Configurações de administrador: autenticação do Google

Na página Autenticação do Google na seção Autenticação do menu Administrador, é possível configurar o OAuth do Google no Looker.

Visão geral do recurso

O Looker pode fazer a autenticação com o Google OAuth para usuários que têm contas registradas no Google Workspace.

  • As organizações que usam o Google Workspace podem autenticar usuários do Looker que têm Contas do Google.
  • Os usuários fazem login no Looker por autenticação com a Conta do Google.
  • As novas Contas do Google recebem acesso automático ao Looker. Não é necessário convidar os usuários para o Looker separadamente. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
  • Quando ativado, o Looker autentica os usuários somente com o Google OAuth a menos que a opção "login alternativo" esteja selecionada. Consulte a seção a seguir sobre Como ativar logins por e-mail enquanto o Google Auth está ativado.
  • O avatar do Google de um usuário aparece na barra de navegação em vez do símbolo de usuário padrão.
  • Ao ativar o Google OAuth, a instância do Looker pode mesclar contas de usuário com o domínio registrado pelo Google, mas apenas para contas com endereço de e-mail que corresponda ao domínio. Todas as outras contas que não são de administrador vão perder a capacidade de fazer login.
  • Todos os usuários no domínio especificado têm acesso à instância do Looker.
  • As permissões para novos usuários do Google são padronizadas para acesso básico a uma lista especificada de modelos (que pode, opcionalmente, ser acesso a modelos zero). Os administradores podem atualizar as permissões após a criação da conta.
  • As novas contas do Looker que fazem a autenticação usando o OAuth do Google não podem mudar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

O uso do Google OAuth requer o seguinte:

Como ativar a autenticação com o OAuth do Google

Para ativar a autenticação com o Google OAuth, um administrador precisa executar etapas no Google e no Looker, conforme descrito nas seções a seguir.

Configuração no lado do Google

As etapas para ativar o Google OAuth no Google estão descritas nesta seção. A descrição genérica dessas etapas está na página de suporte do Google sobre como configurar o OAuth 2.0. Confira também a documentação na Ajuda do console do Google Cloud.

  1. Acesse o Console do Google Cloud.

  2. Clique na seta para baixo no menu suspenso Selecionar um projeto. Talvez você veja o nome de um projeto no menu suspenso. Clique na seta para baixo de qualquer forma para acessar a opção de criar um novo projeto.

  3. Na página Selecionar um projeto, clique em Novo projeto.

    O Google mostra a página Novo projeto.

  4. Preencha as informações na página Novo projeto e clique em Criar.

    Quando o Google terminar de criar o novo projeto, o Google retornará ao console do Google Cloud e mostrará o novo projeto.

  5. No menu à esquerda, selecione APIs e Serviços > Credenciais.

  6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente do OAuth no menu suspenso.

    O Google mostra a página Criar ID do cliente OAuth.

  7. O Google exige que você configure uma tela de consentimento OAuth, que permite que os usuários escolham como conceder acesso aos dados particulares deles e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de consentimento. Se você tiver configurado o consentimento do OAuth para um projeto anterior, não verá essa opção e poderá pular para a etapa 13.

    O Google exibirá a página Tela de consentimento OAuth.

  8. Insira o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

  9. Configure a tela de consentimento OAuth e clique em Salvar e continuar.

  10. Na página Escopos, clique em Salvar e continuar. Nenhuma outra configuração de escopo é necessária.

  11. Na página Resumo, clique em Voltar para o painel.

    O Google vai retornar à página Criar ID do cliente OAuth.

  12. Em Tipo de aplicativo, selecione Aplicativo da Web.

  13. No campo Nome, digite um nome para o ID do cliente OAuth.

  14. No campo Origens JavaScript autorizadas, insira o URL da sua instância do Looker, incluindo o https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

  15. No campo URIs de redirecionamento autorizados, insira o URL da sua instância do Looker, seguido por /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Clique em Criar.

  17. Copie o ID do cliente e a chave secreta do cliente. Você vai precisar deles para configurar o Looker.

Configuração no Looker

Para ativar o Google OAuth no Looker, siga estas etapas.

  1. No aplicativo Looker, após fazer login como administrador, clique no menu suspenso Administrador para abrir o menu Administrador.

  2. No grupo Authentication, clique em Google. O Looker mostra a página Autenticação do Google.

  3. Clique em Ativado para mostrar e editar as configurações do Google OAuth. Isso não ativa a autenticação do Google imediatamente. Você precisa confirmar sua escolha mais tarde.

  4. Insira as Configurações do Google Auth.

    • ID e chave secreta do cliente: copie e cole esses valores na página Cliente OAuth do Google, conforme discutido nas instruções de configuração anteriores do Google.
    • Domínios: os nomes de domínio da sua organização gerenciados pelo Google. Qualquer usuário do Google no domínio pode fazer login na sua instância do Looker. Se você controlar vários domínios do Google, insira-os separados por vírgulas.

  5. Digite Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o OAuth do Google.

    • Login alternativo para administradores: permite que os administradores continuem fazendo login com e-mail e senha, o que é útil em caso de problemas na configuração do Google OAuth. Essa configuração é recomendada e é descrita em Como ativar logins por e-mail enquanto a Autenticação do Google está ativada.
    • Mesclar por e-mail: converte os usuários com endereços de e-mail nos domínios para usar o OAuth do Google no próximo login. Essa configuração é recomendada.
    • Papéis para novos usuários: especifica a funcionalidade e o acesso ao modelo que os novos usuários não administradores têm. Essa lista pode ser atualizada mais tarde. Se você não preencher esse campo, os novos usuários autenticados pelo Google terão funcionalidades limitadas na plataforma do Looker até que um administrador adicione uma função à conta. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, considere especificar uma função padrão para novos usuários que limite o acesso de forma adequada.

  6. Clique em Testar autenticação do Google para usar as configurações atuais e tentar autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

    Se você não estiver conectado ao Google, será solicitado que você faça login e dê seu consentimento para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da tela de consentimento usadas na configuração do Google.

    Se for bem-sucedido, uma seção Informações do usuário vai aparecer com seu nome, e-mail e domínio. A presença desta seção Informações do usuário mostra que esse usuário foi autenticado pelo Looker.

    Em caso de falha, as descrições de erro aparecem. Alguns problemas comuns incluem:

    • O ID ou a chave secreta do cliente foram copiados incorretamente. Eles devem ser copiados com cuidado e colados por completo.
    • O usuário está fora do domínio. Se houver uma seção Informações da pessoa, mas não Informações do usuário, é provável que o usuário não esteja no domínio especificado. Isso mostra que a pessoa se autenticou corretamente no Google, mas não está usando uma Conta do Google que você permitiu na sua instância do Looker.
    • Um URL do Looker ou um URL de redirecionamento não está configurado corretamente no Google para sua instância do Looker.

  7. Para salvar e aplicar as mudanças, marque Confirmei a configuração acima e quero ativar a aplicação global. Clique em Atualizar.

Dicas

  • Para testar o ciclo de autenticação completo, saia do Google e observe que o Google pede para você fazer login novamente quando você tentar fazer login no Looker.

  • No Google, clique em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

    Nessa página de gerenciamento, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Apps e sites Ver tudo, você (como usuário) pode ver e gerenciar os serviços e apps a que concedeu permissões.

    Ao clicar nas permissões do Looker que você concedeu para fazer login, os usuários veem os detalhes na tela de consentimento que você personalizou anteriormente. Também é possível clicar em Revogar acesso para receber uma nova solicitação na próxima vez que você fizer login no Looker (ou autorização de teste). O fluxo de trabalho pode ser usado para ajudar você a personalizar sua tela de consentimento e saber o que será exibido aos usuários.

Solução de problemas

  • Se a tentativa de login de um usuário falhar, primeiro verifique se o usuário tem o nome e o sobrenome na Conta do Google. Se o usuário tiver excluído o nome ou sobrenome da Conta do Google, o Looker talvez não consiga autenticar o usuário com o OAuth do Google.

  • Se a tentativa de login de um usuário falhar e o Looker exibir um erro, como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd tiver um domínio, verifique se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta dele em uma gerenciada no seu domínio.

  • Se a tentativa de login de um usuário falhar, mas o Looker não mostrar uma mensagem de erro, talvez o usuário tenha editado o nome da conta do Google Workspace e excluído o nome ou sobrenome. Nesse caso, o nome da conta do Google Workspace ainda pode parecer completo no Admin Console e talvez não mostre as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem esta configuração.

Como ativar logins por e-mail com o Google Auth ativado

As novas Contas do Google recebem acesso automático ao Looker, então não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário com um endereço de e-mail que não esteja no domínio do Google:

  1. Ative a opção Login alternativo para administradores e usuários especificados na página de autenticação do Google.
  2. Criar ou modificar uma função de usuário para adicionar a permissão login_special_email
  3. Acesse Adicionar usuários no painel de usuários (/admin/users/new)
  4. Adicione os endereços de e-mail que você quer incluir e as funções que esses usuários devem ter, que precisam incluir uma função com a permissão login_special_email.
  5. Agora esses usuários podem fazer login usando https://mycompany.looker.com/login/email (URL oculto)

Desativar o Google Auth depois que ele for ativado

Se você quiser desativar a autenticação do Google na sua instância do Looker depois da ativação, considere o seguinte:

  • Os usuários que foram criados antes da adição do Google Authentication e já configuraram um login e uma senha normais de e-mail ainda vão funcionar.
  • Os usuários criados após a adição da autenticação do Google não poderão mais fazer login. Embora as contas ainda existam, não há como acessá-las, e elas são consideradas "órfãs".

Por isso, sugerimos evitar essa rota. Se você precisar seguir esse caminho, talvez seja possível corrigir as contas isoladas usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.