Configurações de administrador: autenticação do Google

Na página Autenticação do Google na seção Autenticação do menu Administrador, é possível configurar o OAuth do Google no Looker.

Visão geral do recurso

O Looker pode fazer a autenticação com o Google OAuth para usuários que têm contas registradas no Google Workspace.

  • As organizações que usam o Google Workspace podem autenticar usuários do Looker que têm Contas do Google.
  • Os usuários fazem login no Looker fazendo a autenticação com a Conta do Google.
  • As novas Contas do Google recebem acesso automático ao Looker. Não é necessário convidar os usuários para o Looker separadamente. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
  • Quando ativado, o Looker autentica os usuários apenas com o OAuth do Google, a menos que a opção "login alternativo" esteja selecionada. Consulte a seção a seguir em Como ativar logins por e-mail enquanto o Google Auth está ativado.
  • O avatar de um usuário no Google aparece na barra de navegação em vez do símbolo de usuário padrão.
  • Ao ativar o Google OAuth, a instância do Looker pode mesclar contas de usuário com o domínio registrado pelo Google, mas apenas para contas com endereço de e-mail que corresponda ao domínio. Todas as outras contas que não são de administrador não poderão fazer login.
  • Todos os usuários no domínio especificado têm acesso à instância do Looker.
  • As permissões para novos usuários do Google são padronizadas para acesso básico a uma lista especificada de modelos (que pode, opcionalmente, ser acesso a modelos zero). As permissões podem ser atualizadas por um administrador após a criação da conta.
  • As novas contas do Looker que fazem a autenticação usando o OAuth do Google não podem mudar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

Para usar o Google OAuth, você precisa do seguinte:

Como ativar a autenticação com o OAuth do Google

Para ativar a autenticação com o Google OAuth, um administrador precisa executar etapas no Google e no Looker, conforme descrito nas seções a seguir.

Configuração no lado do Google

As etapas para ativar o Google OAuth no Google estão descritas nesta seção. A descrição genérica dessas etapas está na página de Suporte do Google em Como configurar o OAuth 2.0. Consulte também a documentação na Ajuda do console do Google Cloud.

  1. Acesse o Console do Google Cloud.

  2. Clique na seta para baixo no menu suspenso Selecionar um projeto. Você verá o nome de um projeto existente no menu suspenso. Clique na seta para baixo mesmo assim para acessar a opção de criar um novo projeto.

  3. Na página Selecionar um projeto, clique em Novo projeto.

    O Google exibe a página Novo projeto.

  4. Preencha as informações na página Novo projeto e clique em Criar.

    Quando o Google terminar de criar o novo projeto, o Google retornará ao console do Google Cloud e mostrará o novo projeto.

  5. No menu à esquerda, selecione APIs e serviços > Credenciais.

  6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente OAuth no menu suspenso.

    O Google exibe a página Criar ID do cliente OAuth.

  7. O Google exige que você configure uma tela de consentimento OAuth. Ela permite que os usuários escolham como conceder acesso aos dados particulares deles e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de consentimento. Se você tiver configurado o consentimento do OAuth para um projeto anterior, não verá essa opção e poderá pular para a etapa 13.

    O Google exibirá a página Tela de consentimento OAuth.

  8. Insira o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospeda a instância em https://mycompany.looker.com, o domínio é looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

  9. Configure a tela de permissão OAuth e clique em Salvar e continuar.

  10. Na página Escopos, clique em Salvar e continuar. Nenhuma outra configuração de escopo é necessária.

  11. Na página Resumo, clique em Voltar para o painel.

    O Google leva você de volta à página Criar ID do cliente OAuth.

  12. Em Tipo de aplicativo, selecione Aplicativo da Web.

  13. No campo Nome, digite um nome para o ID do cliente OAuth.

  14. No campo Origens JavaScript autorizadas, insira o URL da instância do Looker, incluindo https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

  15. No campo URIs de redirecionamento autorizados, insira o URL da instância do Looker seguido de /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Clique em Criar.

  17. Copie o ID do cliente e a chave secreta do cliente. Você vai precisar deles para configurar o Looker.

Configuração no Looker

Para ativar o Google OAuth no Looker, siga estas etapas.

  1. No aplicativo Looker, após fazer login como administrador, clique no menu suspenso Administrador para abrir o menu Administrador.

  2. No grupo Authentication, clique em Google. O Looker mostra a página Autenticação do Google.

  3. Clique em Ativado para exibir e editar as configurações do OAuth do Google. Isso não ativa a autenticação do Google imediatamente. Você precisa confirmar sua escolha mais tarde.

  4. Insira suas Configurações de autenticação do Google.

    • ID e chave secreta do cliente: copie e cole esses valores da página Cliente OAuth do Google, conforme as instruções de configuração anteriores do Google.
    • Domínios: os nomes de domínio da sua organização gerenciados pelo Google. Qualquer usuário do Google no domínio especificado pode fazer login na sua instância do Looker. Se você controla vários domínios do Google, insira-os separados por vírgulas.

  5. Digite Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o OAuth do Google.

    • Login alternativo para administradores: permite que os administradores continuem fazendo login com e-mail e senha, o que é uma alternativa útil em caso de problemas ao configurar o Google OAuth. Essa configuração é recomendada e é descrita em Como ativar logins por e-mail enquanto o Google Auth está ativado.
    • Mesclar por e-mail: converte todos os usuários existentes com endereços de e-mail nos Domínios fornecidos para usar o Google OAuth no próximo login. Essa configuração é recomendada.
    • Papéis para novos usuários: especifica a funcionalidade e o acesso ao modelo que os novos usuários não administradores têm. Esta lista pode ser atualizada mais tarde. Se deixado em branco, os novos usuários autenticados pelo Google terão funcionalidade limitada na plataforma Looker até que um administrador adicione um papel à conta. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, especifique uma função padrão para os novos usuários que limite o acesso de forma adequada.

  6. Clique em Testar a autenticação do Google para usar as configurações atuais e tentar autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

    Se você não estiver conectado ao Google, será solicitado que você faça login e dê seu consentimento para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da tela de consentimento usadas na configuração do Google.

    Quando isso ocorrer, uma seção Informações do usuário vai aparecer com seu nome, e-mail e domínio. A presença dessa seção Informações do usuário mostra que ele foi autenticado pelo Looker.

    Após a falha, as descrições dos erros são exibidas. Confira alguns problemas comuns:

    • ID ou chave secreta do cliente com erros de cópia. Eles devem ser copiados com cuidado e colados por completo.
    • O usuário está fora do domínio. Se houver uma seção Informações da pessoa, mas não Informações do usuário, é provável que o usuário não esteja no domínio especificado. Isso mostra que a pessoa fez a autenticação no Google corretamente, mas não está usando a Conta do Google que você permitiu na instância do Looker.
    • Um URL do Looker ou um URL de redirecionamento não está configurado corretamente no Google para sua instância do Looker.

  7. Para salvar e aplicar as mudanças, marque Confirmei a configuração acima e quero ativar a aplicação global. Clique em Atualizar.

Dicas

  • Para testar o ciclo de autenticação completo, saia do Google e observe que ele solicita que você faça login de novo quando tenta entrar no Looker.

  • No Google, clique em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail, no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

    Nessa página, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Apps e sites Ver tudo, você (como usuário) pode ver e gerenciar os serviços e apps a que concedeu permissões.

    Ao clicar nas permissões do Looker que você concedeu para fazer login, os usuários veem os detalhes na tela de consentimento que você personalizou anteriormente. Também é possível clicar em Revogar acesso para receber uma nova solicitação na próxima vez que você fizer login no Looker (ou autorização de teste). É possível usar esse fluxo de trabalho para ajudar a personalizar sua tela de consentimento e saber o que será exibido aos usuários.

Solução de problemas

  • Se a tentativa de login de um usuário falhar, primeiro verifique se o usuário tem o nome e o sobrenome na Conta do Google. Se o usuário tiver excluído o nome ou sobrenome da Conta do Google, talvez o Looker não consiga autenticar o usuário com o OAuth do Google.

  • Se a tentativa de login de um usuário falhar e o Looker exibir um erro, como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd tiver um domínio, verifique se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta dele em uma conta gerenciada no domínio.

  • Se a tentativa de login de um usuário falhar, mas o Looker não mostrar uma mensagem de erro, talvez o usuário tenha editado o nome da conta do Google Workspace e excluído o nome ou sobrenome. Nesse caso, o nome da conta do Google Workspace ainda pode parecer completo no Admin Console e talvez não mostre as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem esta configuração.

Como ativar logins por e-mail com o Google Auth ativado

As novas Contas do Google recebem acesso automático ao Looker, então não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário com um endereço de e-mail que não esteja no domínio do Google:

  1. Ativar a opção Login alternativo para administradores e usuários especificados na página do Google Auth
  2. Crie ou modifique um função do usuário existente para adicionar a permissão login_special_email
  3. Acesse Adicionar usuários no painel de usuários (/admin/users/new)
  4. Adicione os endereços de e-mail que você quer incluir e os papéis que esses usuários devem ter, que precisam incluir um papel com a permissão login_special_email.
  5. Esses usuários agora podem fazer login com https://mycompany.looker.com/login/email (URL oculto)

Desativar o Google Auth depois que ele for ativado

Se você quiser desativar a autenticação do Google na sua instância do Looker depois da ativação, considere o seguinte:

  • Os usuários criados antes de a autenticação do Google ser adicionada e que já tiverem configurado um login e uma senha de e-mail normais continuarão funcionando.
  • Os usuários criados após a adição da autenticação do Google não poderão mais fazer login. Embora as contas ainda existam, eles não têm como acessá-las, e as contas ficam efetivamente órfãs.

Por isso, sugerimos evitar este trajeto. Se você precisar seguir esse caminho, talvez exista um método para corrigir as contas órfãs usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.