Impostazioni amministratore - Autenticazione LDAP

La pagina LDAP nella sezione Autenticazione del menu Amministrazione ti consente di configurare Looker per autenticare gli utenti con Lightweight Directory Access Protocol (LDAP). Questa pagina descrive la procedura e include istruzioni per collegare i gruppi LDAP ai ruoli e alle autorizzazioni di Looker.

Requisiti

Looker mostra la pagina LDAP nella sezione Autenticazione del menu Amministrazione solo se sono soddisfatte le seguenti condizioni:

• La tua istanza di Looker non è un'istanza di Looker (Google Cloud core).
• Devi disporre del ruolo Amministratore.
• L'istanza di Looker è configurata per l'utilizzo di LDAP.

Se queste condizioni sono soddisfatte e non vedi la pagina LDAP, apri una richiesta di assistenza per attivare LDAP nella tua istanza.

Considerazioni

Tieni presente le seguenti considerazioni durante la configurazione dell'autenticazione LDAP nell'istanza Looker:

• L'autenticazione di Looker utilizza l'autenticazione "semplice" di LDAP. L'autenticazione anonima non è supportata.
• Devi creare un singolo account utente LDAP con privilegi di lettura per le voci utente e per eventuali voci di gruppo che verranno utilizzate da Looker.
• Looker legge solo dalla directory LDAP (nessuna scrittura).
• Looker può eseguire la migrazione degli account esistenti in LDAP utilizzando gli indirizzi email.
• L'utilizzo dell'API Looker non interagisce con l'autenticazione LDAP.
• Se il server LDAP limita il traffico IP, dovrai aggiungere gli indirizzi IP di Looker alla lista degli indirizzi IP consentiti o alle regole per il traffico in entrata del server LDAP.
• LDAP sostituisce l'autenticazione a due fattori. Se hai attivato in precedenza l'autenticazione a due fattori, gli utenti non vedranno le schermate di accesso per l'autenticazione a due fattori dopo aver attivato LDAP.

Fai attenzione se disattivi l'autenticazione LDAP

Se hai eseguito l'accesso a Looker utilizzando LDAP e vuoi disattivare l'autenticazione LDAP, assicurati di eseguire prima entrambi i seguenti passaggi:

• Assicurati di disporre di altre credenziali per accedere.
• Attiva l'opzione Accesso alternativo nella pagina di configurazione di LDAP.

In caso contrario, potresti bloccare te stesso e altri utenti in Looker.

Per iniziare

Vai alla pagina Autenticazione LDAP nella sezione Amministrazione di Looker per visualizzare le seguenti opzioni di configurazione.

Configura la connessione

Looker supporta il trasporto e la crittografia con LDAP in chiaro e LDAP su TLS. È vivamente consigliato l'utilizzo di LDAP su TLS. StartTLS e altri schemi di crittografia non sono supportati.

1. Inserisci le informazioni su Host e Porta.
2. Seleziona la casella accanto a TLS se utilizzi LDAP su TLS.
3. Se utilizzi LDAP su TLS, per impostazione predefinita Looker applica la verifica del certificato peer. Se devi disattivare la verifica del certificato peer, seleziona Nessuna verifica.
4. Fai clic su Test Connection (Verifica connessione). Se vengono visualizzati errori, correggili prima di procedere.

Autenticazione della connessione

Looker richiede l'accesso a un account LDAP protetto da password. L'account LDAP deve disporre dell'accesso in lettura alle voci delle persone e a un nuovo insieme di voci dei ruoli. L'account LDAP di Looker non richiede l'accesso in scrittura (né l'accesso ad altri aspetti della directory) e non importa in quale spazio dei nomi viene creato l'account.

1. Inserisci la password.
2. (Facoltativo) Seleziona la casella di controllo Forza nessuna paginazione se il tuo provider LDAP non fornisce risultati paginati. In alcuni casi, questa operazione può essere utile se non ricevi corrispondenze quando cerchi utenti, anche se non è l'unica soluzione per questo problema.
3. Fai clic sul pulsante Testa autenticazione. Se vengono visualizzati errori, assicurati che i dati di autenticazione siano corretti. Se le credenziali sono valide, ma gli errori persistono, contatta l'amministratore LDAP della tua azienda.

Impostazioni di associazione utente

I dettagli in questa sezione specificano in che modo Looker troverà gli utenti nella tua directory, eseguirà il binding per l'autenticazione ed estrarrà le informazioni utente.

1. Imposta il DN di base, ovvero la base dell'albero di ricerca per tutti gli utenti.
2. [Facoltativo] Specifica una classe di oggetti utente, che controlla i tipi di risultati che Looker troverà e restituirà. Questo è utile se il DN di base è un mix di tipi di oggetti (persone, gruppi, stampanti e così via) e vuoi restituire solo voci di un tipo.
3. Imposta Attributi di accesso, che definisce gli attributi che gli utenti utilizzeranno per accedere. Devono essere univoci per utente e devono essere un ID familiare per gli utenti all'interno del sistema. Ad esempio, puoi scegliere un ID utente o un indirizzo email completo. Se aggiungi più di un attributo, Looker li cercherà entrambi per trovare l'utente appropriato. Evita di utilizzare formati che potrebbero generare account duplicati, ad esempio nome e cognome.
4. Specifica Email Attr, First Name Attr e Last Name Attr. Queste informazioni indicano a Looker come mappare questi campi ed estrarre le relative informazioni durante l'accesso.
5. Imposta Attr ID, che indica un campo utilizzato da Looker come ID univoco per gli utenti. In genere si tratta di uno dei campi di accesso.
6. Se vuoi, inserisci un Filtro personalizzato facoltativo, che ti consente di fornire filtri LDAP arbitrari che verranno applicati durante la ricerca di un utente da associare durante l'autenticazione LDAP. Questa opzione è utile se vuoi escludere insiemi di record utente, ad esempio utenti disattivati o che fanno parte di un'altra organizzazione.

Esempio

Questa voce utente ldiff di esempio mostra come impostare le impostazioni di Looker corrispondenti:

Ldiff User Entry

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Impostazioni di Looker corrispondenti

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Accoppiamento degli attributi utente LDAP con gli attributi utente di Looker

Se vuoi, puoi utilizzare i dati negli attributi utente LDAP per compilare automaticamente i valori negli attributi utente di Looker quando un utente accede. Ad esempio, se hai configurato LDAP per effettuare connessioni al database specifiche per utente, puoi accoppiare gli attributi utente LDAP con gli attributi utente di Looker per rendere le connessioni al database specifiche per utente in Looker.

Tieni presente che l'attributo LDAP deve essere un attributo utente, non un attributo di gruppo.

Per accoppiare gli attributi utente LDAP con gli attributi utente di Looker corrispondenti:

1. Inserisci il nome dell'attributo utente LDAP nel campo Attributo utente LDAP e il nome dell'attributo utente di Looker con cui vuoi accoppiarlo nel campo Attributi utente di Looker.
2. Seleziona Obbligatorio se vuoi richiedere un valore dell'attributo LDAP per consentire a un utente di accedere.
3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Testare le informazioni utente

1. Inserisci le credenziali di un utente di test e fai clic sul pulsante Testa l'autenticazione utente. Looker tenterà una sequenza di autenticazione LDAP completa e mostrerà il risultato. In caso di esito positivo, Looker estrae le informazioni sull'utente dalla directory, oltre ad alcune informazioni di traccia sulla procedura di autenticazione che possono essere utili per risolvere i problemi di configurazione.
2. Verifica che l'autenticazione sia andata a buon fine e che tutti i campi siano mappati correttamente. Ad esempio, verifica che il campo first_name non contenga un valore che appartiene a last_name.

Gruppi e ruoli

Puoi configurare Looker in modo da creare gruppi che rispecchiano i gruppi LDAP gestiti esternamente e poi assegnare i ruoli di Looker agli utenti in base ai gruppi LDAP specchiati. Quando apporti modifiche all'appartenenza al gruppo LDAP, queste vengono propagate automaticamente alla configurazione del gruppo Looker.

Il mirroring dei gruppi LDAP ti consente di utilizzare la directory LDAP definita esternamente per gestire i gruppi e gli utenti di Looker. In questo modo, puoi gestire l'appartenenza al gruppo per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi l'opzione Crea un gruppo Looker per ogni gruppo LDAP, Looker creerà un gruppo Looker per ogni gruppo LDAP introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Copia i gruppi LDAP è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti LDAP. Nei campi Nuovi gruppi di utenti e Nuovi ruoli utente, inserisci i nomi di eventuali gruppi o ruoli di Looker a cui vuoi assegnare i nuovi utenti di Looker quando accedono per la prima volta a Looker.

Questi gruppi e ruoli vengono applicati ai nuovi utenti al loro primo accesso. I gruppi e i ruoli non vengono applicati agli utenti preesistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro primo accesso.

Se in un secondo momento attivi i gruppi LDAP con mirroring, questi valori predefiniti verranno rimossi per gli utenti al successivo accesso e sostituiti dai ruoli assegnati nella sezione Esegui il mirroring dei gruppi LDAP. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno completamente sostituite dalla configurazione dei gruppi con mirroring.

Attivazione dei gruppi LDAP mirror

Se scegli di eseguire il mirroring dei gruppi LDAP in Looker, attiva l'opzione Esegui il mirroring dei gruppi LDAP. Looker mostra le seguenti impostazioni:

Strategia di ricerca dei gruppi: scegli un'opzione dal menu a discesa per indicare a Looker come trovare i gruppi di un utente:

• I gruppi hanno attributi dei membri: questa è l'opzione più comune. Quando cerchi un membro di un gruppo, Looker restituisce solo i gruppi a cui un utente è assegnato direttamente. Ad esempio, se un utente è membro del gruppo Database-Admin e questo gruppo è membro del gruppo Ingegneria, l'utente riceverà solo le autorizzazioni associate al gruppo Database-Admin.

• I gruppi hanno attributi membro (ricerca approfondita): questa opzione consente ai gruppi di essere membri di altri gruppi, a volte indicati come gruppi nidificati LDAP. Ciò significa che un utente può disporre delle autorizzazioni di più di un gruppo. Ad esempio, se un utente fa parte del gruppo Database-Admin e questo gruppo fa parte del gruppo Ingegneria, l'utente riceverà le autorizzazioni associate a entrambi questi gruppi. Alcuni server LDAP (in particolare Microsoft Active Directory) supportano l'esecuzione automatica di questo tipo di ricerca approfondita, anche quando l'utente che effettua la chiamata esegue una ricerca superficiale. Potrebbe essere un altro metodo che puoi utilizzare per eseguire una ricerca approfondita.

DN di base: consente di restringere la ricerca e può essere uguale al DN di base specificato nella sezione Impostazioni di associazione utente di questa pagina di documentazione.

Classi oggetti gruppo: questa impostazione è facoltativa. Come indicato nella sezione Impostazioni di associazione utente, in questo modo i risultati restituiti da Looker sono limitati a un determinato tipo di oggetto o a un insieme di tipi.

Attr. membro gruppo: l'attributo che, per ogni gruppo, determina gli oggetti (in questo caso, probabilmente le persone) che ne fanno parte.

Attr. utente gruppo: il nome dell'attributo utente LDAP di cui cercheremo il valore nelle voci del gruppo per determinare se un utente fa parte del gruppo. Il valore predefinito è dn (il che significa che lasciarlo vuoto equivale a impostarlo su dn), il che comporterà che LDAP utilizzi il nome distinto completo, ovvero la stringa esatta sensibile alle maiuscole esistente nella ricerca LDAP stessa, per cercare le voci del gruppo.

Nome gruppo preferito/Ruoli/DN gruppo: questo insieme di campi ti consente di assegnare un nome di gruppo personalizzato e uno o più ruoli assegnati al gruppo LDAP corrispondente in Looker.

1. Inserisci il DN del gruppo LDAP nel campo DN gruppo. Deve includere il nome distinto completo, ovvero la stringa esatta sensibile alle maiuscole che esiste nella ricerca LDAP stessa. Gli utenti LDAP inclusi nel gruppo LDAP verranno aggiunti al gruppo sottoposto a mirroring in Looker.

2. Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Gruppi della sezione Amministrazione di Looker.

3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli di Looker che verranno assegnati a ogni utente del gruppo.

4. Fai clic su + per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione di un gruppo, fai clic su X accanto all'insieme di campi del gruppo.

Se modifichi un gruppo sottoposto a mirroring configurato in precedenza in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà invariato. Ad esempio, puoi modificare il nome personalizzato di un gruppo, in modo da cambiare la sua visualizzazione nella pagina Gruppi di Looker, ma non i ruoli assegnati e i membri del gruppo. Se modifichi il DN gruppo, il nome e i ruoli del gruppo rimarranno invariati, ma i membri del gruppo verranno riassegnati in base agli utenti che fanno parte del gruppo LDAP esterno con il nuovo DN gruppo LDAP.

Se elimini un gruppo in questa pagina, il gruppo non verrà più sottoposto a mirroring in Looker e i relativi membri non avranno più i ruoli in Looker assegnati tramite il gruppo.

Eventuali modifiche apportate a un gruppo sottoposto a mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Copia gruppi LDAP, Looker mostra queste impostazioni. Le opzioni in questa sezione determinano il grado di flessibilità degli amministratori di Looker durante la configurazione dei gruppi e degli utenti di Looker sottoposti a mirroring da Looker.

Ad esempio, se vuoi che la configurazione del gruppo e dell'utente di Looker corrisponda esattamente alla configurazione LDAP, attiva queste opzioni. Quando sono abilitate tutte e tre le prime opzioni, gli amministratori di Looker non possono modificare l'appartenenza ai gruppi con mirroring e possono assegnare i ruoli agli utenti solo tramite i gruppi con mirroring LDAP.

Se vuoi avere una maggiore flessibilità per personalizzare ulteriormente i gruppi in Looker, disattiva queste opzioni. I gruppi di Looker continueranno a rispecchiare la configurazione LDAP, ma potrai gestire ulteriormente i gruppi e gli utenti all'interno di Looker, ad esempio aggiungendo utenti LDAP ai gruppi di Looker o assegnando i ruoli di Looker direttamente agli utenti LDAP.

Per le nuove istanze Looker o per quelle che non hanno gruppi con mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze Looker esistenti che hanno configurato gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione dei ruoli avanzata contiene le seguenti opzioni:

Impedisci ai singoli utenti LDAP di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti LDAP. Gli utenti LDAP riceveranno i ruoli solo tramite le iscrizioni ai gruppi. Se agli utenti LDAP è consentito l'appartenenza ai gruppi di Looker integrati (non sottoposti a mirroring), possono comunque ereditare i loro ruoli sia dai gruppi LDAP sottoposti a mirroring sia dai gruppi di Looker integrati. A tutti gli utenti LDAP a cui sono stati assegnati direttamente i ruoli verranno rimossi i ruoli al successivo accesso.

Se questa opzione non è attiva, gli amministratori di Looker possono assegnare i ruoli di Looker direttamente agli utenti LDAP come se fossero utenti configurati direttamente in Looker.

Impedisci l'appartenenza diretta ai gruppi non LDAP: l'attivazione di questa opzione impedisce agli amministratori di Looker di aggiungere utenti LDAP direttamente ai gruppi di Looker integrati. Se i gruppi LDAP sottoposti a mirroring sono autorizzati a far parte di gruppi Looker integrati, gli utenti LDAP possono mantenere l'appartenenza a qualsiasi gruppo Looker principale. Tutti gli utenti LDAP precedentemente assegnati ai gruppi di Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti LDAP direttamente ai gruppi di Looker integrati.

Impedisci l'ereditarietà dei ruoli dai gruppi non LDAP: l'attivazione di questa opzione impedisce ai membri dei gruppi LDAP sottoposti a mirroring di ereditare i ruoli dai gruppi di Looker integrati. Tutti gli utenti LDAP che in precedenza avevano ereditato i ruoli da un gruppo Looker principale perderanno questi ruoli al successivo accesso.

Se questa opzione non è attiva, i gruppi LDAP o gli utenti LDAP sottoposti a mirroring aggiunti come membri di un gruppo Looker integrato erediteranno i ruoli assegnati al gruppo Looker principale.

Auth Requires Role (L'autenticazione richiede un ruolo): se questa opzione è attiva, agli utenti LDAP è richiesto un ruolo assegnato. Gli utenti LDAP a cui non è stato assegnato un ruolo non potranno accedere a Looker.

Se questa opzione non è attiva, gli utenti LDAP possono autenticarsi in Looker anche se non hanno un ruolo assegnato. Un utente senza un ruolo assegnato non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Disattivazione dei gruppi LDAP mirror

Se vuoi interrompere il mirroring dei gruppi LDAP in Looker, disattiva l'opzione Esegui il mirroring dei gruppi LDAP. Tutti i gruppi LDAP mirror vuoti verranno eliminati.

I gruppi LDAP mirror non vuoti rimarranno disponibili per l'utilizzo nella gestione dei contenuti e nella creazione dei ruoli. Tuttavia, gli utenti non possono essere aggiunti o rimossi dai gruppi LDAP mirror.

Opzioni di migrazione e integrazione

Accesso alternativo per amministratori e utenti specificati

• Consenti un accesso alternativo basato su email per gli amministratori e per gli utenti con l'autorizzazione login_special_email (scopri di più su come impostare questa autorizzazione nella documentazione sui ruoli). Questa opzione viene visualizzata nella pagina di accesso a Looker se l'hai attivata e l'utente dispone dell'autorizzazione appropriata.
• Questa opzione è utile come opzione di riserva durante la configurazione di LDAP, se in un secondo momento si verificano problemi di configurazione di LDAP o se devi supportare alcuni utenti che non sono presenti nella tua directory LDAP.
• Gli accessi con email e password di Looker sono sempre disattivati per gli utenti normali quando LDAP è attivo.

Unisci tramite email

• Questa opzione consente a Looker di unire gli utenti LDAP che accedono per la prima volta ai loro account Looker esistenti, in base all'indirizzo email.
• Se Looker non riesce a trovare un indirizzo email corrispondente, verrà creato un nuovo account per l'utente.

Salva e applica le impostazioni

Una volta inserite le informazioni e superati tutti i test, seleziona Ho verificato la configurazione precedente e voglio attivarne l'applicazione a livello globale e fai clic su Aggiorna impostazioni per salvare.