Administratoreinstellungen – Google-Authentifizierung

Auf der Seite Google-Authentifizierung im Bereich Authentifizierung des Menüs Admin können Sie Google OAuth für Looker einrichten.

Features

Looker kann für Nutzer mit Konten, die bei Google Workspace registriert sind, eine Authentifizierung mit Google OAuth durchführen.

  • Organisationen, die Google Workspace verwenden, können Looker-Nutzer mit Google-Konten authentifizieren.
  • Benutzer melden sich bei Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen Nutzer nicht separat zu Looker einladen. Sie legen eine Standardrolle für neue Nutzer fest, die ihren Zugriff auf Funktionen und Daten einschränken kann.
  • Wenn diese Option aktiviert ist, authentifiziert Looker Nutzer nur mit Google OAuth, es sei denn, die Option „alternative Anmeldung“ ist ausgewählt. Weitere Informationen finden Sie im folgenden Abschnitt E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist.
  • In der Navigationsleiste wird anstelle des standardmäßigen Nutzersymbols der Google-Avatar eines Nutzers angezeigt.
  • Beim Aktivieren von Google OAuth kann die Looker-Instanz vorhandene Nutzerkonten mit der von Google registrierten Domain zusammenführen, jedoch nur für Konten, deren E-Mail-Adresse mit der Domain übereinstimmt. Alle anderen Konten, die keine Administratorkonten sind, können sich dann nicht mehr anmelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • Die Berechtigungen für neue Google-Nutzer erhalten standardmäßig den Basiszugriff für eine angegebene Liste von Modellen (optional kann der Zugriff auf null Modelle sein). Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Neue Looker-Konten, die sich mit Google OAuth authentifizieren, können nicht zur Passwortauthentifizierung wechseln, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorläufige Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

Authentifizierung mit Google OAuth aktivieren

Für die Aktivierung der Authentifizierung mit Google OAuth muss ein Administrator die in den folgenden Abschnitten beschriebenen Schritte sowohl auf Google-Seite als auch auf Looker-Seite ausführen.

Einrichtung über Google

Die Schritte zur Aktivierung von Google OAuth auf Google-Seite sind in diesem Abschnitt beschrieben. Eine allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0. Weitere Informationen finden Sie auch in der Hilfe zur Google Cloud Console.

  1. Öffnen Sie die Google Cloud Console.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Abwärtspfeil. Möglicherweise wird im Drop-down-Menü der Name eines vorhandenen Projekts angezeigt. Klicken Sie trotzdem auf den Abwärtspfeil, um zur Option zum Erstellen eines neuen Projekts zu gelangen.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    Google zeigt die Seite Neues Projekt an.

  4. Geben Sie die Informationen auf der Seite Neues Projekt ein und klicken Sie auf Erstellen.

    Wenn Google die Erstellung des neuen Projekts abgeschlossen hat, kehrt Google zur Google Cloud Console zurück und zeigt das neue Projekt an.

  5. Wählen Sie im Menü auf der linken Seite APIs und Dienste > Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.

    Google zeigt die Seite OAuth-Client-ID erstellen an.

  7. Sie müssen einen OAuth-Zustimmungsbildschirm konfigurieren, auf dem Ihre Nutzer auswählen können, wie sie Zugriff auf ihre privaten Daten gewähren möchten. Außerdem enthält er einen Link zu den Nutzungsbedingungen und der Datenschutzerklärung Ihrer Organisation. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie die OAuth-Zustimmung für ein vorheriges Projekt konfiguriert haben, wird diese Option nicht angezeigt und Sie können mit Schritt 13 fortfahren.

    Google zeigt die Seite OAuth-Zustimmungsbildschirm an.

  8. Geben Sie die Domain Ihrer Looker-Instanz in das Feld Autorisierte Domains ein. Wenn Looker Ihre Instanz beispielsweise unter https://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

  10. Klicken Sie auf der Seite Bereiche auf Speichern und fortfahren. Es ist keine zusätzliche Bereichskonfiguration erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Google kehrt zur Seite OAuth-Client-ID erstellen zurück.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie in das Feld Name einen Namen für Ihre OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL zu Ihrer Looker-Instanz ein, einschließlich https://. Beispiel:

    • Wenn Ihre Instanz von Looker gehostet wird: https://mycompany.looker.com
    • Wenn Sie eine vom Kunden gehostete Looker-Instanz haben: https://looker.mycompany.com
    • Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist: https://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL zu Ihrer Looker-Instanz gefolgt von /oauth2callback ein. Beispiel: https://mycompany.looker.com/oauth2callback oder https://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte der Client-ID und des Clientschlüssels, die Sie zum Konfigurieren von Looker benötigen.

Einrichtung auf der Looker-Seite

So aktivieren Sie Google OAuth auf Looker-Seite:

  1. Melden Sie sich in der Looker-Anwendung als Administrator an und klicken Sie auf das Drop-down-Menü Verwaltung, um das Menü Verwaltung zu öffnen.

  2. Klicken Sie unter der Gruppe Authentifizierung auf Google. In Looker wird die Seite Google-Authentifizierung angezeigt.

  3. Klicken Sie auf Aktiviert, um die Google OAuth-Einstellungen aufzurufen und zu bearbeiten. Die Google-Authentifizierung wird dadurch nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.

  4. Geben Sie Ihre Google-Authentifizierungseinstellungen ein.

    • Client-ID und Clientschlüssel: Kopieren Sie diese Werte von der Google-Seite OAuth-Client und fügen Sie sie wie in der Anleitung zur Einrichtung von Google beschrieben ein.
    • Domains: die von Google verwalteten Domainnamen Ihrer Organisation Jeder Google-Nutzer in der angegebenen Domain kann sich bei Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie diese durch Kommas getrennt eingeben.

  5. Geben Sie Migrationsoptionen ein, um das Verhalten der Looker-Instanz während der Umstellung auf Google OAuth zu steuern.

    • Alternative Anmeldung für Administratoren – Damit können sich Administratoren weiterhin mit der E-Mail-Adresse und dem Passwort anmelden. Diese Methode ist eine nützliche Alternative, wenn bei der Einrichtung von Google OAuth Probleme auftreten. Diese Einstellung wird empfohlen und wird unter E-Mail-Anmeldungen aktivieren, wenn Google Auth aktiviert ist näher beschrieben.
    • Per E-Mail zusammenführen: Alle vorhandenen Nutzer mit E-Mail-Adressen in den angegebenen Domains werden bei der nächsten Anmeldung in Google OAuth umgewandelt. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer: Hier geben Sie die Funktionen und den Modellzugriff an, die neue Nutzer ohne Administratorberechtigungen haben. Diese Liste kann später aktualisiert werden. Wenn Sie das Feld leer lassen, haben neue Google-authentifizierte Nutzer nur eingeschränkte Funktionen innerhalb der Looker-Plattform, bis ein Administrator ihrem Konto eine Rolle hinzufügt. Da sich alle Nutzer innerhalb Ihrer Google-Domain in Looker anmelden können, sollten Sie eine Standardrolle für neue Nutzer festlegen, die den Zugriff entsprechend beschränkt.

  6. Klicken Sie auf Google-Authentifizierung testen, um die aktuellen Einstellungen zu verwenden und den aktuellen Browser in einem neuen Fenster zu authentifizieren. Durch diese Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht bei Google angemeldet sind, werden Sie aufgefordert, sich anzumelden, und um Ihre Einwilligung zur Verwendung Ihrer Google-Kontoinformationen gebeten. Für diesen Ablauf werden die benutzerdefinierten Einstellungen für den Einwilligungsbildschirm verwendet, die Sie bei der Einrichtung durch Google verwendet haben.

    Bei Erfolg wird der Bereich Nutzerinformationen mit Ihrem Namen, Ihrer E-Mail-Adresse und Ihrer Domain angezeigt. Das Vorhandensein des Bereichs Nutzerinformationen zeigt, dass dieser Nutzer von Looker authentifiziert wird.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Zu den häufigsten Problemen gehören:

    • Falsche Client-ID oder falscher Clientschlüssel. Diese müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Der Nutzer befindet sich außerhalb der Domain. Wenn Sie zwar den Bereich Personeninformationen, aber keine Nutzerinformationen sehen, befindet sich der Nutzer wahrscheinlich nicht in der von Ihnen angegebenen Domain. Dies zeigt, dass sich die Person korrekt bei Google authentifiziert hat, aber kein Google-Konto verwendet, das Sie für Ihre Looker-Instanz zugelassen haben.
    • Eine Looker-URL oder Weiterleitungs-URL ist in Google nicht korrekt für Ihre Looker-Instanz eingerichtet.

  7. Klicken Sie zum Speichern und Anwenden von Änderungen auf das Kästchen Ich habe die Konfiguration oben bestätigt und möchte die globale Anwendung aktivieren. Klicken Sie auf Aktualisieren.

Tipps

  • Um den gesamten Authentifizierungszyklus zu testen, können Sie sich von Google abmelden. Sie werden dann von Google aufgefordert, sich erneut anzumelden, wenn Sie versuchen, sich bei Looker anzumelden.

  • In Google können Sie Ihr privates Konto verwalten, indem Sie im Drop-down-Menü neben Ihrer E-Mail-Adresse rechts oben auf einer Google Workspace-Seite auf Konto klicken.

    Auf dieser Verwaltungsseite finden Sie den Tab Sicherheit mit dem Abschnitt Kontoberechtigungen. Wenn Sie auf Apps und Websites Alle ansehen klicken, können Sie als Nutzer die Dienste und Apps sehen und verwalten, denen Sie Berechtigungen erteilt haben.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie für die Anmeldung erteilt haben, werden die Details angezeigt, die Benutzer auf dem zuvor angepassten Zustimmungsbildschirm sehen. Sie können auch auf Zugriff widerrufen klicken. Wenn Sie sich das nächste Mal in Looker anmelden oder die Autorisierung testen, wird ein weiterer Zustimmungsbildschirm angezeigt. Mit diesem Workflow können Sie Ihren Zustimmungsbildschirm anpassen und sehen, was die Nutzer sehen.

Fehlerbehebung

  • Wenn die Anmeldung eines Nutzers fehlschlägt, prüfen Sie zuerst, ob der Nutzer in seinem Google-Konto sowohl einen Vor- als auch einen Nachnamen hinterlegt hat. Wenn der Nutzer entweder seinen Vor- oder Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker den Nutzer möglicherweise nicht mit Google OAuth authentifizieren.

  • Wenn die Anmeldung eines Nutzers fehlschlägt und Looker einen Fehler wie User not in the authorized domain anzeigt, prüfen Sie das Feld hd der JSON-Antwort. Wenn das Feld hd eine Domain enthält, prüfen Sie, ob sie in Ihrem Google Workspace-Konto registriert ist. Wenn das Feld hd leer ist, laden Sie den Nutzer mit dem Übertragungstool für nicht verwaltete Nutzer ein, sein Konto in ein verwaltetes Konto in Ihrer Domain umzuwandeln.

  • Wenn bei der Anmeldung eines Nutzers ein Fehler auftritt, Looker keine Fehlermeldung anzeigt, hat der Nutzer möglicherweise den Namen seines Google Workspace-Kontos bearbeitet und entweder seinen Vor- oder Nachnamen gelöscht. In diesem Fall wird der Name des Google Workspace-Kontos in der Admin-Konsole möglicherweise noch vollständig angezeigt und die Änderungen des Nutzers werden möglicherweise nicht angezeigt. Google Workspace-Administratoren können die Option Nutzern erlauben, diese Einstellung anzupassen deaktivieren, um dieses Problem zu vermeiden.

E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist

Neue Google-Konten erhalten automatisch Zugriff auf Looker, sodass Sie keine Nutzer in Ihrer Google-Domain hinzufügen müssen.

So fügen Sie einen Nutzer mit einer E-Mail-Adresse hinzu, die nicht zu Ihrer Google-Domain gehört:

  1. Aktivieren Sie die Option Alternative Anmeldung für Administratoren und angegebene Nutzer auf der Google Auth-Seite
  2. Nutzerrolle erstellen oder vorhandene Nutzerrolle bearbeiten, um die Berechtigung login_special_email hinzuzufügen
  3. Gehen Sie im Nutzerbereich zu Nutzer hinzufügen (/admin/users/new).
  4. Fügen Sie die gewünschten E-Mail-Adressen und die Rollen hinzu, die diese Nutzer haben sollen. Dazu muss eine Rolle mit der Berechtigung login_special_email gehören.
  5. Diese Nutzer können sich jetzt über https://mycompany.looker.com/login/email (verborgene URL) anmelden.

Deaktivieren von Google Auth nach der Aktivierung

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, gibt es einige Dinge zu bedenken:

  • Nutzer, die erstellt wurden, bevor die Google-Authentifizierung hinzugefügt wurde und die bereits eine normale E-Mail-Adresse und ein normales Passwort eingerichtet haben, funktionieren weiterhin.
  • Nutzer, die erstellt wurden, nachdem Google Authentication hinzugefügt wurde, können sich nicht mehr anmelden. Ihre Konten sind zwar noch vorhanden, haben aber keine Möglichkeit, darauf zuzugreifen, und ihre Konten sind faktisch verwaist.

Daher empfehlen wir, diese Route zu vermeiden. Wenn Sie diesen Weg einschlagen müssen, gibt es möglicherweise eine Methode, um die verwaisten Konten mithilfe der Looker-API zu korrigieren. Wenden Sie sich an den Looker-Support, um weitere Unterstützung zu erhalten.