Configurações de administrador - autenticação LDAP

A página LDAP na seção Autenticação do menu Administrador permite configurar o Looker para autenticar usuários com o Protocolo leve de acesso a diretórios (LDAP). Esta página descreve esse processo e inclui instruções para vincular grupos LDAP a papéis e permissões do Looker.

Alguns lembretes:

  • A autenticação do Looker usa a autenticação "simples" do LDAP. A autenticação anônima não é suportada.
  • Você precisa criar uma única conta de usuário LDAP com privilégios de leitura das entradas de usuários e de grupos que serão usadas pelo Looker.
  • O Looker só lê no diretório LDAP (sem gravações).
  • O Looker pode migrar contas atuais para LDAP usando endereços de e-mail.
  • O uso da API Looker não interage com a autenticação LDAP.
  • Se o servidor LDAP restringir o tráfego IP, será preciso adicionar endereços IP do Looker à lista de permissões de IP ou às regras de tráfego de entrada do servidor LDAP.
  • O LDAP modifica a autenticação de dois fatores. Se você já tiver ativado a autenticação de dois fatores, seus usuários não verão as telas de login desse recurso depois que você ativar o LDAP.

Cuidado ao desativar a autenticação LDAP

Se você tiver feito login no Looker usando LDAP e quiser desativar a autenticação LDAP, siga as duas etapas a seguir:

  • Verifique se você tem outras credenciais para fazer login.
  • Ative a opção Login alternativo na página de configuração do LDAP.

Caso contrário, você e outros usuários poderão ficar impedidos de acessar o Looker.

Como começar

Acesse a página Autenticação LDAP na seção Administrador do Looker para conferir as opções de configuração a seguir.

Configurar sua conexão

O Looker oferece suporte a transporte e criptografia com LDAP na limpeza e LDAP sobre TLS. O LDAP sobre TLS é altamente recomendado. O StartTLS e outros esquemas de criptografia não são compatíveis.

  1. Insira as informações de Host e Port.
  2. Marque a caixa ao lado de TLS se você estiver usando LDAP sobre TLS.
  3. Se você estiver usando LDAP sobre TLS, o Looker aplicará a verificação de certificado de peering por padrão. Se for necessário desativar a verificação de certificados de apps semelhantes, marque Sem verificação.
  4. Clique em Testar conexão. Se algum erro for encontrado, corrija-o antes de continuar.

Autenticação da conexão

O Looker exige acesso a uma conta LDAP protegida por senha. A conta LDAP deve ter acesso de leitura às entradas de pessoas e a um novo conjunto de entradas de função. A conta LDAP do Looker não requer acesso de gravação (nem a qualquer outro aspecto do diretório) e não importa o namespace em que a conta é criada.

  1. Digite a Senha.
  2. [Opcional] Marque a caixa de seleção Forçar a não paginação se o provedor LDAP não fornecer resultados paginados. Em alguns casos, isso pode ajudar se você não estiver recebendo correspondências ao pesquisar usuários, embora não seja a única solução para esse problema.
  3. Clique no botão Testar autenticação. Se surgir algum erro, verifique se as informações de autenticação estão corretas. Se suas credenciais forem válidas, mas os erros persistirem, entre em contato com o administrador LDAP da empresa.

Configurações de vinculação do usuário

Os detalhes desta seção especificam como o Looker vai encontrar os usuários no seu diretório, vincular para autenticação e extrair informações deles.

  1. Definir o DN de base, que é a base da árvore de pesquisa para todos os usuários
  2. [Opcional] Especifique uma Classe de objeto de usuário para controlar os tipos de resultados que o Looker vai encontrar e retornar. Isso é útil quando o DN de base é uma combinação de tipos de objetos (pessoas, grupos, impressoras etc.) e você só quer retornar entradas de um tipo.
  3. Configure Login Attrs, que define os atributos que os usuários usarão para fazer login. Eles precisam ser exclusivos por usuário e algo que os usuários já conhecem como ID no sistema. Por exemplo, é possível escolher um ID do usuário ou um endereço de e-mail completo. Se você adicionar mais de um atributo, o Looker vai pesquisar em ambos para encontrar o usuário apropriado. Evite usar formatos que possam resultar em contas duplicadas, como nome e sobrenome.
  4. Especifique o atributo de e-mail, o atributo de nome e o atributo de sobrenome. Essas informações informam ao Looker como mapear esses campos e extrair as informações durante o login.
  5. Defina o ID Attr, que indica um campo que o Looker usa como ID exclusivo para usuários. Geralmente, esse será um dos campos de login.
  6. Também é possível digitar um Filtro personalizado opcional, que permite fornecer filtros LDAP arbitrários que serão aplicados ao pesquisar um usuário para vincular durante a autenticação LDAP. Isso é útil se você quiser filtrar conjuntos de registros de usuários, como usuários desativados ou usuários que estão em uma organização diferente.

Exemplo

Este exemplo de entrada de usuário diferente demonstra como definir as configurações correspondentes do Looker:

Entrada de usuário do Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configurações correspondentes do Looker

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Parear atributos de usuário LDAP com atributos de usuário do Looker

Você pode usar os dados nos atributos de usuário LDAP para preencher automaticamente os valores nos atributos de usuário do Looker quando alguém fizer login. Por exemplo, se você tiver configurado o LDAP para fazer conexões específicas do usuário com seu banco de dados, poderá parear os atributos de usuário LDAP com os atributos de usuário do Looker para tornar suas conexões de banco de dados específicas do usuário no Looker.

Observe que o atributo LDAP deve ser um atributo do usuário, não um atributo de grupo.

Para parear os atributos de usuário LDAP com os atributos de usuário correspondentes do Looker, faça o seguinte:

  1. Digite o nome do atributo de usuário LDAP no campo Atributo de usuário LDAP e o nome do atributo de usuário do Looker com que você quer pareá-lo no campo Atributos de usuário do Looker.
  2. Marque Obrigatório se você quiser exigir um valor de atributo LDAP para permitir que um usuário faça login.
  3. Clique em + e repita essas etapas para adicionar mais pares de atributos.

Informações do usuário de teste

  1. Insira as credenciais de um usuário de teste e clique no botão Testar a autenticação do usuário. O Looker vai tentar uma sequência completa de autenticação LDAP e mostrar o resultado. Após a conclusão, o Looker gera as informações do usuário do diretório e algumas informações de trace sobre o processo de autenticação, o que pode ajudar a resolver problemas de configuração.
  2. Verifique se a autenticação foi bem-sucedida e se todos os campos estão mapeados corretamente. Por exemplo, confirme se o campo first_name não contém um valor que pertença a last_name.

Grupos e funções

É possível configurar o Looker para criar grupos que espelham seus grupos LDAP gerenciados externamente. Depois, é possível atribuir papéis do Looker aos usuários com base nos grupos LDAP espelhados. Quando você faz mudanças na associação ao grupo LDAP, elas são propagadas automaticamente para a configuração do grupo do Looker.

Com o espelhamento de grupos LDAP, você pode usar seu diretório LDAP definido externamente para gerenciar grupos e usuários do Looker. Com isso, é possível gerenciar a associação ao grupo de várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Espelhar grupos LDAP, o Looker criará um grupo do Looker para cada grupo LDAP que for introduzido no sistema. Esses grupos do Looker podem ser acessados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir papéis aos participantes, definir controles de acesso ao conteúdo e atribuir atributos de usuário.

Papéis e grupos padrão

A opção Espelhar grupos LDAP fica desativada por padrão. Nesse caso, você pode definir um grupo padrão para novos usuários LDAP. Nos campos Novos grupos de usuários e Novas funções do usuário, insira os nomes dos grupos ou funções do Looker a que você quer atribuir novos usuários quando eles fizerem login no Looker pela primeira vez.

Esses grupos e funções são aplicados aos novos usuários no login inicial. Os grupos e papéis não são aplicados a usuários preexistentes nem reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar grupos LDAP espelhados depois, esses padrões serão removidos dos usuários no próximo login e substituídos pelas funções atribuídas na seção Grupos LDAP espelhado. Essas opções padrão não vão estar mais disponíveis nem atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.

Como ativar grupos LDAP espelhados

Se você quiser espelhar seus grupos LDAP no Looker, ative a opção Espelhar grupos LDAP. O Looker mostra estas configurações:

Estratégia do localizador de grupos: escolha uma opção no menu suspenso para informar ao Looker como encontrar os grupos de um usuário:

  • Grupos têm atributos de membro: esta é a opção mais comum. Ao procurar um participante, o Looker só vai retornar os grupos a que um usuário foi atribuído diretamente. Por exemplo, se um usuário for membro do grupo Database-Admin e o grupo Database-Admin for um membro do grupo Engineering, um usuário terá apenas as permissões afiliadas ao grupo Database-Admin.

  • Grupos têm atributos de membro (pesquisa profunda): esta opção permite que os grupos sejam membros de outros grupos, também conhecidos como grupos aninhados LDAP. Isso significa que um usuário pode ter as permissões de mais de um grupo. Por exemplo, se um usuário for membro do grupo Database-Admin e esse grupo for do grupo Engineering, o usuário receberá as permissões afiliadas aos dois grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) têm suporte para executar automaticamente esse tipo de pesquisa profunda, mesmo quando o autor da chamada está fazendo o que parece ser uma pesquisa superficial. Esse pode ser outro método que você pode usar para executar uma pesquisa profunda.

DN de base: permite restringir a pesquisa e pode ser o mesmo que o DN de base especificado na seção Configurações de vinculação de usuário desta página de documentação.

Classes de objeto de grupos: essa configuração é opcional. Conforme observado na seção Configurações de vinculação de usuários, isso permite que os resultados retornados pelo Looker sejam restritos a um tipo de objeto ou conjunto de tipos específico.

Atributo de membro do grupo: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são membros.

Atributo de usuário de grupo: o nome do atributo de usuário LDAP cujo valor será pesquisado nas entradas de grupo para determinar se um usuário faz parte do grupo. O padrão é dn (o que significa que deixar em branco é o mesmo que defini-lo como dn), o que fará com que o LDAP use o Nome distinto completo, que é a string exata com diferenciação de maiúsculas e minúsculas que existiria na própria pesquisa LDAP, para pesquisar entradas de grupos.

Nome/funções/DN do grupo preferido: este conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo LDAP correspondente no Looker.

  1. Digite o DN do grupo LDAP no campo DN do grupo. Isso deve incluir o Nome distinto completo, que é a string exata que diferencia maiúsculas de minúsculas que existiria na própria pesquisa LDAP. Os usuários LDAP incluídos no grupo LDAP vão ser adicionados ao grupo espelhado no Looker.

  2. Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.

  3. No campo à direita de Nome personalizado, selecione um ou mais papéis do Looker que serão atribuídos a cada usuário no grupo.

  4. Clique em + para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um grupo, clique no X ao lado do conjunto de campos desse grupo.

Ao editar um grupo espelhado que foi configurado anteriormente nesta tela, a configuração do grupo será alterada, mas o grupo em si permanecerá intacto. Por exemplo, é possível mudar o nome personalizado de um grupo, o que muda a forma como o grupo aparece na página Grupos do Looker, mas não as funções atribuídas nem os participantes do grupo. Alterar o DN do grupo mantém o nome e as funções do grupo, mas os membros são reatribuídos com base nos usuários que são membros do grupo LDAP externo que tem o novo DN do grupo LDAP.

Se você excluir um grupo nesta página, ele não será mais espelhado no Looker, e os membros dele não terão mais as funções atribuídas a eles no Lookerr.

As edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo na próxima vez que eles fizerem login no Looker.

Gerenciamento avançado de funções

Se você tiver ativado a opção Espelhar grupos LDAP, o Looker vai mostrar essas configurações. As opções desta seção determinam quanta flexibilidade os administradores do Looker têm ao configurar grupos e usuários do Looker que foram espelhados do Looker.

Por exemplo, se você quiser que o grupo do Looker e a configuração de usuários correspondam estritamente à configuração LDAP, ative estas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a associação de grupos espelhados e só podem atribuir papéis a usuários por grupos espelhados LDAP.

Se quiser mais flexibilidade para personalizar ainda mais seus grupos no Looker, desative essas opções. Os grupos do Looker ainda espelham a configuração LDAP, mas você pode fazer outras tarefas de gerenciamento de grupos e usuários no Looker, como adicionar usuários LDAP a grupos do Looker ou atribuir funções do Looker diretamente a usuários do LDAP.

Para novas instâncias do Looker ou instâncias do Looker que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.

Para instâncias atuais do Looker que têm grupos espelhados configurados, essas opções estão ativadas por padrão.

A seção Gerenciamento avançado de funções contém estas opções:

Impedir que usuários LDAP individuais recebam funções diretas: ativar essa opção impede que os administradores do Looker atribuam funções do Looker diretamente a usuários LDAP. Os usuários LDAP só recebem funções por meio da associação a grupos. Se os usuários LDAP tiverem permissão para participar de grupos integrados do Looker (não espelhados), eles ainda poderão herdar os papéis de grupos LDAP espelhados e de grupos integrados do Looker. Essas funções serão removidas no próximo login de todos os usuários LDAP a quem foram atribuídas funções anteriormente.

Se essa opção estiver desativada, os administradores do Looker poderão atribuir papéis do Looker diretamente a usuários LDAP, como se fossem usuários configurados diretamente no Looker.

Impedir a associação direta em grupos que não são LDAP: ativar essa opção impede que os administradores do Looker adicionem usuários LDAP diretamente aos grupos integrados do Looker. Se os grupos LDAP espelhados tiverem permissão para fazer parte de grupos integrados do Looker, os usuários LDAP vão poder manter a associação em qualquer grupo pai do Looker. Todos os usuários LDAP atribuídos a grupos integrados do Looker serão removidos desses grupos no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários LDAP diretamente aos grupos integrados do Looker.

Impedir herança de papéis de grupos que não sejam LDAP: ativar essa opção impede que membros de grupos LDAP espelhados herdem papéis de grupos integrados do Looker. Todos os usuários LDAP que herdaram papéis de um grupo pai do Looker vão perder esses papéis no próximo login.

Se essa opção estiver desativada, os grupos LDAP espelhados ou os usuários LDAP adicionados como participantes de um grupo integrado do Looker vão herdar os papéis atribuídos ao grupo pai do Looker.

A autenticação exige a função: se esta opção estiver ativada, os usuários LDAP precisarão ter uma função atribuída. Os usuários LDAP que não tiverem uma função atribuída não vão conseguir fazer login no Looker.

Se essa opção estiver desativada, os usuários LDAP poderão se autenticar no Looker mesmo que não tenham um papel atribuído. Usuários sem funções atribuídas não podem acessar dados nem realizar ações no Looker, mas podem fazer login na plataforma.

Como desativar grupos LDAP espelhados

Se quiser parar de espelhar seus grupos LDAP no Looker, desative a opção Espelhar grupos LDAP. Todos os grupos LDAP espelhados vazios serão excluídos.

Os grupos LDAP espelhados não vazios vão continuar disponíveis para uso no gerenciamento de conteúdo e na criação de funções. No entanto, não é possível adicionar ou remover usuários de grupos LDAP espelhados.

Opções de migração e integração

Login alternativo para administradores e usuários especificados

  • Permita um login alternativo com e-mail para administradores e usuários com a permissão login_special_email. Leia mais sobre como configurar essa permissão na documentação sobre Funções. Essa opção vai aparecer na página de login do Looker se você tiver ativado esse recurso e o usuário tiver a permissão adequada.
  • Essa opção é útil como alternativa durante a configuração LDAP se problemas de configuração LDAP ocorrerem mais tarde ou se você precisar oferecer suporte a alguns usuários que não estão no diretório LDAP.
  • Os logins com e-mail e senha do Looker são sempre desativados para usuários comuns quando o LDAP está ativado.

Mesclar por e-mail

  • Essa opção permite que o Looker mescle usuários LDAP novos com as contas do Looker com base no endereço de e-mail.
  • Se o Looker não encontrar um endereço de e-mail correspondente, uma nova conta será criada para o usuário.

Salvar e aplicar configurações

Quando terminar de inserir as informações e todos os testes estiverem aprovados, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.