Tieni presente che stai visualizzando la documentazione di Looker. Per la documentazione di Looker Studio, visita https://support.google.com/looker-studio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Impostazioni amministratore - Autenticazione Google

La pagina Autenticazione Google nella sezione Autenticazione del menu Amministrazione ti consente di configurare OAuth di Google sul lato Looker.

Panoramica delle funzioni

Looker può eseguire l'autenticazione utilizzando Google OAuth per gli utenti che hanno account registrati con Google Workspace.

Le organizzazioni che utilizzano Google Workspace possono autenticare gli utenti di Looker che dispongono di Account Google.
Gli utenti accedono a Looker autenticandosi con il proprio Account Google.
I nuovi Account Google hanno automaticamente accesso a Looker. Non è necessario invitare separatamente gli utenti a Looker. Imposta il ruolo predefinito per i nuovi utenti, il che può limitare il loro accesso a funzionalità e dati.
Quando questa opzione è abilitata, Looker autentica gli utenti solo con Google OAuth, a meno che non usi l'"accesso alternativo" (consulta la sezione seguente su Attivare gli accessi via email mentre è attiva l'autenticazione Google).
Nella barra di navigazione viene visualizzato l'avatar di Google di un utente anziché il simbolo utente standard.

Quando attivi OAuth di Google, l'istanza di Looker può unire gli account utente esistenti con il dominio registrato da Google, ma solo per gli account il cui indirizzo email corrisponde al dominio. Tutti gli altri account non amministrativi non potranno più accedere.
Tutti gli utenti del dominio specificato ottengono l'accesso all'istanza di Looker.
Per impostazione predefinita, le autorizzazioni per i nuovi utenti Google sono impostate sull'accesso di base per un elenco specificato di modelli (che, facoltativamente, può essere l'accesso a nessun modello). Le autorizzazioni possono essere aggiornate da un amministratore dopo la creazione dell'account.
I nuovi account Looker che si autenticano utilizzando OAuth di Google non possono passare all'autenticazione tramite password, anche se OAuth è disattivato per l'istanza di Looker.

Requisiti preliminari

L'utilizzo di OAuth di Google richiede quanto segue:

Un account Google Workspace per l'organizzazione.
Un dominio controllato dall'organizzazione e registrato nell'account Google Workspace.
Utenti con indirizzi email nel dominio associato all'Account Google.
Ogni utente deve avere un account utente gestito in Google Workspace. Per trovare ed eseguire la migrazione di utenti con account utente non gestiti, utilizza lo Strumento di trasferimento per gli utenti non gestiti.

Attivare l'autenticazione con OAuth di Google

Per abilitare l'autenticazione con Google OAuth, un amministratore deve eseguire i passaggi sia sul lato Google che su quello di Looker, come descritto nelle sezioni seguenti.

Configurazione lato Google

I passaggi per attivare OAuth di Google lato Google sono descritti in questa sezione. La descrizione generica di questi passaggi è riportata nella pagina dell'Assistenza Google relativa alla configurazione di OAuth 2.0. Puoi anche consultare la documentazione della guida della console Google Cloud.

Vai alla console Google Cloud.
Fai clic sulla Freccia giù nel menu a discesa Seleziona un progetto. Potresti vedere il nome di un progetto esistente nell'elenco a discesa. fare clic sulla Freccia giù per visualizzare l'opzione per creare un nuovo progetto.
Nella pagina Seleziona un progetto, fai clic su Nuovo progetto.

Google visualizza la pagina Nuovo progetto.
Compila le informazioni nella pagina Nuovo progetto e fai clic su Crea.

Al termine della creazione del nuovo progetto, Google ti riporta alla console Google Cloud e mostra il nuovo progetto.
Nel menu a sinistra, seleziona API e servizi > Credenziali.
Nella pagina Credenziali, fai clic sul pulsante Crea credenziali e seleziona ID client OAuth dal menu a discesa.

Google mostra la pagina Crea ID client OAuth.
Google richiede di configurare una schermata di consenso OAuth, che consente agli utenti di scegliere come concedere l'accesso ai propri dati privati e fornisce un link ai Termini di servizio e alle Norme sulla privacy della tua organizzazione. Fai clic su Configura schermata di consenso. Se hai configurato il consenso OAuth per un progetto precedente, non vedrai questa opzione e puoi andare al passaggio 13.

Google mostra la pagina Schermata per il consenso OAuth.
Inserisci il dominio dell'istanza di Looker nel campo Domini autorizzati. Ad esempio, se Looker ospita la tua istanza in https://mycompany.looker.com, il dominio è looker.com. Per i deployment di Looker ospitati dal cliente, inserisci il dominio in cui ospiti Looker.
Configura la schermata per il consenso OAuth e fai clic su Salva e continua.

Nota: per informazioni sulla configurazione della schermata per il consenso OAuth di Google, consulta la pagina Configurare OAuth 2.0 dell'Assistenza Google.
Nella pagina Ambiti, fai clic su Salva e continua. Non è richiesta alcuna configurazione dell'ambito aggiuntivo.
Nella pagina Riepilogo, fai clic su Torna alla dashboard.

Google torna alla pagina Crea ID client OAuth.
In Tipo di applicazione, seleziona Applicazione web.
Nel campo Nome, inserisci un nome per l'ID client OAuth.
Nel campo Origini JavaScript autorizzate, inserisci l'URL dell'istanza di Looker, incluso https://. Ad esempio:
- Se Looker ospita la tua istanza: https://mycompany.looker.com
- Se hai un'istanza di Looker ospitata dal cliente: https://looker.mycompany.com
- Se la tua istanza Looker richiede un numero di porta: https://looker.mycompany.com:9999
Nel campo URI di reindirizzamento autorizzati, inserisci l'URL dell'istanza Looker, seguito da /oauth2callback. Ad esempio: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.
Fai clic su Crea.
Copia i valori ID client e client secret, che ti serviranno per configurare Looker.

Configurazione lato Looker

Per attivare Google OAuth sul lato Looker, segui questi passaggi.

Dall'applicazione Looker, dopo aver effettuato l'accesso come amministratore, fai clic sul menu a discesa Amministratore per aprire il menu Amministratore.
Nel gruppo Autenticazione, fai clic su Google. Looker mostra la pagina Autenticazione Google.
Fai clic su Attivato per visualizzare e modificare le impostazioni di OAuth di Google. Questa operazione non attiva immediatamente l'autenticazione di Google; devi confermare la tua scelta in un secondo momento.
Inserisci le impostazioni di autenticazione Google.
- ID client e client secret: copia e incolla questi valori dalla pagina del client OAuth di Google, come descritto nelle istruzioni di configurazione di Google precedenti.
- Domini: il nome o i nomi di dominio gestiti da Google della tua organizzazione. Qualsiasi utente Google nel dominio specificato può accedere alla tua istanza di Looker. Se controlli più domini Google, puoi inserirli separati da virgole.
Avviso :inserisci solo i domini Google controllati dalla tua organizzazione. Se inserisci qualsiasi altro dominio, potresti aprire l'accesso agli utenti di un dominio che non controlli.
Inserisci Opzioni di migrazione, che controllano il comportamento dell'istanza di Looker durante la transizione a Google OAuth.
- Accesso alternativo per gli amministratori: consente agli amministratori di continuare ad accedere con email e password, un utile metodo di riserva in caso di problemi durante la configurazione di Google OAuth. Questa impostazione è consigliata ed è descritta in modo più dettagliato in Attivare gli accessi via email quando è attivato l'autenticazione Google.
- Unisci via email: consente di convertire tutti gli utenti esistenti con indirizzi email nei Domini specificati in modo che utilizzino Google OAuth, al loro accesso successivo. Questa impostazione è consigliata.
- Ruoli per i nuovi utenti: specifica la funzionalità e il modello di accesso dei nuovi utenti che non sono amministratori. Questo elenco può essere aggiornato in un secondo momento. Se non lo specifichi, i nuovi utenti con autenticazione Google avranno funzionalità limitate all'interno della piattaforma Looker finché un amministratore non aggiungerà un ruolo al proprio account. Poiché tutti gli utenti del tuo dominio Google potranno accedere a Looker, ti consigliamo di specificare un ruolo predefinito per i nuovi utenti che limiti l'accesso in modo appropriato.
Fai clic su Verifica autenticazione Google per utilizzare le impostazioni attuali e tentare di autenticare il browser corrente in una nuova finestra. Questa azione non salva le impostazioni attuali né le applica all'istanza di Looker.

Se non hai eseguito l'accesso a Google, ti verrà chiesto di farlo e di dare il consenso all'utilizzo dei dati del tuo Account Google. Questo flusso utilizza le impostazioni personalizzate della schermata per il consenso che hai utilizzato nella configurazione lato Google.

Se l'operazione riesce, viene visualizzata una sezione Informazioni utente con il tuo nome, la tua email e il tuo dominio. La presenza di questa sezione Informazioni utente mostra che l'utente verrà autenticato correttamente da Looker.

In caso di errore, vengono visualizzate le descrizioni degli errori. Ecco alcuni problemi comuni:
- ID client o client secret copiati in modo errato. Questi documenti devono essere copiati e incollati per intero con attenzione.
- L'utente non è nel dominio. Se vedi la sezione Informazioni sulla persona, ma nessuna Info utente, è probabile che l'utente non si trovi nel dominio specificato. Ciò indica che la persona si è autenticata correttamente su Google, ma non utilizza un Account Google che hai scelto di consentire nella tua istanza di Looker.
- Un URL di Looker o di reindirizzamento non è configurato correttamente in Google per la tua istanza di Looker.
Per salvare e applicare le modifiche, seleziona Ho verificato la configurazione sopra riportata e voglio attivarne l'applicazione a livello globale. Fai clic su Update (Aggiorna).

Suggerimenti

Per sperimentare il ciclo di autenticazione completo, puoi uscire da Google e vedere che Google ti chiede di eseguire nuovamente l'accesso quando tenti di accedere a Looker.
In Google puoi fare clic su Account nel menu a discesa personale (accanto al tuo indirizzo email in alto a destra in una pagina di Google Workspace) per gestire il tuo account personale.

Nella pagina di gestione è presente la scheda Sicurezza con una sezione Autorizzazioni account. Se fai clic su App e siti web Visualizza tutto, in qualità di utente puoi visualizzare e gestire i servizi e le app a cui hai concesso le autorizzazioni.

Se fai clic sulle autorizzazioni di Looker che hai concesso per accedere, vengono visualizzati i dettagli che gli utenti vedono nella schermata di consenso che hai personalizzato in precedenza. Puoi anche fare clic su Revoca accesso, in modo che la prossima volta che accederai a Looker (o esegui l'autorizzazione di test) ti verrà chiesto di visualizzare nuovamente la schermata per il consenso. Puoi utilizzare questo flusso di lavoro per personalizzare la schermata del consenso e visualizzare ciò che vedranno gli utenti.

Risoluzione dei problemi

Se il tentativo di accesso di un utente non va a buon fine, assicurati innanzitutto che l'utente abbia un nome e un cognome nei suoi Account Google. Se l'utente ha eliminato il proprio nome o cognome dall'Account Google, Looker potrebbe non essere in grado di autenticare l'utente con Google OAuth.
Se il tentativo di accesso di un utente non va a buon fine e Looker mostra un errore come User not in the authorized domain, controlla il campo hd della risposta JSON. Se il campo hd contiene un dominio, assicurati che questo sia registrato nel tuo account Google Workspace. Se il campo hd è vuoto, utilizza lo Strumento di trasferimento per gli utenti non gestiti per invitare l'utente a convertire il proprio account in un account gestito all'interno del tuo dominio.
Se il tentativo di accesso di un utente non va a buon fine, ma Looker non mostra un messaggio di errore, l'utente potrebbe aver modificato il nome del proprio account Google Workspace ed eliminato il nome o il cognome. In questo caso, il nome dell'account Google Workspace potrebbe essere ancora completo nella Console di amministrazione e potrebbe non mostrare le modifiche dell'utente. Per evitare questo problema, gli amministratori di Google Workspace possono disattivare l'opzione Consenti agli utenti di personalizzare questa impostazione.

Abilitazione degli accessi via email quando è attiva Google Auth

I nuovi Account Google ottengono automaticamente l'accesso a Looker, quindi non è necessario aggiungere utenti nel tuo dominio Google.

Per aggiungere un utente con un indirizzo email che non fa parte del tuo dominio Google:

Attiva l'opzione Accesso alternativo per gli amministratori e gli utenti specificati nella pagina Google Auth
Crea o modifica un ruolo utente esistente per aggiungere l'autorizzazione login_special_email
Vai ad Aggiungi utenti dal riquadro degli utenti (/admin/users/new)
Aggiungi gli indirizzi email che vuoi includere e i ruoli che questi utenti devono avere, che devono includere un ruolo con l'autorizzazione login_special_email
Questi utenti possono ora accedere utilizzando https://mycompany.looker.com/login/email (URL nascosto)

Disabilitazione di Google Auth dopo averla abilitata

Se vuoi disattivare l'autenticazione Google per la tua istanza Looker dopo che è già stata attivata, tieni presente quanto segue:

Gli utenti creati prima dell'aggiunta dell'autenticazione Google e che hanno già impostato un accesso email e una password normali continueranno a funzionare.
Gli utenti creati dopo l'aggiunta dell'autenticazione Google non saranno più in grado di accedere. Sebbene i loro account esistano ancora, non hanno modo di accedervi e sono di fatto orfani.

Per questo motivo, ti consigliamo di evitare questo percorso. Se devi seguire questo percorso, potrebbe esserci un metodo per correggere gli account orfani utilizzando l'API Looker. Contatta l'assistenza di Looker per ulteriori indicazioni.