Configuración del administrador: autenticación de LDAP

La página LDAP en la sección Authentication del menú Admin te permite configurar Looker para autenticar usuarios con el Protocolo ligero de acceso a directorios (LDAP). En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos LDAP a los roles y permisos de Looker.

Recuerda:

  • La autenticación de Looker usa la autenticación “simple” de LDAP. No se admite la autenticación anónima.
  • Debes crear una sola cuenta de usuario de LDAP que tenga privilegios de lectura para las entradas de usuario y cualquier entrada de grupo que usará Looker.
  • Looker solo lee desde el directorio de LDAP (sin operaciones de escritura).
  • Looker puede migrar cuentas existentes a LDAP con direcciones de correo electrónico.
  • El uso de la API de Looker no interactúa con la autenticación de LDAP.
  • Si tu servidor LDAP restringe el tráfico IP, deberás agregar las direcciones IP de Looker a la lista de IP permitidas o a las reglas de tráfico entrante del servidor LDAP.
  • LDAP anula la autenticación de dos factores. Si habilitó anteriormente la autenticación de dos factores, sus usuarios no verán las pantallas de inicio de sesión de la autenticación de dos factores después de que habilite LDAP.

Ten cuidado si inhabilitas la autenticación LDAP

Si accediste a Looker mediante LDAP y quieres inhabilitar la autenticación de LDAP, ten cuidado de realizar primero los dos pasos siguientes:

  • Asegúrate de tener otras credenciales para acceder.
  • Habilite la opción Nombre de acceso alternativo en la página de configuración de LDAP.

De lo contrario, puedes bloquear Looker y a ti y a otros usuarios.

Primeros pasos

Navega a la página Autenticación LDAP en la sección Administrador de Looker para ver las siguientes opciones de configuración.

Configura tu conexión

Looker admite el transporte y la encriptación con LDAP en Clear y LDAP a través de TLS. Se recomienda usar LDAP en TLS. No se admiten StartTLS ni otros esquemas de encriptación.

  1. Ingresa la información de Host y Puerto.
  2. Selecciona la casilla junto a TLS si usas LDAP a través de TLS.
  3. Si usas LDAP a través de TLS, Looker aplica la verificación del certificado de pares de forma predeterminada. Si necesitas inhabilitar la verificación de certificados de pares, marca la opción No Verify.
  4. Haz clic en Test Connection. Si aparecen errores, corrígelos antes de continuar.

Autenticación de la conexión

Looker requiere acceso a una cuenta de LDAP que está protegida con contraseña. La cuenta de LDAP debe tener acceso de lectura a las entradas de personas y a un nuevo conjunto de entradas de roles. La cuenta de LDAP de Looker no requiere acceso de escritura (ni acceso a ningún otro aspecto del directorio) y no importa en qué espacio de nombres se cree la cuenta.

  1. Ingresa la Contraseña.
  2. [Opcional] Seleccione la casilla de verificación Forzar No Paging si su proveedor de LDAP no proporciona resultados paginados. En algunos casos, esto puede ser útil si no recibes ninguna coincidencia cuando buscas usuarios, aunque no es la única solución para tal problema.
  3. Haz clic en el botón Probar autenticación. Si aparecen errores, asegúrate de que la información de autenticación sea correcta. Si tus credenciales son válidas, pero los errores persisten, comunícate con el administrador de LDAP de tu empresa.

Configuración de vinculación de usuarios

En los detalles de esta sección, se especifica cómo Looker encontrará usuarios en tu directorio, vincular para la autenticación y extraer información del usuario.

  1. Establece el DN base, que es la base del árbol de búsqueda para todos los usuarios.
  2. [Opcional] Especifica una clase de objeto de usuario, que controla los tipos de resultados que Looker encontrará y mostrará. Esto es útil si el DN base es una combinación de tipos de objetos (personas, grupos, impresoras, etc.) y solo deseas mostrar entradas de un tipo.
  3. Establece las atrás de acceso, que definen los atributos que utilizarán los usuarios para acceder. Deben ser únicos para cada usuario y ser algo que los usuarios conozcan como su ID dentro de tu sistema. Por ejemplo, puedes elegir un ID de usuario o una dirección de correo electrónico completa. Si agregas más de un atributo, Looker buscará en ambos para encontrar al usuario adecuado. Evita usar formatos que puedan generar cuentas duplicadas, como nombre y apellido.
  4. Especifica la atrás de correo electrónico, la atr de nombre y la de apellido. Esta información le indica a Looker cómo asignar esos campos y extraer su información durante el acceso.
  5. Establece la atrás de ID, que indica un campo que Looker usa como ID único para los usuarios. Por lo general, este será uno de los campos de acceso.
  6. También puede ingresar un Filtro personalizado opcional, que le permite proporcionar filtros LDAP arbitrarios que se aplicarán cuando se busque un usuario para vincularse durante la autenticación LDAP. Esto es útil si deseas filtrar conjuntos de registros de usuarios, como usuarios inhabilitados o usuarios que están en otra organización.

Ejemplo

En esta entrada de usuario de ldiff de ejemplo, se muestra cómo establecer la configuración correspondiente de Looker:

Entrada de usuario de Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configuración de Looker correspondiente

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Vincula los atributos de usuario de LDAP con los atributos de usuario de Looker

De manera opcional, puedes usar los datos de tus atributos de usuario de LDAP para propagar automáticamente los valores en los atributos de usuario de Looker cuando un usuario accede a su cuenta. Por ejemplo, si configuraste LDAP para hacer conexiones específicas de usuarios a tu base de datos, podrías vincular tus atributos de usuario LDAP con los atributos de usuario de Looker para hacer que tus conexiones de base de datos sean específicas del usuario en Looker.

Tenga en cuenta que el atributo LDAP debe ser un atributo de usuario, no un atributo de grupo.

Para vincular los atributos de usuario de LDAP con los atributos de usuario de Looker correspondientes, sigue estos pasos:

  1. Ingresa el nombre del atributo de usuario LDAP en el campo Atributo de usuario LDAP y el nombre del atributo de usuario de Looker con el que quieres vincularlo en el campo Atributos de usuario de Looker.
  2. Marque Obligatorio si desea exigir un valor de atributo de LDAP para permitir que acceda un usuario.
  3. Haz clic en + y repite estos pasos para agregar más pares de atributos.

Información del usuario de prueba

  1. Ingresa las credenciales de un usuario de prueba y haz clic en el botón Probar autenticación del usuario. Looker intentará ejecutar una secuencia de autenticación de LDAP completa y mostrará el resultado. Si la operación es exitosa, Looker mostrará la información del usuario del directorio y algunos datos de seguimiento sobre el proceso de autenticación, lo que puede ayudar a resolver problemas de configuración.
  2. Verifica que la autenticación se realice correctamente y que todos los campos se asignen correctamente. Por ejemplo, confirma que el campo first_name no contenga un valor que pertenezca a last_name.

Grupos y roles

Puedes configurar Looker para crear grupos que dupliquen tus grupos LDAP administrados de forma externa y, luego, asignar roles de Looker a los usuarios en función de sus grupos LDAP duplicados. Cuando realices cambios en la membresía del grupo de LDAP, esos cambios se propagarán automáticamente a la configuración del grupo de Looker.

La duplicación de grupos LDAP te permite usar tu directorio LDAP definido de forma externa para administrar grupos y usuarios de Looker. Esto, a su vez, te permite administrar tu membresía de grupo para varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas la Duplicación de grupos LDAP, Looker creará un grupo de Looker por cada grupo LDAP que se introduzca en el sistema. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar roles a los miembros, configurar controles de acceso al contenido y asignar atributos del usuario.

Grupos y roles predeterminados

De forma predeterminada, el interruptor Duplicar grupos LDAP está desactivado. En este caso, puede establecer un grupo predeterminado para los nuevos usuarios de LDAP. En los campos Nuevos grupos de usuarios y Nuevos roles de usuario, ingresa los nombres de los grupos o roles de Looker a los que quieras asignar usuarios nuevos cuando accedan a Looker por primera vez.

Estos grupos y roles se aplican a los usuarios nuevos cuando acceden por primera vez. Los grupos y roles no se aplican a los usuarios preexistentes y no se vuelven a aplicar si se quitan de los usuarios después del acceso inicial de estos.

Si luego habilita los grupos LDAP duplicados, estos valores predeterminados se quitarán para los usuarios la próxima vez que accedan y se reemplazarán por roles asignados en la sección Duplicar grupos LDAP. Estas opciones predeterminadas ya no estarán disponibles ni asignadas, y se reemplazarán por completo por la configuración de grupos duplicados.

Habilita grupos LDAP duplicados

Si decides duplicar tus grupos LDAP en Looker, activa el interruptor Duplicar grupos LDAP. Looker muestra estos parámetros de configuración:

Estrategia de Group Finder: Elige una opción del menú desplegable para indicarle a Looker cómo encontrar los grupos de un usuario:

  • Los grupos tienen atributos de miembro: Esta es la opción más común. Cuando busques un miembro de un grupo, Looker solo mostrará los grupos a los que un usuario esté asignado de forma directa. Por ejemplo, si un usuario es miembro del grupo Database-Admin y el grupo Database-Admin es miembro del grupo Engineering, un usuario solo obtendrá los permisos afiliados al grupo Database-Admin.

  • Los grupos tienen atributos de miembro (búsqueda profunda): Esta opción permite que los grupos sean miembros de otros grupos, que a veces se denominan grupos anidados de LDAP. Esto significa que un usuario puede tener los permisos de más de un grupo. Por ejemplo, si un usuario es miembro del grupo Database-Admin y el grupo Database-Admin es miembro del grupo Engineering, un usuario obtendría los permisos afiliados a ambos grupos. Algunos servidores LDAP (en especial Microsoft Active Directory) son compatibles con la ejecución automática de este tipo de búsqueda profunda, incluso cuando el emisor realiza una búsqueda que parece superficial. Ese puede ser otro método que puedes usar para ejecutar una búsqueda profunda.

DN base: Te permite limitar la búsqueda y puede ser el mismo que el DN base especificado en la sección Configuración de vinculación de usuarios de esta página de documentación.

Groups Object Class(s): Este parámetro de configuración es opcional. Como se mencionó en la sección Configuración de vinculación de usuarios, esto permite que los resultados que muestra Looker se limiten a un tipo de objeto o conjunto de tipos en particular.

Group Member Attr: Es el atributo que, para cada grupo, determina los objetos (en este caso, probablemente las personas) que son miembros.

Group User Attr: Es el nombre del atributo de usuario de LDAP cuyo valor buscaremos en las entradas del grupo para determinar si un usuario forma parte del grupo. El valor predeterminado es dn (lo que significa que dejarlo en blanco equivale a configurarlo en dn), lo que hará que LDAP use el Nombre distinguido completo, que es la string exacta que distingue mayúsculas de minúsculas que existiría en la búsqueda de LDAP en sí para buscar entradas de Grupos.

Nombre de grupo preferido/Roles/DN de grupo: Este conjunto de campos te permite asignar un nombre de grupo personalizado y uno o más roles asignados al grupo LDAP correspondiente en Looker.

  1. Ingresa el DN del grupo LDAP en el campo DN del grupo. Debe incluir el nombre distinguido completo, que es la cadena exacta que distingue mayúsculas de minúsculas que existiría en la búsqueda de LDAP. Los usuarios de LDAP incluidos en el grupo de LDAP se agregarán al grupo duplicado en Looker.

  2. Ingresa un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.

  3. En el campo a la derecha del campo Nombre personalizado, selecciona uno o más roles de Looker que se asignarán a cada usuario del grupo.

  4. Haz clic en + para agregar conjuntos de campos adicionales y configurar grupos duplicados adicionales. Si tienes varios grupos configurados y deseas quitar la configuración de un grupo, haz clic en la X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se configuró anteriormente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, podrías cambiar el nombre personalizado de un grupo, lo que cambiaría la forma en que aparece en la página Grupos de Looker, pero no cambiaría los roles asignados ni los miembros del grupo. Si se cambia el DN de grupo, se mantendrán el nombre y las funciones del grupo, pero los miembros se reasignarán en función de los usuarios que son miembros del grupo de LDAP externo que tiene el nuevo DN del grupo de LDAP.

Si borras un grupo de esta página, ese grupo ya no se duplicará en Looker y sus miembros ya no tendrán los roles en Lookerr asignados a través de ese grupo.

Las modificaciones que se realicen en un grupo duplicado se aplicarán a los usuarios de ese grupo la próxima vez que accedan a Looker.

Administración de roles avanzada

Si habilitaste el interruptor Duplicar grupos LDAP, Looker mostrará esta configuración. Las opciones de esta sección determinan cuánta flexibilidad tienen los administradores de Looker cuando configuran grupos de Looker y usuarios que se duplicaron desde Looker.

Por ejemplo, si quieres que tu grupo de Looker y la configuración de usuarios coincidan estrictamente con la configuración de LDAP, activa estas opciones. Cuando se habilitan las tres primeras opciones, los administradores de Looker no pueden modificar la membresía de grupos duplicados y solo pueden asignar roles a los usuarios a través de grupos duplicados de LDAP.

Si quieres tener más flexibilidad para personalizar aún más tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán replicando tu configuración de LDAP, pero podrás realizar otras tareas de administración de grupos y usuarios en Looker, como agregar usuarios de LDAP a grupos de Looker o asignar roles de Looker directamente a los usuarios de LDAP.

En el caso de las instancias nuevas de Looker o de las instancias de Looker que no tengan grupos duplicados configurados, estas opciones estarán desactivadas de forma predeterminada.

En las instancias existentes de Looker que tienen grupos duplicados configurados, estas opciones están activadas de forma predeterminada.

La sección Administración avanzada de roles contiene estas opciones:

Impedir que usuarios individuales de LDAP reciban roles directos: Si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de LDAP. Los usuarios de LDAP solo recibirán roles a través de sus membresías a grupos. Si los usuarios de LDAP tienen permitido la membresía en grupos de Looker integrados (no duplicados), aún pueden heredar sus roles tanto de los grupos de LDAP duplicados como de los grupos integrados de Looker. Se quitará de forma directa a todos los usuarios de LDAP a los que se les hayan asignado roles anteriormente la próxima vez que accedan.

Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de LDAP como si fueran usuarios que se configuraron directamente en Looker.

Impedir la membresía directa en grupos que no son de LDAP: Si activas esta opción, los administradores de Looker no podrán agregar usuarios de LDAP directamente a los grupos integrados de Looker. Si se permite que los grupos LDAP duplicados sean miembros de los grupos de Looker integrados, los usuarios de LDAP pueden conservar la membresía en cualquier grupo superior de Looker. Todos los usuarios de LDAP que antes estaban asignados a grupos integrados de Looker se quitarán de esos grupos la próxima vez que accedan.

Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de LDAP directamente a los grupos integrados de Looker.

Impedir la herencia de roles de grupos que no son LDAP: Si activas esta opción, se evita que los miembros de los grupos LDAP duplicados hereden roles de los grupos integrados de Looker. Los usuarios de LDAP que anteriormente heredaron roles de un grupo superior de Looker perderán esos roles la próxima vez que accedan.

Si esta opción está desactivada, los grupos de LDAP duplicados o los usuarios de LDAP que se agreguen como miembros de un grupo integrado de Looker heredarán los roles asignados al grupo superior de Looker.

La autenticación requiere un rol: Si esta opción está activada, los usuarios de LDAP deben tener un rol asignado. Los usuarios de LDAP que no tengan asignado un rol no podrán acceder a Looker.

Si esta opción está desactivada, los usuarios de LDAP pueden autenticarse en Looker incluso si no tienen ningún rol asignado. Los usuarios que no tengan un rol asignado no podrán ver ningún dato ni realizar ninguna acción en Looker, pero podrán acceder a la plataforma.

Inhabilita los grupos LDAP duplicados

Si quieres dejar de duplicar tus grupos LDAP en Looker, desactiva el interruptor Duplicar grupos LDAP. Se borrarán los grupos LDAP de duplicación vacía.

Los grupos LDAP duplicados no vacíos seguirán estando disponibles para su uso en la administración de contenido y la creación de roles. Sin embargo, no se pueden agregar ni quitar usuarios de los grupos LDAP duplicados.

Opciones de integración y migración

Acceso alternativo para administradores y usuarios específicos

  • Permite un acceso alternativo basado en correos electrónicos para los administradores y los usuarios con el permiso login_special_email (obtén más información sobre cómo configurar este permiso en la documentación de Roles). Esta opción aparecerá en la página de acceso de Looker si la activaste y el usuario tiene el permiso adecuado.
  • Esta opción es útil como resguardo durante la configuración de LDAP, si los problemas de configuración de LDAP ocurren más adelante o si necesita brindar compatibilidad con algunos usuarios que no están en su directorio de LDAP.
  • Los accesos de correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando LDAP está habilitado.

Combinar por correo electrónico

  • Esta opción permite que Looker combine a los usuarios de LDAP nuevos con sus cuentas de Looker existentes, en función de la dirección de correo electrónico.
  • Si Looker no puede encontrar una dirección de correo electrónico que coincida, se creará una cuenta nueva para el usuario.

Guardar y aplicar configuración

Una vez que hayas terminado de ingresar la información y todas las pruebas se hayan aprobado, marca la casilla Confirmo la configuración anterior y quiero habilitar su aplicación global y haz clic en Actualizar configuración para guardar los cambios.