Administratoreinstellungen – LDAP-Authentifizierung

Auf der Seite LDAP im Abschnitt Authentifizierung des Menüs Admin können Sie Looker so konfigurieren, dass Nutzer mit Lightweight Directory Access Protocol (LDAP) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie dort eine Anleitung zum Verknüpfen von LDAP-Gruppen mit Looker-Rollen und -Berechtigungen.

Denken Sie daran:

• Für die Looker-Authentifizierung wird die „einfache“ Authentifizierung von LDAP verwendet. Die anonyme Authentifizierung wird nicht unterstützt.
• Sie müssen ein einzelnes LDAP-Nutzerkonto erstellen, das Leseberechtigungen für Nutzereinträge und alle von Looker verwendeten Gruppeneinträge hat.
• Looker liest nur aus dem LDAP-Verzeichnis (keine Schreibvorgänge).
• Looker kann vorhandene Konten mithilfe von E-Mail-Adressen zu LDAP migrieren.
• Bei der Nutzung der Looker API erfolgt keine Interaktion mit der LDAP-Authentifizierung.
• Wenn Ihr LDAP-Server IP-Traffic einschränkt, müssen Sie die IP-Adressen von Looker der IP-Zulassungsliste oder den Regeln für eingehenden Traffic Ihres LDAP-Servers hinzufügen.
• LDAP überschreibt die 2-Faktor-Authentifizierung. Wenn Sie die 2-Faktor-Authentifizierung zuvor aktiviert haben, sehen Ihre Nutzer die Anmeldebildschirme nicht, nachdem Sie LDAP aktiviert haben.

Vorsicht beim Deaktivieren der LDAP-Authentifizierung

Wenn Sie über LDAP bei Looker angemeldet sind und die LDAP-Authentifizierung deaktivieren möchten, müssen Sie zuerst beide Schritte ausführen:

• Sie benötigen andere Anmeldedaten, um sich anzumelden.
• Aktivieren Sie auf der LDAP-Konfigurationsseite die Option Alternative Anmeldung.

Andernfalls könnten Sie Looker selbst und andere Nutzer sperren.

Erste Schritte

Rufen Sie im Bereich Admin von Looker die Seite LDAP-Authentifizierung auf, um die folgenden Konfigurationsoptionen zu sehen.

Verbindung einrichten

Looker unterstützt die Übertragung und Verschlüsselung mit LDAP im Klaren und mit LDAP über TLS. LDAP über TLS wird dringend empfohlen. StartTLS und andere Verschlüsselungsschemata werden nicht unterstützt.

1. Geben Sie die Informationen für Host und Port ein.
2. Klicken Sie das Kästchen neben TLS an, wenn Sie LDAP über TLS verwenden.
3. Wenn Sie LDAP über TLS verwenden, erzwingt Looker standardmäßig die Überprüfung des Peer-Zertifikats. Wenn Sie die Peer-Zertifikatsprüfung deaktivieren müssen, wählen Sie NoVerify (Keine Überprüfung) aus.
4. Klicken Sie auf Test Connection. Korrigieren Sie etwaige Fehler, bevor Sie fortfahren.

Verbindungsauthentifizierung

Looker benötigt Zugriff auf ein LDAP-Konto, das passwortgeschützt ist. Das LDAP-Konto muss Lesezugriff auf Personeneinträge und einen neuen Satz von Rolleneinträgen haben. Das Looker-LDAP-Konto benötigt keinen Schreibzugriff (noch Zugriff auf andere Aspekte des Verzeichnisses) und es spielt keine Rolle, in welchem Namespace das Konto erstellt wird.

1. Geben Sie das Passwort ein.
2. [Optional] Klicken Sie das Kästchen Kein Paging erzwingen an, wenn Ihr LDAP-Anbieter keine paginierten Ergebnisse bereitstellt. Dies kann hilfreich sein, wenn Sie bei der Suche nach Nutzern keine Treffer erhalten, obwohl dies nicht die einzige Lösung für ein solches Problem ist.
3. Klicken Sie auf die Schaltfläche Test Authentication (Authentifizierung testen). Wenn Fehler auftreten, prüfen Sie, ob Ihre Authentifizierungsinformationen korrekt sind. Wenn Ihre Anmeldedaten gültig sind, die Fehler aber weiterhin auftreten, wenden Sie sich an den LDAP-Administrator Ihres Unternehmens.

Einstellungen für Nutzerbindung

Die Details in diesem Abschnitt geben an, wie Looker Nutzer in Ihrem Verzeichnis findet, zur Authentifizierung gebunden und Nutzerinformationen extrahiert.

1. Legen Sie den Basis-DN fest, der die Grundlage des Suchbaums für alle Nutzer ist.
2. [Optional] Geben Sie eine Nutzerobjektklasse an. Damit wird gesteuert, welche Arten von Ergebnissen Looker findet und zurückgibt. Dies ist nützlich, wenn der Basis-DN eine Mischung aus Objekttypen (Personen, Gruppen, Drucker usw.) ist und Sie nur Einträge eines Typs zurückgeben möchten.
3. Legen Sie die Anmeldeattribute fest, mit denen die Attribute definiert werden, die Ihre Nutzer bei der Anmeldung verwenden werden. Sie müssen für jeden Nutzer eindeutig sein und Ihren Nutzern als ID in Ihrem System bekannt sein. Sie können beispielsweise eine Nutzer-ID oder eine vollständige E-Mail-Adresse auswählen. Wenn Sie mehr als ein Attribut hinzufügen, durchsucht Looker beide, um den entsprechenden Nutzer zu finden. Verwenden Sie keine Formate, bei denen doppelte Konten entstehen können, z. B. Vor- und Nachname.
4. Geben Sie die Werte für Email Attr, First Name Attr und Last Name Attr an. Anhand dieser Informationen wird Looker mitgeteilt, wie diese Felder zugeordnet und bei der Anmeldung extrahiert werden können.
5. Legen Sie das ID-Attr fest. Dieses gibt ein Feld an, das Looker als eindeutige ID für Nutzer verwendet. Dies ist in der Regel eines der Anmeldefelder.
6. Geben Sie optional einen optionalen benutzerdefinierten Filter ein. Damit können Sie beliebige LDAP-Filter angeben, die angewendet werden, wenn nach einem Nutzer eine Bindung während der LDAP-Authentifizierung erfolgt. Das ist nützlich, wenn Sie Datensätze von Nutzern herausfiltern möchten, z. B. deaktivierte Nutzer oder Nutzer, die sich in einer anderen Organisation befinden.

Beispiel

In diesem Beispiel für einen ldiff-Nutzereintrag wird gezeigt, wie die entsprechenden Looker-Einstellungen festgelegt werden:

Ldiff-Nutzereintrag

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Entsprechende Looker-Einstellungen

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln

Optional können Sie die Daten in Ihren LDAP-Nutzerattributen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise LDAP so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

Beachten Sie, dass das LDAP-Attribut ein Nutzerattribut und kein Gruppenattribut sein muss.

So koppeln Sie LDAP-Nutzerattribute mit den entsprechenden Looker-Nutzerattributen:

1. Geben Sie den Namen des LDAP-Nutzerattributs in das Feld LDAP-Nutzerattribut und den Namen des Looker-Nutzerattributs, mit dem Sie es verknüpfen möchten, im Feld Looker-Nutzerattribute ein.
2. Klicken Sie das Kästchen Erforderlich an, wenn ein LDAP-Attributwert erforderlich sein soll, damit sich Nutzer anmelden können.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Nutzerinformationen testen

1. Geben Sie die Anmeldedaten eines Testnutzers ein und klicken Sie auf die Schaltfläche Test User Authentication (Nutzerauthentifizierung testen). Looker versucht eine vollständige LDAP-Authentifizierungssequenz und zeigt das Ergebnis an. Im Erfolgsfall gibt Looker die Nutzerinformationen aus dem Verzeichnis sowie einige Trace-Informationen zum Authentifizierungsprozess aus, die beim Beheben von Konfigurationsproblemen helfen können.
2. Prüfen Sie, ob die Authentifizierung erfolgreich ist und alle Felder richtig zugeordnet sind. Das Feld first_name darf beispielsweise keinen Wert enthalten, der zu last_name gehört.

Gruppen und Rollen

Sie können Looker so konfigurieren, dass Gruppen erstellt werden, die Ihre extern verwalteten LDAP-Gruppen spiegeln. Anschließend können Sie Nutzern Looker-Rollen basierend auf ihren gespiegelten LDAP-Gruppen zuweisen. Wenn Sie Änderungen an Ihrer LDAP-Gruppenmitgliedschaft vornehmen, werden diese automatisch in die Looker-Gruppenkonfiguration übernommen.

Durch das Spiegeln von LDAP-Gruppen können Sie Ihr extern definiertes LDAP-Verzeichnis zum Verwalten von Looker-Gruppen und -Nutzern verwenden. Auf diese Weise können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie die Option LDAP-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede LDAP-Gruppe, die in das System eingeführt wird. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und -rollen

Der Schalter LDAP-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue LDAP-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten.

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden auch nicht neu angewendet, wenn sie nach der ersten Anmeldung des Nutzers von den Nutzern entfernt werden.

Wenn Sie später gespiegelte LDAP-Gruppen aktivieren, werden diese Standardeinstellungen für Nutzer bei der nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt LDAP-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder werden nicht mehr zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.

Spiegeln von LDAP-Gruppen aktivieren

Wenn Sie Ihre LDAP-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter LDAP-Gruppen spiegeln. Looker zeigt diese Einstellungen an:

Gruppensuche-Strategie: Wählen Sie eine Option aus dem Drop-down-Menü aus, um Looker mitzuteilen, wie die Gruppen eines Nutzers gesucht werden soll:

• Gruppen haben Mitgliederattribute: Dies ist die üblichere Option. Bei der Suche nach einem Gruppenmitglied gibt Looker nur die Gruppen zurück, denen ein Nutzer direkt zugewiesen ist. Wenn ein Nutzer beispielsweise Mitglied der Gruppe "Datenbank-Administrator" und die Gruppe "Datenbank-Administrator" Mitglied der Gruppe "Entwicklung" ist, erhält der Nutzer nur die Berechtigungen, die mit der Gruppe "Datenbank-Administrator" verknüpft sind.

• Gruppen haben Mitgliederattribute (tiefgehende Suche): Mit dieser Option können Gruppen Mitglieder anderer Gruppen sein. Dies wird manchmal als verschachtelte LDAP-Gruppen bezeichnet. Das bedeutet, dass ein Nutzer die Berechtigungen für mehrere Gruppen haben kann. Wenn ein Nutzer beispielsweise Mitglied der Gruppe "Datenbank-Administrator" und die Gruppe "Datenbank-Administrator" Mitglied der Gruppe "Entwicklung" ist, erhält der Nutzer die Berechtigungen, die mit beiden Gruppen verbunden sind. Einige LDAP-Server (insbesondere Microsoft Active Directory) unterstützen die automatische Ausführung dieser Art der Tiefensuche, selbst wenn der Aufrufer eine scheinbar oberflächliche Suche ausführt. Dies ist möglicherweise eine weitere Methode, mit der Sie eine Tiefensuche ausführen können.

Base DN (Basis-DN): Ermöglicht es Ihnen, die Suche einzugrenzen. Der Basis-DN kann mit dem Basis-DN übereinstimmen, der im Abschnitt Einstellungen für die Nutzerbindung auf dieser Dokumentationsseite angegeben wurde.

Groups Object Class(s): Diese Einstellung ist optional. Wie im Abschnitt Einstellungen für die Nutzerbindung erwähnt, können die von Looker zurückgegebenen Ergebnisse auf einen bestimmten Objekttyp oder eine Gruppe von Typen beschränkt werden.

Attraktion der Gruppenmitglieder: Das Attribut, das für jede Gruppe die Objekte (in diesem Fall wahrscheinlich die Personen) bestimmt, die Mitglied sind.

Group User Attr (Gruppennutzerattr.): Der Name des LDAP-Nutzerattributs, nach dessen Wert in den Gruppeneinträgen gesucht wird, um festzustellen, ob ein Nutzer zur Gruppe gehört. Die Standardeinstellung ist dn (d. h., das Feld leer zu lassen, entspricht dem Festlegen von dn). Dies führt dazu, dass LDAP zur Suche nach Gruppeneinträgen den vollständigen Distinguished Name verwendet. Dies ist der genaue String, bei dem die Groß-/Kleinschreibung beachtet wird und der auch in der LDAP-Suche selbst vorhanden wäre.

Bevorzugter Gruppenname/Rollen/Gruppen-DN: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden LDAP-Gruppe in Looker zugewiesen sind.

1. Geben Sie den LDAP-Gruppen-DN in das Feld Gruppen-DN ein. Dieser sollte den vollständigen Distinguished Name enthalten, bei dem es sich genau um den String handelt, bei dem die Groß-/Kleinschreibung beachtet wird wie in der LDAP-Suche. LDAP-Nutzer, die in der LDAP-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.

3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

4. Klicken Sie auf +, um weitere Felder hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern der Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, aber die Gruppe selbst bleibt intakt. Beispielsweise können Sie den benutzerdefinierten Namen einer Gruppe ändern. Dadurch würde die Gruppe zwar auf der Looker-Seite Gruppen angezeigt, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie den Gruppen-DN ändern, bleiben der Gruppenname und die Rollen erhalten. Mitglieder der Gruppe werden jedoch auf Grundlage der Nutzer neu zugewiesen, die Mitglieder der externen LDAP-Gruppe mit dem neuen LDAP-Gruppen-DN sind.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihren Mitgliedern werden die Rollen in Lookerr nicht mehr über diese Gruppe zugewiesen.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal bei Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter LDAP-Gruppen spiegeln aktiviert haben, werden in Looker diese Einstellungen angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und -Benutzern haben, die aus Looker gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppe und Ihre Nutzerkonfiguration genau Ihrer LDAP-Konfiguration entsprechen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über LDAP-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität wünschen, um Ihre Gruppen in Looker weiter anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre LDAP-Konfiguration, Sie können aber zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen. So können Sie z. B. LDAP-Nutzer zu Looker-Gruppen hinzufügen oder LDAP-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder Looker-Instanzen, für die zuvor keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne LDAP-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Looker-Rollen nicht direkt LDAP-Nutzern zuweisen. LDAP-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn LDAP-Nutzer die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen zulässig ist, können sie ihre Rollen sowohl von gespiegelten LDAP-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Alle LDAP-Nutzer, denen Rollen zuvor direkt zugewiesen waren, werden bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzern direkt Looker-Rollen zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in Nicht-LDAP-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren keine LDAP-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte LDAP-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können LDAP-Nutzer ihre Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle LDAP-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzer direkt integrierten Looker-Gruppen hinzufügen.

Rollenübernahme von Nicht-LDAP-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten LDAP-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. Alle LDAP-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte LDAP-Gruppen oder LDAP-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt wurden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Authentifizierung erfordert Rolle: Wenn diese Option aktiviert ist, müssen LDAP-Nutzer eine Rolle haben. LDAP-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht bei Looker anmelden.

Ist diese Option deaktiviert, können sich LDAP-Nutzer auch dann bei Looker authentifizieren, wenn ihnen keine Rolle zugewiesen wurde. Ein Nutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen oder Aktionen ausführen, sich aber bei Looker anmelden.

Spiegel-LDAP-Gruppen deaktivieren

Wenn Sie Ihre LDAP-Gruppen nicht mehr in Looker spiegeln möchten, deaktivieren Sie den Schalter LDAP-Gruppen spiegeln. Alle leeren Spiegel-LDAP-Gruppen werden gelöscht.

Spiegel-LDAP-Gruppen sind weiterhin für das Content-Management und die Rollenerstellung verfügbar. Nutzer können jedoch nicht zu gespiegelten LDAP-Gruppen hinzugefügt oder daraus entfernt werden.

Migrations- und Integrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

• Ermöglichen Sie Administratoren und Nutzern mit der Berechtigung login_special_email eine alternative E-Mail-basierte Anmeldung. Weitere Informationen zum Festlegen dieser Berechtigung finden Sie in der Dokumentation zu Rollen. Diese Option wird auf der Looker-Anmeldeseite angezeigt, wenn Sie sie aktiviert haben und der Nutzer die entsprechende Berechtigung hat.
• Diese Option ist als Fallback bei der LDAP-Einrichtung nützlich, wenn Probleme mit der LDAP-Konfiguration später auftreten oder wenn Sie Nutzer unterstützen möchten, die sich nicht in Ihrem LDAP-Verzeichnis befinden.
• Looker-Anmeldungen mit E-Mail-Adresse und Passwort sind für normale Nutzer immer deaktiviert, wenn LDAP aktiviert ist.

Per E-Mail-Adresse zusammenführen

• Mit dieser Option kann Looker neue LDAP-Nutzer anhand ihrer E-Mail-Adresse mit ihren vorhandenen Looker-Konten zusammenführen.
• Wenn Looker keine übereinstimmende E-Mail-Adresse findet, wird für den Nutzer ein neues Konto erstellt.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden wurden, klicken Sie das Kästchen Ich habe die obige Konfiguration bestätigt und möchte die globale Anwendung aktivieren an und klicken Sie zum Speichern auf Einstellungen aktualisieren.