Configurações de administrador: autenticação LDAP

Na página LDAP na seção Autenticação do menu Administrador, configure o Looker para autenticar usuários com o protocolo Lightweight Directory Access Protocol (LDAP). Nesta página, descrevemos esse processo e incluímos instruções para vincular grupos LDAP a papéis e permissões do Looker.

Alguns lembretes:

  • A autenticação do Looker usa a autenticação "simples" do LDAP. A autenticação anônima não é compatível.
  • Você precisa criar uma única conta de usuário LDAP com privilégios de leitura para entradas de usuários e entradas de grupo que serão usadas pelo Looker.
  • O Looker só faz leituras no diretório LDAP (sem gravações).
  • O Looker pode migrar contas para o LDAP usando endereços de e-mail.
  • O uso da API Looker não interage com a autenticação LDAP.
  • Se o servidor LDAP restringir o tráfego IP, você vai precisar adicionar os endereços IP do Looker à lista de permissões ou às regras de tráfego de entrada do servidor LDAP.
  • O LDAP substitui a autenticação de dois fatores. Se você já tiver ativado a autenticação de dois fatores, os usuários não verão as telas de login dela depois que você ativar o LDAP.

Cuidado ao desativar a autenticação LDAP

Se você fez login no Looker usando LDAP e quer desativar a autenticação LDAP, siga estas duas etapas primeiro:

  • Verifique se você tem outras credenciais para fazer login.
  • Ative a opção Login alternativo na página de configuração do LDAP.

Caso contrário, você e outros usuários podem ficar sem o Looker.

Como começar

Acesse a página Autenticação LDAP na seção Administrador do Looker para ver as opções de configuração abaixo.

Configurar sua conexão

O Looker oferece suporte a transporte e criptografia com LDAP livre e LDAP por TLS. É altamente recomendável usar o LDAP sobre TLS. O StartTLS e outros esquemas de criptografia não são compatíveis.

  1. Insira as informações de Host e Porta.
  2. Marque a caixa ao lado de TLS se você estiver usando o LDAP sobre TLS.
  3. Se você usa LDAP sobre TLS, o Looker aplica a verificação de certificado de peering por padrão. Se precisar desativar a verificação do certificado de peering, marque No Verify.
  4. Clique em Testar conexão. Se algum erro aparecer, corrija-o antes de continuar.

Autenticação da conexão

O Looker requer acesso a uma conta LDAP protegida por senha. A conta LDAP deve ter acesso de leitura às entradas de pessoas e a um novo conjunto de entradas de função. A conta LDAP do Looker não exige acesso de gravação, nem acesso a outros aspectos do diretório, e não importa o namespace em que a conta foi criada.

  1. Digite a Senha.
  2. [Opcional] Marque a caixa de seleção Forçar a falta de paginação se seu provedor LDAP não fornecer resultados paginados. Em alguns casos, isso pode ajudar se você não estiver recebendo correspondências ao pesquisar usuários, embora não seja a única solução para esse problema.
  3. Clique no botão Testar autenticação. Se algum erro aparecer, verifique se as informações de autenticação estão corretas. Se as credenciais forem válidas, mas os erros persistirem, entre em contato com o administrador LDAP da empresa.

Configurações de vinculação do usuário

Os detalhes nesta seção especificam como o Looker encontrará usuários no seu diretório, fará a vinculação para autenticação e vai extrair informações dos usuários.

  1. Definir o DN de base, que é a base da árvore de pesquisa para todos os usuários
  2. [Opcional] Especifique uma Classe de objeto de usuário, que controla os tipos de resultados que o Looker encontrará e retornará. Isso é útil se o DN de base for uma mistura de tipos de objeto (pessoas, grupos, impressoras etc.) e você só quiser retornar entradas de um tipo.
  3. Defina as Atributos de login, que definem os atributos que os usuários usarão para fazer login. Eles precisam ser exclusivos para cada usuário e algo que os usuários conheçam como ID no seu sistema. Por exemplo, é possível escolher um ID de usuário ou endereço de e-mail completo. Se você adicionar mais de um atributo, o Looker vai pesquisar em ambos para encontrar o usuário apropriado. Evite usar formatos que possam resultar em contas duplicadas, como nome e sobrenome.
  4. Especifique Email Attr, First Name Attr e Last Name attr. Essas informações informam ao Looker como mapear esses campos e extrair as informações deles durante o login.
  5. Defina o ID Attr, que indica um campo que o Looker usa como o ID exclusivo dos usuários. Geralmente, será um dos campos de login.
  6. Se quiser, insira um Filtro personalizado opcional para fornecer filtros LDAP arbitrários que serão aplicados ao pesquisar um usuário para vincular durante a autenticação LDAP. Isso é útil para filtrar conjuntos de registros de usuários, como usuários desativados ou que estão em uma organização diferente.

Exemplo

Este exemplo de entrada de usuário ldiff demonstra como definir as configurações correspondentes do Looker:

Entrada de usuários do Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configurações correspondentes do Looker

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Pareamento de atributos de usuário LDAP com atributos de usuário do Looker

Também é possível usar os dados nos atributos de usuário LDAP para preencher automaticamente os valores nos atributos de usuário do Looker quando um usuário faz login. Por exemplo, se você configurou o LDAP para estabelecer conexões específicas do usuário com o banco de dados, é possível parear os atributos de usuário do LDAP com os do Looker para tornar as conexões do banco de dados específicas do usuário no Looker.

Observe que o atributo LDAP deve ser um atributo do usuário, não um atributo de grupo.

Para parear atributos de usuário LDAP com os atributos de usuário do Looker correspondentes:

  1. Digite o nome do atributo do usuário LDAP no campo Atributo do usuário LDAP e o nome do atributo de usuário do Looker que você quer parear no campo Atributos do usuário do Looker.
  2. Marque a opção Obrigatório se você quiser exigir um valor de atributo LDAP para permitir que um usuário faça login.
  3. Clique em + e repita essas etapas para adicionar mais pares de atributos.

Informações do usuário de teste

  1. Insira as credenciais de um usuário de teste e clique no botão Testar autenticação do usuário. O Looker vai tentar uma sequência completa de autenticação LDAP e mostrar o resultado. Após a conclusão, o Looker gera as informações do usuário a partir do diretório, além de algumas informações de rastreamento sobre o processo de autenticação, o que pode ajudar a resolver problemas de configuração.
  2. Verifique se a autenticação foi bem-sucedida e se todos os campos estão mapeados corretamente. Por exemplo, confirme se o campo first_name não contém um valor que pertença a last_name.

Grupos e papéis

É possível configurar o Looker para criar grupos que espelham grupos LDAP gerenciados externamente. Depois, é possível atribuir papéis do Looker aos usuários com base nos grupos do LDAP espelhados. Quando você faz mudanças na associação ao grupo LDAP, elas são propagadas automaticamente para a configuração do grupo do Looker.

O espelhamento de grupos LDAP permite que você use o diretório LDAP definido externamente para gerenciar grupos e usuários do Looker. Dessa forma, você pode gerenciar a associação a várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar Espelhar grupos LDAP, o Looker vai criar um grupo para cada grupo LDAP introduzido no sistema. Esses grupos do Looker podem ser visualizados na página Grupos da seção Administrador do Looker. É possível usar os grupos para atribuir funções aos participantes, definir controles de acesso ao conteúdo e atribuir atributos do usuário.

Grupos e papéis padrão

Por padrão, a opção Espelhar grupos LDAP fica desativada. Nesse caso, é possível definir um grupo padrão para novos usuários LDAP. Nos campos Novos grupos de usuários e Novos papéis do usuário, insira os nomes dos grupos ou papéis do Looker a que você quer atribuir novos usuários do Looker quando eles fizerem login no Looker pela primeira vez.

Esses grupos e funções são aplicados aos novos usuários no login inicial. Os grupos e as funções não são aplicados a usuários preexistentes e não serão reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar grupos LDAP espelhados, esses padrões serão removidos para os usuários no próximo login e substituídos por funções atribuídas na seção Grupos LDAP espelhados. Essas opções padrão não vão estar mais disponíveis nem atribuídas, e serão totalmente substituídas pela configuração dos grupos espelhados.

Como ativar grupos LDAP espelhados

Se você quiser espelhar seus grupos LDAP no Looker, ative a opção Espelhar grupos LDAP. O Looker mostra estas configurações:

Estratégia do localizador de grupos: escolha uma opção no menu suspenso para informar ao Looker como encontrar os grupos de um usuário:

  • Grupos têm atributos de membros: esta é a opção mais comum. Ao procurar um participante, o Looker só retorna os grupos a que um usuário foi atribuído diretamente. Por exemplo, se um usuário for membro do grupo Database-Admin e o grupo Database-Admin for membro do grupo Engenharia, o usuário só vai receber as permissões afiliadas ao grupo Database-Admin.

  • Grupos têm atributos de membros (pesquisa profunda): esta opção permite que grupos sejam membros de outros grupos, o que às vezes é chamado de grupos aninhados de LDAP. Isso significa que um usuário pode ter as permissões de mais de um grupo. Por exemplo, se um usuário for membro do grupo Database-Admin e o grupo Database-Admin for membro do grupo Engenharia, o usuário vai receber as permissões afiliadas aos dois grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) têm suporte para executar automaticamente esse tipo de pesquisa profunda, mesmo quando o autor da chamada está fazendo o que parece ser uma pesquisa superficial. Esse pode ser outro método que você pode usar para executar uma pesquisa profunda.

DN de base: permite restringir a pesquisa e pode ser igual ao DN de base especificado na seção Configurações de vinculação de usuário desta página de documentação.

Classes de objeto de grupos: esta configuração é opcional. Conforme observado na seção Configurações de vinculação de usuários, isso permite que os resultados retornados pelo Looker sejam restritos a um tipo de objeto ou conjunto de tipos específico.

Atribuição de membros do grupo: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são membros.

Atribuição de usuário do grupo: o nome do atributo do usuário LDAP cujo valor será pesquisado nas entradas do grupo para determinar se um usuário faz parte do grupo. O padrão é dn (o que significa que deixar em branco é o mesmo que defini-lo como dn), o que fará com que o LDAP use o Nome distinto completo, que é a string exata que diferencia maiúsculas de minúsculas que existiria na pesquisa LDAP, para pesquisar as entradas do grupo.

Nome de grupo/funções/DN do grupo preferencial: esse conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo LDAP correspondente no Looker.

  1. Digite o DN do grupo LDAP no campo DN do grupo. Inclua o nome distinto completo, que é a string exata, que diferencia maiúsculas de minúsculas, que existiria na pesquisa LDAP. Os usuários LDAP incluídos no grupo LDAP serão adicionados ao grupo espelhado no Looker.

  2. Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que será exibido na página Grupos da seção Administrador do Looker.

  3. No campo à direita do campo Nome personalizado, selecione um ou mais papéis do Looker que vão ser atribuídos a cada usuário do grupo.

  4. Clique em + para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um grupo, clique no X ao lado do conjunto de campos desse grupo.

Se você editar um grupo espelhado configurado anteriormente nessa tela, a configuração dele vai mudar, mas o grupo em si permanecerá intacto. Por exemplo, é possível mudar o nome personalizado de um grupo. Isso mudaria a forma como ele aparece na página Grupos do Looker, mas não alteraria as funções e os participantes atribuídos. Alterar o DN do grupo mantém o nome e as funções do grupo, mas os membros são reatribuídos com base nos usuários do grupo LDAP externo que tem o novo DN do grupo LDAP.

Se você excluir um grupo nesta página, ele não será mais espelhado no Looker, e os membros dele não terão mais os papéis atribuídos a eles pelo grupo.

Todas as edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo no próximo login no Looker.

Gerenciamento avançado de funções

Se você tiver ativado a opção Mirror LDAP Groups, o Looker vai mostrar essas configurações. As opções desta seção determinam a flexibilidade que os administradores do Looker têm ao configurar grupos e usuários do Looker espelhados do Looker.

Por exemplo, se você quiser que a configuração de usuário e de grupo do Looker corresponda exatamente à sua configuração LDAP, ative estas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a associação de grupos espelhados e só podem atribuir papéis a usuários nos grupos espelhados do LDAP.

Se você quiser ter mais flexibilidade para personalizar ainda mais seus grupos no Looker, desative essas opções. Os grupos do Looker ainda vão refletir a configuração LDAP, mas você vai poder fazer gerenciamento adicional de grupos e usuários no Looker, como adicionar usuários do LDAP a grupos do Looker ou atribuir papéis do Looker diretamente a eles.

No caso de instâncias novas ou que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.

Para instâncias atuais do Looker com grupos espelhados configurados, essas opções estão ativadas por padrão.

A seção Gerenciamento de papéis avançado contém as seguintes opções:

Impedir que usuários LDAP individuais recebam papéis diretos: ativar essa opção impede que os administradores do Looker atribuam papéis do Looker diretamente a usuários LDAP. Os usuários LDAP só receberão funções se participarem dos grupos. Se a associação aos usuários LDAP for permitida em grupos integrados (não espelhados) do Looker, eles ainda vão poder herdar os papéis dos grupos do LDAP espelhados e dos grupos integrados do Looker. Todos os usuários do LDAP com funções atribuídas diretamente terão essas funções removidas no próximo login.

Se essa opção estiver desativada, os administradores do Looker vão poder atribuir papéis do Looker diretamente aos usuários LDAP como se eles tivessem sido configurados diretamente no Looker.

Impedir a associação direta em grupos que não são LDAP: ativar essa opção impede que os administradores do Looker adicionem usuários LDAP diretamente a grupos integrados do Looker. Se os grupos do LDAP espelhados tiverem permissão para participar dos grupos integrados do Looker, os usuários do LDAP poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários do LDAP atribuídos a grupos integrados do Looker serão removidos deles no próximo login.

Se essa opção estiver desativada, os administradores do Looker vão poder adicionar usuários LDAP diretamente aos grupos integrados do Looker.

Impedir a herança de papéis de grupos que não são LDAP: ativar essa opção impede que os participantes de grupos LDAP espelhados herdem papéis de grupos integrados do Looker. Todos os usuários do LDAP que herdaram funções de um grupo pai do Looker perderão essas funções no próximo login.

Se essa opção estiver desativada, os grupos LDAP espelhados ou os usuários do LDAP adicionados como participantes de um grupo integrado do Looker vão herdar os papéis atribuídos ao grupo pai do Looker.

Autenticação Requer função: se esta opção estiver ativada, os usuários LDAP precisarão ter uma função atribuída. Os usuários do LDAP sem um papel atribuído não podem fazer login no Looker.

Se esta opção estiver desativada, os usuários LDAP poderão fazer a autenticação no Looker mesmo sem uma função atribuída. Um usuário sem função atribuída não tem acesso aos dados nem realiza ações no Looker, mas pode fazer login nele.

Como desativar grupos LDAP espelhados

Se você quiser parar de espelhar seus grupos LDAP no Looker, desative a opção Mirror LDAP Groups. Todos os grupos LDAP espelhados vazios serão excluídos.

Os grupos LDAP espelhados não vazios continuarão disponíveis para uso no gerenciamento de conteúdo e na criação de funções. No entanto, não é possível adicionar nem remover usuários de grupos do LDAP espelhado.

Opções de migração e integração

Login alternativo para administradores e usuários especificados

  • Permita um login alternativo baseado em e-mail para administradores e usuários com a permissão login_special_email. Saiba como configurar essa permissão na documentação sobre funções. Essa opção vai aparecer na página de login do Looker se você tiver ativado essa opção e o usuário tiver a permissão adequada.
  • Essa opção é útil como alternativa durante a configuração LDAP, se problemas de configuração LDAP ocorrerem posteriormente ou se você precisar oferecer suporte a alguns usuários que não estão no diretório LDAP.
  • Os logins por e-mail e senha do Looker são sempre desativados para usuários normais quando o LDAP está ativado.

Mesclar por e-mail

  • Essa opção permite que o Looker mescle novos usuários LDAP às contas atuais do Looker com base no endereço de e-mail.
  • Se o Looker não encontrar um endereço de e-mail correspondente, uma nova conta será criada para o usuário.

Salvar e aplicar configurações

Quando terminar de inserir suas informações e todos os testes forem aprovados, marque a opção Eu confirmei a configuração acima e quero ativá-la globalmente e clique em Atualizar configurações para salvar.