Wenn diese Option aktiviert ist, werden Nutzer nur mit Google OAuth authentifiziert, es sei denn, die Option „Alternative Anmeldung“ ist ausgewählt (siehe Abschnitt E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist).
  • In der Navigationsleiste wird der Google-Avatar eines Nutzers anstelle des Standardnutzersymbols angezeigt.
  • Wenn Sie Google OAuth aktivieren, kann die Looker-Instanz vorhandene Nutzerkonten mit der bei Google registrierten Domain zusammenführen, aber nur für Konten, deren E-Mail-Adresse mit der Domain übereinstimmt. Alle anderen Konten, die keine Administratorkonten sind, können sich dann nicht mehr anmelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • Standardmäßig haben neue Google-Nutzer grundlegende Zugriffsrechte für eine bestimmte Liste von Modellen. Optional kann auch kein Zugriff auf Modelle gewährt werden. Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Neue Looker-Konten, die sich mit Google OAuth authentifizieren, können nicht zur Passwortauthentifizierung wechseln, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorläufige Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

Authentifizierung mit Google OAuth aktivieren

Um die Authentifizierung mit Google OAuth zu aktivieren, müssen Administratoren sowohl auf Google- als auch auf Looker-Seite Schritte ausführen, wie in den folgenden Abschnitten beschrieben.

Einrichtung auf Google-Seite

In diesem Abschnitt werden die Schritte zum Aktivieren von Google OAuth auf Google-Seite beschrieben. Eine allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0. Weitere Informationen finden Sie auch in der Google Cloud Console-Hilfe.

  1. Öffnen Sie die Google Cloud Console.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Drop-down-Pfeil. Möglicherweise wird im Drop-down-Menü der Name eines vorhandenen Projekts angezeigt. klicken Sie trotzdem auf den Abwärtspfeil, damit Sie zur Option zum Erstellen eines neuen Projekts gelangen.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    Google zeigt die Seite Neues Projekt an.

  4. Geben Sie die Informationen auf der Seite Neues Projekt ein und klicken Sie auf Erstellen.

    Sobald Google Ihr neues Projekt erstellt hat, werden Sie zur Google Cloud Console zurückgeleitet und Ihr neues Projekt wird angezeigt.

  5. Wählen Sie im Menü auf der linken Seite APIs & Dienste > Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.

    Google zeigt die Seite OAuth-Client-ID erstellen an.

  7. Google erfordert die Konfiguration eines OAuth-Zustimmungsbildschirms, über den Nutzer festlegen können, wie sie Zugriff auf ihre privaten Daten gewähren. Außerdem muss ein Link zu den Nutzungsbedingungen und zur Datenschutzerklärung Ihrer Organisation vorhanden sein. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie die OAuth-Einwilligung bereits für ein vorheriges Projekt konfiguriert haben, wird diese Option nicht angezeigt. In diesem Fall können Sie mit Schritt 13 fortfahren.

    Google zeigt die Seite OAuth-Zustimmungsbildschirm an.

  8. Geben Sie die Domain Ihrer Looker-Instanz in das Feld Autorisierte Domains ein. Wenn Looker Ihre Instanz beispielsweise unter https://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

  10. Klicken Sie auf der Seite Bereiche auf Speichern und fortfahren. Es ist keine zusätzliche Konfiguration des Gültigkeitsbereichs erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Sie werden von Google zur Seite OAuth-Client-ID erstellen zurückgeleitet.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie im Feld Name einen Namen für Ihre OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL Ihrer Looker-Instanz ein, einschließlich der https://. Beispiel:

    • Wenn Ihre Instanz von Looker gehostet wird: https://mycompany.looker.com
    • Wenn die Looker-Instanz vom Kunden gehostet wird: https://looker.mycompany.com
    • Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist: https://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL Ihrer Looker-Instanz gefolgt von /oauth2callback ein. Beispiel: https://mycompany.looker.com/oauth2callback oder https://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte für die Client-ID und das Client-Secret. Sie benötigen sie, um Looker zu konfigurieren.

Einrichtung auf der Looker-Seite

So aktivieren Sie Google OAuth auf Looker-Seite:

  1. Klicken Sie in der Looker-Anwendung, während Sie als Administrator angemeldet sind, auf das Drop-down-Menü Verwaltung, um das Menü Verwaltung zu öffnen.

  2. Klicken Sie unter der Gruppe Authentifizierung auf Google. In Looker wird die Seite Google-Authentifizierung angezeigt.

  3. Klicken Sie auf Aktiviert, um die Google OAuth-Einstellungen aufzurufen und zu bearbeiten. Dadurch wird die Google-Authentifizierung nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.

  4. Geben Sie Ihre Google-Authentifizierungseinstellungen ein.

    • Client-ID und Clientschlüssel: Kopieren Sie diese Werte von der Seite OAuth-Client von Google und fügen Sie sie ein, wie in der vorherigen Anleitung zur Google-Einrichtung beschrieben.
    • Domains: die von Google verwalteten Domainnamen Ihrer Organisation Jeder Google-Nutzer in der angegebenen Domain kann sich bei Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie sie durch Kommas getrennt eingeben.

  5. Geben Sie die Migrationsoptionen ein, mit denen Sie das Verhalten der Looker-Instanz während der Umstellung auf Google OAuth steuern.

    • Alternative Anmeldung für Administratoren: Administratoren können sich weiterhin mit E-Mail-Adresse und Passwort anmelden. Dies ist ein nützlicher Ausweichmechanismus bei Problemen bei der Einrichtung von Google OAuth. Diese Einstellung wird empfohlen und wird unter E-Mail-Anmeldungen aktivieren, wenn Google Auth aktiviert ist näher beschrieben.
    • Nach E-Mail-Adresse zusammenführen: Alle vorhandenen Nutzer mit E-Mail-Adressen in den angegebenen Domains werden bei der nächsten Anmeldung auf Google OAuth umgestellt. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer: Hier werden die Funktionen und der Modellzugriff für neue Nutzer festgelegt, die keine Administratoren sind. Diese Liste kann später aktualisiert werden. Wenn Sie dieses Feld leer lassen, haben neue Nutzer, die über Google authentifiziert sind, nur eingeschränkte Funktionen auf der Looker-Plattform, bis ein Administrator ihrem Konto eine Rolle zuweist. Da sich alle Nutzer in Ihrer Google-Domain in Looker anmelden können, sollten Sie eine Standardrolle für neue Nutzer angeben, die den Zugriff entsprechend einschränkt.

  6. Klicken Sie auf Google-Authentifizierung testen, um die aktuellen Einstellungen zu verwenden und den aktuellen Browser in einem neuen Fenster zu authentifizieren. Durch diese Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht bei Google angemeldet sind, werden Sie aufgefordert, sich anzumelden, und um Ihre Einwilligung zur Verwendung Ihrer Google-Kontoinformationen gebeten. Bei diesem Ablauf werden die benutzerdefinierten Einstellungen für den Bildschirm zur Einwilligung verwendet, die Sie bei der Einrichtung auf Google-Seite verwendet haben.

    Bei Erfolg wird der Bereich Nutzerinformationen mit Ihrem Namen, Ihrer E-Mail-Adresse und Ihrer Domain angezeigt. Wenn dieser Abschnitt Nutzerinformationen vorhanden ist, wird dieser Nutzer von Looker erfolgreich authentifiziert.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Zu den häufigsten Problemen gehören:

    • Falsche Client-ID oder falscher Clientschlüssel. Diese müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Der Nutzer ist nicht Teil der Domain. Wenn Sie zwar den Bereich Personeninformationen, aber keine Nutzerinformationen sehen, befindet sich der Nutzer wahrscheinlich nicht in der von Ihnen angegebenen Domain. Das bedeutet, dass sich die Person bei Google korrekt authentifiziert hat, aber kein Google-Konto verwendet, das Sie für Ihre Looker-Instanz zugelassen haben.
    • Eine Looker-URL oder Weiterleitungs-URL ist in Google nicht korrekt für Ihre Looker-Instanz eingerichtet.

  7. Wenn Sie die Änderungen speichern und anwenden möchten, setzen Sie ein Häkchen bei Ich habe die Konfiguration oben bestätigt und möchte sie global anwenden. Klicken Sie auf Aktualisieren.

Tipps

  • Wenn Sie den vollständigen Authentifizierungszyklus testen möchten, können Sie sich von Google abmelden. Wenn Sie dann versuchen, sich in Looker anzumelden, werden Sie von Google aufgefordert, sich noch einmal anzumelden.

  • In Google können Sie Ihr privates Konto verwalten, indem Sie im Drop-down-Menü neben Ihrer E-Mail-Adresse rechts oben auf einer Google Workspace-Seite auf Konto klicken.

    Auf dieser Seite befindet sich der Tab Sicherheit mit dem Abschnitt Kontoberechtigungen. Wenn Sie auf Apps und Websites Alle ansehen klicken, können Sie als Nutzer die Dienste und Apps ansehen und verwalten, denen Sie Berechtigungen erteilt haben.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie für die Anmeldung erteilt haben, werden die Details angezeigt, die Benutzer auf dem zuvor angepassten Zustimmungsbildschirm sehen. Sie können auch auf Zugriff widerrufen klicken. Wenn Sie sich das nächste Mal in Looker anmelden oder die Autorisierung testen, wird ein weiterer Zustimmungsbildschirm angezeigt. Mit diesem Workflow können Sie den Einwilligungsbildschirm anpassen und sehen, was Nutzer sehen.

Fehlerbehebung

  • Wenn die Anmeldung eines Nutzers fehlschlägt, prüfen Sie zuerst, ob der Nutzer in seinem Google-Konto sowohl einen Vor- als auch einen Nachnamen hinterlegt hat. Wenn der Nutzer seinen Vor- oder Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker ihn möglicherweise nicht mit Google OAuth authentifizieren.

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt und Looker einen Fehler wie User not in the authorized domain anzeigt, prüfen Sie das Feld hd der JSON-Antwort. Wenn das Feld hd eine Domain enthält, prüfen Sie, ob sie in Ihrem Google Workspace-Konto registriert ist. Wenn das Feld hd leer ist, verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um den Nutzer einzuladen, sein Konto in ein verwaltetes Konto innerhalb Ihrer Domain umzuwandeln.

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt, in Looker aber keine Fehlermeldung angezeigt wird, hat der Nutzer möglicherweise seinen Google Workspace-Kontonamen bearbeitet und dabei seinen Vor- oder Nachnamen gelöscht. In diesem Fall wird der Name des Google Workspace-Kontos in der Admin-Konsole möglicherweise noch vollständig angezeigt und die Änderungen des Nutzers werden möglicherweise nicht angezeigt. Google Workspace-Administratoren können die Option Nutzer dürfen diese Einstellung anpassen deaktivieren, um dieses Problem zu vermeiden.

E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist

Neue Google-Konten erhalten automatisch Zugriff auf Looker, sodass Sie keine Nutzer in Ihrer Google-Domain hinzufügen müssen.

So fügen Sie einen Nutzer mit einer E-Mail-Adresse hinzu, die nicht zu Ihrer Google-Domain gehört:

  1. Aktivieren Sie die Option Alternative Anmeldung für Administratoren und angegebene Nutzer auf der Google Auth-Seite
  2. Nutzerrolle erstellen oder vorhandene Nutzerrolle bearbeiten, um die Berechtigung login_special_email hinzuzufügen
  3. Klicken Sie im Bereich „Nutzer“ auf Nutzer hinzufügen (/admin/users/new).
  4. Fügen Sie die E-Mail-Adressen hinzu, die Sie einschließen möchten, und die Rollen, die diese Nutzer haben sollen. Dazu muss eine Rolle mit der Berechtigung login_special_email gehören.
  5. Diese Nutzer können sich jetzt über https://mycompany.looker.com/login/email (ausgeblendete URL) anmelden.

Deaktivieren von Google Auth nach der Aktivierung

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, gibt es einiges zu bedenken:

  • Nutzer, die erstellt wurden, bevor die Google-Authentifizierung hinzugefügt wurde und die bereits eine normale E-Mail-Adresse und ein normales Passwort eingerichtet haben, funktionieren weiterhin.
  • Nutzer, die erstellt wurden, nachdem Google Authentication hinzugefügt wurde, können sich nicht mehr anmelden. Ihre Konten sind zwar noch vorhanden, haben aber keine Möglichkeit, darauf zuzugreifen, und ihre Konten sind faktisch verwaist.

Wir empfehlen daher, diese Route zu vermeiden. Wenn Sie diesen Weg gehen müssen, gibt es möglicherweise eine Methode, mit der Sie die verwaisten Konten mithilfe der Looker API korrigieren können. Wenden Sie sich an den Looker-Support, um weitere Unterstützung zu erhalten.