Impostazioni amministratore - Autenticazione LDAP

La pagina LDAP nella sezione Authentication del menu Admin (Amministrazione) consente di configurare Looker per l'autenticazione degli utenti mediante il protocollo LDAP (Lightweight Directory Access Protocol). Questa pagina descrive tale processo e include istruzioni per collegare i gruppi LDAP ai ruoli e alle autorizzazioni di Looker.

Tieni presente quanto segue:

• L'autenticazione di Looker utilizza l'autenticazione "semplice" di LDAP. L'autenticazione anonima non è supportata.
• Devi creare un singolo account utente LDAP che disponga di privilegi di lettura per le voci degli utenti e per tutte le voci di gruppo che verranno utilizzate da Looker.
• Looker legge solo dalla directory LDAP (senza scritture).
• Looker può eseguire la migrazione a LDAP degli account esistenti utilizzando indirizzi email.
• L'utilizzo dell'API Looker non interagisce con l'autenticazione LDAP.
• Se il tuo server LDAP limita il traffico IP, dovrai aggiungere gli indirizzi IP di Looker alla lista consentita di IP del server LDAP o alle regole per il traffico in entrata.
• Il protocollo LDAP sostituisce l'autenticazione a due fattori. Se hai precedentemente abilitato l'autenticazione a due fattori, i tuoi utenti non vedranno le schermate di accesso per l'autenticazione a due fattori dopo che hai abilitato LDAP.

Fai attenzione se disattivi l'autenticazione LDAP

Se hai eseguito l'accesso a Looker tramite LDAP e vuoi disattivare l'autenticazione LDAP, assicurati innanzitutto di eseguire entrambi i seguenti passaggi:

• Assicurati di disporre di altre credenziali per accedere.
• Attivare l'opzione Alternate Login (Accesso alternativo) nella pagina di configurazione LDAP.

In caso contrario, potresti bloccare te e gli altri utenti da Looker.

Per iniziare

Vai alla pagina LDAP Authentication (Autenticazione LDAP) nella sezione Admin (Amministratore) di Looker per visualizzare le seguenti opzioni di configurazione.

Configura la connessione

Looker supporta il trasporto e la crittografia con LDAP in chiaro e LDAP su TLS. È vivamente consigliato utilizzare LDAP su TLS. StartTLS e altri schemi di crittografia non sono supportati.

1. Inserisci le informazioni relative a Host e Porta.
2. Seleziona la casella accanto a TLS se utilizzi LDAP su TLS.
3. Se utilizzi LDAP su TLS, Looker applica la verifica del certificato peer per impostazione predefinita. Se devi disattivare la verifica del certificato peer, seleziona Nessuna verifica.
4. Fai clic su Verifica connessione. Se vengono rilevati errori, correggili prima di procedere.

Autenticazione della connessione

Looker richiede l'accesso a un account LDAP protetto da password. L'account LDAP deve avere accesso in lettura alle voci relative alle persone e a un nuovo insieme di voci di ruolo. L'account LDAP di Looker non richiede l'accesso in scrittura (né l'accesso ad altri aspetti della directory) e non è importante lo spazio dei nomi in cui viene creato l'account.

1. Inserisci la Password.
2. [Facoltativo] Seleziona la casella di controllo Forza nessuna pagina se il tuo provider LDAP non fornisce risultati impaginati. In alcuni casi può essere utile se non ricevi corrispondenze quando cerchi utenti, anche se non è l'unica soluzione a questo problema.
3. Fai clic sul pulsante Test Authentication (Verifica autenticazione). Se vengono visualizzati errori, assicurati che le informazioni di autenticazione siano corrette. Se le tue credenziali sono valide, ma gli errori persistono, contatta l'amministratore LDAP della tua azienda.

Impostazioni di associazione degli utenti

I dettagli di questa sezione specificano in che modo Looker troverà gli utenti nella tua directory, eseguirà il binding per l'autenticazione ed estrarrà le informazioni degli utenti.

1. Imposta il DN di base, che rappresenta la base dell'albero di ricerca per tutti gli utenti.
2. [Facoltativo] Specifica una Classe oggetto utente, che controlla i tipi di risultati che Looker troverà e restituirà. Ciò è utile se il DN di base è una combinazione di tipi di oggetti (persone, gruppi, stampanti e così via) e vuoi restituire voci di un solo tipo.
3. Imposta il campo Login Attrs(Attributi di accesso), che definisce gli attributi che gli utenti utilizzeranno per accedere. Questi ID devono essere univoci per ogni utente e con cui gli utenti conoscono il proprio ID all'interno del sistema. Ad esempio, puoi scegliere un ID utente o un indirizzo email completo. Se aggiungi più di un attributo, Looker li cercherà in entrambi per trovare l'utente appropriato. Evita di utilizzare formati che potrebbero generare account duplicati, ad esempio nome e cognome.
4. Specifica gli attributi Email Attr, First Name Attr e Last Name Attr. Queste informazioni indicano a Looker come mappare questi campi ed estrarre le relative informazioni durante l'accesso.
5. Imposta l'attributo ID, che indica un campo che Looker utilizza come ID univoco per gli utenti. In genere si tratta di uno dei campi di accesso.
6. Facoltativamente, inserisci un Filtro personalizzato facoltativo, che ti consente di fornire filtri LDAP arbitrari che verranno applicati quando cerchi un utente da associare durante l'autenticazione LDAP. Ciò è utile se vuoi escludere gli insiemi di record degli utenti, ad esempio gli utenti disattivati o gli utenti che si trovano in un'altra organizzazione.

Esempio

Questa voce utente ldiff di esempio mostra come configurare le impostazioni di Looker corrispondenti:

Voce utente Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Impostazioni di Looker corrispondenti

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Associare gli attributi utente LDAP con gli attributi utente di Looker

Facoltativamente, puoi utilizzare i dati negli attributi utente LDAP per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato LDAP in modo da stabilire connessioni specifiche per l'utente al tuo database, puoi accoppiare gli attributi utente LDAP con gli attributi utente di Looker per rendere le connessioni al database specifiche per l'utente in Looker.

Tieni presente che l'attributo LDAP deve essere un attributo utente, non un attributo di gruppo.

Per accoppiare gli attributi utente LDAP con gli attributi utente di Looker corrispondenti:

1. Inserisci il nome dell'attributo utente LDAP nel campo Attributo utente LDAP e il nome dell'attributo utente Looker con cui vuoi accoppiarlo nel campo Attributi utente Looker.
2. Seleziona Obbligatorio se vuoi richiedere un valore di attributo LDAP per consentire a un utente di accedere.
3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Informazioni utente di prova

1. Inserisci le credenziali di un utente di test e fai clic sul pulsante Test User Authentication (Autenticazione utente di test). Looker tenterà di eseguire una sequenza di autenticazione LDAP completa e mostrerà il risultato. Se l'operazione riesce, Looker visualizza le informazioni utente dalla directory oltre ad alcune informazioni di traccia sul processo di autenticazione, che possono aiutare a risolvere i problemi di configurazione.
2. Verifica che l'autenticazione abbia esito positivo e che tutti i campi siano mappati correttamente. Ad esempio, verifica che il campo first_name non contenga un valore che appartiene a last_name.

Gruppi e ruoli

Puoi configurare Looker in modo da creare gruppi che eseguono il mirroring dei gruppi LDAP gestiti esternamente, quindi puoi assegnare ruoli di Looker agli utenti in base ai loro gruppi LDAP con mirroring. Quando apporti modifiche all'appartenenza al gruppo LDAP, queste modifiche vengono propagate automaticamente alla configurazione del gruppo di Looker.

Il mirroring dei gruppi LDAP consente di utilizzare la directory LDAP definita esternamente per gestire gruppi e utenti di Looker. Questo, a sua volta, ti consente di gestire la tua iscrizione ai gruppi per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi Mirroring di gruppi LDAP, Looker creerà un gruppo Looker per ogni gruppo LDAP introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare i controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Mirroring LDAP Gruppi è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti LDAP. Nei campi Nuovi gruppi utente e Nuovi ruoli utente, inserisci i nomi dei gruppi o dei ruoli Looker a cui vuoi assegnare nuovi utenti Looker al primo accesso a Looker.

Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. I gruppi e i ruoli non vengono applicati agli utenti preesistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro accesso iniziale.

Se in un secondo momento attivi i gruppi LDAP con mirroring, queste impostazioni predefinite verranno rimosse per gli utenti all'accesso successivo e sostituite dai ruoli assegnati nella sezione Mirroring LDAP Gruppi. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi sottoposti a mirroring.

Abilitazione dei gruppi LDAP di mirroring

Se scegli di eseguire il mirroring dei gruppi LDAP in Looker, attiva l'opzione Mirroring LDAP Groups (Esegui il mirroring dei gruppi LDAP). Looker visualizza queste impostazioni:

Strategia di ricerca di gruppi: scegli un'opzione dal menu a discesa per indicare a Looker come trovare i gruppi di un utente:

• I gruppi hanno attributi dei membri: questa è l'opzione più comune. Quando cerchi un membro del gruppo, Looker restituisce solo i gruppi a cui un utente è assegnato direttamente. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Engineering, un utente otterrà solo le autorizzazioni affiliate al gruppo Database-Admin.

• I gruppi hanno attributi dei membri (ricerca approfondita): questa opzione consente ai gruppi di essere membri di altri gruppi, operazione che a volte è definita gruppi nidificati LDAP. Ciò significa che un utente può disporre delle autorizzazioni di più gruppi. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Engineering, un utente otterrà le autorizzazioni affiliate a entrambi questi gruppi. Alcuni server LDAP (soprattutto Microsoft Active Directory) supportano l'esecuzione automatica di questo tipo di ricerca approfondita, anche quando il chiamante esegue una ricerca superficiale. Questo potrebbe essere un altro metodo che puoi utilizzare per eseguire una ricerca approfondita.

DN di base: consente di restringere la ricerca e può essere uguale al DN di base specificato nella sezione Impostazioni di associazione utente di questa pagina della documentazione.

Classi degli oggetti dei gruppi: questa impostazione è facoltativa. Come indicato nella sezione Impostazioni di associazione degli utenti, i risultati restituiti da Looker vengono vincolati a un determinato tipo di oggetto o insieme di tipi.

Attributo membro del gruppo: l'attributo che, per ogni gruppo, determina gli oggetti (in questo caso, probabilmente le persone) che ne fanno parte.

Group User Attr (Attrazione utente gruppo): il nome dell'attributo utente LDAP di cui cercheremo il valore nelle voci del gruppo per determinare se un utente fa parte del gruppo. Il valore predefinito è dn (il che significa che lasciarlo vuoto equivale a impostarlo su dn), di conseguenza in LDAP utilizza il DN completo, ovvero la stringa esatta sensibile alle maiuscole che esisterebbe nella ricerca LDAP stessa, per cercare le voci del gruppo.

Nome/ruoli/DN di gruppo preferiti: questo insieme di campi consente di assegnare un nome personalizzato al gruppo e uno o più ruoli assegnati al gruppo LDAP corrispondente in Looker.

1. Inserisci il DN del gruppo LDAP nel campo Group DN (DN del gruppo). Deve includere il nome distinto completo, ovvero l'esatta stringa sensibile alle maiuscole che verrebbe presente nella ricerca LDAP stessa. Gli utenti LDAP inclusi nel gruppo LDAP verranno aggiunti al gruppo sottoposto a mirroring in Looker.

2. Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Groups (Gruppi) della sezione Admin (Amministrazione) di Looker.

3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli Looker che verranno assegnati a ciascun utente del gruppo.

4. Fai clic su + per aggiungere ulteriori insiemi di campi in modo da configurare altri gruppi sottoposti a mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic sulla X accanto al relativo insieme di campi.

Se modifichi un gruppo sottoposto a mirroring che era stato precedentemente configurato in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà intatto. Ad esempio, puoi modificare il nome personalizzato di un gruppo, il che cambia l'aspetto del gruppo nella pagina Gruppi di Looker, ma non i ruoli e i membri del gruppo assegnati. La modifica del DN di gruppo manterrebbe il nome e i ruoli del gruppo, ma i membri del gruppo verrebbero riassegnati in base agli utenti che sono membri del gruppo LDAP esterno con il nuovo DN del gruppo LDAP.

Se elimini un gruppo in questa pagina, il gruppo non sarà più sottoposto a mirroring in Looker e ai suoi membri non saranno più assegnati i ruoli in Lookerr tramite quel gruppo.

Qualsiasi modifica apportata a un gruppo sottoposto a mirroring verrà applicata agli utenti di quel gruppo all'accesso successivo a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Esegui il mirroring dei gruppi LDAP, Looker visualizza queste impostazioni. Le opzioni di questa sezione determinano il livello di flessibilità che gli amministratori di Looker hanno a disposizione durante la configurazione dei gruppi e degli utenti di Looker di cui è stato eseguito il mirroring da Looker.

Ad esempio, attiva queste opzioni se vuoi che il gruppo Looker e la configurazione utente corrispondano esattamente alla configurazione LDAP. Quando tutte le prime tre opzioni sono abilitate, gli amministratori di Looker non possono modificare l'appartenenza ai gruppi sottoposti a mirroring e possono solo assegnare ruoli agli utenti tramite gruppi sottoposti a mirroring LDAP.

Se vuoi avere maggiore flessibilità per personalizzare ulteriormente i gruppi in Looker, disattiva queste opzioni. I gruppi Looker continueranno a eseguire il mirroring della configurazione LDAP, ma potrai eseguire ulteriori attività di gestione di gruppi e utenti all'interno di Looker, ad esempio aggiungere gli utenti LDAP ai gruppi Looker o assegnare ruoli di Looker direttamente agli utenti LDAP.

Per le nuove istanze di Looker o per le istanze di Looker che non hanno gruppi con mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze Looker esistenti in cui sono configurati gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti LDAP di ricevere ruoli diretti: se attivi questa opzione, impedisci agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti LDAP. Gli utenti LDAP riceveranno i ruoli solo tramite l'appartenenza ai gruppi. Se agli utenti LDAP è consentita l'appartenenza a gruppi Looker integrati (non con mirroring), possono comunque ereditare i loro ruoli sia dai gruppi LDAP sottoposti a mirroring che dai gruppi Looker integrati. Tutti gli utenti LDAP a cui erano stati assegnati direttamente dei ruoli in precedenza verranno rimossi all'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare ruoli di Looker direttamente agli utenti LDAP come se fossero utenti configurati direttamente in Looker.

Impedisci l'iscrizione diretta a gruppi non LDAP: se attivi questa opzione, impedisci agli amministratori di Looker di aggiungere utenti LDAP direttamente ai gruppi Looker integrati. Se i gruppi LDAP sottoposti a mirroring possono essere membri di gruppi Looker integrati, gli utenti LDAP possono mantenere l'appartenenza a qualsiasi gruppo Looker principale. Tutti gli utenti LDAP assegnati in precedenza a gruppi Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere gli utenti LDAP direttamente ai gruppi Looker integrati.

Impedisci l'ereditarietà dei ruoli da gruppi non LDAP: se attivi questa opzione, impedisci ai membri dei gruppi LDAP con mirroring di ereditare i ruoli dai gruppi Looker integrati. Tutti gli utenti LDAP che in precedenza hanno ereditato ruoli da un gruppo Looker padre perderanno questi ruoli all'accesso successivo.

Se questa opzione è disattivata, i gruppi LDAP con mirroring o gli utenti LDAP aggiunti come membri di un gruppo Looker integrato erediteranno i ruoli assegnati al gruppo Looker padre.

L'autenticazione richiede un ruolo: se questa opzione è attiva, agli utenti LDAP deve essere assegnato un ruolo. Gli utenti LDAP a cui non è assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti LDAP possono eseguire l'autenticazione su Looker anche se non hanno ruoli assegnati. Un utente a cui non è stato assegnato un ruolo non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Disabilitazione dei gruppi LDAP di mirroring

Se vuoi interrompere il mirroring dei gruppi LDAP all'interno di Looker, disattiva l'opzione Mirroring gruppi LDAP. I gruppi LDAP di mirroring vuoti verranno eliminati.

I gruppi LDAP speculari non vuoti rimarranno disponibili per l'utilizzo nella gestione dei contenuti e nella creazione di ruoli. Tuttavia, gli utenti non possono essere aggiunti o rimossi dai gruppi LDAP di mirroring.

Opzioni di migrazione e integrazione

Accesso alternativo per gli amministratori e gli utenti specificati

• Consenti un accesso basato su email alternativo per gli amministratori e per gli utenti con l'autorizzazione login_special_email (scopri di più sull'impostazione di questa autorizzazione nella documentazione relativa ai ruoli). Questa opzione verrà visualizzata nella pagina di accesso a Looker se l'hai attivata e l'utente dispone dell'autorizzazione appropriata.
• Questa opzione è utile come riserva durante l'impostazione di LDAP, se i problemi di configurazione LDAP si verificano successivamente o se devi fornire assistenza per alcuni utenti che non sono presenti nella tua directory LDAP.
• Quando LDAP è abilitato, gli accessi tramite email e password di Looker sono sempre disabilitati per gli utenti normali.

Unisci via email

• Questa opzione consente a Looker di unire gli utenti LDAP alla prima visita ai loro account Looker esistenti in base all'indirizzo email.
• Se Looker non riesce a trovare un indirizzo email corrispondente, verrà creato un nuovo account per l'utente.

Salva e applica impostazioni

Dopo aver inserito le informazioni e aver superato tutti i test, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione globale della configurazione e fai clic su Aggiorna impostazioni per salvare.