Definições de administração – Autenticação Google

A página Autenticação Google na secção Autenticação do menu Administração permite-lhe configurar o Google OAuth no lado do Looker.

Vista geral das funcionalidades

O Looker pode realizar a autenticação através do Google OAuth para utilizadores que tenham contas registadas no Google Workspace.

• As organizações que usam o Google Workspace podem autenticar utilizadores do Looker que tenham Contas Google.
• Os utilizadores iniciam sessão no Looker autenticando com a respetiva Conta Google.
• As novas Contas Google têm automaticamente acesso ao Looker. Não é necessário convidar separadamente os utilizadores para o Looker. Define a função predefinida para novos utilizadores, o que pode limitar o respetivo acesso à funcionalidade e aos dados.
• Quando ativado, o Looker autentica os utilizadores apenas com o Google OAuth a menos que a opção "início de sessão alternativo" esteja selecionada (consulte a secção seguinte sobre ativar inícios de sessão por email enquanto a autenticação Google está ativada).
• O avatar do Google de um utilizador aparece na barra de navegação em vez do símbolo de utilizador padrão.

• Quando ativa o OAuth da Google, a instância do Looker pode unir contas de utilizador existentes com o domínio registado na Google, mas apenas para contas cujo endereço de email corresponda ao domínio. Todas as outras contas que não sejam de administrador perdem a capacidade de iniciar sessão.
• Todos os utilizadores no domínio especificado têm acesso à instância do Looker.
• As autorizações para novos utilizadores Google são predefinidas como acesso básico para uma lista especificada de modelos (que pode, opcionalmente, ser acesso a zero modelos). As autorizações podem ser atualizadas por um administrador após a criação da conta.
• As novas contas do Looker que autenticam através do Google OAuth não podem mudar para a autenticação por palavra-passe, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

A utilização do Google OAuth requer o seguinte:

• Uma conta do Google Workspace para a organização.
• Um domínio controlado pela organização e registado na conta do Google Workspace.
• Utilizadores com endereços de email no domínio associado à Conta Google.
• Cada utilizador tem de ter uma conta de utilizador gerida no Google Workspace. Para encontrar e migrar utilizadores com contas de utilizador não geridas, use a Ferramenta de transferência para utilizadores não geridos.

Ativar a autenticação com o OAuth da Google

A ativação da autenticação com o Google OAuth requer que um administrador execute passos no lado da Google e no lado do Looker, conforme descrito nas secções seguintes.

Configuração do lado da Google

Os passos para ativar o OAuth da Google no lado da Google estão descritos nesta secção. A descrição genérica destes passos encontra-se na página de apoio técnico da Google sobre a configuração do OAuth 2.0. Também pode consultar a documentação de Google Cloud ajuda da consola.

1. Aceda à Google Cloud consola.

2. Clique na seta para baixo no menu pendente Selecionar um projeto. Pode ver o nome de um projeto existente no menu pendente. Clique na seta para baixo na mesma, e é apresentada a opção para criar um novo projeto.

3. Na página Selecionar um projeto, clique em Novo projeto.

   O Google apresenta a página Novo projeto.

4. Preencha as informações na página Novo projeto e clique em Criar.

   Quando a Google terminar de criar o novo projeto, volta a apresentar a Google Cloud consola e mostra o novo projeto.

5. No menu do lado esquerdo, selecione APIs e serviços > Credenciais.

6. Na página Credenciais, clique no botão Criar credenciais e selecione ID de cliente OAuth no menu pendente.

   O Google apresenta a página Criar ID de cliente OAuth.

7. A Google exige que configure um ecrã de consentimento do OAuth, que permite aos seus utilizadores escolher como conceder acesso aos respetivos dados privados e fornece um link para os termos de utilização e a política de privacidade da sua organização. Clique em Configurar ecrã de consentimento. (Se tiver configurado o consentimento OAuth para um projeto anterior, não vê esta opção e pode avançar para o passo 13.)

   O Google apresenta a página ecrã de consentimento OAuth.

8. Introduza o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker alojar a sua instância em https://mycompany.looker.com, o domínio é looker.com. Para implementações do Looker alojadas pelo cliente, introduza o domínio no qual aloja o Looker.

9. Configure o ecrã de consentimento OAuth e clique em Guardar e continuar.

10. Na página Âmbitos, clique em Guardar e continuar. Não é necessária nenhuma configuração de âmbito adicional.

11. Na página Resumo, clique em Voltar ao painel de controlo.

    A Google redireciona-o para a página Criar ID de cliente OAuth.

12. Em Tipo de aplicação, selecione Aplicação Web.

13. No campo Nome, introduza um nome para o ID de cliente OAuth.

14. No campo Origens JavaScript autorizadas, introduza o URL da sua instância do Looker, incluindo o https://. Por exemplo:

    • Se o Looker alojar a sua instância: https://mycompany.looker.com
    • Se tiver uma instância do Looker alojada pelo cliente: https://looker.mycompany.com
    • Se a sua instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

15. No campo URIs de redirecionamento autorizados, introduza o URL da sua instância do Looker, seguido de /oauth2callback. Por exemplo: https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

16. Clique em Criar.

17. Copie os valores do ID de cliente e do segredo do cliente. Vai precisar deles para configurar o Looker.

Configuração no lado do Looker

Para ativar o OAuth da Google no lado do Looker, siga estes passos.

1. Na aplicação Looker, com sessão iniciada como administrador, clique no menu pendente Administração para abrir o menu Administração.

2. No grupo Autenticação, clique em Google. O Looker apresenta a página Autenticação Google.

3. Clique em Ativado para apresentar e editar as definições do OAuth da Google. (Isto não ativa imediatamente a autenticação Google. Tem de confirmar a sua escolha mais tarde).

4. Introduza as suas definições de autenticação Google.

   • ID do cliente e segredo do cliente: copie e cole estes valores da página do cliente OAuth da Google, conforme abordado nas instruções de configuração da Google anteriores.
   • Domínios: os nomes de domínios geridos pela Google da sua organização. Qualquer utilizador da Google no domínio especificado pode iniciar sessão na sua instância do Looker. Se controlar vários domínios Google, pode introduzi-los separados por vírgulas.

5. Introduza Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o Google OAuth.

   • Início de sessão alternativo para administradores: permite que os administradores continuem a iniciar sessão com o email e a palavra-passe, o que é útil em caso de problemas na configuração do OAuth da Google. Esta definição é recomendada e é descrita mais detalhadamente no artigo Ativar inícios de sessão por email enquanto a autenticação Google está ativada.
   • Unir por email: converte todos os utilizadores existentes com endereços de email nos Domínios indicados para utilizarem o Google OAuth no respetivo início de sessão seguinte. Esta definição é recomendada.
   • Funções para novos utilizadores: especifica a funcionalidade e o acesso ao modelo que os novos utilizadores não administradores têm. Pode atualizar esta lista mais tarde. Se deixar em branco, os novos utilizadores autenticados pela Google têm uma funcionalidade limitada na plataforma Looker até que um administrador adicione uma função à respetiva conta. Uma vez que todos os utilizadores no seu domínio Google vão poder iniciar sessão no Looker, considere especificar uma função predefinida para novos utilizadores que limite o acesso de forma adequada.

6. Clique em Testar autenticação Google para usar as definições atuais e tentar autenticar o navegador atual numa nova janela. Esta ação não guarda as definições atuais nem as aplica à instância do Looker.

   Se não tiver sessão iniciada no Google, é-lhe pedido que inicie sessão e que dê o seu consentimento para utilizar as informações da sua Conta Google. Este fluxo usa as definições do ecrã de consentimento personalizadas que usou na configuração do lado da Google.

   Após o êxito, é apresentada uma secção Informações do utilizador com o seu nome, email e domínio. A presença desta secção User Info mostra que este utilizador seria autenticado com êxito pelo Looker.

   Em caso de falha, são apresentadas descrições de erros. Seguem-se alguns problemas comuns:

   • ID de cliente ou segredo do cliente copiado incorretamente. Estes têm de ser copiados e colados cuidadosamente na íntegra.
   • O utilizador está fora do domínio. Se vir uma secção Informações pessoais, mas não Informações do utilizador, é provável que o utilizador não esteja no domínio que especificou. Isto mostra que a pessoa autenticou-se corretamente no Google, mas não está a usar uma Conta Google que tenha optado por permitir na sua instância do Looker.
   • Um URL do Looker ou um URL de redirecionamento não está configurado corretamente no Google para a sua instância do Looker.

7. Para guardar e aplicar as alterações, selecione Confirmei a configuração acima e quero ativá-la globalmente. Clique em Atualizar.

Dicas

• Para experimentar o ciclo de autenticação completo, pode terminar sessão no Google e ver que o Google pede que inicie sessão novamente quando tentar iniciar sessão no Looker.

• No Google, pode clicar em Conta no menu pendente pessoal (junto ao seu endereço de email na parte superior direita de uma página do Google Workspace) para gerir a sua conta pessoal.

  Nessa página de gestão, existe um separador Segurança com uma secção Autorizações da conta. Se clicar em Apps e Websites Ver tudo, pode (como utilizador) ver e gerir os serviços e as apps aos quais concedeu autorizações.

  Se clicar nas autorizações do Looker que concedeu para iniciar sessão, são apresentados os detalhes que os utilizadores veem no ecrã de consentimento que personalizou anteriormente. Também pode clicar em Revogar acesso para que, da próxima vez que iniciar sessão no Looker (ou testar a autorização), lhe seja apresentada novamente o ecrã de consentimento. Pode usar este fluxo de trabalho para ajudar a personalizar o ecrã de consentimento e ver o que os utilizadores vão ver.

Resolução de problemas

• Se a tentativa de início de sessão de um utilizador falhar, certifique-se primeiro de que o utilizador tem um nome próprio e um apelido nas respetivas Contas Google. Se o utilizador tiver eliminado o nome próprio ou o apelido da respetiva Conta Google, o Looker pode não conseguir autenticar o utilizador com o Google OAuth.

• Se a tentativa de início de sessão de um utilizador falhar e o Looker apresentar um erro, como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd contiver um domínio, certifique-se de que o domínio está registado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência para utilizadores não geridos para convidar o utilizador a converter a respetiva conta numa conta gerida no seu domínio.

• Se a tentativa de início de sessão de um utilizador falhar, mas o Looker não apresentar uma mensagem de erro, o utilizador pode ter editado o nome da respetiva conta do Google Workspace e eliminado o primeiro ou o último nome. Nesta situação, o nome da conta do Google Workspace pode continuar a parecer completo na consola do administrador, que pode não mostrar as edições do utilizador. Para evitar este problema, os administradores do Google Workspace podem desativar a opção Permitir que os utilizadores personalizem esta definição.

Ativar inícios de sessão por email enquanto a autenticação Google está ativada

As novas Contas Google têm automaticamente acesso ao Looker, pelo que não é necessário adicionar utilizadores que estejam no seu domínio Google.

Para adicionar um utilizador com um endereço de email que não esteja no seu domínio Google:

1. Ative a opção Início de sessão alternativo para administradores e utilizadores especificados na página de autenticação Google
2. Crie ou modifique uma função de utilizador existente para adicionar a autorização login_special_email
3. Aceda a Adicionar utilizadores no painel de utilizadores (/admin/users/new)
4. Adicione os endereços de email que quer incluir e as funções que esses utilizadores devem ter, que têm de incluir uma função com a autorização login_special_email
5. Esses utilizadores podem agora iniciar sessão através de https://mycompany.looker.com/login/email (URL oculto)

Desativar a autenticação Google depois de ter sido ativada

Se quiser desativar a autenticação Google para a sua instância do Looker depois de já ter sido ativada, há alguns aspetos a ter em conta:

• Os utilizadores criados antes de a autenticação Google ter sido adicionada e que já configuraram um início de sessão e uma palavra-passe de email normais continuam a funcionar.
• Os utilizadores criados depois de a autenticação Google ter sido adicionada já não vão poder iniciar sessão. Embora as respetivas contas continuem a existir, não têm forma de aceder às mesmas, e as contas ficam efetivamente órfãs.

É por isso que sugerimos que evite este trajeto. Se tiver de seguir este caminho, pode existir um método para corrigir as contas órfãs através da API Looker. Contacte o apoio técnico do Looker para receber orientações adicionais.