Configurações de administrador: autenticação do Google

A página Google Authentication na seção Authentication do menu Admin permite configurar o Google OAuth no Looker.

Visão geral do recurso

O Looker pode realizar a autenticação usando o Google OAuth para usuários que têm contas registradas no Google Workspace.

• As organizações que usam o Google Workspace podem autenticar usuários do Looker que têm Contas do Google.
• Os usuários fazem login no Looker por autenticação com a Conta do Google.
• As novas Contas do Google recebem acesso automático ao Looker. Não é necessário convidar os usuários para o Looker separadamente. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
• Quando ativado, o Looker autentica os usuários somente com o Google OAuth a menos que a opção "login alternativo" esteja selecionada. Consulte a seção a seguir sobre Como ativar logins por e-mail enquanto o Google Auth está ativado.
• O avatar do Google de um usuário aparece na barra de navegação em vez do símbolo de usuário padrão.

• Ao ativar o OAuth do Google, a instância do Looker pode mesclar contas de usuários existentes com o domínio registrado no Google, mas apenas para contas cujo endereço de e-mail corresponde ao domínio. Todas as outras contas que não são de administrador vão perder a capacidade de fazer login.
• Todos os usuários no domínio especificado têm acesso à instância do Looker.
• As permissões para novos usuários do Google são definidas como acesso básico a uma lista específica de modelos, que pode ser opcionalmente acesso a nenhum modelo. As permissões podem ser atualizadas por um administrador após a criação da conta.
• As novas contas do Looker que fazem a autenticação usando o OAuth do Google não podem mudar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

O uso do Google OAuth requer o seguinte:

• Uma conta do Google Workspace para a organização.
• Um domínio controlado pela organização e registrado na conta do Google Workspace.
• Usuários com endereços de e-mail no domínio associado à Conta do Google.
• Cada usuário precisa ter uma conta de usuário gerenciada no Google Workspace. Para encontrar e migrar usuários com contas não gerenciadas, use a Ferramenta de transferência de usuários não gerenciados.

Como ativar a autenticação com o Google OAuth

Para ativar a autenticação com o Google OAuth, um administrador precisa realizar etapas no Google e no Looker, conforme descrito nas seções a seguir.

Configuração no Google

As etapas para ativar o OAuth do Google no Google estão descritas nesta seção. A descrição genérica dessas etapas está na página de suporte do Google sobre como configurar o OAuth 2.0. Consulte também a documentação de ajuda do console do Google Cloud .

1. Acesse o console do Google Cloud .

2. Clique na seta para baixo no menu suspenso Selecionar um projeto. Talvez você veja o nome de um projeto no menu suspenso. Clique na seta para baixo de qualquer forma para acessar a opção de criar um novo projeto.

3. Na página Selecionar um projeto, clique em Novo projeto.

   O Google mostra a página Novo projeto.

4. Preencha as informações na página Novo projeto e clique em Criar.

   Quando o Google terminar de criar seu novo projeto, você vai voltar ao console do Google Cloud e o novo projeto vai aparecer.

5. No menu à esquerda, selecione APIs e serviços > Credenciais.

6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente do OAuth no menu suspenso.

   O Google mostra a página Criar ID do cliente OAuth.

7. O Google exige que você configure uma tela de consentimento OAuth, que permite que os usuários escolham como conceder acesso aos dados particulares deles e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de consentimento. Se você tiver configurado o consentimento do OAuth para um projeto anterior, essa opção não vai aparecer, e você poderá pular para a etapa 13.

   O Google mostra a página Tela de consentimento do OAuth.

8. Insira o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

9. Configure a tela de consentimento OAuth e clique em Salvar e continuar.

10. Na página Escopos, clique em Salvar e continuar. Nenhuma outra configuração de escopo é necessária.

11. Na página Resumo, clique em Voltar ao painel.

    O Google vai retornar à página Criar ID do cliente OAuth.

12. Em Tipo de aplicativo, selecione Aplicativo da Web.

13. No campo Nome, insira um nome para o ID do cliente OAuth.

14. No campo Origens JavaScript autorizadas, insira o URL da sua instância do Looker, incluindo o https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

15. No campo URIs de redirecionamento autorizados, insira o URL da sua instância do Looker, seguido por /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

16. Clique em Criar.

17. Copie os valores de ID do cliente e chave secreta do cliente. Você vai precisar deles para configurar o Looker.

Configuração no Looker

Para ativar o OAuth do Google no Looker, siga estas etapas.

1. No aplicativo Looker, faça login como administrador e clique no menu suspenso Administrador para abrir o menu Administrador.

2. No grupo Autenticação, clique em Google. O Looker mostra a página Autenticação do Google.

3. Clique em Ativado para mostrar e editar as configurações do Google OAuth. Isso não ativa a autenticação do Google imediatamente. Você precisa confirmar sua escolha mais tarde.

4. Insira as Configurações de autenticação do Google.

   • ID e chave secreta do cliente: copie e cole esses valores na página Cliente OAuth do Google, conforme discutido nas instruções de configuração anteriores do Google.
   • Domínios: são os nomes de domínio gerenciados pelo Google da sua organização. Qualquer usuário do Google no domínio pode fazer login na sua instância do Looker. Se você controla vários domínios do Google, insira-os separados por vírgulas.

5. Entre nas Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o Google OAuth.

   • Login alternativo para administradores: permite que os administradores continuem fazendo login com e-mail e senha, o que é útil em caso de problemas na configuração do Google OAuth. Essa configuração é recomendada e é descrita em Como ativar logins por e-mail enquanto o Google Auth está ativado.
   • Mesclar por e-mail: converte os usuários com endereços de e-mail nos domínios especificados para usar o OAuth do Google no próximo login. Essa configuração é recomendada.
   • Funções para novos usuários: especifica a funcionalidade e o acesso ao modelo que os novos usuários não administradores têm. Essa lista pode ser atualizada mais tarde. Se você não preencher esse campo, os novos usuários autenticados pelo Google terão funcionalidades limitadas na plataforma do Looker até que um administrador adicione uma função à conta. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, considere especificar uma função padrão para novos usuários que limite o acesso de forma adequada.

6. Clique em Testar autenticação do Google para usar as configurações atuais e tentar autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

   Se você não estiver conectado ao Google, será solicitado que faça login e dê consentimento para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da tela de consentimento que você usou na configuração do lado do Google.

   Se for bem-sucedido, uma seção Informações do usuário vai aparecer com seu nome, e-mail e domínio. A presença desta seção Informações do usuário mostra que esse usuário seria autenticado pelo Looker.

   Em caso de falha, as descrições de erro vão aparecer. Alguns problemas comuns incluem:

   • O ID ou a chave secreta do cliente foram copiados incorretamente. Eles precisam ser copiados e colados com cuidado.
   • O usuário está fora do domínio. Se você encontrar uma seção Informações da pessoa, mas não Informações do usuário, provavelmente é porque o usuário não está no domínio especificado. Isso mostra que a pessoa se autenticou corretamente no Google, mas não está usando uma Conta do Google que você permitiu na sua instância do Looker.
   • Um URL do Looker ou de redirecionamento não está configurado corretamente no Google para sua instância do Looker.

7. Para salvar e aplicar as mudanças, marque a opção Confirmei a configuração acima e quero ativar a aplicação global. Clique em Atualizar.

Dicas

• Para testar o ciclo de autenticação completo, saia do Google e observe que o Google pede para você fazer login novamente quando você tentar fazer login no Looker.

• No Google, clique em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

  Nessa página de gerenciamento, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Apps e sites Ver tudo, você (como usuário) pode conferir e gerenciar os serviços e apps para os quais concedeu permissões.

  Clicar nas permissões do Looker que você concedeu para fazer login mostra os detalhes que os usuários veem na tela de consentimento que você personalizou anteriormente. Você também pode clicar em Revogar acesso para que, na próxima vez que fizer login no Looker (ou testar a autorização), a tela de consentimento seja mostrada novamente. Você pode usar esse fluxo de trabalho para personalizar a tela de consentimento e conferir o que os usuários vão ver.

Solução de problemas

• Se a tentativa de login de um usuário falhar, primeiro verifique se ele tem um nome e um sobrenome nas Contas do Google. Se o usuário tiver excluído o nome ou sobrenome da Conta do Google, o Looker talvez não consiga autenticar o usuário com o OAuth do Google.

• Se a tentativa de login de um usuário falhar e o Looker mostrar um erro como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd tiver um domínio, verifique se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta dele em uma gerenciada no seu domínio.

• Se a tentativa de login de um usuário falhar, mas o Looker não mostrar uma mensagem de erro, talvez ele tenha editado o nome da conta do Google Workspace e excluído o nome ou sobrenome. Nessa situação, o nome da conta do Google Workspace ainda pode aparecer completo no Admin Console, que pode não mostrar as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem essa configuração.

Ativar logins de e-mail enquanto o Google Auth está ativado

As novas Contas do Google recebem acesso automático ao Looker, então não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário com um endereço de e-mail que não está no seu domínio do Google:

1. Ative a opção Login alternativo para administradores e usuários especificados na página de autenticação do Google.
2. Criar ou modificar uma função do usuário para adicionar a permissão login_special_email
3. Acesse Adicionar usuários no painel de usuários (/admin/users/new).
4. Adicione os endereços de e-mail que você quer incluir e as funções que esses usuários devem ter, que precisam incluir uma função com a permissão login_special_email.
5. Agora esses usuários podem fazer login usando https://mycompany.looker.com/login/email (URL oculto).

Como desativar o Google Auth depois de ativá-lo

Se você quiser desativar a autenticação do Google para sua instância do Looker depois que ela já tiver sido ativada, considere o seguinte:

• Os usuários que foram criados antes da adição do Google Authentication e já configuraram um login e uma senha normais de e-mail ainda vão funcionar.
• Os usuários que foram criados após a adição da autenticação do Google não poderão mais fazer login. Embora as contas ainda existam, não há como acessá-las, e elas são consideradas "órfãs".

Por isso, sugerimos evitar essa rota. Se você precisar seguir esse caminho, talvez seja possível corrigir as contas isoladas usando a API Looker. Entre em contato com o suporte do Looker para receber mais orientações.