Configurações de administrador: autenticação LDAP

A página LDAP na seção Authentication do menu Admin permite configurar o Looker para autenticar usuários com o protocolo leve de acesso a diretórios (LDAP). Esta página descreve esse processo e inclui instruções para vincular grupos LDAP a papéis e permissões do Looker.

Requisitos

O Looker mostra a página LDAP na seção Autenticação do menu Administrador somente se as seguintes condições forem atendidas:

  • Sua instância do Looker não é uma instância do Looker (Google Cloud Core).
  • Você tem a função de administrador.
  • A instância do Looker está ativada para usar o LDAP.

Se essas condições forem atendidas e você não encontrar a página LDAP, abra uma solicitação de suporte para ativar o LDAP na sua instância.

Considerações

Considere as seguintes considerações ao configurar a autenticação LDAP na sua instância do Looker:

  • A autenticação do Looker usa a autenticação "simples" do LDAP. A autenticação anônima não é aceita.
  • Você precisa criar uma única conta de usuário LDAP com privilégios de leitura para entradas de usuários e de grupos que serão usadas pelo Looker.
  • O Looker só lê do diretório LDAP (sem gravações).
  • O Looker pode migrar contas para o LDAP usando endereços de e-mail.
  • O uso da API Looker não interage com a autenticação LDAP.
  • Se o servidor LDAP restringir o tráfego de IP, adicione os endereços IP do Looker à lista de permissões de IP do servidor LDAP ou às regras de tráfego de entrada.
  • O LDAP substitui a autenticação de dois fatores. Se você já tiver ativado a autenticação de dois fatores, os usuários não vão ver as telas de login da autenticação de dois fatores depois que você ativar o LDAP.

Tenha cuidado ao desativar a autenticação LDAP

Se você tiver feito login no Looker usando o LDAP e quiser desativar a autenticação LDAP, siga ambas as etapas a seguir:

  • Verifique se você tem outras credenciais para fazer login.
  • Ative a opção Alternate Login na página de configuração do LDAP.

Caso contrário, você e outros usuários podem ser bloqueados do Looker.

Primeiros passos

Acesse a página Autenticação LDAP na seção Administrador do Looker para conferir as opções de configuração a seguir.

Configurar a conexão

O Looker oferece suporte a transporte e criptografia com LDAP em texto não criptografado e LDAP sobre TLS. O LDAP sobre TLS é altamente recomendado. O StartTLS e outros esquemas de criptografia não são compatíveis.

  1. Insira as informações do host e da porta.
  2. Marque a caixa ao lado de TLS se você estiver usando o LDAP em TLS.
  3. Se você estiver usando o LDAP sobre TLS, o Looker vai aplicar a verificação de certificado de peer por padrão. Se você precisar desativar a verificação de certificado do peer, marque Sem verificação.
  4. Clique em Testar conexão. Se houver algum erro, corrija-o antes de continuar.

Autenticação de conexão

O Looker exige acesso a uma conta LDAP protegida por senha. A conta LDAP precisa ter acesso de leitura às entradas de pessoas e a um novo conjunto de entradas de função. A conta LDAP do Looker não requer acesso de gravação (nem acesso a outros aspectos do diretório), e não importa em qual namespace a conta foi criada.

  1. Digite a senha.
  2. [Opcional] Marque a caixa de seleção Forçar sem paginação se o provedor LDAP não fornecer resultados paginados. Em alguns casos, isso pode ajudar se você não receber nenhuma correspondência ao pesquisar usuários, embora não seja a única solução para esse problema.
  3. Clique no botão Testar autenticação. Se algum erro aparecer, verifique se as informações de autenticação estão corretas. Se as credenciais forem válidas, mas os erros persistirem, entre em contato com o administrador do LDAP da sua empresa.

Configurações de vinculação do usuário

Os detalhes desta seção especificam como o Looker encontra usuários no seu diretório, faz a vinculação para autenticação e extrai informações do usuário.

  1. Defina o DN de base, que é a base da árvore de pesquisa para todos os usuários.
  2. [Opcional] Especifique uma classe de objeto do usuário, que controla os tipos de resultados que o Looker vai encontrar e retornar. Isso é útil se o DN de base for uma mistura de tipos de objetos (pessoas, grupos, impressoras etc.) e você quiser retornar apenas entradas de um tipo.
  3. Defina os Atributos de login, que definem os atributos que os usuários vão usar para fazer login. Eles precisam ser exclusivos para cada usuário e algo que os usuários conheçam como ID no sistema. Por exemplo, você pode escolher um ID de usuário ou um endereço de e-mail completo. Se você adicionar mais de um atributo, o Looker vai pesquisar nos dois para encontrar o usuário adequado. Evite formatos que podem resultar em contas duplicadas, como nome e sobrenome.
  4. Especifique Email Attr, First Name Attr e Last Name Attr. Essas informações informam ao Looker como mapear esses campos e extrair as informações deles durante o login.
  5. Defina o ID Attr, que indica um campo que o Looker usa como o ID exclusivo dos usuários. Geralmente, esse é um dos campos de login.
  6. Se preferir, insira um filtro personalizado opcional, que permite fornecer filtros LDAP arbitrários que serão aplicados ao pesquisar um usuário para vincular durante a autenticação LDAP. Isso é útil se você quiser filtrar conjuntos de registros de usuários, como usuários desativados ou que estão em uma organização diferente.

Exemplo

Este exemplo de entrada de usuário do ldiff demonstra como definir as configurações correspondentes do Looker:

Entrada de usuário do Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configurações correspondentes do Looker

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Como vincular atributos de usuários LDAP a atributos de usuários do Looker

Você pode usar os dados nos atributos de usuário do LDAP para preencher automaticamente os valores nos atributos de usuário do Looker quando um usuário faz login. Por exemplo, se você tiver configurado o LDAP para fazer conexões específicas do usuário com o banco de dados, poderá associar os atributos de usuário do LDAP aos atributos de usuário do Looker para tornar as conexões do banco de dados específicas do usuário no Looker.

O atributo LDAP precisa ser um atributo de usuário, não de grupo.

Para vincular atributos de usuário LDAP aos atributos de usuário do Looker correspondentes:

  1. Insira o nome do atributo do usuário LDAP no campo Atributo do usuário LDAP e o nome do atributo do usuário do Looker que você quer vincular no campo Atributos do usuário do Looker.
  2. Marque Obrigatório se quiser exigir um valor de atributo LDAP para permitir que um usuário faça login.
  3. Clique em + e repita essas etapas para adicionar mais pares de atributos.

Testar as informações do usuário

  1. Insira as credenciais de um usuário de teste e clique no botão Testar autenticação do usuário. O Looker vai tentar uma sequência de autenticação LDAP completa e mostrar o resultado. Se for bem-sucedido, o Looker vai gerar as informações do usuário do diretório, além de algumas informações de rastreamento sobre o processo de autenticação, que podem ajudar a resolver problemas de configuração.
  2. Verifique se a autenticação foi concluída e se todos os campos foram mapeados corretamente. Por exemplo, confirme se o campo first_name não contém um valor que pertence a last_name.

Grupos e funções

É possível configurar o Looker para criar grupos que espelham seus grupos LDAP gerenciados externamente e, em seguida, atribuir funções do Looker aos usuários com base nos grupos LDAP espelhados. Quando você faz mudanças na associação ao grupo LDAP, elas são propagadas automaticamente para a configuração do grupo do Looker.

O espelhamento de grupos LDAP permite usar o diretório LDAP definido externamente para gerenciar grupos e usuários do Looker. Isso permite gerenciar a associação do grupo a várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Espelhamento de grupos LDAP, o Looker vai criar um grupo para cada grupo LDAP introduzido no sistema. Esses grupos do Looker podem ser visualizados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir funções aos participantes, definir controles de acesso ao conteúdo e atribuir atributos do usuário.

Grupos e funções padrão

Por padrão, a opção Espelhar grupos LDAP está desativada. Nesse caso, você pode definir um grupo padrão para novos usuários do LDAP. Nos campos Novos grupos de usuários e Novos papéis de usuários, insira os nomes dos grupos ou papéis do Looker que você quer atribuir aos novos usuários quando eles fizerem login pela primeira vez.

Esses grupos e funções são aplicados a novos usuários no primeiro login. Os grupos e as funções não são aplicados a usuários já existentes e não são reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar os grupos LDAP espelhados mais tarde, esses padrões serão removidos dos usuários na próxima vez que eles fizerem login e substituídos por funções atribuídas na seção Grupos LDAP espelhados. Essas opções padrão não estarão mais disponíveis ou atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.

Como ativar grupos LDAP espelhados

Se você quiser espelhar seus grupos LDAP no Looker, ative a chave Mirror LDAP Groups. O Looker mostra estas configurações:

Estratégia do Localizador de grupos: escolha uma opção no menu suspenso para informar ao Looker como encontrar os grupos de um usuário:

  • Os grupos têm atributos de participantes: essa é a opção mais comum. Ao procurar um membro do grupo, o Looker só retorna os grupos aos quais um usuário é diretamente atribuído. Por exemplo, se um usuário for membro do grupo "Database-Admin" e o grupo "Database-Admin" for membro do grupo "Engineering", o usuário só vai receber as permissões afiliadas ao grupo "Database-Admin".

  • Os grupos têm atributos de membro (pesquisa profunda): essa opção permite que os grupos sejam membros de outros grupos, o que às vezes é chamado de grupos aninhados do LDAP. Isso significa que um usuário pode ter as permissões de mais de um grupo. Por exemplo, se um usuário for membro do grupo "Administrador de banco de dados" e o grupo "Administrador de banco de dados" for membro do grupo "Engenharia", o usuário vai receber as permissões associadas a ambos esses grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) têm suporte para executar automaticamente esse tipo de pesquisa profunda, mesmo quando o autor da chamada está fazendo o que parece ser uma pesquisa superficial. Esse pode ser outro método que você pode usar para executar uma pesquisa detalhada.

DN de base: permite restringir a pesquisa e pode ser o mesmo que o DN de base especificado na seção Configurações de vinculação de usuários desta página de documentação.

Classe de objeto de grupos: essa configuração é opcional. Como observado na seção Configurações de vinculação de usuários, isso permite que os resultados retornados pelo Looker sejam restritos a um tipo de objeto ou conjunto de tipos específico.

Atributo de membro do grupo: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são membros.

Atributo do usuário do grupo: o nome do atributo do usuário LDAP cujo valor será pesquisado nas entradas do grupo para determinar se um usuário faz parte do grupo. O padrão é dn. Ou seja, deixar em branco é o mesmo que definir como dn. Isso vai fazer com que o LDAP use o nome distinto completo, que é a string exata que seria sensível a maiúsculas e minúsculas na pesquisa LDAP, para pesquisar entradas de grupo.

Nome/papéis/DN do grupo preferido: esse conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo LDAP correspondente no Looker.

  1. Insira o DN do grupo LDAP no campo DN do grupo. Isso precisa incluir o nome distinto completo, que é a string exata que diferencia maiúsculas de minúsculas que existiria na própria pesquisa LDAP. Os usuários do LDAP incluídos no grupo LDAP serão adicionados ao grupo espelhado no Looker.

  2. Insira um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.

  3. No campo à direita de Nome personalizado, selecione uma ou mais funções do Looker que serão atribuídas a cada usuário no grupo.

  4. Clique em + para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um deles, clique em X ao lado do conjunto de campos do grupo.

Se você editar um grupo espelhado que foi configurado anteriormente nesta tela, a configuração do grupo vai mudar, mas o grupo vai permanecer intacto. Por exemplo, você pode mudar o nome personalizado de um grupo, o que altera a forma como o grupo aparece na página Grupos do Looker, mas não altera as funções atribuídas e os membros do grupo. A alteração do DN do grupo mantém o nome e as funções do grupo, mas os participantes são reatribuídos com base nos usuários que são membros do grupo LDAP externo que tem o novo DN.

Se você excluir um grupo nesta página, ele não será mais espelhado no Looker, e os membros não terão mais as funções atribuídas a eles por esse grupo.

Todas as edições feitas em um grupo espelhado serão aplicadas aos usuários dele na próxima vez que fizerem login no Looker.

Gerenciamento avançado de funções

Se você tiver ativado a chave Mirror LDAP Groups, o Looker vai mostrar essas configurações. As opções desta seção determinam a flexibilidade dos administradores do Looker ao configurar grupos e usuários espelhados do Looker.

Por exemplo, se você quiser que a configuração do grupo e do usuário do Looker corresponda exatamente à configuração do LDAP, ative essas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a participação em grupos espelhados e só podem atribuir funções aos usuários por grupos espelhados do LDAP.

Se você quiser ter mais flexibilidade para personalizar seus grupos no Looker, desative essas opções. Seus grupos do Looker ainda vão refletir sua configuração do LDAP, mas você poderá fazer mais gerenciamento de grupos e usuários no Looker, como adicionar usuários do LDAP a grupos do Looker ou atribuir funções do Looker diretamente a usuários do LDAP.

Para novas instâncias do Looker ou instâncias que não têm grupos espelhados configurados anteriormente, essas opções estão desativadas por padrão.

Para instâncias do Looker configuradas com grupos espelhados, essas opções estão ativadas por padrão.

A seção Gerenciamento avançado de função contém estas opções:

Impedir que usuários individuais do LDAP recebam papéis diretos: ao ativar essa opção, os administradores do Looker não podem atribuir papéis do Looker diretamente a usuários do LDAP. Os usuários do LDAP só recebem funções por meio de associações a grupos. Se os usuários do LDAP tiverem permissão para participar de grupos do Looker integrados (não espelhados), eles ainda poderão herdar as funções dos grupos LDAP espelhados e dos grupos do Looker integrados. Os papéis atribuídos diretamente a usuários do LDAP serão removidos na próxima vez que eles fizerem login.

Se essa opção estiver desativada, os administradores do Looker poderão atribuir funções do Looker diretamente aos usuários do LDAP como se eles tivessem sido configurados diretamente no Looker.

Impedir a participação direta em grupos que não são LDAP: ao ativar essa opção, os administradores do Looker não podem adicionar usuários do LDAP diretamente a grupos integrados do Looker. Se os grupos LDAP espelhados puderem ser membros de grupos Looker integrados, os usuários LDAP poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários LDAP que foram atribuídos anteriormente a grupos integrados do Looker serão removidos desses grupos na próxima vez que fizerem login.

Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do LDAP diretamente aos grupos integrados do Looker.

Impedir a herança de função de grupos não LDAP: ao ativar essa opção, os membros de grupos LDAP espelhados não herdam funções de grupos integrados do Looker. Os usuários do LDAP que herdaram papéis de um grupo pai do Looker vão perder essas funções na próxima vez que fizerem login.

Se essa opção estiver desativada, os grupos LDAP espelhados ou os usuários LDAP adicionados como membros de um grupo do Looker integrado vão herdar as funções atribuídas ao grupo pai do Looker.

Autenticação exige função: se essa opção estiver ativada, os usuários do LDAP precisarão ter uma função atribuída. Os usuários do LDAP que não tiverem uma função atribuída não poderão fazer login no Looker.

Se essa opção estiver desativada, os usuários do LDAP poderão fazer a autenticação no Looker mesmo sem ter uma função atribuída. Um usuário sem função atribuída não pode acessar dados nem realizar ações no Looker, mas pode fazer login.

Como desativar grupos LDAP espelhados

Se você quiser parar de espelhar seus grupos LDAP no Looker, desative a opção Mirror LDAP Groups. Todos os grupos de LDAP de espelho vazios serão excluídos.

Os grupos LDAP de espelho não vazios vão continuar disponíveis para uso no gerenciamento de conteúdo e na criação de funções. No entanto, não é possível adicionar ou remover usuários de grupos LDAP espelhados.

Opções de migração e integração

Login alternativo para administradores e usuários especificados

  • Permitir um login alternativo baseado em e-mail para administradores e usuários com a permissão login_special_email. Saiba mais sobre como definir essa permissão na documentação sobre funções. Essa opção vai aparecer na página de login do Looker se você tiver ativado essa opção e o usuário tiver a permissão adequada.
  • Essa opção é útil como alternativa durante a configuração do LDAP, se ocorrerem problemas de configuração do LDAP mais tarde ou se você precisar oferecer suporte a alguns usuários que não estão no diretório LDAP.
  • Os logins de e-mail e senha do Looker são sempre desativados para usuários comuns quando o LDAP está ativado.

Mesclar por e-mail

  • Essa opção permite que o Looker mescle usuários do LDAP pela primeira vez com as contas do Looker existentes com base no endereço de e-mail.
  • Se o Looker não encontrar um endereço de e-mail correspondente, uma nova conta será criada para o usuário.

Salvar e aplicar configurações

Quando terminar de inserir as informações e todos os testes forem aprovados, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.