Configuración del administrador: autenticación de Google

La página Google Authentication de la sección Authentication del menú Admin te permite configurar Google OAuth en el lado de Looker.

Descripción general de las funciones

Looker puede realizar la autenticación con Google OAuth para los usuarios que tienen cuentas registradas en Google Workspace de Google.

• Las organizaciones que usan Google Workspace pueden autenticar a los usuarios de Looker que tienen Cuentas de Google.
• Los usuarios acceden a Looker autenticándose con su Cuenta de Google.
• Las Cuentas de Google nuevas obtienen acceso a Looker automáticamente. No es necesario invitar a los usuarios a Looker por separado. Estableces el rol predeterminado para los usuarios nuevos, lo que puede limitar su acceso a la funcionalidad y los datos.
• Cuando está habilitada, Looker autentica a los usuarios solo con OAuth de Google a menos que se seleccione la opción de “acceso alternativo” (consulta la siguiente sección sobre cómo habilitar los accesos con correo electrónico cuando la autenticación de Google está habilitada).
• El avatar de Google del usuario aparece en la barra de navegación en lugar del símbolo de usuario estándar.

• Cuando se habilita la autenticación de Google OAuth, la instancia de Looker puede combinar las cuentas de usuario existentes con el dominio registrado en Google, pero solo para las cuentas cuya dirección de correo electrónico coincida con el dominio. Todas las demás cuentas que no sean de administrador perderán la capacidad de acceder.
• Todos los usuarios del dominio especificado obtienen acceso a la instancia de Looker.
• Los permisos para los usuarios nuevos de Google se establecen de forma predeterminada en el acceso básico para una lista especificada de modelos (que, de manera opcional, podría ser el acceso a cero modelos). Un administrador puede actualizar los permisos después de crear la cuenta.
• Las cuentas nuevas de Looker que se autentican con Google OAuth no pueden cambiar a la autenticación con contraseña, incluso si OAuth está inhabilitado para la instancia de Looker.

Requisitos preliminares

Para usar Google OAuth, se requiere lo siguiente:

• Una cuenta de Google Workspace para la organización
• Un dominio controlado por la organización y registrado en la cuenta de Google Workspace de Google
• Usuarios con direcciones de correo electrónico en el dominio asociado a la Cuenta de Google
• Cada usuario debe tener una cuenta de usuario administrada en Google Workspace. Para encontrar y migrar a los usuarios con cuentas de usuario no administradas, usa la Herramienta para transferir usuarios no administrados.

Cómo habilitar la autenticación con OAuth de Google

Para habilitar la autenticación con Google OAuth, un administrador debe realizar pasos tanto en Google como en Looker, como se describe en las siguientes secciones.

Configuración del lado de Google

En esta sección, se describen los pasos para habilitar Google OAuth en Google. La descripción genérica de estos pasos se encuentra en la página de asistencia de Google sobre la configuración de OAuth 2.0. También puedes consultar la documentación de la Ayuda de la consola deGoogle Cloud .

1. Ve a la consola deGoogle Cloud .

2. Haz clic en la flecha hacia abajo del menú desplegable Seleccionar un proyecto. Es posible que veas el nombre de un proyecto existente en el menú desplegable. Haz clic en la flecha hacia abajo de todos modos, y se te dirigirá a la opción para crear un proyecto nuevo.

3. En la página Selecciona un proyecto, haz clic en Proyecto nuevo.

   Google mostrará la página Proyecto nuevo.

4. Completa la información en la página Proyecto nuevo y haz clic en Crear.

   Cuando Google termine de crear tu proyecto nuevo, te redireccionará a la consola Google Cloud y mostrará tu proyecto nuevo.

5. En el menú de la izquierda, selecciona APIs y servicios > Credenciales.

6. En la página Credenciales, haz clic en el botón Crear credenciales y selecciona ID de cliente de OAuth en el menú desplegable.

   Google muestra la página Crear ID de cliente de OAuth.

7. Google requiere que configures una pantalla de consentimiento de OAuth, que permite que los usuarios elijan cómo otorgar acceso a sus datos privados y proporciona un vínculo a las condiciones del servicio y la política de privacidad de tu organización. Haz clic en Configurar pantalla de consentimiento. (Si configuraste el consentimiento de OAuth para un proyecto anterior, no verás esta opción y podrás omitir el paso 13).

   Google muestra la página Pantalla de consentimiento de OAuth.

8. Ingresa el dominio de tu instancia de Looker en el campo Dominios autorizados. Por ejemplo, si Looker aloja tu instancia en https://mycompany.looker.com, el dominio es looker.com. En el caso de las implementaciones de Looker alojadas por el cliente, ingresa el dominio en el que alojas Looker.

9. Configura la pantalla de consentimiento de OAuth y haz clic en Guardar y continuar.

10. En la página Permisos, haz clic en Guardar y continuar. No se requiere ninguna configuración de alcance adicional.

11. En la página Resumen, haz clic en Volver al panel.

    Google te redireccionará a la página Crear ID de cliente de OAuth.

12. En Tipo de aplicación, selecciona Aplicación web.

13. En el campo Nombre, ingresa un nombre para tu ID de cliente de OAuth.

14. En el campo Orígenes autorizados de JavaScript, ingresa la URL de tu instancia de Looker, incluido el https://. Por ejemplo:

    • Si Looker aloja tu instancia, haz lo siguiente: https://mycompany.looker.com
    • Si tienes una instancia de Looker alojada por el cliente, haz lo siguiente: https://looker.mycompany.com
    • Si tu instancia de Looker requiere un número de puerto, ingresa https://looker.mycompany.com:9999.

15. En el campo URI de redireccionamiento autorizados, ingresa la URL de tu instancia de Looker, seguida de /oauth2callback. Por ejemplo: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Haz clic en Crear.

17. Copia los valores de tu ID de cliente y tu secreto del cliente, ya que los necesitarás para configurar Looker.

Configuración del lado de Looker

Para habilitar Google OAuth en Looker, sigue estos pasos.

1. En la aplicación de Looker, mientras accedes como administrador, haz clic en el menú desplegable Administrador para abrir el menú Administrador.

2. En el grupo Authentication, haz clic en Google. Looker muestra la página Autenticación de Google.

3. Haz clic en Habilitado para mostrar y editar la configuración de OAuth de Google. (Esto no habilita de inmediato la autenticación de Google; debes confirmar tu elección más adelante).

4. Ingresa tu configuración de Google Auth.

   • ID de cliente y secreto de cliente: Copia y pega estos valores de la página del cliente de OAuth de Google, como se explicó en las instrucciones de configuración anteriores de Google.
   • Dominios: Son los nombres de dominio que administra Google para tu organización. Cualquier usuario de Google del dominio determinado puede acceder a tu instancia de Looker. Si controlas varios dominios de Google, puedes ingresarlos separados por comas.

5. Ingresa Opciones de migración, que controlan el comportamiento de la instancia de Looker durante la transición a Google OAuth.

   • Acceso alternativo para administradores: Permite que los administradores sigan accediendo con su correo electrónico y contraseña, lo que resulta útil en caso de problemas con la configuración de OAuth de Google. Se recomienda este parámetro de configuración, que se describe con más detalle en Cómo habilitar los accesos con correo electrónico mientras la autenticación de Google está habilitada.
   • Combinar por correo electrónico: Convierte a los usuarios existentes con direcciones de correo electrónico en los dominios proporcionados para que usen la autenticación de OAuth de Google en su próximo acceso. Se recomienda esta configuración.
   • Roles for new users: Especifica la funcionalidad y el acceso al modelo que tienen los usuarios nuevos que no son administradores. Esta lista se puede actualizar más adelante. Si se deja en blanco, los usuarios nuevos autenticados por Google tendrán funcionalidad limitada dentro de la plataforma de Looker hasta que un administrador agregue un rol a su cuenta. Dado que todos los usuarios de tu dominio de Google podrán acceder a Looker, considera especificar un rol predeterminado para los usuarios nuevos que limite el acceso de forma adecuada.

6. Haz clic en Test Google Authentication para usar la configuración actual y, luego, intenta autenticar el navegador actual en una ventana nueva. Esta acción no guarda la configuración actual ni la aplica a la instancia de Looker.

   Si no accediste a Google, se te pedirá que lo hagas y que des tu consentimiento para usar la información de tu Cuenta de Google. Este flujo usa la configuración personalizada de la pantalla de consentimiento que usaste en la configuración del lado de Google.

   Si la operación se realiza correctamente, se mostrará una sección User Info con tu nombre, correo electrónico y dominio. La presencia de esta sección User Info muestra que Looker autenticaría correctamente a este usuario.

   Si se produce un error, aparecerán descripciones del error. Estos son algunos problemas comunes:

   • El ID de cliente o el secreto del cliente se copiaron de forma incorrecta. Deben copiarse y pegarse con cuidado y en su totalidad.
   • El usuario está fuera del dominio. Si ves una sección Person Info, pero no una User Info, es probable que el usuario no esté en el dominio que especificaste. Esto demuestra que la persona se autenticó correctamente en Google, pero no está usando una Cuenta de Google que hayas elegido permitir en tu instancia de Looker.
   • Una URL de Looker o una URL de redireccionamiento no están configuradas correctamente en Google para tu instancia de Looker.

7. Para guardar y aplicar los cambios, marca la casilla de verificación Confirmé la configuración anterior y quiero habilitar su aplicación global. Haz clic en Actualizar.

Sugerencias

• Para experimentar con el ciclo de autenticación completo, puedes salir de Google y ver que Google te solicita que vuelvas a acceder cuando intentas acceder a Looker.

• En Google, puedes hacer clic en Cuenta en el menú desplegable personal (junto a tu dirección de correo electrónico en la parte superior derecha de una página de Google Workspace) para administrar tu cuenta personal.

  En esa página de administración, hay una pestaña Seguridad con una sección Permisos de la cuenta. Si haces clic en Apps y sitios web Ver todo, podrás (como usuario) ver y administrar los servicios y las apps a los que otorgaste permisos.

  Si haces clic en los permisos de Looker que otorgaste para acceder, se mostrarán los detalles que los usuarios ven en la pantalla de consentimiento que personalizaste anteriormente. También puedes hacer clic en Revocar acceso para que, la próxima vez que accedas a Looker (o pruebes la autorización), se te vuelva a mostrar la pantalla de consentimiento. Puedes usar este flujo de trabajo para personalizar tu pantalla de consentimiento y ver lo que verán los usuarios.

Soluciona problemas

• Si falla el intento de acceso de un usuario, primero asegúrate de que tenga un nombre y un apellido en sus Cuentas de Google. Si el usuario borró su nombre o apellido de su Cuenta de Google, es posible que Looker no pueda autenticarlo con OAuth de Google.

• Si falla el intento de acceso de un usuario y Looker muestra un error como User not in the authorized domain, verifica el campo hd de la respuesta JSON. Si el campo hd contiene un dominio, asegúrate de que esté registrado en tu cuenta de Google Workspace. Si el campo hd está vacío, usa la Herramienta para transferir usuarios no administrados para invitar al usuario a convertir su cuenta en una cuenta administrada dentro de tu dominio.

• Si falla el intento de acceso de un usuario, pero Looker no muestra un mensaje de error, es posible que el usuario haya editado el nombre de su cuenta de Google Workspace y haya borrado su nombre o apellido. En esta situación, es posible que el nombre de la cuenta de Google Workspace siga pareciendo completo en la Consola del administrador, que tal vez no muestre las ediciones del usuario. Para evitar este problema, los administradores de Google Workspace pueden inhabilitar la opción Permitir que los usuarios personalicen este parámetro de configuración.

Cómo habilitar los accesos con correo electrónico cuando la autenticación de Google está habilitada

Las Cuentas de Google nuevas obtienen acceso automáticamente a Looker, por lo que no es necesario agregar usuarios que se encuentren en tu dominio de Google.

Para agregar un usuario con una dirección de correo electrónico que no esté en tu dominio de Google, sigue estos pasos:

1. Habilita la opción Acceso alternativo para administradores y usuarios especificados en la página de Google Auth.
2. Crea o modifica un rol del usuario existente para agregar el permiso login_special_email.
3. Ve a Agregar usuarios en el panel de usuarios (/admin/users/new).
4. Agrega las direcciones de correo electrónico que deseas incluir y los roles que deben tener esos usuarios, que deben incluir un rol con el permiso login_special_email.
5. Ahora, esos usuarios pueden acceder con https://mycompany.looker.com/login/email (URL oculta).

Cómo inhabilitar Google Auth una vez que se habilitó

Si deseas inhabilitar la autenticación de Google para tu instancia de Looker después de que ya se habilitó, debes tener en cuenta lo siguiente:

• Los usuarios que se crearon antes de que se agregara la autenticación de Google y que ya configuraron un acceso normal con correo electrónico y contraseña seguirán funcionando.
• Los usuarios creados después de que se agregó la autenticación de Google ya no podrán acceder. Si bien sus cuentas siguen existiendo, no tienen forma de acceder a ellas, por lo que, en efecto, quedaron huérfanas.

Por eso, te sugerimos que evites esta ruta. Si debes seguir este camino, es posible que haya un método para corregir las cuentas huérfanas con la API de Looker. Comunícate con el equipo de asistencia de Looker para obtener orientación adicional.