Administratoreinstellungen – Google-Authentifizierung

Auf der Seite Google-Authentifizierung im Abschnitt Authentifizierung des Menüs Verwaltung können Sie Google OAuth auf Looker-Seite einrichten.

Features

Looker kann die Authentifizierung mit Google OAuth für Nutzer mit bei Google Workspace registrierten Konten durchführen.

  • Organisationen, die Google Workspace verwenden, können Looker-Nutzer mit Google-Konten authentifizieren.
  • Nutzer melden sich in Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Nutzer müssen nicht separat zu Looker eingeladen werden. Sie legen die Standardrolle für neue Nutzer fest, wodurch ihr Zugriff auf Funktionen und Daten eingeschränkt werden kann.
  • Wenn diese Option aktiviert ist, werden Nutzer nur mit Google OAuth authentifiziert, es sei denn, die Option „Alternative Anmeldung“ ist ausgewählt (siehe Abschnitt E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist).
  • In der Navigationsleiste wird der Google-Avatar eines Nutzers anstelle des Standardnutzersymbols angezeigt.
  • Wenn Sie Google OAuth aktivieren, kann die Looker-Instanz vorhandene Nutzerkonten mit der bei Google registrierten Domain zusammenführen, aber nur für Konten, deren E-Mail-Adresse mit der Domain übereinstimmt. Alle anderen Konten, die keine Administratorkonten sind, können sich nicht mehr anmelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • Für neue Google-Nutzer ist standardmäßig der grundlegende Zugriff auf eine bestimmte Liste von Modellen festgelegt. Optional kann auch kein Zugriff auf Modelle gewährt werden. Die Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Bei neuen Looker-Konten, die mit Google OAuth authentifiziert werden, kann nicht zur Passwortauthentifizierung gewechselt werden, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorab-Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

Authentifizierung mit Google OAuth aktivieren

Um die Authentifizierung mit Google OAuth zu aktivieren, müssen Administratoren sowohl auf Google- als auch auf Looker-Seite Schritte ausführen, wie in den folgenden Abschnitten beschrieben.

Einrichtung auf Google-Seite

In diesem Abschnitt werden die Schritte zum Aktivieren von Google OAuth auf Google-Seite beschrieben. Eine allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite OAuth 2.0 einrichten. Weitere Informationen finden Sie auch in der Google Cloud Console-Hilfe.

  1. Rufen Sie die Google Cloud Console auf.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Drop-down-Pfeil. Möglicherweise wird im Drop-down-Menü der Name eines vorhandenen Projekts angezeigt. Klicken Sie trotzdem auf den Drop-down-Pfeil. Daraufhin wird die Option zum Erstellen eines neuen Projekts angezeigt.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    Google zeigt die Seite Neues Projekt an.

  4. Geben Sie auf der Seite Neues Projekt die erforderlichen Informationen ein und klicken Sie auf Erstellen.

    Sobald das neue Projekt erstellt wurde, werden Sie zur Google Cloud Console zurückgeleitet und das neue Projekt wird angezeigt.

  5. Wählen Sie im Menü auf der linken Seite APIs & Dienste > Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü OAuth-Client-ID aus.

    Google zeigt die Seite OAuth-Client-ID erstellen an.

  7. Google erfordert die Konfiguration eines OAuth-Zustimmungsbildschirms, über den Nutzer festlegen können, wie sie Zugriff auf ihre privaten Daten gewähren. Außerdem muss ein Link zu den Nutzungsbedingungen und zur Datenschutzerklärung Ihrer Organisation vorhanden sein. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie die OAuth-Einwilligung bereits für ein vorheriges Projekt konfiguriert haben, wird diese Option nicht angezeigt. In diesem Fall können Sie mit Schritt 13 fortfahren.

    Google zeigt die Seite OAuth-Zustimmungsbildschirm an.

  8. Geben Sie die Domain Ihrer Looker-Instanz in das Feld Autorisierte Domains ein. Wenn Looker Ihre Instanz beispielsweise unter https://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

  10. Klicken Sie auf der Seite Bereiche auf Speichern und fortfahren. Es ist keine zusätzliche Konfiguration des Geltungsbereichs erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Sie werden von Google zur Seite OAuth-Client-ID erstellen zurückgeleitet.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie im Feld Name einen Namen für Ihre OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL Ihrer Looker-Instanz ein, einschließlich der https://. Beispiel:

    • Wenn Looker Ihre Instanz hostet: https://mycompany.looker.com
    • Wenn die Looker-Instanz vom Kunden gehostet wird: https://looker.mycompany.com
    • Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist: https://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL Ihrer Looker-Instanz gefolgt von /oauth2callback ein. Beispiel: https://mycompany.looker.com/oauth2callback oder https://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte für die Client-ID und das Client-Secret. Sie benötigen sie, um Looker zu konfigurieren.

Einrichtung auf Looker-Seite

So aktivieren Sie Google OAuth auf Looker-Seite:

  1. Klicken Sie in der Looker-Anwendung, während Sie als Administrator angemeldet sind, auf das Drop-down-Menü Verwaltung, um das Menü Verwaltung zu öffnen.

  2. Klicken Sie unter der Gruppe Authentifizierung auf Google. In Looker wird die Seite Google-Authentifizierung angezeigt.

  3. Klicken Sie auf Aktiviert, um die Google OAuth-Einstellungen aufzurufen und zu bearbeiten. Dadurch wird die Google-Authentifizierung nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.

  4. Rufen Sie die Google Auth-Einstellungen auf.

    • Client-ID und Clientschlüssel: Kopieren Sie diese Werte von der Seite OAuth-Client von Google und fügen Sie sie ein, wie in der vorherigen Anleitung zur Google-Einrichtung beschrieben.
    • Domains: Die von Google verwalteten Domainnamen Ihrer Organisation. Jeder Google-Nutzer in der angegebenen Domain kann sich in Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie sie durch Kommas getrennt eingeben.

  5. Geben Sie die Migrationsoptionen ein, mit denen Sie das Verhalten der Looker-Instanz während der Umstellung auf Google OAuth steuern.

    • Alternative Anmeldung für Administratoren: Administratoren können sich weiterhin mit E-Mail-Adresse und Passwort anmelden. Dies ist ein nützlicher Ausweichmechanismus bei Problemen bei der Einrichtung von Google OAuth. Diese Einstellung wird empfohlen und wird unter E-Mail-Anmeldungen aktivieren, während die Google-Authentifizierung aktiviert ist weiter beschrieben.
    • Nach E-Mail-Adresse zusammenführen: Alle vorhandenen Nutzer mit E-Mail-Adressen in den angegebenen Domains werden bei der nächsten Anmeldung auf Google OAuth umgestellt. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer: Hier werden die Funktionen und der Modellzugriff für neue Nutzer festgelegt, die keine Administratoren sind. Diese Liste kann später aktualisiert werden. Wenn Sie dieses Feld leer lassen, haben neue Nutzer, die über Google authentifiziert sind, nur eingeschränkte Funktionen auf der Looker-Plattform, bis ein Administrator ihrem Konto eine Rolle zuweist. Da sich alle Nutzer in Ihrer Google-Domain in Looker anmelden können, sollten Sie eine Standardrolle für neue Nutzer angeben, die den Zugriff entsprechend einschränkt.

  6. Klicken Sie auf Google-Authentifizierung testen, um die aktuellen Einstellungen zu verwenden und den aktuellen Browser in einem neuen Fenster zu authentifizieren. Durch diese Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht in Google angemeldet sind, werden Sie aufgefordert, sich anzumelden und Ihre Einwilligung zur Verwendung Ihrer Google-Kontoinformationen zu erteilen. Bei diesem Ablauf werden die benutzerdefinierten Einstellungen für den Bildschirm zur Einwilligung verwendet, die Sie bei der Einrichtung auf Google-Seite verwendet haben.

    Bei Erfolg wird der Bereich Nutzerinformationen mit Ihrem Namen, Ihrer E-Mail-Adresse und Ihrer Domain angezeigt. Wenn dieser Abschnitt Nutzerinformationen vorhanden ist, wird dieser Nutzer von Looker erfolgreich authentifiziert.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Zu den häufigsten Problemen zählen folgende:

    • Client-ID oder Client-Secret falsch kopiert. Diese müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Der Nutzer ist nicht Teil der Domain. Wenn Sie den Abschnitt Personeninformationen, aber keine Nutzerinformationen sehen, liegt das wahrscheinlich daran, dass sich der Nutzer nicht in der von Ihnen angegebenen Domain befindet. Das bedeutet, dass sich die Person bei Google korrekt authentifiziert hat, aber kein Google-Konto verwendet, das Sie für Ihre Looker-Instanz zugelassen haben.
    • Eine Looker-URL oder Weiterleitungs-URL ist für Ihre Looker-Instanz nicht richtig in Google eingerichtet.

  7. Wenn Sie die Änderungen speichern und anwenden möchten, setzen Sie ein Häkchen bei Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden. Klicken Sie auf Aktualisieren.

Tipps

  • Wenn Sie den vollständigen Authentifizierungszyklus testen möchten, können Sie sich von Google abmelden. Wenn Sie dann versuchen, sich in Looker anzumelden, werden Sie von Google aufgefordert, sich noch einmal anzumelden.

  • Klicken Sie auf einer Google Workspace-Seite rechts oben neben Ihrer E-Mail-Adresse im Drop-down-Menü „Persönlich“ auf Konto, um Ihr privates Konto zu verwalten.

    Auf dieser Seite befindet sich der Tab Sicherheit mit dem Abschnitt Kontoberechtigungen. Wenn Sie auf Apps und Websites Alle ansehen klicken, können Sie als Nutzer die Dienste und Apps ansehen und verwalten, denen Sie Berechtigungen erteilt haben.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie für die Anmeldung gewährt haben, werden die Details angezeigt, die Nutzer auf dem zuvor angepassten Einwilligungsbildschirm sehen. Sie können auch auf Zugriff widerrufen klicken. Wenn Sie sich das nächste Mal in Looker anmelden oder die Autorisierung testen, werden Sie noch einmal zum Einwilligungsbildschirm aufgefordert. Mit diesem Workflow können Sie den Einwilligungsbildschirm anpassen und sehen, was Nutzer sehen.

Fehlerbehebung

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt, prüfen Sie zuerst, ob er in seinem Google-Konto einen Vor- und einen Nachnamen angegeben hat. Wenn der Nutzer seinen Vor- oder Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker ihn möglicherweise nicht mit Google OAuth authentifizieren.

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt und Looker einen Fehler wie User not in the authorized domain anzeigt, prüfen Sie das Feld hd der JSON-Antwort. Wenn das Feld hd eine Domain enthält, muss diese Domain auf Ihr Google Workspace-Konto registriert sein. Wenn das Feld hd leer ist, laden Sie den Nutzer mit dem Übertragungstool für nicht verwaltete Nutzer ein, sein Konto in ein verwaltetes Konto innerhalb Ihrer Domain umzuwandeln.

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt, in Looker aber keine Fehlermeldung angezeigt wird, hat der Nutzer möglicherweise den Namen seines Google Workspace-Kontos bearbeitet und dabei seinen Vor- oder Nachnamen gelöscht. In diesem Fall wird der Name des Google Workspace-Kontos in der Admin-Konsole möglicherweise weiterhin als vollständig angezeigt. Die Änderungen des Nutzers werden dann möglicherweise nicht berücksichtigt. Um dieses Problem zu vermeiden, können Google Workspace-Administratoren die Option Erlauben Sie den Nutzern, diese Einstellung individuell anzupassen deaktivieren.

E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist

Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen also keine Nutzer in Ihrer Google-Domain hinzufügen.

So fügen Sie einen Nutzer mit einer E-Mail-Adresse hinzu, die nicht zu Ihrer Google-Domain gehört:

  1. Aktivieren Sie auf der Seite „Google Auth“ die Option Alternative Anmeldung für Administratoren und bestimmte Nutzer.
  2. Erstellen oder ändern Sie eine vorhandene Nutzerrolle, um die Berechtigung login_special_email hinzuzufügen.
  3. Klicken Sie im Bereich „Nutzer“ auf Nutzer hinzufügen (/admin/users/new).
  4. Fügen Sie die E-Mail-Adressen hinzu, die Sie einschließen möchten, und die Rollen, die diese Nutzer haben sollen. Dazu muss eine Rolle mit der Berechtigung login_special_email gehören.
  5. Diese Nutzer können sich jetzt über https://mycompany.looker.com/login/email (ausgeblendete URL) anmelden.

Google Auth nach der Aktivierung deaktivieren

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, sollten Sie Folgendes beachten:

  • Nutzer, die vor der Einführung der Google-Authentifizierung erstellt wurden und bereits eine normale E-Mail-Anmeldung und ein Passwort eingerichtet haben, können weiterhin darauf zugreifen.
  • Nutzer, die nach der Einrichtung der Google-Authentifizierung erstellt wurden, können sich nicht mehr anmelden. Die Konten der Nutzer sind zwar noch vorhanden, sie haben aber keinen Zugriff mehr darauf. Sie sind also sozusagen verwaist.

Wir empfehlen daher, diese Route zu vermeiden. Wenn Sie diesen Weg gehen müssen, gibt es möglicherweise eine Methode, mit der Sie die verwaisten Konten mithilfe der Looker API korrigieren können. Wenden Sie sich an den Looker-Support, um weitere Unterstützung zu erhalten.