Configuración del administrador: Autenticación de Google

La página Autenticación de Google, en la sección Autenticación del menú Administrador, te permite configurar OAuth de Google en Looker.

Descripción general de las funciones

Si lo deseas, Looker puede realizar la autenticación mediante Google OAuth para los usuarios que tengan cuentas registradas en Google Workspace.

• Las organizaciones que usan Google Workspace pueden autenticar a los usuarios de Looker a través de Cuentas de Google.
• Para acceder a Looker, los usuarios deben autenticarse con sus Cuentas de Google.
• Las nuevas Cuentas de Google obtienen acceso a Looker automáticamente. No es necesario invitar a los usuarios a Looker por separado. Estableces el rol predeterminado para los usuarios nuevos, lo que puede limitar su acceso a funciones y datos.
• Si se habilita esta opción, Looker autentica a los usuarios solo con OAuth de Google, a menos que se seleccione la opción de “acceso alternativo” (consulta las instrucciones adicionales a continuación).
• El avatar de Google de un usuario aparece en la barra de navegación en lugar del símbolo estándar del usuario.

Los siguientes comportamientos pueden afectar tu decisión de usar Google OAuth:

• Cuando se habilita OAuth de Google, la instancia de Looker puede combinar cuentas de usuario existentes con el dominio registrado en Google, pero solo para las cuentas cuya dirección de correo electrónico coincide con el dominio. Todas las demás cuentas que no sean de administrador ya no podrán acceder.
• Todos los usuarios del dominio especificado obtienen acceso a la instancia de Looker.
• De forma predeterminada, los permisos para usuarios nuevos de Google incluyen acceso básico a una lista específica de modelos (que, de forma opcional, podría ser acceso a cero modelos). Un administrador puede actualizar los permisos después de crear la cuenta.
• Las cuentas de Looker nuevas que se autentican a través de OAuth de Google no pueden cambiar a la autenticación con contraseña, incluso si OAuth está inhabilitado para la instancia de Looker.

Requisitos preliminares

Para usar Google OAuth, se requiere lo siguiente:

• Una cuenta de Google Workspace para la organización
• Un dominio controlado por la organización y registrado en la cuenta de Google Workspace.
• Usuarios con direcciones de correo electrónico en el dominio asociado a la Cuenta de Google.
• Cada usuario debe tener una cuenta de usuario administrada en Google Workspace. Si quieres buscar y migrar usuarios con cuentas de usuario no administradas, usa la Herramienta para transferir usuarios no administrados.

Habilita la autenticación con Google OAuth

Para habilitar la autenticación con OAuth de Google, un administrador debe realizar los pasos de Google y Looker, como se describe en las siguientes secciones.

Configuración del lado de Google

A continuación, se describen los pasos para habilitar OAuth para Google. La descripción genérica de estos pasos se encuentra en la página de Atención al cliente de Google sobre cómo configurar OAuth 2.0. Puede encontrar documentación en la Consola para desarrolladores de Google en la página de Ayuda de la consola de Google Cloud.

1. Ve a la consola de Google Cloud.

2. Haz clic en la flecha hacia abajo en el menú desplegable Selecciona un proyecto. Es posible que veas el nombre de un proyecto existente en el menú desplegable. Si haces clic en la flecha hacia abajo, aparecerá la opción de crear un proyecto nuevo.

3. En la página Selecciona un proyecto, haz clic en Proyecto nuevo.

   Google muestra la página New Project.

4. Completa la información en la página Proyecto nuevo y haz clic en Crear.

   Cuando Google termine de crear tu proyecto nuevo, te regresará a la consola de Google Cloud y te mostrará el proyecto nuevo.

5. En el menú de la izquierda, selecciona APIs y servicios > Credenciales.

6. En la página Credenciales, haz clic en el botón Crear credenciales y selecciona ID de cliente de OAuth en el menú desplegable.

   Google muestra la página Crear ID de cliente de OAuth.

7. Google exige que configures una pantalla de consentimiento de OAuth, que permite a los usuarios elegir cómo otorgar acceso a sus datos privados y proporciona un vínculo a las Condiciones del Servicio y la Política de Privacidad de tu organización. Haz clic en Configurar pantalla de consentimiento. (Si configuraste el consentimiento de OAuth para un proyecto anterior, no verás esta opción y podrás omitir el paso 13).

   Google muestra la página Pantalla de consentimiento de OAuth.

8. Ingresa el dominio de tu instancia de Looker en el campo Dominios autorizados. Por ejemplo, si Looker aloja tu instancia en https://mycompany.looker.com, el dominio es looker.com. Para las implementaciones de Looker alojadas por el cliente, ingresa el dominio en el que alojas Looker.

   

9. Configura tu pantalla de consentimiento de OAuth y haz clic en Guardar y continuar.

   Para obtener información sobre la configuración de la pantalla de consentimiento de OAuth de Google, consulta la página Cómo configurar OAuth 2.0.

10. En la página Alcances, haz clic en Guardar y continuar. No se requiere ninguna configuración adicional de permisos.

11. En la página Resumen, haz clic en Volver al panel.

    Google te lleva de vuelta a la página Crear ID de cliente de OAuth.

12. En Tipo de aplicación, selecciona Aplicación web.

13. En el campo Nombre, ingresa un nombre para tu ID de cliente de OAuth.

14. En el campo Orígenes autorizados de JavaScript, ingresa la URL de tu instancia de Looker, incluido el https://. Por ejemplo:

    • Si Looker aloja tu instancia: https://mycompany.looker.com
    • Si tienes una instancia de Looker alojada por el cliente: https://looker.mycompany.com
    • Si tu instancia de Looker requiere un número de puerto: https://looker.mycompany.com:9999

15. En el campo URI de redireccionamiento autorizados, ingresa la URL de tu instancia de Looker, seguida de /oauth2callback. Por ejemplo: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Haz clic en Crear.

17. Copia los valores del ID de cliente y del secreto del cliente, ya que los necesitarás para configurar Looker.

Configuración del lado de Looker

A continuación, se indican los pasos para habilitar OAuth de Google en Looker.

1. En la aplicación de Looker, cuando accedas como administrador, haz clic en el menú desplegable Administrador para abrir el menú Administrador.

2. En el grupo Autenticación, haz clic en Google. Looker muestra la página Autenticación de Google.

   

3. Haz clic en Habilitado para mostrar y editar la configuración de OAuth de Google. (Esto no habilita la autenticación de Google de inmediato, debes confirmar tu elección más adelante).

4. Ingresa la Configuración de autenticación de Google.

   

   • ID de cliente y Secreto de cliente: Copia y pega estos valores desde la página del cliente de OAuth de Google, como se explica en las instrucciones de configuración anteriores de Google.
   • Dominios: Son los nombres de dominio administrados por Google de tu organización. Cualquier usuario de Google en el dominio dado podrá acceder a tu instancia de Looker. Si controlas varios dominios de Google, puedes ingresarlos separados por comas.

   ADVERTENCIA: Ingresa solo los dominios de Google controlados por tu organización. Si ingresas cualquier otro dominio, se podría abrir el acceso a los usuarios de un dominio que no controlas.

5. Ingresa las Opciones de migración, que controlan el comportamiento de la instancia de Looker durante la transición a OAuth de Google.

   

   • Acceso alternativo para administradores: Permite que los administradores sigan accediendo con un correo electrónico y una contraseña, lo que es un resguardo útil en caso de problemas con la configuración de OAuth de Google. Se recomienda esta configuración y se describe con más detalle a continuación.
   • Combinar por correo electrónico: Convierte a los usuarios existentes con direcciones de correo electrónico en los Dominios determinados para que usen Google OAuth, en el próximo acceso. Se recomienda usar este parámetro de configuración.
   • Roles para usuarios nuevos: Especifica la funcionalidad y el acceso al modelo que tienen los usuarios nuevos que no son administradores. Esta lista se puede actualizar más adelante. Si se deja en blanco, los nuevos usuarios autenticados por Google tendrán una funcionalidad limitada dentro de la plataforma de Looker hasta que un administrador agregue un rol a su cuenta. Dado que todos los usuarios de tu dominio de Google podrán acceder a Looker, considera especificar un rol predeterminado para los usuarios nuevos que limite el acceso de forma adecuada.

6. Haz clic en Probar la autenticación de Google para usar la configuración actual y, luego, intenta autenticar el navegador actual en una ventana nueva. Esta acción no guarda la configuración actual ni la aplica a la instancia de Looker.

   

   Si no accedió a Google, se le solicitará que acceda y se le solicite su consentimiento para usar la información de su Cuenta de Google. Este flujo utiliza la configuración personalizada de la pantalla de consentimiento que usaste en la configuración de Google.

   Si la operación se completa de manera correcta, aparecerá la sección Información del usuario con tu nombre, correo electrónico, dominio, etc. La sección Información del usuario (User Info) indica que Looker autenticaría a este usuario correctamente.

   Si se produce un error, aparecerán descripciones de errores. Estos son algunos problemas habituales:

   • El ID de cliente o el secreto del cliente se copiaron incorrectamente. Se deben copiar y pegar cuidadosamente en su totalidad.
   • El usuario está fuera del dominio. Si ves la sección Person Info, pero no User Info, es probable que se deba a que el usuario no está en el dominio que especificaste. Esto demuestra que la persona se autenticó correctamente en Google, pero no usa una Cuenta de Google que hayas elegido permitir en tu instancia de Looker.
   • La URL de Looker o la URL de redireccionamiento no están configuradas correctamente en Google para tu Looker.

7. Para guardar y aplicar los cambios, marca Confirmo la configuración anterior y quiero habilitar la aplicación global. Haz clic en Actualizar.

Después de habilitar la autenticación con Google, los usuarios solo podrán autenticarse mediante Google OAuth. Si no habilitaste el parámetro de configuración Combinar por correo electrónico para las cuentas existentes, cada nuevo acceso autenticado por Google creará un nuevo usuario de Looker. Los accesos existentes con correo electrónico y contraseña no se pueden utilizar al mismo tiempo que se habilita la autenticación de Google.

Sugerencias

• Para experimentar con el ciclo de autenticación completo, puedes salir de Google y ver que se te solicita que vuelvas a acceder cuando intentas acceder a Looker.

• En Google, puedes hacer clic en Cuenta en el menú desplegable personal (junto a tu dirección de correo electrónico en la parte superior derecha de una página de Google Workspace) para administrar tu cuenta personal.

  En esa página de administración, verás la pestaña Seguridad con la sección Permisos de la cuenta. Como usuario, si haces clic en Aplicaciones y sitios web Ver todo, podrás ver y administrar los servicios y las apps a las que les otorgaste permisos.

  Si haces clic en los permisos de Looker que otorgaste para acceder, se mostrarán los detalles que ven los usuarios en la pantalla de consentimiento que personalizaste anteriormente. También puedes hacer clic en Revocar acceso para que la próxima vez que accedas a Looker (o en la autorización de prueba) se te vuelva a mostrar la pantalla de consentimiento. Puedes usar este flujo de trabajo para personalizar tu pantalla de consentimiento y ver lo que verán los usuarios.

Soluciona problemas

• Si falla el intento de acceso de un usuario, primero asegúrate de que tenga nombre y apellido en su Cuenta de Google. Si el usuario borró su nombre o apellido de su Cuenta de Google, es posible que Looker no pueda autenticarlo con Google OAuth.

• Si falla el intento de acceso de un usuario y Looker muestra un error como User not in the authorized domain, verifica el campo hd de la respuesta JSON. Si el campo hd contiene un dominio, asegúrate de que esté registrado en tu cuenta de Google Workspace. Si el campo hd está vacío, usa la Herramienta para transferir usuarios no administrados para invitar al usuario a convertir su cuenta en una administrada dentro de tu dominio.

• Si falla el intento de acceso de un usuario, pero Looker no muestra un mensaje de error, es posible que el usuario haya editado el nombre de su cuenta de Google Workspace y borrado su nombre o apellido. En este caso, es posible que el nombre de la cuenta de Google Workspace siga pareciendo completo en la Consola del administrador, por lo que tal vez no se muestren los cambios del usuario. Para evitar este problema, los administradores de Google Workspace pueden inhabilitar la opción Permitir que los usuarios personalicen este parámetro de configuración.

Habilitar los accesos de correo electrónico mientras la autenticación de Google está habilitada

Las Cuentas de Google nuevas obtienen acceso a Looker automáticamente, por lo que no es necesario agregar usuarios que estén en tu dominio de Google.

Para agregar un usuario mediante una dirección de correo electrónico que no esté en tu dominio de Google:

1. Habilita la opción Acceso alternativo para administradores y usuarios especificados en la página de Google Auth
2. Crea o modifica un rol del usuario existente para agregar el permiso login_special_email
3. Ve a Agregar usuarios en el panel de usuarios (/admin/users/new).
4. Agrega las direcciones de correo electrónico que desees incluir y los roles que deberían tener esos usuarios, que deben incluir un rol con el permiso login_special_email.
5. Esos usuarios ahora pueden acceder a través de https://mycompany.looker.com/login/email (URL oculta).

Para habilitar accesos alternativos con la API de Looker, consulta la página de documentación Habilita la opción de acceso alternativa.

Inhabilitar la autenticación de Google una vez que se haya habilitado

Si quieres inhabilitar la autenticación de Google para tu instancia de Looker después de habilitarla, debes tener en cuenta lo siguiente:

• Seguirán funcionando los usuarios que se crearon antes de que se agregara la autenticación de Google y que ya hayan configurado una contraseña y acceso de correo electrónico normales.
• Los usuarios que se hayan creado después de agregar la autenticación de Google ya no podrán acceder. Si bien sus cuentas siguen existiendo, no tienen forma de acceder a ellas y, efectivamente, quedaron huérfanas.

Por este motivo, te sugerimos que evites esta ruta. Si debes seguir esta ruta, es posible que haya un método para corregir las cuentas huérfanas mediante la API de Looker. Comunícate con el equipo de asistencia de Looker para obtener orientación adicional.