Setelan admin - Autentikasi Google

Halaman Google Authentication di bagian Authentication pada menu Admin memungkinkan Anda menyiapkan Google OAuth di sisi Looker.

Ringkasan fitur

Looker dapat melakukan autentikasi menggunakan Google OAuth untuk pengguna yang memiliki akun yang terdaftar di Google Google Workspace.

  • Organisasi yang menggunakan Google Workspace dapat mengautentikasi pengguna Looker yang memiliki Akun Google.
  • Pengguna login ke Looker dengan melakukan autentikasi menggunakan Akun Google mereka.
  • Akun Google baru akan otomatis mendapatkan akses ke Looker. Tidak perlu mengundang pengguna ke Looker secara terpisah. Anda menetapkan peran default untuk pengguna baru, yang dapat membatasi akses mereka ke fungsi dan data.
  • Jika diaktifkan, Looker akan mengautentikasi pengguna hanya dengan Google OAuth kecuali opsi "login alternatif" dipilih (lihat bagian berikut tentang Mengaktifkan login email saat Autentikasi Google diaktifkan).
  • Avatar Google pengguna muncul di panel navigasi, bukan simbol pengguna standar.
  • Saat mengaktifkan Google OAuth, instance Looker dapat menggabungkan akun pengguna yang ada dengan domain yang terdaftar di Google, tetapi hanya untuk akun yang alamat emailnya cocok dengan domain tersebut. Semua akun non-admin lainnya akan kehilangan kemampuan untuk login.
  • Semua pengguna di domain yang ditentukan akan mendapatkan akses ke instance Looker.
  • Izin untuk pengguna baru Google secara default adalah akses dasar untuk daftar model tertentu (yang secara opsional dapat berupa akses ke nol model). Izin dapat diperbarui oleh admin setelah pembuatan akun.
  • Akun Looker baru yang melakukan autentikasi menggunakan Google OAuth tidak dapat beralih ke autentikasi sandi, meskipun OAuth dinonaktifkan untuk instance Looker.

Persyaratan awal

Penggunaan Google OAuth memerlukan hal berikut:

Mengaktifkan autentikasi dengan Google OAuth

Mengaktifkan autentikasi dengan Google OAuth mengharuskan administrator melakukan langkah-langkah di sisi Google dan di sisi Looker, seperti yang dijelaskan di bagian berikut.

Penyiapan di sisi Google

Langkah-langkah untuk mengaktifkan Google OAuth di sisi Google dijelaskan di bagian ini. Deskripsi umum langkah-langkah ini ada di halaman dukungan Google tentang menyiapkan OAuth 2.0. Anda juga dapat membaca dokumentasi Bantuan konsolGoogle Cloud .

  1. Buka Google Cloud console.

  2. Klik panah bawah di drop-down Pilih project. Anda mungkin melihat nama project yang sudah ada di menu drop-down; klik panah bawah, dan Anda akan diarahkan ke opsi untuk membuat project baru.

  3. Di halaman Select a project, klik New Project.

    Google akan menampilkan halaman Project Baru.

  4. Lengkapi informasi di halaman Project Baru, lalu klik Buat.

    Setelah Google selesai membuat project baru, Google akan mengarahkan Anda kembali ke konsol dan menampilkan project baru Anda. Google Cloud

  5. Di menu kiri, pilih APIs & Services > Credentials.

  6. Di halaman Credentials, klik tombol Create credentials, lalu pilih OAuth client ID dari menu drop-down.

    Google akan menampilkan halaman Create OAuth client ID.

  7. Google mewajibkan Anda mengonfigurasi layar izin OAuth, yang memungkinkan pengguna Anda memilih cara memberikan akses ke data pribadi mereka dan menyediakan link ke persyaratan layanan dan kebijakan privasi organisasi Anda. Klik Konfigurasi layar izin. (Jika Anda telah mengonfigurasi izin OAuth untuk project sebelumnya, Anda tidak akan melihat opsi ini, dan Anda dapat melanjutkan ke langkah 13.)

    Google akan menampilkan halaman OAuth consent screen.

  8. Masukkan domain instance Looker Anda di kolom Authorized domains. Misalnya, jika Looker menghosting instance Anda di https://mycompany.looker.com, domainnya adalah looker.com. Untuk deployment Looker yang dihosting oleh pelanggan, masukkan domain tempat Anda menghosting Looker.

  9. Konfigurasi layar izin OAuth Anda, lalu klik Simpan dan Lanjutkan.

  10. Di halaman Cakupan, klik Simpan dan Lanjutkan. Tidak diperlukan konfigurasi cakupan tambahan.

  11. Di halaman Ringkasan, klik Kembali ke Dasbor.

    Google akan mengarahkan Anda kembali ke halaman Buat client ID OAuth.

  12. Di bagian Jenis aplikasi, pilih Aplikasi web.

  13. Di kolom Nama, masukkan nama untuk ID klien OAuth Anda.

  14. Di kolom Authorized JavaScript origins, masukkan URL ke instance Looker Anda, termasuk https://. Contoh:

    • Jika Looker menghosting instance Anda: https://mycompany.looker.com
    • Jika Anda memiliki instance Looker yang dihosting oleh pelanggan: https://looker.mycompany.com
    • Jika instance Looker Anda memerlukan nomor port: https://looker.mycompany.com:9999

  15. Di kolom URI pengalihan yang diberi otorisasi, masukkan URL ke instance Looker Anda, diikuti dengan /oauth2callback. Misalnya: https://mycompany.looker.com/oauth2callback atau https://looker.mycompany.com:9999/oauth2callback.

  16. Klik Buat.

  17. Salin nilai client ID dan client secret Anda — Anda akan memerlukannya untuk mengonfigurasi Looker.

Penyiapan di sisi Looker

Untuk mengaktifkan Google OAuth di sisi Looker, ikuti langkah-langkah berikut.

  1. Dari aplikasi Looker, saat login sebagai administrator, klik drop-down Admin untuk membuka menu Admin.

  2. Di bagian grup Authentication, klik Google. Looker akan menampilkan halaman Autentikasi Google.

  3. Klik Diaktifkan untuk menampilkan dan mengedit setelan Google OAuth. (Tindakan ini tidak langsung mengaktifkan autentikasi Google; Anda harus mengonfirmasi pilihan Anda nanti).

  4. Masukkan Setelan Google Auth Anda.

    • Client ID dan Rahasia Klien - Salin dan tempel nilai ini dari halaman klien OAuth Google, seperti yang dibahas dalam petunjuk penyiapan Google sebelumnya.
    • Domain - Nama domain yang dikelola Google untuk organisasi Anda. Setiap pengguna Google di domain tertentu dapat login ke instance Looker Anda. Jika Anda mengontrol beberapa domain Google, Anda dapat memasukkannya dengan dipisahkan koma.

  5. Masukkan Opsi Migrasi, yang mengontrol perilaku instance Looker selama transisi ke Google OAuth.

    • Login alternatif untuk admin - Memungkinkan admin terus login dengan email dan sandi, yang merupakan alternatif yang berguna jika ada masalah saat menyiapkan OAuth Google. Setelan ini direkomendasikan dan dijelaskan lebih lanjut dalam Mengaktifkan login email saat Autentikasi Google diaktifkan.
    • Gabungkan menurut email - Mengonversi semua pengguna yang ada dengan alamat email di Domain yang diberikan untuk menggunakan OAuth Google, saat login berikutnya. Setelan ini direkomendasikan.
    • Peran untuk pengguna baru - Menentukan fungsi dan akses model yang dimiliki pengguna non-admin baru. Daftar ini dapat diperbarui nanti. Jika dibiarkan kosong, pengguna baru yang diautentikasi Google akan memiliki fungsi terbatas di dalam platform Looker hingga admin menambahkan peran ke akun mereka. Karena semua pengguna dalam domain Google Anda akan dapat login ke Looker, pertimbangkan untuk menentukan peran default bagi pengguna baru yang membatasi akses dengan tepat.

  6. Klik Uji Autentikasi Google untuk menggunakan setelan saat ini dan mencoba mengautentikasi browser saat ini di jendela baru. Tindakan ini tidak menyimpan setelan saat ini atau menerapkannya ke instance Looker.

    Jika Anda tidak login ke Google, Anda akan diminta untuk login dan dimintai izin untuk menggunakan informasi Akun Google Anda. Alur ini menggunakan setelan Layar izin kustom yang Anda gunakan dalam penyiapan di sisi Google.

    Setelah berhasil, bagian Info Pengguna akan menampilkan nama, email, dan domain Anda. Keberadaan bagian Info Pengguna ini menunjukkan bahwa pengguna ini akan berhasil diautentikasi oleh Looker.

    Jika gagal, deskripsi error akan muncul. Beberapa masalah umum meliputi:

    • Client ID atau Rahasia Klien salah disalin. Kode ini harus disalin dan ditempelkan secara utuh dengan cermat.
    • Pengguna berada di luar domain. Jika Anda melihat bagian Info Orang, tetapi tidak ada Info Pengguna, kemungkinan karena pengguna tidak berada di domain yang Anda tentukan. Hal ini menunjukkan bahwa orang tersebut telah mengautentikasi dirinya ke Google dengan benar, tetapi dia tidak menggunakan Akun Google yang telah Anda pilih untuk diizinkan masuk ke instance Looker Anda.
    • URL Looker atau URL pengalihan tidak disiapkan dengan benar di Google untuk instance Looker Anda.

  7. Untuk menyimpan dan menerapkan perubahan, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global. Klik Perbarui.

Tips

  • Untuk bereksperimen dengan siklus autentikasi penuh, Anda dapat logout dari Google dan melihat bahwa Google akan meminta Anda untuk login lagi saat Anda mencoba login ke Looker.

  • Di Google, Anda dapat mengklik Akun di drop-down pribadi (di samping alamat email Anda di kanan atas halaman Google Workspace) untuk mengelola akun pribadi Anda.

    Di halaman pengelolaan tersebut, ada tab Keamanan dengan bagian Izin Akun. Dengan mengklik Aplikasi dan situs Lihat semua, Anda (sebagai pengguna) dapat melihat dan mengelola layanan dan aplikasi yang telah Anda beri izin.

    Mengklik izin Looker yang Anda berikan untuk login akan menampilkan detail yang dilihat pengguna di layar izin yang Anda sesuaikan sebelumnya. Anda juga dapat mengklik Cabut akses sehingga saat Anda login ke Looker (atau menguji otorisasi) pada waktu berikutnya, Anda akan diminta lagi untuk menyetujui layar izin. Anda dapat menggunakan alur kerja ini untuk membantu menyesuaikan layar izin dan melihat apa yang akan dilihat pengguna.

Pemecahan masalah

  • Jika upaya pengguna untuk login gagal, pastikan terlebih dahulu pengguna memiliki nama depan dan nama belakang di Akun Google-nya. Jika pengguna telah menghapus nama depan atau nama belakangnya dari Akun Google-nya, Looker mungkin tidak dapat mengautentikasi pengguna dengan Google OAuth.

  • Jika upaya login pengguna gagal, dan Looker menampilkan error seperti User not in the authorized domain, periksa kolom hd pada respons JSON. Jika kolom hd berisi domain, pastikan domain tersebut terdaftar ke akun Google Workspace Anda. Jika kolom hd kosong, gunakan Alat transfer untuk pengguna yang tidak dikelola untuk mengundang pengguna mengonversi akunnya menjadi akun terkelola dalam domain Anda.

  • Jika upaya pengguna untuk login gagal, tetapi Looker tidak menampilkan pesan error, pengguna mungkin telah mengedit nama akun Google Workspace miliknya dan menghapus nama depan atau belakangnya. Dalam situasi ini, nama akun Google Workspace di konsol Admin mungkin masih terlihat lengkap dan tidak menampilkan hasil edit pengguna. Untuk mencegah masalah ini, admin Google Workspace dapat menonaktifkan opsi Izinkan pengguna menyesuaikan setelan ini.

Mengaktifkan login email saat Google Auth diaktifkan

Akun Google baru akan otomatis mendapatkan akses ke Looker, sehingga Anda tidak perlu menambahkan pengguna yang ada di Domain Google Anda.

Untuk menambahkan pengguna dengan alamat email yang tidak ada di Google Domain Anda:

  1. Aktifkan opsi Login alternatif untuk admin dan pengguna tertentu di halaman Google Auth
  2. Buat atau ubah peran pengguna yang ada untuk menambahkan izin login_special_email
  3. Buka Tambahkan Pengguna dari panel pengguna (/admin/users/new)
  4. Tambahkan alamat email yang ingin Anda sertakan, dan peran yang harus dimiliki pengguna tersebut, yang harus mencakup peran dengan izin login_special_email
  5. Pengguna tersebut kini dapat login menggunakan https://mycompany.looker.com/login/email (URL tersembunyi)

Menonaktifkan Google Auth setelah diaktifkan

Jika Anda ingin menonaktifkan Autentikasi Google untuk instance Looker setelah diaktifkan, ada beberapa hal yang perlu dipertimbangkan:

  • Pengguna yang dibuat sebelum Autentikasi Google ditambahkan, dan telah menyiapkan login dan sandi email normal, akan tetap berfungsi.
  • Pengguna yang dibuat setelah Autentikasi Google ditambahkan tidak akan dapat login lagi. Meskipun akun mereka masih ada, mereka tidak dapat mengaksesnya, dan akun mereka menjadi tidak memiliki pemilik.

Oleh karena itu, sebaiknya hindari rute ini. Jika Anda harus menggunakan cara ini, mungkin ada metode untuk memperbaiki akun yang tidak memiliki pemilik dengan menggunakan Looker API. Hubungi Dukungan Looker untuk mendapatkan panduan tambahan.