Setelan admin - Autentikasi LDAP

Halaman LDAP di bagian Authentication pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna dengan Lightweight Directory Access Protocol (LDAP). Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup LDAP ke peran dan izin Looker.

Hal-hal yang perlu diingat:

  • Autentikasi Looker menggunakan autentikasi sederhana LDAP. Autentikasi anonim tidak didukung.
  • Anda harus membuat satu akun pengguna LDAP yang memiliki hak istimewa baca untuk entri pengguna dan semua entri grup yang akan digunakan oleh Looker.
  • Looker hanya membaca dari direktori LDAP (tidak ada operasi tulis).
  • Looker dapat memigrasikan akun yang ada ke LDAP menggunakan alamat email.
  • Penggunaan Looker API tidak berinteraksi dengan autentikasi LDAP.
  • Jika server LDAP membatasi traffic IP, Anda harus menambahkan alamat IP Looker ke daftar IP atau aturan traffic masuk server LDAP yang diizinkan.
  • LDAP mengganti autentikasi 2 langkah. Jika Anda sebelumnya telah mengaktifkan autentikasi dua faktor, pengguna tidak akan melihat layar masuk autentikasi dua faktor setelah Anda mengaktifkan LDAP.

Hati-hati jika menonaktifkan autentikasi LDAP

Jika Anda login ke Looker menggunakan LDAP dan ingin menonaktifkan autentikasi LDAP, pastikan untuk melakukan kedua langkah berikut terlebih dahulu:

  • Pastikan Anda memiliki kredensial lain untuk login.
  • Mengaktifkan opsi Alternative Login di halaman konfigurasi LDAP.

Jika tidak, Anda dapat mengunci diri Anda dan pengguna lain dari Looker.

Memulai

Buka halaman LDAP Authentication di bagian Admin Looker untuk melihat opsi konfigurasi berikut.

Siapkan koneksi Anda

Looker mendukung transpor/enkripsi dengan LDAP secara clear dan LDAP melalui TLS. LDAP daripada TLS sangat direkomendasikan. StartTLS dan skema enkripsi lainnya tidak didukung.

  1. Masukkan informasi Host dan Port Anda.
  2. Pilih kotak di samping TLS jika Anda menggunakan LDAP melalui TLS.
  3. Jika Anda menggunakan LDAP melalui TLS, Looker akan menerapkan verifikasi sertifikat pembanding secara default. Jika Anda perlu menonaktifkan verifikasi sertifikat pembanding, centang No Verify.
  4. KlikUji Koneksi. Jika ada error yang muncul, perbaiki error tersebut sebelum melanjutkan.

Autentikasi koneksi

Looker memerlukan akses ke akun LDAP yang dilindungi sandi. Akun LDAP harus memiliki akses baca ke entri pengguna dan kumpulan entri peran baru. Akun LDAP Looker tidak memerlukan akses tulis (atau akses ke aspek direktori lainnya), dan tidak masalah namespace tempat akun dibuat.

  1. Masukkan Sandi.
  2. [Opsional] Pilih kotak centang Force No Paging jika penyedia LDAP Anda tidak memberikan hasil yang dibagi-bagi. Dalam beberapa kasus, hal ini dapat membantu jika Anda tidak menerima kecocokan apa pun saat menelusuri pengguna, meskipun itu bukan satu-satunya solusi untuk masalah tersebut.
  3. Klik tombol Test Authentication. Jika ada error yang muncul, pastikan informasi autentikasi Anda sudah benar. Jika kredensial Anda valid tetapi error masih berlanjut, hubungi administrator LDAP perusahaan Anda.

Setelan binding pengguna

Detail di bagian ini menentukan cara Looker akan menemukan pengguna di direktori Anda, mengikat untuk autentikasi, dan mengekstrak informasi pengguna.

  1. Tetapkan DN Dasar, yang merupakan dasar hierarki penelusuran untuk semua pengguna
  2. [Opsional] Tentukan User Object Class, yang mengontrol jenis hasil yang akan ditemukan dan ditampilkan oleh Looker. Cara ini berguna jika Base DN adalah campuran dari berbagai jenis objek (orang, grup, printer, dan sebagainya), dan Anda hanya ingin menampilkan entri dari satu jenis.
  3. Tetapkan Info Login, yang menentukan atribut yang akan digunakan pengguna untuk login. ID ini harus unik untuk setiap pengguna, dan sesuatu yang sudah dikenal pengguna sebagai ID mereka dalam sistem Anda. Misalnya, Anda dapat memilih ID pengguna atau alamat email lengkap. Jika Anda menambahkan lebih dari satu atribut, Looker akan menelusuri keduanya untuk menemukan pengguna yang sesuai. Pastikan untuk memilih bidang yang sesuai di sini; penggunaan nama seperti nama depan dan nama belakang tidak akan berfungsi jika Anda memiliki dua Jennifer Smith, dll.
  4. Tentukan Email Attr, First Name Attr, dan Last Name Attr. Informasi ini memberi tahu Looker cara memetakan kolom tersebut dan mengekstrak informasinya saat login.
  5. Tetapkan Attr ID, yang menunjukkan kolom yang harus digunakan Looker sebagai ID unik untuk pengguna. Biasanya ini akan berupa salah satu kolom login.
  6. Secara opsional, masukkan Filter Kustom Opsional, yang memungkinkan Anda memberikan filter LDAP arbitrer yang akan diterapkan saat menelusuri pengguna yang akan diikat selama autentikasi LDAP. Hal ini berguna jika Anda ingin memfilter kumpulan data pengguna, seperti pengguna yang dinonaktifkan atau pengguna yang berada di organisasi lain.

Contoh

Contoh entri pengguna ldiff ini menunjukkan cara menetapkan setelan Looker yang sesuai:

Entri Pengguna Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Setelan Looker yang Sesuai

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Menyambungkan atribut pengguna LDAP dengan atribut pengguna Looker

Anda juga dapat menggunakan data dalam atribut pengguna LDAP untuk mengisi nilai secara otomatis di atribut pengguna Looker saat pengguna login. Misalnya, jika telah mengonfigurasi LDAP untuk membuat koneksi khusus pengguna ke database, Anda dapat menyambungkan atribut pengguna LDAP dengan atribut pengguna Looker untuk membuat koneksi database bersifat spesifik per pengguna di Looker.

Perhatikan bahwa atribut LDAP harus berupa atribut pengguna, bukan atribut grup.

Untuk menyambungkan atribut pengguna LDAP dengan atribut pengguna Looker yang sesuai:

  1. Masukkan nama atribut pengguna LDAP di kolom LDAP User Attribute dan nama atribut pengguna Looker yang ingin disambungkan di kolom Looker User Attributes.
  2. Centang Wajib jika Anda ingin mewajibkan nilai atribut LDAP untuk mengizinkan pengguna login.
  3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan atribut lainnya.

Menguji informasi pengguna

  1. Masukkan kredensial pengguna uji dan klik tombol Uji Autentikasi Pengguna. Looker akan mencoba urutan autentikasi LDAP lengkap dan menampilkan hasilnya. Setelah berhasil, Looker menghasilkan output informasi pengguna dari direktori serta beberapa informasi trace tentang proses autentikasi yang dapat membantu menyelesaikan masalah konfigurasi.
  2. Pastikan bahwa autentikasi berhasil dan semua kolom dipetakan dengan benar. Misalnya, konfirmasi bahwa kolom first_name tidak berisi nilai yang merupakan bagian dari last_name.

Grup dan peran

Anda dapat mengonfigurasi Looker untuk membuat grup yang menduplikasi grup LDAP yang dikelola secara eksternal, lalu menetapkan peran Looker kepada pengguna berdasarkan grup LDAP yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup LDAP, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker.

Pencerminan grup LDAP memungkinkan Anda menggunakan direktori LDAP yang ditentukan secara eksternal untuk mengelola pengguna dan grup Looker. Dengan demikian, Anda dapat mengelola keanggotaan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Grup LDAP Cerminkan, Looker akan membuat satu grup Looker untuk setiap grup LDAP yang diperkenalkan ke sistem. Grup Looker tersebut dapat dilihat di halaman Grup pada bagian Admin Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menetapkan kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror LDAP Groups nonaktif. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna LDAP baru. Di kolom Grup Pengguna Baru dan Peran Pengguna Baru, masukkan nama grup atau peran Looker yang ingin Anda tetapkan pengguna Looker barunya saat mereka pertama kali login ke Looker:

Grup dan peran ini diterapkan ke pengguna baru saat mereka login pertama kali. Grup dan peran tidak berlaku untuk pengguna yang sudah ada sebelumnya, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal pengguna.

Jika nanti Anda mengaktifkan grup LDAP yang dicerminkan, setelan default ini akan dihapus bagi pengguna saat login berikutnya dan digantikan dengan peran yang ditetapkan di bagian Grup LDAP Cermin. Opsi default ini tidak akan tersedia atau ditetapkan lagi, dan akan digantikan sepenuhnya oleh konfigurasi grup yang dicerminkan.

Mengaktifkan grup LDAP duplikat

Jika Anda memilih untuk mencerminkan grup LDAP dalam Looker, aktifkan tombol Duplikasi Grup LDAP. Looker menampilkan setelan berikut:

Strategi Pencari Grup: Pilih opsi dari drop-down untuk memberi tahu Looker cara menemukan grup pengguna:

  • Grup Memiliki Atribut Anggota: Ini adalah opsi yang lebih umum. Saat mencari anggota grup, Looker hanya akan menampilkan grup tempat pengguna ditetapkan secara langsung. Misalnya, jika pengguna adalah anggota grup Database-Admin, dan grup Database-Admin adalah anggota grup Engineering, pengguna hanya akan mendapatkan izin yang berafiliasi dengan grup Database-Admin.

  • Grup Memiliki Atribut Anggota (penelusuran mendalam): Opsi ini memungkinkan grup menjadi anggota grup lain, yang terkadang disebut sebagai grup bertingkat LDAP. Ini berarti bahwa pengguna dapat memiliki izin di lebih dari satu grup. Misalnya, jika pengguna adalah anggota grup Database-Admin, dan grup Database-Admin adalah anggota grup Engineering, pengguna akan mendapatkan izin yang berafiliasi dengan kedua grup ini. Perhatikan bahwa beberapa server LDAP (terutama Microsoft Active Directory) memiliki dukungan untuk menjalankan jenis penelusuran mendalam ini secara otomatis, bahkan saat pemanggil melakukan penelusuran yang tampak seperti penelusuran yang dangkal. Itu mungkin metode lain yang dapat Anda gunakan untuk menjalankan penelusuran mendalam.

Base DN: Memungkinkan Anda mempersempit penelusuran, dan dapat sama dengan Base DN yang ditentukan di bagian User Binding Settings, di atas.

Groups Object Class: Setelan ini opsional. Seperti disebutkan di bagian Setelan User Binding, hal ini memungkinkan hasil yang ditampilkan Looker dibatasi ke satu atau serangkaian jenis objek tertentu.

Attr Anggota Grup: Atribut yang, untuk setiap grup, menentukan objek (dalam hal ini, mungkin orang-orang) yang merupakan anggota.

Group User Attr: Nama atribut pengguna LDAP yang nilainya akan kami telusuri dalam entri Grup untuk menentukan apakah pengguna merupakan bagian dari grup. Setelan defaultnya adalah dn (artinya, membiarkannya kosong sama dengan menyetelnya ke dn), yang akan menghasilkan LDAP menggunakan Distinguished Name lengkap, yang merupakan string peka huruf besar/kecil persis yang akan ada dalam penelusuran LDAP itu sendiri, untuk menelusuri entri Grup.

Nama Grup/Peran/DN Grup Pilihan: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup LDAP yang sesuai di Looker:

  1. Masukkan DN grup LDAP di kolom Group DN. Nama ini harus menyertakan Nama yang Dibedakan lengkap, yang merupakan string peka huruf besar/kecil yang akan ada di penelusuran LDAP itu sendiri. Pengguna LDAP yang disertakan dalam grup LDAP akan ditambahkan ke grup yang diduplikasi dalam Looker.

  2. Masukkan nama kustom untuk grup yang diduplikasi di kolom Nama Kustom. Nama ini akan ditampilkan di halaman Grup di bagian Admin Looker.

  3. Pada kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

  4. Klik + untuk menambahkan kumpulan kolom tambahan guna mengonfigurasi grup duplikasi tambahan. Jika Anda memiliki beberapa grup yang dikonfigurasi dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup duplikat yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Mengubah DN Grup akan mempertahankan nama dan peran grup, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup LDAP eksternal yang memiliki DN grup LDAP baru.

Jika Anda menghapus grup di halaman ini, grup tersebut tidak akan lagi tercermin di Looker dan anggotanya tidak akan lagi memiliki peran di Looker yang ditetapkan kepada mereka melalui grup tersebut.

Setiap pengeditan yang dilakukan pada grup yang diduplikasi akan diterapkan ke pengguna grup tersebut saat mereka login kembali ke Looker.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Grup LDAP Cerminkan, Looker akan menampilkan setelan ini. Opsi di bagian ini menentukan seberapa besar fleksibilitas yang dimiliki admin Looker saat mengonfigurasi grup Looker dan pengguna yang telah diduplikasi dari LDAP.

Misalnya, jika Anda ingin konfigurasi grup dan pengguna Looker Anda sama persis dengan konfigurasi LDAP, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang diduplikasi dan hanya dapat menetapkan peran kepada pengguna melalui grup yang diduplikasi LDAP.

Jika Anda ingin lebih fleksibel dalam menyesuaikan grup dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi LDAP, tetapi Anda dapat melakukan pengelolaan grup dan pengguna tambahan di dalam Looker, seperti menambahkan pengguna LDAP ke grup khusus Looker atau menetapkan peran Looker langsung ke pengguna LDAP.

Untuk instance Looker baru, atau instance yang tidak memiliki grup duplikasi yang dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang ada dan saat ini telah mengonfigurasi grup duplikat, opsi ini diaktifkan secara default.

Bagian Pengelolaan Peran Lanjutan berisi opsi berikut:

Cegah Pengguna LDAP Individual Menerima Peran Langsung: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker langsung ke pengguna LDAP. Pengguna LDAP hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna LDAP diizinkan keanggotaan di grup Looker native (tidak diduplikasi), mereka masih dapat mewarisi perannya dari grup LDAP yang diduplikasi dan dari grup Looker native. Setiap pengguna LDAP yang sebelumnya diberi peran secara langsung akan dihapus peran tersebut saat login berikutnya.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker secara langsung ke pengguna LDAP seolah-olah pengguna tersebut adalah pengguna yang dikonfigurasi secara native di Looker.

Cegah Keanggotaan Langsung di Grup non-LDAP: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna LDAP langsung ke grup Looker native. Jika grup LDAP yang diduplikasi diizinkan untuk menjadi anggota grup Looker native, pengguna LDAP dapat mempertahankan keanggotaan di grup Looker induk mana pun. Setiap pengguna LDAP yang sebelumnya ditetapkan ke grup Looker native akan dihapus dari grup tersebut saat login kembali.

Jika opsi ini nonaktif, admin Looker dapat menambahkan pengguna LDAP langsung ke grup Looker native.

Cegah Pewarisan Peran dari Grup non-LDAP: Mengaktifkan opsi ini akan mencegah anggota grup LDAP yang dicerminkan mewarisi peran dari grup Looker native. Setiap pengguna LDAP yang sebelumnya mewarisi peran dari grup Looker induk akan kehilangan peran tersebut saat login berikutnya.

Jika opsi ini nonaktif, grup LDAP yang dicerminkan atau pengguna LDAP yang ditambahkan sebagai anggota grup Looker native akan mewarisi peran yang ditetapkan ke grup Looker induk.

Auth Memerlukan Peran: Jika opsi ini diaktifkan, pengguna LDAP wajib memiliki peran yang ditetapkan. Semua pengguna LDAP yang tidak memiliki peran yang ditetapkan tidak akan dapat login ke Looker sama sekali.

Jika opsi ini nonaktif, pengguna LDAP dapat melakukan autentikasi ke Looker meskipun tidak ada peran yang ditetapkan. Pengguna tanpa peran yang ditetapkan tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi dapat login ke Looker.

Menonaktifkan grup LDAP duplikat

Jika Anda ingin berhenti mencerminkan grup LDAP dalam Looker, nonaktifkan tombol Mirror LDAP Groups. Semua grup LDAP cermin yang kosong akan dihapus.

Grup LDAP pencerminan yang tidak kosong akan tetap tersedia untuk digunakan dalam pengelolaan konten dan pembuatan peran. Namun, pengguna tidak dapat ditambahkan ke atau dihapus dari grup LDAP duplikat.

Opsi migrasi dan integrasi

Login alternatif untuk admin dan pengguna tertentu

  • Izinkan login berbasis email alternatif untuk admin dan pengguna dengan izin login_special_email (baca lebih lanjut cara menetapkan izin ini di dokumentasi Peran). Opsi ini akan muncul di halaman login Looker jika Anda telah mengaktifkannya dan pengguna memiliki izin yang sesuai.
  • Opsi ini berguna sebagai penggantian selama penyiapan LDAP, jika masalah konfigurasi LDAP terjadi nanti, atau jika Anda perlu mendukung beberapa pengguna yang tidak berada di direktori LDAP.
  • Login email/sandi Looker selalu dinonaktifkan untuk pengguna reguler saat LDAP diaktifkan.

Gabungkan menurut email

  • Opsi ini memungkinkan Looker menggabungkan pengguna LDAP pertama kali dengan akun Looker mereka yang ada, berdasarkan alamat email.
  • Jika Looker tidak dapat menemukan alamat email yang cocok, akun baru akan dibuat untuk pengguna tersebut.

Simpan dan terapkan setelan

Setelah selesai memasukkan informasi, dan semua pengujian berhasil, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapan secara global, lalu klik Perbarui Setelan untuk menyimpan.