Configuración del administrador: Autenticación de Google

La página Autenticación de Google en la sección Autenticación del menú Administrador te permite configurar Google OAuth en Looker.

Descripción general de las funciones

Looker puede realizar la autenticación con Google OAuth para los usuarios que tienen cuentas registradas en Google Workspace.

• Las organizaciones que usan Google Workspace pueden autenticar usuarios de Looker que tienen Cuentas de Google.
• Los usuarios acceden a Looker a través de la autenticación con sus Cuentas de Google.
• Las nuevas Cuentas de Google obtienen acceso a Looker automáticamente. No es necesario invitar a los usuarios a Looker por separado. Estableciste el rol predeterminado para los usuarios nuevos, lo que puede limitar su acceso a la funcionalidad y los datos.
• Cuando se habilita, Looker autentica a los usuarios solo con Google OAuth, a menos que esté seleccionada la opción “acceso alternativo” (consulta la siguiente sección en Cómo habilitar el acceso por correo electrónico mientras la autenticación de Google está habilitada).
• El avatar de Google de un usuario aparece en la barra de navegación en lugar del símbolo de usuario estándar.

• Cuando se habilita Google OAuth, la instancia de Looker puede combinar las cuentas de usuario existentes con el dominio registrado por Google, pero solo para las cuentas cuya dirección de correo electrónico coincida con el dominio. Todas las demás cuentas que no sean de administrador perderán la capacidad de acceso.
• Todos los usuarios del dominio especificado obtienen acceso a la instancia de Looker.
• De forma predeterminada, los permisos para usuarios nuevos de Google establecen el acceso básico a una lista específica de modelos (que, de forma opcional, podrían ser acceso a cero modelos). Un administrador puede actualizar los permisos después de crear la cuenta.
• Las nuevas cuentas de Looker que se autentican con Google OAuth no pueden cambiar a la autenticación con contraseña, incluso si OAuth está inhabilitado para la instancia de Looker.

Requisitos preliminares

Para usar Google OAuth, se requiere lo siguiente:

• Una cuenta de Google Workspace para la organización
• Es un dominio controlado por la organización y registrado en la cuenta de Google Workspace.
• Usuarios con direcciones de correo electrónico en el dominio asociado con la Cuenta de Google.
• Cada usuario debe tener una cuenta de usuario administrada en Google Workspace. Para buscar usuarios con cuentas de usuario no administradas y migrarlos, usa la Herramienta para transferir usuarios no administrados.

Habilita la autenticación con Google OAuth

Para habilitar la autenticación con Google OAuth, se requiere que un administrador realice pasos tanto en Google como en Looker, como se describe en las siguientes secciones.

Configuración en el lado de Google

Los pasos para habilitar Google OAuth del lado de Google se describen en esta sección. La descripción genérica de estos pasos se encuentra en la página de Atención al cliente de Google sobre la configuración de OAuth 2.0. También puedes consultar la documentación de la Ayuda de la consola de Google Cloud.

1. Ve a la consola de Google Cloud.

2. Haz clic en la flecha hacia abajo en el menú desplegable Selecciona un proyecto. Tal vez veas el nombre de un proyecto existente en el menú desplegable. Haz clic en la flecha hacia abajo de todos modos, y te llevará a la opción de crear un proyecto nuevo.

3. En la página Seleccionar un proyecto, haz clic en Proyecto nuevo.

   Google mostrará la página New Project.

4. Completa la información en la página New Project y haz clic en Create.

   Cuando Google termine de crear tu proyecto nuevo, volverás a la consola de Google Cloud y te mostrará el nuevo.

5. En el menú de la izquierda, selecciona APIs y servicios > Credenciales.

6. En la página Credenciales, haz clic en el botón Crear credenciales y selecciona ID de cliente de OAuth del menú desplegable.

   Google mostrará la página Crear ID de cliente de OAuth.

7. Google requiere que configures una pantalla de consentimiento de OAuth, que les permite a los usuarios elegir cómo otorgar acceso a sus datos privados y proporciona un vínculo a las Condiciones del Servicio y la política de privacidad de tu organización. Haz clic en Configurar pantalla de consentimiento. (Si configuraste el consentimiento de OAuth para un proyecto anterior, no verás esta opción y puedes pasar al paso 13).

   Google mostrará la página de la pantalla de consentimiento de OAuth.

8. Ingresa el dominio de tu instancia de Looker en el campo Dominios autorizados. Por ejemplo, si Looker aloja tu instancia en https://mycompany.looker.com, el dominio es looker.com. Para implementaciones de Looker alojadas por el cliente, ingresa el dominio en el que alojas Looker.

9. Configura tu pantalla de consentimiento de OAuth y haz clic en Guardar y continuar.

10. En la página Permisos, haz clic en Guardar y continuar. No se requiere configuración de permisos adicional.

11. En la página Resumen, haz clic en Volver al panel.

    Google te redireccionará a la página Crear ID de cliente de OAuth.

12. En Tipo de aplicación, selecciona Aplicación web.

13. En el campo Nombre, ingresa un nombre para tu ID de cliente de OAuth.

14. En el campo Orígenes autorizados de JavaScript, ingresa la URL de tu instancia de Looker, incluido el https://. Por ejemplo:

    • Si Looker aloja tu instancia: https://mycompany.looker.com
    • Si tienes una instancia de Looker alojada por el cliente: https://looker.mycompany.com
    • Si tu instancia de Looker requiere un número de puerto: https://looker.mycompany.com:9999

15. En el campo URI de redireccionamiento autorizados, ingresa la URL de tu instancia de Looker, seguida de /oauth2callback. Por ejemplo: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Haz clic en Crear.

17. Copia los valores de tu ID de cliente y secreto de cliente, los necesitarás para configurar Looker.

Configuración en Looker

Para habilitar Google OAuth en Looker, sigue estos pasos.

1. En la aplicación de Looker, mientras hayas accedido como administrador, haz clic en el menú desplegable Administrador para abrir el menú Administrador.

2. En el grupo Authentication, haz clic en Google. Looker muestra la página Autenticación de Google.

3. Haz clic en Habilitada para mostrar y editar la configuración de Google OAuth. (Esto no habilita la autenticación de Google de inmediato; deberás confirmar tu elección más adelante).

4. Ingresa tu Configuración de autenticación de Google.

   • ID y secreto del cliente: Copia y pega estos valores de la página del cliente de OAuth de Google, tal como se explicó en las instrucciones de configuración anteriores de Google.
   • Dominios: Son los nombres de dominio administrados por Google de tu organización. Cualquier usuario de Google en el dominio determinado puede acceder a tu instancia de Looker. Si controlas varios dominios de Google, puedes ingresarlos separados por comas.

5. Ingresa en Opciones de migración, que controlan el comportamiento de la instancia de Looker durante la transición a Google OAuth.

   • Acceso alternativo para administradores: Permite que los administradores sigan accediendo con un correo electrónico y una contraseña, lo que es un recurso útil en caso de que tengan problemas para configurar Google OAuth. Se recomienda esta configuración y se describe con más detalle en Cómo habilitar el acceso con correo electrónico mientras la autenticación de Google está habilitada.
   • Combinar por correo electrónico: Convierte a los usuarios existentes con direcciones de correo electrónico en los dominios especificados a usar Google OAuth, tras su próximo acceso. Se recomienda esta configuración.
   • Funciones para usuarios nuevos: Especifica la funcionalidad y el acceso al modelo que tienen los usuarios nuevos que no son administradores. Esta lista se puede actualizar más adelante. Si se deja en blanco, los nuevos usuarios autenticados por Google tendrán una funcionalidad limitada dentro de la plataforma de Looker hasta que un administrador agregue un rol a su cuenta. Dado que todos los usuarios de tu dominio de Google podrán acceder a Looker, considera especificar un rol predeterminado para los usuarios nuevos que limite el acceso de forma adecuada.

6. Haz clic en Probar la autenticación de Google para usar la configuración actual e intentar autenticar el navegador actual en una ventana nueva. Esta acción no guarda la configuración actual ni la aplica a la instancia de Looker.

   Si no accediste a Google, se te pedirá que lo hagas y se te pedirá consentimiento para usar la información de tu Cuenta de Google. Este flujo utiliza la configuración de la pantalla de consentimiento personalizada que usaste en la configuración de Google.

   Si la operación es exitosa, aparecerá la sección Información del usuario con tu nombre, correo electrónico y dominio. La presencia de esta sección Información del usuario muestra que Looker autenticó correctamente a este usuario.

   Si se produce un error, se mostrarán las descripciones de los errores. Estos son algunos problemas habituales:

   • ID o secreto del cliente copiados incorrectamente Se deben copiar y pegar cuidadosamente y por completo.
   • El usuario está fuera del dominio. Si ves la sección Person Info, pero no User Info, es probable que el usuario no se encuentre en el dominio que especificaste. Esto muestra que la persona se autenticó en Google de forma correcta, pero no está usando una Cuenta de Google que elegiste permitir en tu instancia de Looker.
   • Una URL de Looker o una URL de redireccionamiento no está configurada correctamente en Google para tu instancia de Looker.

7. Para guardar y aplicar los cambios, marca Confirmé la configuración anterior y quiero habilitar su aplicación global. Haz clic en Actualizar.

Sugerencias

• Para experimentar con el ciclo de autenticación completo, puedes salir de Google y ver que Google te solicita que vuelvas a acceder cuando intentes ingresar a Looker.

• En Google, puedes hacer clic en Cuenta en el menú desplegable personal (junto a tu dirección de correo electrónico en la esquina superior derecha de una página de Google Workspace) para administrar tu cuenta personal.

  En esa página de administración, hay una pestaña de Seguridad con una sección de Permisos de cuenta. Como usuario, puedes hacer clic en Aplicaciones y sitios web Ver todo para ver y administrar los servicios y las apps a los que les otorgaste permisos.

  Cuando haces clic en los permisos de Looker que otorgaste para iniciar sesión, se muestran los detalles que los usuarios ven en la pantalla de consentimiento que personalizaste anteriormente. También puedes hacer clic en Revocar acceso para que la próxima vez que accedas a Looker (o autorización de prueba), se te vuelva a preguntar en la pantalla de consentimiento. Puedes usar este flujo de trabajo para personalizar tu pantalla de consentimiento y consultar lo que verán los usuarios.

Soluciona problemas

• Si falla el intento de acceso de un usuario, primero asegúrate de que tenga nombre y apellido en sus Cuentas de Google. Si el usuario borró su nombre o apellido de su Cuenta de Google, es posible que Looker no pueda autenticarlo con Google OAuth.

• Si falla el intento de un usuario de acceder y Looker muestra un error como User not in the authorized domain, revisa el campo hd de la respuesta JSON. Si el campo hd contiene un dominio, asegúrate de que esté registrado en tu cuenta de Google Workspace. Si el campo hd está vacío, usa la Herramienta para transferir usuarios no administrados para invitar al usuario a convertir su cuenta en una cuenta administrada dentro de tu dominio.

• Si un usuario falla en su intento de acceder, pero Looker no muestra un mensaje de error, es posible que el usuario haya editado el nombre de su cuenta de Google Workspace y borrado su nombre o apellido. En ese caso, es posible que el nombre de la cuenta de Google Workspace se vea completo en la Consola del administrador, por lo que no se mostrarán los cambios del usuario. Para evitar este problema, los administradores de Google Workspace pueden inhabilitar la opción Permitir que los usuarios personalicen este parámetro de configuración.

Habilitación del acceso por correo electrónico mientras la autenticación de Google está habilitada

Las nuevas Cuentas de Google obtienen acceso a Looker automáticamente, por lo que no es necesario agregar usuarios que estén en tu dominio de Google.

Para agregar un usuario con una dirección de correo electrónico que no se encuentra en tu dominio de Google, sigue estos pasos:

1. Habilitar la opción Acceso alternativo para administradores y usuarios especificados en la página de Google Auth
2. Crea o modifica un rol del usuario existente para agregar el permiso login_special_email
3. Ve a Add Users desde el panel de usuarios (/admin/users/new).
4. Agrega las direcciones de correo electrónico que deseas incluir y los roles que deberían tener esos usuarios, que deben incluir un rol con el permiso login_special_email.
5. Esos usuarios ahora pueden acceder usando https://mycompany.looker.com/login/email (URL oculta).

Inhabilitar Google Auth una vez habilitada

Si quieres inhabilitar la autenticación de Google para tu instancia de Looker después de que esta ya se haya habilitado, debes tener en cuenta lo siguiente:

• Seguirán funcionando los usuarios que se crearon antes de que se agregara la autenticación de Google y que ya hayan configurado una dirección de correo electrónico y una contraseña de acceso normales.
• Los usuarios que se crearon después de que se agregara la autenticación de Google ya no podrán acceder. Si bien sus cuentas aún existen, no tienen forma de acceder a ellas y quedan efectivamente huérfanas.

Por este motivo, te recomendamos que evites esta ruta. Si debes seguir este camino, puede haber un método para corregir las cuentas huérfanas con la API de Looker. Comunícate con el equipo de asistencia de Looker para obtener orientación adicional.