Configurações de administrador: autenticação do Google

A página Autenticação do Google na seção Autenticação do menu Administrador permite configurar o OAuth do Google no Looker.

Visão geral do recurso

O Looker pode fazer a autenticação usando o OAuth do Google para usuários que têm contas registradas no Google Workspace.

• As organizações que usam o Google Workspace podem autenticar usuários do Looker com Contas do Google.
• Os usuários fazem login no Looker se autenticando com a Conta do Google.
• As novas Contas do Google recebem acesso automático ao Looker. Não é necessário convidar usuários separadamente para o Looker. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
• Quando ativado, o Looker autentica os usuários somente com o OAuth do Google a menos que a opção "login alternativo" seja selecionada. Consulte a seção a seguir sobre Como ativar logins por e-mail com o Google Auth ativado.
• O avatar do Google de um usuário aparece na barra de navegação em vez do símbolo padrão de usuário.

• Ao ativar o OAuth do Google, a instância do Looker pode mesclar contas de usuário atuais com o domínio registrado no Google, mas apenas para contas cujo endereço de e-mail corresponda ao domínio. Todas as outras contas que não são de administrador vão perder a capacidade de fazer login.
• Todos os usuários no domínio especificado têm acesso à instância do Looker.
• As permissões para novos usuários do Google são definidas como acesso básico para uma lista especificada de modelos (que pode ser o acesso a nenhum modelo). As permissões podem ser atualizadas por um administrador após a criação da conta.
• As novas contas do Looker que fazem autenticação usando o OAuth do Google não podem mudar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

Para usar o Google OAuth, é necessário:

• Uma conta do Google Workspace para a organização.
• Um domínio controlado pela organização e registrado na conta do Google Workspace.
• Usuários com endereços de e-mail no domínio associado à Conta do Google.
• Cada usuário precisa ter uma conta de usuário gerenciada no Google Workspace. Para encontrar e migrar usuários com contas não gerenciadas, use a Ferramenta de transferência de usuários não gerenciados.

Como ativar a autenticação com o OAuth do Google

Para ativar a autenticação com o Google OAuth, um administrador precisa realizar etapas no Google e no Looker, conforme descrito nas seções a seguir.

Configuração do lado do Google

As etapas para ativar o OAuth do Google no lado do Google estão descritas nesta seção. A descrição genérica dessas etapas está na página de suporte do Google sobre como configurar o OAuth 2.0. Você também pode consultar a documentação da Ajuda do console doGoogle Cloud .

1. Acesse o console doGoogle Cloud .

2. Clique na seta para baixo no menu suspenso Selecionar um projeto. O nome de um projeto atual pode aparecer no menu suspenso. Clique na seta para baixo mesmo assim, e você vai encontrar a opção de criar um projeto.

3. Na página Selecionar um projeto, clique em Novo projeto.

   O Google mostra a página Novo projeto.

4. Preencha as informações na página Novo projeto e clique em Criar.

   Quando o Google terminar de criar seu novo projeto, ele vai redirecionar você para o console Google Cloud e mostrar o novo projeto.

5. No menu à esquerda, selecione APIs e serviços > Credenciais.

6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente OAuth no menu suspenso.

   O Google mostra a página Criar ID do cliente OAuth.

7. O Google exige que você configure uma tela de permissão OAuth, que permite aos usuários escolher como conceder acesso aos dados particulares deles e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de consentimento. Se você já tiver configurado o consentimento do OAuth para um projeto anterior, essa opção não vai aparecer. Nesse caso, pule para a etapa 13.

   O Google mostra a página Tela de permissão OAuth.

8. Digite o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

9. Configure a tela de permissão OAuth e clique em Salvar e continuar.

10. Na página Escopos, clique em Salvar e continuar. Nenhuma configuração de escopo adicional é necessária.

11. Na página Resumo, clique em Voltar ao painel.

    O Google vai redirecionar você para a página Criar ID do cliente OAuth.

12. Em Tipo de aplicativo, selecione Aplicativo da Web.

13. No campo Nome, insira um nome para o ID do cliente OAuth.

14. No campo Origens JavaScript autorizadas, insira o URL da sua instância do Looker, incluindo o https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

15. No campo URIs de redirecionamento autorizados, insira o URL da sua instância do Looker, seguido por /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

16. Clique em Criar.

17. Copie os valores do ID do cliente e da chave secreta do cliente. Você vai precisar deles para configurar o Looker.

Configuração no Looker

Para ativar o OAuth do Google no Looker, siga estas etapas.

1. No aplicativo Looker, faça login como administrador e clique no menu suspenso Administrador para abrir o menu Administrador.

2. No grupo Autenticação, clique em Google. O Looker mostra a página Autenticação do Google.

3. Clique em Ativado para mostrar e editar as configurações do OAuth do Google. Isso não ativa imediatamente a autenticação do Google. Você precisa confirmar sua escolha mais tarde.

4. Insira suas configurações de autenticação do Google.

   • ID e chave secreta do cliente: copie e cole esses valores da página do cliente OAuth do Google, conforme discutido nas instruções de configuração anteriores do Google.
   • Domínios: são os nomes de domínio gerenciados pelo Google da sua organização. Qualquer usuário do Google no domínio especificado pode fazer login na sua instância do Looker. Se você controla vários domínios do Google, insira-os separados por vírgulas.

5. Insira Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o Google OAuth.

   • Login alternativo para administradores: permite que os administradores continuem fazendo login com e-mail e senha, o que é útil em caso de problemas na configuração do OAuth do Google. Essa configuração é recomendada e descrita mais detalhadamente em Ativar logins por e-mail enquanto o Google Auth está ativado.
   • Mesclar por e-mail: converte todos os usuários atuais com endereços de e-mail nos Domínios especificados para usar o OAuth do Google no próximo login. Essa configuração é recomendada.
   • Funções para novos usuários: especifica a funcionalidade e o acesso ao modelo que os novos usuários não administradores têm. Essa lista pode ser atualizada mais tarde. Se ficar em branco, os novos usuários autenticados pelo Google terão funcionalidade limitada na plataforma do Looker até que um administrador adicione uma função à conta deles. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, especifique uma função padrão para novos usuários que limite o acesso de maneira adequada.

6. Clique em Testar a autenticação do Google para usar as configurações atuais e tentar autenticar o navegador atual em uma nova janela. Essa ação não salva nem aplica as configurações atuais à instância do Looker.

   Se você não tiver feito login no Google, será preciso fazer isso e dar consentimento para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da tela de consentimento que você usou na configuração do lado do Google.

   Se tudo der certo, uma seção Informações do usuário vai aparecer com seu nome, e-mail e domínio. A presença da seção Informações do usuário mostra que esse usuário seria autenticado com sucesso pelo Looker.

   Em caso de falha, as descrições de erro aparecem. Confira alguns problemas comuns:

   • ID do cliente ou chave secreta do cliente copiados incorretamente. Eles precisam ser copiados e colados com cuidado e por completo.
   • O usuário está fora do domínio. Se você encontrar uma seção Informações pessoais, mas não Informações do usuário, provavelmente é porque o usuário não está no domínio especificado. Isso mostra que a pessoa se autenticou corretamente no Google, mas não está usando uma Conta do Google que você permitiu na sua instância do Looker.
   • Um URL do Looker ou de redirecionamento não está configurado corretamente no Google para sua instância do Looker.

7. Para salvar e aplicar as mudanças, marque Confirmei a configuração acima e quero ativar a aplicação global. Clique em Atualizar.

Dicas

• Para testar o ciclo de autenticação completo, saia do Google e veja que ele pede para você fazer login de novo quando tenta acessar o Looker.

• No Google, clique em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

  Nessa página de gerenciamento, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Apps e sites Ver tudo, você (como usuário) pode conferir e gerenciar os serviços e apps a que concedeu permissões.

  Ao clicar nas permissões do Looker que você concedeu para fazer login, os detalhes que os usuários veem na tela de consentimento personalizada anteriormente são mostrados. Você também pode clicar em Revogar acesso para que, na próxima vez que fizer login no Looker ou testar a autorização, a tela de consentimento apareça novamente. Use esse fluxo de trabalho para personalizar a tela de consentimento e ver o que os usuários vão encontrar.

Solução de problemas

• Se a tentativa de login de um usuário falhar, primeiro verifique se ele tem um nome e um sobrenome nas Contas do Google. Se o usuário tiver excluído o nome ou sobrenome da Conta do Google, o Looker talvez não consiga autenticar o usuário com o OAuth do Google.

• Se a tentativa de login de um usuário falhar e o Looker mostrar um erro como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd contiver um domínio, verifique se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta em uma conta gerenciada no seu domínio.

• Se a tentativa de login de um usuário falhar, mas o Looker não mostrar uma mensagem de erro, talvez ele tenha editado o nome da conta do Google Workspace e excluído o nome ou o sobrenome. Nessa situação, o nome da conta do Google Workspace ainda pode parecer completo no Admin Console, que talvez não mostre as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem essa configuração.

Ativar logins por e-mail enquanto o Google Auth está ativado

As novas Contas do Google recebem acesso automático ao Looker. Portanto, não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário com um endereço de e-mail que não está no seu Google Domains:

1. Ative a opção Login alternativo para administradores e usuários especificados na página do Google Auth.
2. Criar ou modificar uma função do usuário para adicionar a permissão login_special_email
3. Acesse Adicionar usuários no painel de usuários (/admin/users/new).
4. Adicione os endereços de e-mail que você quer incluir e as funções que esses usuários devem ter, incluindo uma função com a permissão login_special_email.
5. Agora, esses usuários podem fazer login usando https://mycompany.looker.com/login/email (URL oculto).

Desativar o Google Auth depois de ativado

Se você quiser desativar a autenticação do Google na sua instância do Looker depois que ela já tiver sido ativada, considere o seguinte:

• Os usuários criados antes da adição da autenticação do Google e que já configuraram um login e uma senha de e-mail normais ainda vão funcionar.
• Os usuários criados depois da adição da autenticação do Google não poderão mais fazer login. Embora as contas ainda existam, não há como acessá-las, e elas ficam órfãs.

Por isso, sugerimos evitar esse trajeto. Se você precisar seguir esse caminho, talvez haja um método para corrigir as contas órfãs usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.