Setelan admin - Autentikasi Google

Halaman Google Authentication di bagian Authentication pada menu Admin memungkinkan Anda menyiapkan Google OAuth di sisi Looker.

Ringkasan fitur

Looker dapat melakukan autentikasi menggunakan Google OAuth untuk pengguna yang memiliki akun yang terdaftar dengan Google Google Workspace.

  • Organisasi yang menggunakan Google Workspace dapat mengautentikasi pengguna Looker yang memiliki Akun Google.
  • Pengguna login ke Looker dengan melakukan autentikasi dengan Akun Google mereka.
  • Akun Google baru akan otomatis mendapatkan akses ke Looker. Tidak perlu mengundang pengguna ke Looker secara terpisah. Anda menetapkan peran default untuk pengguna baru, yang dapat membatasi akses mereka ke fungsi dan data.
  • Jika diaktifkan, Looker akan mengautentikasi pengguna hanya dengan Google OAuth kecuali jika opsi "login alternatif" dipilih (lihat bagian berikut tentang Mengaktifkan login email saat Google Auth diaktifkan).
  • Avatar Google pengguna muncul di menu navigasi, bukan simbol pengguna standar.
  • Saat mengaktifkan Google OAuth, instance Looker dapat menggabungkan akun pengguna yang ada dengan domain yang terdaftar di Google, tetapi hanya untuk akun yang alamat emailnya cocok dengan domain. Semua akun non-admin lainnya akan kehilangan kemampuan untuk login.
  • Semua pengguna di domain yang ditentukan akan mendapatkan akses ke instance Looker.
  • Izin untuk pengguna Google baru secara default adalah akses dasar untuk daftar model tertentu (yang dapat, secara opsional, berupa akses ke nol model). Izin dapat diperbarui oleh admin setelah pembuatan akun.
  • Akun Looker baru yang diautentikasi menggunakan Google OAuth tidak dapat beralih ke autentikasi sandi, meskipun OAuth dinonaktifkan untuk instance Looker.

Persyaratan awal

Penggunaan Google OAuth memerlukan hal berikut:

Mengaktifkan autentikasi dengan Google OAuth

Untuk mengaktifkan autentikasi dengan Google OAuth, administrator harus melakukan langkah-langkah di sisi Google dan di sisi Looker, seperti yang dijelaskan di bagian berikut.

Penyiapan di sisi Google

Langkah-langkah untuk mengaktifkan Google OAuth di sisi Google dijelaskan di bagian ini. Deskripsi umum langkah-langkah ini ada di halaman dukungan Google tentang menyiapkan OAuth 2.0. Anda juga dapat melihat dokumentasi Bantuan konsol Google Cloud.

  1. Buka Konsol Google Cloud.

  2. Klik panah bawah di menu drop-down Select a project. Anda mungkin melihat nama project yang ada di menu drop-down; klik panah bawah, dan Anda akan diarahkan ke opsi untuk membuat project baru.

  3. Di halaman Select a project, klik New Project.

    Google akan menampilkan halaman Project Baru.

  4. Isi informasi di halaman New Project, lalu klik Create.

    Setelah Google selesai membuat project baru, Google akan mengarahkan Anda kembali ke Konsol Google Cloud dan menampilkan project baru Anda.

  5. Di menu sebelah kiri, pilih APIs & Services > Credentials.

  6. Di halaman Credentials, klik tombol Create credentials, lalu pilih OAuth client ID dari menu drop-down.

    Google akan menampilkan halaman Create OAuth client ID.

  7. Google mewajibkan Anda mengonfigurasi layar izin OAuth, yang memungkinkan pengguna memilih cara memberikan akses ke data pribadi mereka dan memberikan link ke persyaratan layanan dan kebijakan privasi organisasi Anda. Klik Konfigurasi layar izin. (Jika telah mengonfigurasi izin OAuth untuk project sebelumnya, Anda tidak akan melihat opsi ini, dan dapat langsung ke langkah 13.)

    Google akan menampilkan halaman OAuth consent screen.

  8. Masukkan domain instance Looker Anda di kolom Authorized domains. Misalnya, jika Looker menghosting instance Anda di https://mycompany.looker.com, domainnya adalah looker.com. Untuk deployment Looker yang dihosting pelanggan, masukkan domain tempat Anda menghosting Looker.

  9. Konfigurasikan layar izin OAuth Anda, lalu klik Simpan dan Lanjutkan.

  10. Di halaman Cakupan, klik Simpan dan Lanjutkan. Tidak diperlukan konfigurasi cakupan tambahan.

  11. Di halaman Ringkasan, klik Kembali ke Dasbor.

    Google akan mengarahkan Anda ke halaman Buat client ID OAuth.

  12. Di bagian Application type, pilih Web application.

  13. Di kolom Nama, masukkan nama untuk client ID OAuth Anda.

  14. Di kolom Asal JavaScript yang sah, masukkan URL ke instance Looker Anda, termasuk https://. Contoh:

    • Jika Looker menghosting instance Anda: https://mycompany.looker.com
    • Jika Anda memiliki instance Looker yang dihosting oleh pelanggan: https://looker.mycompany.com
    • Jika instance Looker Anda memerlukan nomor port: https://looker.mycompany.com:9999
  15. Di kolom Authorized redirect URIs, masukkan URL ke instance Looker Anda, diikuti dengan /oauth2callback. Misalnya: https://mycompany.looker.com/oauth2callback atau https://looker.mycompany.com:9999/oauth2callback.

  16. Klik Create.

  17. Salin nilai client ID dan client secret Anda — Anda akan memerlukannya untuk mengonfigurasi Looker.

Penyiapan di sisi Looker

Untuk mengaktifkan Google OAuth di sisi Looker, ikuti langkah-langkah berikut.

  1. Dari aplikasi Looker, saat login sebagai administrator, klik drop-down Admin untuk membuka menu Admin.

  2. Di bagian grup Authentication, klik Google. Looker akan menampilkan halaman Autentikasi Google.

  3. Klik Diaktifkan untuk menampilkan dan mengedit setelan Google OAuth. (Tindakan ini tidak langsung mengaktifkan autentikasi Google; Anda harus mengonfirmasi pilihan Anda nanti).

  4. Masuk ke Setelan Google Auth.

    • Client ID dan Client Secret - Salin dan tempel nilai ini dari halaman klien OAuth Google, seperti yang telah dibahas dalam petunjuk penyiapan Google sebelumnya.
    • Domain - Nama domain organisasi Anda yang dikelola Google. Semua pengguna Google di domain tertentu dapat login ke instance Looker Anda. Jika Anda mengontrol beberapa domain Google, Anda dapat memasukkannya dengan dipisahkan koma.
  5. Masuk ke Opsi Migrasi, yang mengontrol perilaku instance Looker selama transisi ke Google OAuth.

    • Login alternatif untuk admin - Memungkinkan admin terus login dengan email dan sandi, yang merupakan pengganti yang berguna jika terjadi masalah saat menyiapkan Google OAuth. Setelan ini direkomendasikan dan dijelaskan lebih lanjut di Mengaktifkan login email saat Google Auth diaktifkan.
    • Gabungkan menurut email - Mengonversi pengguna yang ada dengan alamat email di Domain tertentu untuk menggunakan Google OAuth, saat mereka login lagi. Setelan ini direkomendasikan.
    • Peran untuk pengguna baru - Menentukan fungsi dan akses model yang dimiliki pengguna baru non-admin. Daftar ini dapat diperbarui nanti. Jika dibiarkan kosong, pengguna baru yang diautentikasi Google akan memiliki fungsi terbatas di dalam platform Looker hingga admin menambahkan peran ke akun mereka. Karena semua pengguna dalam domain Google Anda akan dapat login ke Looker, sebaiknya tentukan peran default untuk pengguna baru yang membatasi akses dengan tepat.
  6. Klik Uji Autentikasi Google untuk menggunakan setelan saat ini dan mencoba mengautentikasi browser saat ini di jendela baru. Tindakan ini tidak menyimpan setelan saat ini atau menerapkannya ke instance Looker.

    Jika tidak login ke Google, Anda akan diminta untuk login dan dimintai izin untuk menggunakan informasi Akun Google Anda. Alur ini menggunakan setelan Layar izin kustom yang Anda gunakan di penyiapan sisi Google.

    Setelah berhasil, bagian Info Pengguna akan ditampilkan dengan nama, email, dan domain Anda. Kehadiran bagian Info Pengguna ini menunjukkan bahwa pengguna ini akan berhasil diautentikasi oleh Looker.

    Setelah gagal, deskripsi error akan muncul. Beberapa masalah umum meliputi:

    • Client ID atau Rahasia Klien salah disalin. Kode ini harus disalin dan ditempelkan sepenuhnya dengan cermat.
    • Pengguna berada di luar domain. Jika Anda melihat bagian Info Orang, tetapi tidak ada Info Pengguna, hal ini mungkin karena pengguna tidak berada di domain yang Anda tentukan. Hal ini menunjukkan bahwa pengguna telah mengautentikasi dirinya ke Google dengan benar, tetapi dia tidak menggunakan Akun Google yang telah Anda pilih untuk diizinkan masuk ke instance Looker Anda.
    • URL Looker atau URL alihan tidak disiapkan dengan benar di Google untuk instance Looker Anda.
  7. Untuk menyimpan dan menerapkan perubahan, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global. Klik Perbarui.

Tips

  • Untuk bereksperimen dengan siklus autentikasi penuh, Anda dapat logout dari Google dan melihat bahwa Google meminta Anda untuk login lagi saat Anda mencoba login ke Looker.

  • Di Google, Anda dapat mengklik Akun di menu drop-down pribadi (di samping alamat email Anda di kanan atas halaman Google Google Workspace) untuk mengelola akun pribadi Anda.

    Di halaman pengelolaan tersebut, terdapat tab Keamanan dengan bagian Izin Akun. Dengan mengklik Aplikasi dan situs Lihat semua, Anda (sebagai pengguna) dapat melihat dan mengelola layanan dan aplikasi yang telah diberi izin.

    Mengklik izin Looker yang Anda berikan untuk login akan menampilkan detail yang dilihat pengguna di layar izin yang Anda sesuaikan sebelumnya. Anda juga dapat mengklik Cabut akses sehingga saat berikutnya Anda login ke Looker (atau menguji otorisasi), Anda akan diminta lagi untuk membuka layar izin. Anda dapat menggunakan alur kerja ini untuk membantu menyesuaikan layar izin dan melihat apa yang akan dilihat pengguna.

Pemecahan masalah

  • Jika upaya login pengguna gagal, pastikan pengguna memiliki nama depan dan nama belakang di Akun Google-nya terlebih dahulu. Jika pengguna telah menghapus nama depan atau nama belakangnya dari Akun Google, Looker mungkin tidak dapat mengautentikasi pengguna dengan Google OAuth.

  • Jika upaya login pengguna gagal, dan Looker menampilkan error seperti User not in the authorized domain, periksa kolom hd dari respons JSON. Jika kolom hd berisi domain, pastikan domain tersebut terdaftar ke akun Google Workspace Anda. Jika kolom hd kosong, gunakan Alat transfer untuk pengguna yang tidak dikelola untuk mengundang pengguna tersebut mengonversi akunnya menjadi akun terkelola dalam domain Anda.

  • Jika upaya login pengguna gagal, tetapi Looker tidak menampilkan pesan error, pengguna mungkin telah mengedit nama akun Google Workspace-nya dan menghapus nama depan atau belakangnya. Dalam situasi ini, nama akun Google Workspace mungkin masih terlihat lengkap di konsol Admin, yang mungkin tidak menampilkan hasil edit pengguna. Untuk mencegah masalah ini, admin Google Workspace dapat menonaktifkan opsi Izinkan pengguna menyesuaikan setelan ini.

Mengaktifkan login email saat Google Auth diaktifkan

Akun Google baru otomatis mendapatkan akses ke Looker, sehingga Anda tidak perlu menambahkan pengguna yang ada di Google Domains.

Untuk menambahkan pengguna dengan alamat email yang tidak ada di Google Domains Anda:

  1. Aktifkan opsi Login alternatif untuk admin dan pengguna tertentu di halaman Autentikasi Google
  2. Membuat atau mengubah peran pengguna yang ada untuk menambahkan izin login_special_email
  3. Buka Tambahkan Pengguna dari panel pengguna (/admin/users/new)
  4. Tambahkan alamat email yang ingin Anda sertakan, dan peran yang harus dimiliki pengguna tersebut, yang harus menyertakan peran dengan izin login_special_email
  5. Pengguna tersebut kini dapat login menggunakan https://mycompany.looker.com/login/email (URL tersembunyi)

Menonaktifkan Google Auth setelah diaktifkan

Jika Anda ingin menonaktifkan Autentikasi Google untuk instance Looker setelah diaktifkan, ada beberapa hal yang perlu dipertimbangkan:

  • Pengguna yang dibuat sebelum Google Authentication ditambahkan, dan sudah menyiapkan login dan sandi email normal, akan tetap berfungsi.
  • Pengguna yang dibuat setelah Autentikasi Google ditambahkan tidak akan dapat login lagi. Meskipun akun mereka masih ada, mereka tidak dapat mengaksesnya, dan akun mereka menjadi tidak aktif.

Oleh karena itu, sebaiknya hindari rute ini. Jika Anda harus menggunakan jalur ini, mungkin ada metode untuk memperbaiki akun yang tidak memiliki induk menggunakan Looker API. Hubungi Dukungan Looker untuk mendapatkan panduan tambahan.