Paramètres d'administration - Authentification Google

La page Authentification Google de la section Authentification du menu Admin vous permet de configurer Google OAuth côté Looker.

Présentation des fonctionnalités

Looker peut procéder à l'authentification via Google OAuth pour les utilisateurs disposant de comptes enregistrés auprès de Google Workspace.

  • Les organisations utilisant Google Workspace peuvent authentifier les utilisateurs Looker qui possèdent un compte Google.
  • Les utilisateurs se connectent à Looker en s'authentifiant avec leur compte Google.
  • Les nouveaux comptes Google ont automatiquement accès à Looker. Vous n'avez pas besoin d'inviter séparément les utilisateurs à utiliser Looker. Vous définissez le rôle par défaut pour les nouveaux utilisateurs, ce qui peut limiter leur accès aux fonctionnalités et aux données.
  • Lorsque cette option est activée, Looker authentifie les utilisateurs uniquement avec Google OAuth, sauf les "identifiants de connexion secondaires" est sélectionnée (consultez la section Activer les connexions par e-mail lorsque l'authentification Google est activée).
  • L'avatar Google de l'utilisateur apparaît dans la barre de navigation à la place du symbole d'utilisateur standard.
  • Lorsque vous activez Google OAuth, l'instance Looker peut fusionner les comptes utilisateur existants avec le domaine enregistré par Google, mais uniquement pour les comptes dont l'adresse e-mail correspond au domaine. Aucun autre compte non administrateur ne pourra se connecter.
  • Tous les utilisateurs du domaine spécifié ont accès à l'instance Looker.
  • Les autorisations des nouveaux utilisateurs Google sont définies par défaut sur un accès de base pour une liste spécifiée de modèles (qui peut ne pas inclure de modèle). Un administrateur peut modifier les autorisations après la création du compte.
  • Les nouveaux comptes Looker qui s'authentifient à l'aide de Google OAuth ne peuvent pas passer à l'authentification par mot de passe, même si OAuth est désactivé pour l'instance Looker.

Exigences préliminaires

L'utilisation de Google OAuth nécessite les éléments suivants:

Activer l'authentification avec Google OAuth

L'activation de l'authentification avec Google OAuth nécessite qu'un administrateur effectue des étapes du côté de Google et du côté de Looker, comme décrit dans les sections suivantes.

Configuration côté Google

Cette section décrit la procédure à suivre pour activer Google OAuth du côté de Google. Vous trouverez une description générique de ces étapes sur la page d'assistance Google Configurer OAuth 2.0. Vous pouvez également consulter la documentation d'aide de la console Google Cloud.

  1. Accédez à Google Cloud Console.

  2. Cliquez sur la flèche vers le bas dans le menu déroulant Sélectionner un projet. Le nom d'un projet existant peut s'afficher dans la liste déroulante. cliquez sur la flèche vers le bas pour accéder à l'option permettant de créer un projet.

  3. Sur la page Sélectionner un projet, cliquez sur Nouveau projet.

    Google affiche la page Nouveau projet.

  4. Renseignez les informations sur la page New Project (Nouveau projet), puis cliquez sur Create (Créer).

    Une fois que Google a terminé de créer votre projet, il vous redirige vers la console Google Cloud et affiche votre projet.

  5. Dans le menu de gauche, sélectionnez API et services > Identifiants.

  6. Sur la page Identifiants, cliquez sur le bouton Créer des identifiants, puis sélectionnez ID client OAuth dans le menu déroulant.

    La page Créer un ID client OAuth s'affiche.

  7. Google exige que vous configuriez un écran de consentement OAuth, qui permet à vos utilisateurs de choisir comment accorder l'accès à leurs données privées et fournit un lien vers les conditions d'utilisation et les règles de confidentialité de votre organisation. Cliquez sur Configurer l'écran de consentement. (Si vous avez déjà configuré le consentement OAuth pour un projet précédent, cette option ne s'affiche pas et vous pouvez passer à l'étape 13.)

    Google affiche la page Écran de consentement OAuth.

  8. Saisissez le domaine de votre instance Looker dans le champ Domaines autorisés. Par exemple, si Looker héberge votre instance sur https://mycompany.looker.com, le domaine est looker.com. Pour les déploiements de Looker hébergés par un client, saisissez le domaine sur lequel vous hébergez Looker.

  9. Configurez votre écran de consentement OAuth, puis cliquez sur Enregistrer et continuer.

  10. Sur la page Champs d'application, cliquez sur Enregistrer et continuer. Aucune configuration supplémentaire du champ d'application n'est requise.

  11. Sur la page Résumé, cliquez sur Revenir au tableau de bord.

    Google vous renvoie à la page Créer un ID client OAuth.

  12. Sous Type d'application, sélectionnez Application Web.

  13. Dans le champ Nom, saisissez un nom pour votre ID client OAuth.

  14. Dans le champ Origines JavaScript autorisées, saisissez l'URL de votre instance Looker, y compris https://. Exemple :

    • Si Looker héberge votre instance: https://mycompany.looker.com
    • Si vous disposez d'une instance Looker hébergée par le client : https://looker.mycompany.com
    • Si votre instance Looker nécessite un numéro de port : https://looker.mycompany.com:9999

  15. Dans le champ URI de redirection autorisés, saisissez l'URL de votre instance Looker, suivie de /oauth2callback. Exemple : https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Cliquez sur Créer.

  17. Copiez votre ID client et votre code secret du client. Vous en aurez besoin pour configurer Looker.

Configuration côté Looker

Pour activer Google OAuth du côté de Looker, procédez comme suit :

  1. Dans l'application Looker, connectez-vous en tant qu'administrateur, puis cliquez sur le menu déroulant Administration pour ouvrir le menu Administration.

  2. Dans le groupe Authentification, cliquez sur Google. Looker affiche la page Authentification Google.

  3. Cliquez sur Activé pour afficher et modifier les paramètres OAuth Google. (L'authentification Google n'est pas activée immédiatement. Vous devez confirmer votre choix ultérieurement.)

  4. Saisissez les paramètres Google Auth.

    • ID client et code secret client : copiez et collez ces valeurs depuis la page Client OAuth de Google, comme indiqué dans les instructions de configuration Google précédentes.
    • Domaines : le ou les noms de domaine de votre organisation gérés par Google. Tous les utilisateurs Google du domaine donné peuvent se connecter à votre instance Looker. Si vous contrôlez plusieurs domaines Google, vous pouvez les saisir séparés par une virgule.

  5. Saisissez Migration Options (Options de migration) qui contrôlent le comportement de l'instance Looker pendant la transition vers Google OAuth.

    • Connexion alternative pour les administrateurs : permet aux administrateurs de continuer à se connecter avec leur adresse e-mail et leur mot de passe, ce qui est utile en cas de problème lors de la configuration de Google OAuth. Ce paramètre est recommandé et est décrit plus en détail dans la section Activer les connexions par e-mail lorsque l'authentification Google est activée.
    • Fusionner par adresse e-mail : convertit tous les utilisateurs existants dont les adresses e-mail figurent dans les domaines donnés en utilisateurs Google OAuth lors de leur prochaine connexion. Ce paramètre est recommandé.
    • Rôles pour les nouveaux utilisateurs : spécifie les fonctionnalités et l'accès aux modèles dont disposent les nouveaux utilisateurs non administrateurs. Vous pourrez modifier cette liste ultérieurement. Si vous ne renseignez pas ce champ, les fonctionnalités des nouveaux utilisateurs authentifiés par Google seront limitées dans la plate-forme Looker jusqu'à ce qu'un administrateur ajoute un rôle à leur compte. Étant donné que tous les utilisateurs de votre domaine Google pourront se connecter à Looker, envisagez de spécifier un rôle par défaut pour les nouveaux utilisateurs, qui limite l'accès de manière appropriée.

  6. Cliquez sur Tester l'authentification Google pour utiliser les paramètres actuels et tenter d'authentifier le navigateur actuel dans une nouvelle fenêtre. Cette action n'enregistre pas les paramètres actuels ni ne les applique à l'instance Looker.

    Si vous n'êtes pas connecté à Google, vous êtes invité à le faire et vous êtes invité à autoriser l'utilisation des informations de votre compte Google. Cette procédure utilise les paramètres personnalisés de l'écran de consentement que vous avez définis dans la configuration côté Google.

    En cas de réussite, une section Informations utilisateur s'affiche avec votre nom, votre adresse e-mail et votre domaine. La présence de la section Informations sur l'utilisateur indique que cet utilisateur serait authentifié par Looker.

    En cas d'échec, des descriptions d'erreur s'affichent. Voici quelques problèmes courants :

    • ID client ou code secret mal recopiés. Vous devez les copier et les coller intégralement.
    • L'utilisateur n'appartient pas au domaine. Si vous voyez une section Person Info (Informations sur la personne), mais pas de section User Info (Informations sur l'utilisateur), cela signifie probablement que l'utilisateur ne fait pas partie du domaine que vous avez spécifié. Cela indique que la personne s'est correctement authentifiée auprès de Google, mais qu'elle n'utilise pas un compte Google que vous avez choisi d'autoriser à accéder à votre instance Looker.
    • Une URL Looker ou de redirection n'est pas configurée correctement dans Google pour votre instance Looker.

  7. Pour enregistrer et appliquer les modifications, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement. Cliquez sur Update (Mettre à jour).

Conseils

  • Pour tester le cycle d'authentification complet, vous pouvez vous déconnecter de Google. Vous verrez alors que Google vous invite à vous reconnecter lorsque vous essayez de vous connecter à Looker.

  • Dans Google, vous pouvez cliquer sur Compte dans le menu déroulant "Personnel" (à côté de votre adresse e-mail en haut à droite d'une page Google Workspace) pour gérer votre compte personnel.

    Sur cette page de gestion, vous trouverez un onglet Sécurité avec une section Autorisations du compte. Cliquez sur Applications et sites Web Tout afficher pour afficher et gérer les services et les applications pour lesquels vous avez accordé des autorisations.

    En cliquant sur les autorisations Looker que vous avez accordées pour vous connecter, vous affichez les détails que les utilisateurs voient sur l'écran de consentement que vous avez personnalisé précédemment. Vous pouvez également cliquer sur Révoquer l'accès. Ainsi, la prochaine fois que vous vous connecterez à Looker (ou que vous testerez l'autorisation), vous serez à nouveau invité à donner votre autorisation. Vous pouvez utiliser ce workflow pour personnaliser votre écran de consentement et voir ce que verront les utilisateurs.

Dépannage

  • Si la tentative de connexion d'un utilisateur échoue, vérifiez d'abord qu'il a bien indiqué un prénom et un nom dans son compte Google. Si l'utilisateur a supprimé son prénom ou son nom de son compte Google, Looker risque de ne pas pouvoir l'authentifier avec Google OAuth.

  • Si la tentative de connexion d'un utilisateur échoue et que Looker affiche une erreur de type User not in the authorized domain, vérifiez le champ hd de la réponse JSON. Si le champ hd contient un domaine, assurez-vous que celui-ci est enregistré dans votre compte Google Workspace. Si le champ hd est vide, utilisez l'outil de transfert pour les utilisateurs non gérés pour inviter l'utilisateur à convertir son compte en compte géré dans votre domaine.

  • Si la tentative de connexion d'un utilisateur échoue, mais que Looker n'affiche pas de message d'erreur, il est possible que l'utilisateur ait modifié le nom de son compte Google Workspace et supprimé son prénom ou son nom de famille. Dans ce cas, le nom du compte Google Workspace peut toujours sembler complet dans la console d'administration, et les modifications de l'utilisateur ne sont pas toujours visibles. Pour éviter ce problème, les administrateurs Google Workspace peuvent désactiver l'option Autoriser les utilisateurs à personnaliser ce paramètre.

Activer les connexions par e-mail lorsque Google Auth est activé

Les nouveaux comptes Google ont automatiquement accès à Looker. Il n'est donc pas nécessaire d'ajouter les utilisateurs de votre domaine Google.

Pour ajouter un utilisateur avec une adresse e-mail qui ne figure pas dans votre domaine Google :

  1. Activez l'option Connexion alternative pour les administrateurs et les utilisateurs spécifiés sur la page d'authentification Google.
  2. Créer ou modifier un rôle utilisateur existant pour ajouter l'autorisation login_special_email
  3. Accédez à Ajouter des utilisateurs dans le panneau des utilisateurs (/admin/users/new).
  4. Ajoutez les adresses e-mail que vous souhaitez inclure et les rôles que ces utilisateurs doivent avoir, qui doivent inclure un rôle avec l'autorisation login_special_email.
  5. Ces utilisateurs peuvent désormais se connecter à l'aide de https://mycompany.looker.com/login/email (URL masquée)

Désactiver Google Auth une fois qu'il a été activé

Si vous souhaitez désactiver l'authentification Google pour votre instance Looker après l'avoir activée, tenez compte des points suivants:

  • Les comptes utilisateur créés avant l'ajout de l'authentification Google et ayant déjà défini une adresse e-mail et un mot de passe normaux continueront de fonctionner.
  • Les utilisateurs créés après l'ajout de l'authentification Google ne pourront plus se connecter. Bien que leurs comptes existent toujours, ils n'ont aucun moyen d'y accéder et sont donc effectivement orphelins.

C'est pourquoi nous vous suggérons d'éviter cet itinéraire. Si vous devez suivre cette voie, il existe peut-être une méthode pour réparer les comptes orphelins à l'aide de l'API Looker. Contactez l'assistance Looker pour obtenir des conseils supplémentaires.