관리자 설정 - LDAP 인증

LDAP 메뉴의 LDAP 섹션에 있는 LDAP 페이지를 사용하면 경량 디렉터리 액세스 프로토콜(LDAP)로 사용자를 인증하도록 Looker를 구성할 수 있습니다. 이 페이지에서는 이 프로세스를 설명하고 LDAP 그룹을 Looker 역할 및 권한에 연결하기 위한 안내를 제공합니다.

주의해야 할 사항은 다음과 같습니다.

  • Looker 인증에는 LDAP의 '단순' 인증이 사용됩니다. 익명 인증은 지원되지 않습니다.
  • Looker에서 사용되는 사용자 항목 및 그룹 항목에 대해 읽기 권한이 있는 단일 LDAP 사용자 계정을 만들어야 합니다.
  • Looker는 LDAP 디렉터리에서 읽기만 수행합니다(쓰기 없음).
  • Looker는 이메일 주소를 사용하여 LDAP에 기존 계정을 마이그레이션할 수 있습니다.
  • Looker API 사용은 LDAP 인증과 상호작용하지 않습니다.
  • LDAP 서버가 IP 트래픽을 제한할 경우 Looker의 IP 주소를 LDAP 서버의 IP 허용 목록 또는 인바운드 트래픽 규칙에 추가해야 합니다.
  • LDAP는 2단계 인증을 재정의합니다. 이전에 2단계 인증을 사용 설정했으면 LDAP를 사용 설정한 후 사용자에게 2단계 인증 로그인 화면이 표시되지 않습니다.

LDAP 인증을 사용 중지할 때 주의 사항

LDAP를 사용하여 Looker에 로그인하고 LDAP 인증을 사용 중지하려면 먼저 다음 단계를 모두 수행해야 합니다.

  • 로그인할 수 있는 다른 사용자 인증 정보가 있는지 확인합니다.
  • LDAP 구성 페이지에서 대체 로그인 옵션을 사용 설정합니다.

그렇지 않으면 사용자 자신과 다른 사용자가 Looker에 액세스하지 못하도록 차단될 수 있습니다.

시작하기

Looker의 관리 섹션에 있는 LDAP 인증 페이지로 이동하여 다음 구성 옵션을 확인합니다.

연결 설정

Looker는 깨끗한 상태의 LDAP 및 TLS를 통한 LDAP를 사용하여 전송 및 암호화를 지원합니다. TLS를 통한 LDAP가 권장됩니다. StartTLS 및 기타 암호화 스키마는 지원되지 않습니다.

  1. 호스트포트 정보를 입력합니다.
  2. TLS를 통한 LDAP를 사용하는 경우 TLS 옆의 체크박스를 선택합니다.
  3. TLS를 통한 LDAP를 사용하는 경우 Looker가 기본적으로 피어 인증서 확인을 수행합니다. 피어 인증서 확인을 사용 중지해야 하는 경우 확인 없음을 선택합니다.
  4. 연결 테스트를 클릭합니다. 오류가 표시되면 오류를 수정한 후 작업을 계속합니다.

연결 인증

Looker는 비밀번호로 보호되는 LDAP 계정에 대해 액세스 권한이 필요합니다. LDAP 계정은 사용자 항목 및 새로운 역할 항목 집합에 대해 읽기 액세스 권한이 있어야 합니다. Looker LDAP 계정은 쓰기 액세스 권한이 필요하지 않으므로(디렉터리의 다른 측면에 대한 액세스 권한도 필요하지 않음) 계정이 생성된 네임스페이스는 중요하지 않습니다.

  1. 비밀번호를 입력합니다.
  2. [선택사항] LDAP 제공업체가 페이징된 결과를 제공하지 않으면 페이징 적용 안함 체크박스를 선택합니다. 경우에 따라 사용자를 검색할 때 일치하는 항목이 없으면 이것이 도움이 될 수 있지만, 이 방식이 이러한 문제의 유일한 해결 방법은 아닙니다.
  3. 인증 테스트 버튼을 클릭합니다. 오류가 표시되면 인증 정보가 올바른지 확인합니다. 사용자 인증 정보가 올바르지만 오류가 계속되면 회사 LDAP 관리자에게 문의하세요.

사용자 바인딩 설정

이 섹션의 세부정보에서는 Looker가 디렉터리에서 사용자를 찾고, 인증을 위해 바인딩하고, 사용자 정보를 추출하는 방법을 지정합니다.

  1. 모든 사용자의 검색 트리 기준이 되는 기본 DN을 설정합니다.
  2. [선택사항] Looker가 검색하고 반환하는 결과 유형을 제어하는 사용자 객체 클래스를 지정합니다. 이 방식은 기본 DN이 객체 유형의 혼합(사용자, 그룹, 프린터 등)이고 한 가지 유형의 항목만 반환하려는 경우에 유용합니다.
  3. 로그인을 위해 사용되는 속성을 정의하는 로그인 속성을 설정합니다. 이러한 속성은 사용자별로 고유해야 하고 시스템 내에서 사용되는 ID와 같이 사용자에게 익숙한 것이어야 합니다. 예를 들어 사용자 ID 또는 전체 이메일 주소를 선택할 수 있습니다. 속성을 두 개 이상 추가하면 Looker가 적합한 찾기 위해 모두 검색합니다. 이름 및 성과 같이 중복 계정을 초래할 수 있는 형식은 사용하지 마세요.
  4. 이메일 속성, 이름 속성, 성 속성을 지정합니다. 이 정보는 Looker가 이러한 필드를 매핑하고 로그인 중에 해당 정보를 추출하는 방법을 지정합니다.
  5. Looker가 사용자의 고유 ID로 사용하는 필드를 나타내는 ID 속성을 설정합니다. 이것은 일반적으로 로그인 필드 중 하나가 됩니다.
  6. 선택적으로 LDAP 인증 중 바인딩할 사용자를 검색할 때 적용되는 임의 LDAP 필터를 제공할 수 있도록 선택적 커스텀 필터를 입력합니다. 이 방식은 사용 중지된 사용자 또는 다른 조직에 있는 사용자와 같이 사용자 레코드 집합을 필터링하려는 경우에 유용합니다.

이 예시 ldiff 사용자 항목은 해당 Looker 설정을 지정하는 방법을 보여줍니다.

Ldiff 사용자 항목

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

해당 Looker 설정

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

LDAP 사용자 속성을 Looker 사용자 속성과 페어링

선택적으로 사용자가 로그인할 때 LDAP 사용자 속성의 데이터를 사용해서 Looker 사용자 속성에 값을 자동으로 채울 수 있습니다. 예를 들어 데이터베이스에 사용자 특정 연결을 수행하도록 LDAP를 구성한 경우 LDAP 사용자 속성을 Looker 사용자 속성과 페어링하여 Looker에서 데이터베이스 연결을 사용자별로 수행할 수 있습니다.

LDAP 속성은 그룹 속성이 아닌 사용자 속성이어야 합니다.

LDAP 사용자 속성을 해당 Looker 사용자 속성과 페어링하려면 다음 안내를 따르세요.

  1. LDAP 사용자 속성 필드에 LDAP 사용자 속성 이름을 입력하고 Looker 사용자 속성 필드에 페어링하려는 Looker 사용자 속성 이름을 입력합니다.
  2. 사용자 로그인을 허용하기 위해 LDAP 속성 값이 필요하면 필수를 선택합니다.
  3. +를 클릭하고 이 단계를 반복하여 속성 쌍을 더 추가합니다.

사용자 정보 테스트

  1. 테스트 사용자의 사용자 인증 정보를 입력하고 사용자 인증 테스트 버튼을 클릭합니다. Looker가 전체 LDAP 인증 시퀀스를 시도하고 결과를 표시합니다. 성공하면 Looker가 디렉터리의 사용자 정보와 함께 구성 문제 해결에 도움이 될 수 있는 인증 프로세스에 대한 일부 trace 정보를 출력합니다.
  2. 인증이 성공하고 모든 필드가 올바르게 매핑되는지 확인합니다. 예를 들어 first_name 필드에 last_name에 속하는 값이 포함되지 않는지 확인합니다.

그룹 및 역할

외부에서 관리되는 LDAP 그룹을 미러링하는 그룹을 만들도록 Looker를 구성한 후 미러링된 LDAP 그룹을 기반으로 사용자에게 Looker 역할을 할당할 수 있습니다. LDAP 그룹 멤버십을 변경하면 해당 변경사항이 Looker 그룹 구성에 자동으로 채워집니다.

LDAP 그룹을 미러링하면 외부에서 정의된 LDAP 디렉터리를 사용하여 Looker 그룹 및 사용자를 관리할 수 있습니다. 그러면 이를 통해 Looker와 같은 여러 서비스형 소프트웨어(SaaS) 도구에 대해 그룹 멤버십을 하나의 장소에서 관리할 수 있습니다.

LDAP 그룹 미러링을 사용 설정하면 Looker가 시스템에 도입되는 모든 LDAP 그룹마다 Looker 그룹을 하나씩 만듭니다. 이러한 Looker 그룹은 Looker 관리 섹션의 그룹 페이지에서 확인할 수 있습니다. 그룹은 그룹 멤버에 역할을 할당하고, 콘텐츠 액세스 제어를 설정하고, 사용자 속성을 할당하는 데 사용될 수 있습니다.

기본 그룹 및 역할

기본적으로 LDAP 그룹 미러링 스위치는 해제되어 있습니다. 여기에서는 새 LDAP 사용자에 대해 기본 그룹을 설정할 수 있습니다. 새 사용자 그룹새 사용자 역할 필드에서 새 Looker 사용자가 Looker에 처음 로그인할 때 이러한 사용자에게 할당하려는 모든 Looker 그룹 또는 역할의 이름을 입력합니다.

이러한 그룹 및 역할은 새 사용자가 처음 로그인할 때 적용됩니다. 기존 사용자에게는 그룹 및 역할이 적용되지 않으며, 사용자가 처음 로그인한 후 사용자에게서 제거되었더라도 다시 적용되지 않습니다.

나중에 미러링된 LDAP 그룹을 사용 설정하면 다음에 로그인할 때 사용자에 대해 이러한 기본값이 삭제되고, LDAP 그룹 미러링 섹션에 할당된 역할로 대체됩니다. 이러한 기본 옵션은 더 이상 제공되거나 할당되지 않으며, 미러링된 그룹 구성으로 완전히 대체됩니다.

LDAP 그룹 미러링 사용 설정

Looker 내에서 LDAP 그룹을 미러링하려면 LDAP 그룹 미러링 스위치를 사용 설정합니다. Looker에 다음 설정이 표시됩니다.

그룹 찾기 전략: Looker가 사용자 그룹을 찾는 방법을 지정하는 옵션을 드롭다운에서 선택합니다.

  • 그룹에 구성원 속성 포함: 보다 일반적인 옵션입니다. 그룹 구성원을 찾을 때 Looker는 사용자가 직접 할당된 그룹만 반환합니다. 예를 들어 사용자가 데이터베이스 관리자 그룹의 구성원이고 데이터베이스 관리자 그룹이 엔지니어링 그룹의 구성원이면 데이터베이스 관리자 그룹과 연결된 권한만 사용자에게 부여됩니다.

  • 그룹에 구성원 속성 포함(깊은 검색): 이 옵션은 그룹이 다른 그룹의 구성원이 되도록 허용합니다. 이를 LDAP 중첩 그룹이라고도 부릅니다. 즉, 사용자가 두 개 이상 그룹의 권한을 가질 수 있습니다. 예를 들어 사용자가 데이터베이스 관리자 그룹의 구성원이고, 데이터베이스 관리자 그룹이 엔지니어링 그룹의 구성원이면 이러한 그룹 모두와 연결된 권한이 사용자에게 부여됩니다. 일부 LDAP 서버(특히 Microsoft Active Directory)는 호출자가 얕은 검색처럼 보이는 작업을 수행하더라도 이러한 유형의 깊은 검색을 자동으로 수행하도록 지원합니다. 이것은 깊은 검색을 수행하기 위해 사용할 수 있는 또 다른 방법일 수 있습니다.

기본 DN: 검색 범위를 좁힐 수 있고 이 문서 페이지의 사용자 바인딩 설정 섹션에 지정된 기본 DN과 동일할 수 있습니다.

그룹 객체 클래스: 이 설정은 선택사항입니다. 사용자 바인딩 설정 섹션에 표시된 것처럼 이 설정은 Looker에서 반환하는 결과를 특정 객체 유형 또는 유형의 집합으로 제한할 수 있습니다.

그룹 구성원 속성: 각 그룹에 대해 구성원인 객체(이 경우에는 사용자일 수 있음)를 결정하는 속성입니다.

그룹 사용자 속성: 사용자가 그룹의 일부인지 확인하기 위해 그룹 속성에서 값을 검색하려는 LDAP 사용자 속성의 이름입니다. 기본적으로 dn으로 지정됩니다. 즉, 이를 빈 칸으로 두는 것은 dn으로 설정하는 것과 동일합니다. 이렇게 하면 LDAP에서 전체 고유 이름이 사용됩니다. 이 고유 이름은 그룹 항목을 검색하기 위해 LDAP 검색 자체에 존재하는 정확한 대소문자 구분 문자열입니다.

선호 그룹 이름/역할/그룹 DN: 이 필드 집합은 커스텀 그룹 이름 및 Looker에서 해당 LDAP 그룹에 할당되는 하나 이상의 역할을 할당할 수 있게 해줍니다.

  1. 그룹 DN 필드에 LDAP 그룹 DN을 입력합니다. 여기에는 LDAP 검색 자체에 존재하는 정확한 대소문자 구분 문자열인 전체 고유 이름이 포함됩니다. LDAP 그룹에 포함되는 LDAP 사용자가 Looker 내의 미러링된 그룹에 추가됩니다.

  2. 커스텀 이름 필드에 미러링된 그룹의 커스텀 이름을 입력합니다. 이 이름은 Looker 관리 섹션의 그룹 페이지에 표시되는 이름입니다.

  3. 커스텀 이름 필드 오른쪽 필드에서 그룹의 각 사용자에게 할당되는 하나 이상의 Looker 역할을 선택합니다.

  4. 추가 미러링된 그룹을 구성하기 이해 추가 필드 집합을 추가하려면 +를 클릭합니다. 구성된 그룹이 여러 개 있고 한 그룹의 구성을 삭제하려면 해당 그룹의 필드 집합 옆에 있는 X를 클릭합니다.

이 화면에서 이전에 구성한 미러링된 그룹을 수정하면 그룹 구성이 변경되지만 그룹 자체는 그대로 유지됩니다. 예를 들어 그룹의 커스텀 이름을 변경하면 Looker의 그룹 페이지에서 그룹이 표시되는 방식이 변경되지만 할당된 역할 및 그룹 구성원은 변경되지 않습니다. 그룹 DN을 변경하면 그룹 이름 및 역할이 유지되지만 새 LDAP 그룹 DN을 갖는 외부 LDAP 그룹의 구성원인 사용자를 기준으로 그룹 구성원이 다시 할당됩니다.

이 페이지에서 그룹을 삭제하면 해당 그룹이 Looker에서 더 이상 미러링되지 않고 해당 구성원도 Looker에서 이 그룹을 통해 할당된 역할을 더 이상 포함하지 않습니다.

미러링된 그룹에 수행된 모든 수정 사항은 다음에 Looker에 로그인할 때 해당 그룹의 사용자에게 할당됩니다.

고급 역할 관리

LDAP 그룹 미러링 스위치를 사용 설정하면 Looker에 이러한 설정이 표시됩니다. 이 섹션의 옵션에 따라 Looker 관리자가 Looker에서 미러링된 사용자 및 Looker 그룹을 구성할 때 유연성이 결정됩니다.

예를 들어 Looker 그룹 및 사용자 구성이 LDAP 구성과 엄격하게 일치하도록 하려면 이 옵션을 사용 설정합니다. 처음 세 가지 옵션이 모두 사용 설정되었으면 Looker 관리자가 미러링된 그룹의 멤버십을 수정할 수 없고 LDAP 미러링된 그룹을 통해서만 사용자에게 역할을 할당할 수 있습니다.

Looker 내에서 그룹을 더 맞춤설정할 수 있는 추가 유연성이 필요한 경우 이러한 옵션을 해제합니다. Looker 그룹이 LDAP 구성을 계속 미러링하지만 Looker 그룹에 LDAP 사용자를 추가하거나 LDAP 사용자에게 직접 Looker 역할을 할당하는 경우와 같이 추가 그룹 및 사용자 관리를 수행할 수 있습니다.

새 Looker 인스턴스 또는 이전에 미러링된 그룹을 구성하지 않은 Looker 인스턴스의 경우 이 옵션은 기본적으로 해제되어 있습니다.

미러링된 그룹을 구성한 기존 Looker 인스턴스의 경우 이러한 옵션이 기본적으로 설정되어 있습니다.

고급 역할 관리 섹션에는 다음 옵션이 포함되어 있습니다.

개별 LDAP 사용자가 직접 역할을 받지 못하도록 방지: 이 옵션을 설정하면 Looker 관리자가 LDAP 사용자에게 Looker 역할을 직접 할당할 수 없습니다. LDAP 사용자는 그룹 멤버십을 통해서만 역할을 받습니다. LDAP 사용자가 미러링되지 않은 기본 제공 Looker 그룹에서 멤버십이 허용된 경우 사용자가 미러링된 LDAP 그룹 및 기본 제공 Looker 그룹 모두에서 역할을 상속할 수 있습니다. 이전에 역할이 직접 할당된 LDAP 사용자는 다음에 로그인할 때 역할이 삭제됩니다.

이 옵션을 해제하면 Looker 관리자가 Looker에 직접 구성된 사용자인 것처럼 LDAP 사용자에게 직접 Looker 역할을 할당할 수 있습니다.

비LDAP 그룹에서 직접 멤버십 방지: 이 옵션을 설정하면 Looker 관리자가 기본 제공 Looker 그룹에 직접 LDAP 사용자를 할당할 수 없습니다. 미러링된 LDAP 그룹이 기본 제공 Looker 그룹의 구성원이 될 수 있으면 LDAP 사용자가 모든 상위 Looker 그룹에서 멤버십을 유지할 수 있습니다. 기본 제공 Looker 그룹에 이전에 할당된 모든 LDAP 사용자는 다음에 로그인할 때 이러한 그룹에서 삭제됩니다.

이 옵션을 해제하면 Looker 관리자가 기본 제공 Looker 그룹에 LDAP 사용자를 직접 추가할 수 있습니다.

비LDAP 그룹에서 역할 상속성 방지: 이 옵션을 설정하면 미러링된 LDAP 그룹의 구성원이 기본 제공 Looker 그룹에서 역할을 상속하지 못합니다. 이전에 상위 Looker 그룹에서 역할을 상속한 LDAP 사용자는 다음에 로그인할 때 이러한 역할을 손실하게 됩니다.

이 옵션을 해제하면 미러링된 LDAP 그룹 또는 기본 제공 Looker 그룹의 구성원으로 추가된 LDAP 사용자가 상위 Looker 그룹에 할당된 역할을 상속합니다.

인증 필요 역할: 이 옵션을 설정하면 LDAP 사용자에게 역할이 할당되어 있어야 합니다. 역할이 할당되지 않은 LDAP 사용자는 Looker에 전혀 로그인할 수 없습니다.

이 옵션을 해제하면 역할이 할당되지 않았어도 LDAP 사용자가 Looker에 인증할 수 있습니다. 역할이 할당되지 않은 사용자는 Looker에서 데이터를 보거나 작업을 수행할 수 없지만 Looker에 로그인할 수 있습니다.

LDAP 그룹 미러링 사용 중지

Looker 내에서 LDAP 그룹 미러링을 중지하려면 LDAP 그룹 미러링 스위치를 해제합니다. 모든 비어 있는 미러링된 LDAP 그룹이 삭제됩니다.

비어 있지 않은 미러링된 LDAP 그룹은 콘텐츠 관리 및 역할 생성에 계속 사용할 수 있습니다. 그러나 미러링된 LDAP 그룹에 대해 사용자를 추가하거나 삭제할 수 없습니다.

마이그레이션 및 통합 옵션

관리자 및 지정된 사용자를 위한 대체 로그인

  • login_special_email 권한이 있는 관리자 및 사용자에 대해 대체 이메일 기반 로그인을 허용합니다. 이 권한 설정에 대한 자세한 내용은 역할 문서를 참조하세요. 이 옵션은 옵션이 설정되었고 사용자에게 적합한 권한이 있는 경우에 Looker 로그인 페이지에 표시됩니다.
  • 이 옵션은 LDAP 구성 문제가 나중에 발생하거나 LDAP 디렉터리에 있지 않은 사용자를 지원해야 할 경우 LDAP 설정 중 대체 수단으로 유용합니다.
  • LDAP가 사용 설정되어 있으면 Looker 이메일 및 비밀번호 로그인이 일반 사용자에 대해 항상 사용 중지됩니다.

이메일로 병합

  • 이 옵션을 사용하면 이메일 주소를 기반으로 Looker가 첫 번째 LDAP 사용자를 기존 Looker 계정과 병합할 수 있습니다.
  • Looker가 일치하는 이메일 주소를 찾을 수 없으면 사용자에 대해 새 계정이 생성됩니다.

설정 저장 후 적용

정보 입력을 마쳤고 테스트가 모두 통과하면 위 내용을 확인했으며 전역 적용을 사용 설정합니다.를 선택하고 설정 업데이트를 클릭하여 저장합니다.