Administratoreinstellungen – Google-Authentifizierung

Auf der Seite Google-Authentifizierung im Bereich Authentifizierung des Menüs Administrator können Sie Google OAuth in Looker einrichten.

Funktionsübersicht

Looker kann die Authentifizierung mit Google OAuth für Nutzer mit Konten durchführen, die bei Google Google Workspace registriert sind.

  • Organisationen, die Google Workspace verwenden, können Looker-Nutzer mit Google-Konten authentifizieren.
  • Nutzer melden sich in Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Nutzer müssen nicht separat zu Looker eingeladen werden. Sie legen die Standardrolle für neue Nutzer fest, wodurch ihr Zugriff auf Funktionen und Daten eingeschränkt werden kann.
  • Wenn die Google-Authentifizierung aktiviert ist, authentifiziert Looker Nutzer nur mit Google OAuth, es sei denn, die Option „Alternative Anmeldung“ ist ausgewählt (siehe den folgenden Abschnitt E‑Mail-Anmeldungen aktivieren, wenn die Google-Authentifizierung aktiviert ist).
  • Der Google-Avatar eines Nutzers wird in der Navigationsleiste anstelle des Standardsymbols für Nutzer angezeigt.
  • Wenn Sie Google OAuth aktivieren, kann die Looker-Instanz vorhandene Nutzerkonten mit der bei Google registrierten Domain zusammenführen. Das ist jedoch nur für Konten möglich, deren E-Mail-Adresse mit der Domain übereinstimmt. Alle anderen Konten, die keine Administratorkonten sind, verlieren die Möglichkeit, sich anzumelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • Berechtigungen für neue Google-Nutzer sind standardmäßig auf den Basiszugriff für eine bestimmte Liste von Modellen festgelegt (optional kann der Zugriff auf null Modelle erfolgen). Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Bei neuen Looker-Konten, die sich über Google OAuth authentifizieren, kann nicht zur Passwortauthentifizierung gewechselt werden, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorläufige Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

  • Ein Google Workspace-Konto für die Organisation.
  • Eine Domain, die von der Organisation kontrolliert und im Google Workspace-Konto registriert ist.
  • Nutzer mit E‑Mail-Adressen in der Domain, die mit dem Google-Konto verknüpft ist.
  • Jeder Nutzer muss ein verwaltetes Nutzerkonto in Google Workspace haben. Mit dem Übertragungstool für nicht verwaltete Nutzer können Sie Nutzer mit nicht verwalteten Nutzerkonten finden und migrieren.

Authentifizierung mit Google OAuth aktivieren

Wenn Sie die Authentifizierung mit Google OAuth aktivieren möchten, muss ein Administrator sowohl auf Google- als auch auf Looker-Seite Schritte ausführen, wie in den folgenden Abschnitten beschrieben.

Einrichtung auf Google-Seite

Die Schritte zum Aktivieren von Google OAuth auf der Google-Seite werden in diesem Abschnitt beschrieben. Eine allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0. Weitere Informationen finden Sie in der Google Cloud Console-Hilfe.

  1. Rufen Sie die Google Cloud Console auf.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Abwärtspfeil. Möglicherweise sehen Sie im Drop-down-Menü den Namen eines vorhandenen Projekts. Klicken Sie trotzdem auf den Abwärtspfeil. Sie werden dann zur Option zum Erstellen eines neuen Projekts weitergeleitet.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    Google zeigt die Seite Neues Projekt an.

  4. Machen Sie auf der Seite Neues Projekt alle erforderlichen Angaben und klicken Sie auf Erstellen.

    Wenn Google Ihr neues Projekt erstellt hat, werden Sie zur Google Cloud Console zurückgeleitet und Ihr neues Projekt wird angezeigt.

  5. Wählen Sie im Menü auf der linken Seite APIs & Dienste > Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü OAuth-Client-ID aus.

    Google zeigt die Seite OAuth-Client-ID erstellen an.

  7. Google erfordert die Konfiguration eines OAuth-Zustimmungsbildschirms, bevor Sie Ihre OAuth-Anmeldedaten generieren können. Dort können Benutzer festlegen, wie sie Zugriff auf ihre privaten Daten erteilen, und sie erhalten einen Link zu den Nutzungsbedingungen und der Datenschutzerklärung Ihrer Organisation. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie bereits einen OAuth-Zustimmungsbildschirm für ein früheres Projekt konfiguriert haben, wird diese Option nicht angezeigt. In diesem Fall können Sie mit Schritt 13 fortfahren.

    Google zeigt die Seite OAuth-Zustimmungsbildschirm an.

  8. Geben Sie die Domain Ihrer Looker-Instanz in das Feld Autorisierte Domains ein. Wenn Looker Ihre Instanz beispielsweise unter https://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

  10. Klicken Sie auf der Seite Bereiche auf Speichern und fortfahren. Es ist keine zusätzliche Bereichskonfiguration erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Sie werden von Google zur Seite OAuth-Client-ID erstellen zurückgeleitet.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie im Feld Name einen Namen für Ihre OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL Ihrer Looker-Instanz ein, einschließlich des https://. Beispiel:

    • Wenn Looker Ihre Instanz hostet: https://mycompany.looker.com
    • Wenn die Looker-Instanz vom Kunden gehostet wird: https://looker.mycompany.com
    • Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist: https://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL Ihrer Looker-Instanz ein, gefolgt von /oauth2callback. Beispiel: https://mycompany.looker.com/oauth2callback oder https://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte für Client-ID und Clientschlüssel. Sie benötigen sie zum Konfigurieren von Looker.

Einrichtung in Looker

So aktivieren Sie Google OAuth in Looker:

  1. Klicken Sie in der Looker-Anwendung, während Sie als Administrator angemeldet sind, auf das Drop-down-Menü Admin, um das Menü Admin zu öffnen.

  2. Klicken Sie unter der Gruppe Authentifizierung auf Google. In Looker wird die Seite Google-Authentifizierung angezeigt.

  3. Klicken Sie auf Aktiviert, um die Google OAuth-Einstellungen aufzurufen und zu bearbeiten. (Dadurch wird die Google-Authentifizierung nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.)

  4. Geben Sie Ihre Google Auth-Einstellungen ein.

    • Client-ID und Clientschlüssel: Kopieren Sie diese Werte von der Google-Seite OAuth-Client und fügen Sie sie ein, wie in der vorherigen Google-Einrichtungsanleitung beschrieben.
    • Domains: Die von Google verwalteten Domainnamen Ihrer Organisation. Jeder Google-Nutzer in der angegebenen Domain kann sich in Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie sie durch Kommas getrennt eingeben.

  5. Geben Sie Migrationsoptionen ein, mit denen das Verhalten der Looker-Instanz während der Umstellung auf Google-OAuth gesteuert wird.

    • Alternative Anmeldung für Administratoren: Administratoren können sich weiterhin mit E-Mail-Adresse und Passwort anmelden. Das ist nützlich, falls Probleme bei der Einrichtung von Google OAuth auftreten. Diese Einstellung wird empfohlen und ist unter E‑Mail-Anmeldungen aktivieren, wenn die Google-Authentifizierung aktiviert ist beschrieben.
    • Per E-Mail zusammenführen: Alle vorhandenen Nutzer mit E-Mail-Adressen in den angegebenen Domains werden bei der nächsten Anmeldung auf Google OAuth umgestellt. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer: Hier wird die Funktionalität und der Modellzugriff angegeben, die neue Nutzer ohne Administratorrechte haben. Diese Liste kann später aktualisiert werden. Wenn das Feld leer gelassen wird, haben neue Google-authentifizierte Nutzer in der Looker-Plattform nur eingeschränkte Funktionen, bis ein Administrator ihrem Konto eine Rolle zuweist. Da sich alle Nutzer in Ihrer Google-Domain in Looker anmelden können, sollten Sie eine Standardrolle für neue Nutzer festlegen, die den Zugriff entsprechend einschränkt.

  6. Klicken Sie auf Google-Authentifizierung testen, um die aktuellen Einstellungen zu verwenden und zu versuchen, den aktuellen Browser in einem neuen Fenster zu authentifizieren. Bei dieser Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht in Google angemeldet sind, werden Sie aufgefordert, sich anzumelden und der Verwendung Ihrer Google-Kontoinformationen zuzustimmen. Bei diesem Ablauf werden die benutzerdefinierten Einwilligungsbildschirm-Einstellungen verwendet, die Sie bei der Einrichtung auf Google-Seite angegeben haben.

    Bei Erfolg wird der Bereich Nutzerinformationen mit Ihrem Namen, Ihrer E-Mail-Adresse und Ihrer Domain angezeigt. Wenn der Bereich User Info vorhanden ist, bedeutet das, dass dieser Nutzer erfolgreich von Looker authentifiziert wurde.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Zu den häufigsten Problemen zählen folgende:

    • Die Client-ID oder das Client-Secret wurde falsch kopiert. Sie müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Der Nutzer befindet sich außerhalb der Domain. Wenn Sie den Abschnitt Personeninformationen, aber nicht Nutzerinformationen sehen, liegt das wahrscheinlich daran, dass der Nutzer nicht in der von Ihnen angegebenen Domain ist. Das bedeutet, dass sich die Person korrekt bei Google authentifiziert hat, aber kein Google-Konto verwendet, das Sie für den Zugriff auf Ihre Looker-Instanz zugelassen haben.
    • Eine Looker-URL oder Weiterleitungs-URL ist in Google für Ihre Looker-Instanz nicht richtig eingerichtet.

  7. Wenn Sie die Änderungen speichern und anwenden möchten, setzen Sie ein Häkchen bei Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden. Klicken Sie auf Aktualisieren.

Tipps

  • Wenn Sie den gesamten Authentifizierungszyklus testen möchten, können Sie sich von Google abmelden. Wenn Sie sich dann in Looker anmelden möchten, werden Sie von Google aufgefordert, sich noch einmal anzumelden.

  • In Google können Sie in der persönlichen Drop-down-Liste (neben Ihrer E‑Mail-Adresse oben rechts auf einer Google Workspace-Seite) auf Konto klicken, um Ihr privates Konto zu verwalten.

    Auf dieser Verwaltungsseite gibt es den Tab Sicherheit mit dem Abschnitt Kontoberechtigungen. Wenn Sie als Nutzer auf Apps und Websites Alle ansehen klicken, können Sie die Dienste und Apps, denen Sie Berechtigungen erteilt haben, ansehen und verwalten.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie für die Anmeldung gewährt haben, werden die Details angezeigt, die Nutzer auf dem Zustimmungsbildschirm sehen, den Sie zuvor angepasst haben. Sie können auch auf Zugriff widerrufen klicken. Wenn Sie sich das nächste Mal in Looker anmelden oder die Autorisierung testen, wird der Einwilligungsbildschirm dann noch einmal angezeigt. Mit diesem Workflow können Sie den Zustimmungsbildschirm anpassen und sehen, was Nutzer sehen.

Fehlerbehebung

  • Wenn die Anmeldung eines Nutzers fehlschlägt, prüfen Sie zuerst, ob der Nutzer in seinem Google-Konto sowohl einen Vor- als auch einen Nachnamen angegeben hat. Wenn der Nutzer seinen Vor- oder Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker ihn möglicherweise nicht mit Google OAuth authentifizieren.

  • Wenn ein Anmeldeversuch eines Nutzers fehlschlägt und Looker eine Fehlermeldung wie User not in the authorized domain anzeigt, prüfen Sie das Feld hd der JSON-Antwort. Wenn das Feld hd eine Domain enthält, muss diese in Ihrem Google Workspace-Konto registriert sein. Wenn das Feld hd leer ist, verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um den Nutzer einzuladen, sein Konto in ein verwaltetes Konto in Ihrer Domain umzuwandeln.

  • Wenn ein Nutzer sich nicht anmelden kann, in Looker aber keine Fehlermeldung angezeigt wird, hat er möglicherweise seinen Google Workspace-Kontonamen bearbeitet und entweder seinen Vor- oder Nachnamen gelöscht. In diesem Fall wird der Name des Google Workspace-Kontos in der Admin-Konsole möglicherweise weiterhin vollständig angezeigt, da die Änderungen des Nutzers dort nicht zu sehen sind. Um dieses Problem zu vermeiden, können Google Workspace-Administratoren die Option Erlauben Sie den Nutzern, diese Einstellung individuell anzupassen deaktivieren.

E‑Mail-Anmeldungen aktivieren, wenn die Google-Authentifizierung aktiviert ist

Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen also keine Nutzer hinzufügen, die sich in Ihrer Google-Domain befinden.

So fügen Sie einen Nutzer mit einer E-Mail-Adresse hinzu, die nicht zu Ihrer Google-Domain gehört:

  1. Aktivieren Sie auf der Seite „Google Auth“ die Option Alternative Anmeldung für Administratoren und bestimmte Nutzer.
  2. Nutzerrolle erstellen oder ändern, um die Berechtigung login_special_email hinzuzufügen
  3. Rufen Sie im Bereich „Nutzer“ die Option Nutzer hinzufügen auf (/admin/users/new).
  4. Fügen Sie die E‑Mail-Adressen hinzu, die Sie einbeziehen möchten, und die Rollen, die diese Nutzer haben sollen. Dazu muss eine Rolle mit der Berechtigung login_special_email gehören.
  5. Diese Nutzer können sich jetzt über https://mycompany.looker.com/login/email (verborgene URL) anmelden.

Google Auth deaktivieren, nachdem es aktiviert wurde

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, sollten Sie Folgendes beachten:

  • Nutzer, die vor der Einführung von Google Authentication erstellt wurden und bereits eine normale E‑Mail-Adresse und ein Passwort eingerichtet haben, können sich weiterhin anmelden.
  • Nutzer, die nach dem Hinzufügen der Google-Authentifizierung erstellt wurden, können sich nicht mehr anmelden. Die Konten sind zwar noch vorhanden, aber die Nutzer haben keinen Zugriff mehr darauf.

Daher empfehlen wir, diese Route zu vermeiden. Wenn Sie diesen Weg gehen müssen, gibt es möglicherweise eine Methode, um die verwaisten Konten mithilfe der Looker API zu korrigieren. Wenden Sie sich an den Looker-Support, um weitere Unterstützung zu erhalten.