La page LDAP de la section Authentification du menu Admin vous permet de configurer Looker pour authentifier les utilisateurs avec le protocole LDAP (Lightweight Directory Access Protocol). Cette page décrit ce processus et inclut des instructions pour associer des groupes LDAP à des rôles et autorisations Looker.
Voici quelques points à retenir :
- L'authentification Looker utilise l'authentification simple de LDAP. L'authentification anonyme n'est pas prise en charge.
- Vous devez créer un seul compte utilisateur LDAP disposant de droits de lecture sur les entrées utilisateur et sur toutes les entrées de groupe qui seront utilisées par Looker.
- Looker ne lit que les données de l'annuaire LDAP (pas d'écritures).
- Looker peut migrer des comptes existants vers LDAP à l'aide d'adresses e-mail.
- L'utilisation de l'API Looker n'interagit pas avec l'authentification LDAP.
- Si votre serveur LDAP restreint le trafic IP, vous devez ajouter les adresses IP de Looker à la liste d'autorisation d'adresses IP ou aux règles de trafic entrant de votre serveur LDAP.
- LDAP ignore l'authentification à deux facteurs. Si vous avez déjà activé l'authentification à deux facteurs, vos utilisateurs ne verront pas les écrans de connexion correspondants après l'activation de LDAP.
Soyez prudent en cas de désactivation de l'authentification LDAP
Si vous êtes connecté à Looker via LDAP et que vous souhaitez désactiver l'authentification LDAP, veillez à effectuer d'abord les deux étapes suivantes:
- Assurez-vous de disposer d'autres identifiants pour vous connecter.
- Activez l'option Autre connexion sur la page de configuration LDAP.
Sinon, vous pourriez bloquer l'accès à Looker pour vous-même et d'autres utilisateurs.
Comment en profiter ?
Accédez à la page Authentification LDAP dans la section Administration de Looker pour afficher les options de configuration suivantes.
Configurer votre connexion
Looker prend en charge le transport/chiffrement avec LDAP en clair et LDAP sur TLS. Nous vous recommandons vivement d'utiliser LDAP sur TLS. StartTLS et les autres schémas de chiffrement ne sont pas compatibles.
- Saisissez les informations concernant l'hôte et le port.
- Cochez la case TLS si vous utilisez LDAP sur TLS.
- Si vous utilisez LDAP sur TLS, Looker applique par défaut la vérification des certificats de pairs. Si vous devez désactiver la validation du certificat de pairs, cochez Aucune vérification.
- Cliquez sur Test Connection (Tester la connexion). Si des erreurs sont détectées, corrigez-les avant de continuer.
Authentification de la connexion
Looker requiert l'accès à un compte LDAP protégé par mot de passe. Le compte LDAP doit disposer d'un accès en lecture aux entrées de personnes et à un nouvel ensemble d'entrées de rôles. Le compte LDAP Looker ne nécessite aucun accès en écriture (ni accès à d'autres aspects de l'annuaire), et l'espace de noms dans lequel le compte est créé n'a pas d'importance.
- Saisissez le mot de passe.
- [Facultatif] Cochez la case Forcer l'absence de pagination si votre fournisseur LDAP ne fournit pas de résultats paginés. Dans certains cas, cette option peut être utile si vous n'obtenez aucune correspondance lorsque vous recherchez des utilisateurs, même si ce n'est pas la seule solution à ce problème.
- Cliquez sur le bouton Tester l'authentification. Si des erreurs se produisent, vérifiez que vos informations d'authentification sont correctes. Si vos identifiants sont valides, mais que des erreurs persistent, contactez l'administrateur LDAP de votre entreprise.
Paramètres de liaison utilisateur
Les détails de cette section indiquent comment Looker recherchera les utilisateurs dans votre annuaire, liera pour l'authentification et extrait les informations des utilisateurs.
- Définissez le nom de domaine de base, qui est la base de l'arborescence de recherche pour tous les utilisateurs.
- [Facultatif] Spécifiez une classe d'objet utilisateur qui contrôle les types de résultats que Looker trouvera et renverra. Cela est utile si le nom distinctif de base est un mélange de types d'objets (personnes, groupes, imprimantes, etc.) et que vous souhaitez uniquement renvoyer des entrées d'un seul type.
- Définissez les attributs de connexion, qui définissent le ou les attributs que vos utilisateurs utiliseront pour se connecter. Ils doivent être uniques pour chaque utilisateur, et vos utilisateurs doivent connaître leur identifiant dans votre système. Par exemple, vous pouvez choisir un ID utilisateur ou une adresse e-mail complète. Si vous ajoutez plusieurs attributs, Looker effectuera une recherche dans les deux pour trouver l'utilisateur approprié. Veillez à sélectionner les champs appropriés ; les noms et prénoms ne fonctionneront pas si vous avez deux Jennifer Smith, etc.
- Renseignez les champs Email Attr (Attributs d'adresse e-mail), First Name Attr et Last Name Attr. Ces informations indiquent à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion.
- Définissez l'attribut d'ID, qui indique un champ que Looker lui-même doit utiliser comme identifiant unique pour les utilisateurs. Il s'agit généralement de l'un des champs de connexion.
- Vous pouvez également saisir un filtre personnalisé facultatif, qui vous permet de fournir des filtres LDAP arbitraires qui seront appliqués lors de la recherche d'un utilisateur à lier lors de l'authentification LDAP. Cela peut s'avérer utile si vous souhaitez filtrer des ensembles d'enregistrements utilisateur, tels que les utilisateurs désactivés ou ceux appartenant à une organisation différente.
Exemple
Cet exemple d'entrée utilisateur ldiff montre comment définir les paramètres Looker correspondants:
Entrée utilisateur Ldiff
dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People
Paramètres Looker correspondants
Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn
Associer les attributs utilisateur LDAP et les attributs utilisateur Looker
Vous pouvez éventuellement utiliser les données de vos attributs utilisateur LDAP pour renseigner automatiquement les valeurs dans les attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré LDAP pour établir des connexions spécifiques à l'utilisateur à votre base de données, vous pouvez associer vos attributs utilisateur LDAP à des attributs utilisateur Looker pour rendre vos connexions à la base de données spécifiques à l'utilisateur dans Looker.
Notez que l'attribut LDAP doit être un attribut utilisateur et non un attribut de groupe.
Pour associer des attributs utilisateur LDAP aux attributs utilisateur Looker correspondants:
- Saisissez le nom de l'attribut utilisateur LDAP dans le champ Attribut utilisateur LDAP et le nom de l'attribut utilisateur Looker avec lequel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
- Cochez la case Required si vous souhaitez exiger une valeur d'attribut LDAP pour permettre à un utilisateur de se connecter.
- Cliquez sur +, puis répétez ces étapes pour ajouter d'autres paires d'attributs.
Tester les informations sur les utilisateurs
- Saisissez les identifiants d'un utilisateur test, puis cliquez sur le bouton Tester l'authentification utilisateur. Looker tentera une séquence d'authentification LDAP complète et affichera le résultat. En cas de réussite, Looker affiche les informations utilisateur à partir de l'annuaire, ainsi que certaines informations de trace sur le processus d'authentification, ce qui peut aider à résoudre les problèmes de configuration.
- Vérifiez que l'authentification réussit et que tous les champs sont correctement mappés. Par exemple, vérifiez que le champ
first_namene contient pas de valeur appartenant àlast_name.
Groupes et rôles
Vous pouvez configurer Looker pour créer des groupes qui dupliquent vos groupes LDAP gérés en externe, puis attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes LDAP en miroir. Lorsque vous apportez des modifications à votre appartenance à un groupe LDAP, ces modifications sont automatiquement appliquées à la configuration du groupe de Looker.
La mise en miroir de groupes LDAP vous permet d'utiliser votre annuaire LDAP défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à un groupe pour plusieurs outils Software as a Service (SaaS), tels que Looker, depuis un seul et même endroit.
Si vous activez l'option Dupliquer les groupes LDAP, Looker crée un groupe Looker pour chaque groupe LDAP introduit dans le système. Ces groupes Looker sont visibles sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir des contrôles d'accès au contenu et d'attribuer des attributs utilisateur.
Groupes et rôles par défaut
L'option Dupliquer les groupes LDAP est désactivée par défaut. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs LDAP. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lors de leur première connexion à Looker:
Ces groupes et rôles sont appliqués aux nouveaux utilisateurs dès leur première connexion. Les groupes et les rôles ne s'appliquent pas aux utilisateurs préexistants, et ils ne sont pas réappliqués s'ils sont supprimés après la connexion initiale de l'utilisateur.
Si vous activez ultérieurement les groupes LDAP mis en miroir, ces valeurs par défaut seront supprimées pour les utilisateurs à leur prochaine connexion et remplacées par les rôles attribués dans la section Dupliquer les groupes LDAP. Ces options par défaut ne seront plus disponibles ni attribuées. Elles seront entièrement remplacées par la configuration des groupes en miroir.
Activer la mise en miroir des groupes LDAP
Si vous choisissez de dupliquer vos groupes LDAP dans Looker, activez l'option Dupliquer les groupes LDAP. Looker affiche les paramètres suivants:
Group Finder Strategy (Stratégie de l'outil de recherche de groupes) : sélectionnez une option dans la liste déroulante pour indiquer à Looker comment trouver les groupes d'un utilisateur:
Les groupes ont des attributs de membre: il s'agit de l'option la plus courante. Lorsque vous recherchez un membre d'un groupe, Looker ne renvoie que les groupes auxquels l'utilisateur est directement affecté. Par exemple, si un utilisateur est membre du groupe Database-Admin, et que le groupe Database-Admin est membre du groupe Engineering, cet utilisateur n'obtiendra que les autorisations affiliées au groupe Database-Admin.
Les groupes ont des attributs de membre (recherche approfondie): cette option permet aux groupes d'être membres d'autres groupes, que l'on appelle parfois groupes imbriqués LDAP. Cela signifie qu'un utilisateur peut disposer des autorisations de plusieurs groupes. Par exemple, si un utilisateur est membre du groupe "Database-Admin" et que ce groupe est membre du groupe "Engineering", un utilisateur obtiendra les autorisations associées aux deux groupes. Notez que certains serveurs LDAP (en particulier Microsoft Active Directory) prennent en charge l'exécution automatique de ce type de recherche approfondie, même lorsque l'appelant effectue une recherche qui semble superficielle. C'est peut-être une autre méthode que vous pouvez utiliser pour effectuer une recherche approfondie.
Nom distinctif de base: permet d'affiner la recherche et peut être identique au nom distinctif de base spécifié dans la section Paramètres de liaison utilisateur ci-dessus.
Classes d'objets Groupes: ce paramètre est facultatif. Comme indiqué dans la section Paramètres de liaison d'utilisateur, cela permet de limiter les résultats renvoyés par Looker à un type d'objet ou à un ensemble de types particulier.
Group Member Attr (Attr de membre du groupe) : l'attribut qui, pour chaque groupe, détermine les objets (dans ce cas, probablement les personnes) qui sont membres.
Group User Attr: nom de l'attribut utilisateur LDAP dont nous recherchons la valeur dans les entrées du groupe pour déterminer si un utilisateur fait partie du groupe. La valeur par défaut est dn (le laisser vide revient à le définir sur dn), ce qui entraîne l'utilisation par LDAP du nom distinctif complet, qui est la chaîne sensible à la casse exacte qui existerait dans la recherche LDAP elle-même, pour rechercher les entrées de groupe.
Nom du groupe préféré/Rôles/Nom distinctif du groupe: cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé, ainsi qu'un ou plusieurs rôles attribués au groupe LDAP correspondant dans Looker:
Saisissez le nom distinctif du groupe LDAP dans le champ Group DN (Nom distinctif du groupe). Il doit inclure le nom distinctif complet, qui correspond exactement à la chaîne sensible à la casse qui existerait dans la recherche LDAP elle-même. Les utilisateurs LDAP inclus dans le groupe LDAP seront ajoutés au groupe en miroir dans Looker.
Saisissez un nom personnalisé pour le groupe en miroir dans le champ Nom personnalisé. C'est le nom qui s'affichera sur la page Groupes de la section Administration de Looker.
Dans le champ à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.
Cliquez sur
+pour ajouter d'autres ensembles de champs afin de configurer des groupes en miroir supplémentaires. Si plusieurs groupes sont configurés et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur le signeXà côté des champs du groupe concerné.
Si vous modifiez un groupe en miroir précédemment configuré dans cet écran, la configuration du groupe change, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifie l'apparence du groupe sur la page Groupes de Looker, mais pas les rôles qui lui sont attribués ni les membres du groupe. Si vous modifiez le nom distinctif du groupe, le nom et les rôles du groupe seront conservés, mais les membres du groupe seront réattribués en fonction des utilisateurs qui sont membres du groupe LDAP externe auquel est attribué le nouveau nom distinctif du groupe LDAP.
Si vous supprimez un groupe sur cette page, il ne sera plus dupliqué dans Looker, et ses membres n'auront plus les rôles Looker qui leur sont attribués via ce groupe.
Toute modification apportée à un groupe en miroir sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.
Gestion avancée des rôles
Si vous avez activé l'option Dupliquer les groupes LDAP, Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lors de la configuration des groupes et des utilisateurs Looker qui ont été mis en miroir à partir de LDAP.
Par exemple, si vous souhaitez que la configuration de vos groupes et utilisateurs Looker soit strictement identique à celle de votre serveur LDAP, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance aux groupes en miroir et ne peuvent attribuer des rôles aux utilisateurs que via des groupes LDAP en miroir.
Si vous souhaitez avoir davantage de flexibilité pour personnaliser davantage vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration LDAP, mais vous pourrez effectuer d'autres opérations de gestion des groupes et des utilisateurs dans Looker, par exemple en ajoutant des utilisateurs LDAP à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs LDAP.
Pour les nouvelles instances Looker ou les instances pour lesquelles aucun groupe en miroir n'a été configuré précédemment, ces options sont désactivées par défaut.
Pour les instances Looker existantes pour lesquelles des groupes en miroir sont actuellement configurés, ces options sont activées par défaut.
La section Gestion avancée des rôles contient les options suivantes:
Empêcher les utilisateurs LDAP individuels de recevoir des rôles directs: l'activation de cette option empêche les administrateurs Looker d'attribuer des rôles Looker directement aux utilisateurs LDAP. Les utilisateurs LDAP recevront des rôles uniquement du fait de leur appartenance à des groupes. Si des utilisateurs LDAP sont autorisés à devenir membres de groupes Looker natifs (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois à partir de groupes LDAP en miroir et de groupes Looker natifs. Les rôles des utilisateurs LDAP auxquels des rôles étaient précédemment attribués seront supprimés la prochaine fois qu'ils se connecteront.
Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs LDAP comme s'ils étaient configurés de manière native dans Looker.
Empêcher l'appartenance directe aux groupes non-LDAP: l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs LDAP aux groupes Looker natifs. Si les groupes LDAP en miroir sont autorisés à être membres de groupes Looker natifs, les utilisateurs LDAP peuvent conserver leur adhésion à n'importe quel groupe Looker parent. Tous les utilisateurs LDAP précédemment affectés à des groupes Looker natifs seront supprimés de ces groupes lors de leur prochaine connexion.
Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs LDAP directement aux groupes Looker natifs.
Empêcher l'héritage des rôles des groupes non LDAP: l'activation de cette option empêche les membres de groupes LDAP en miroir d'hériter des rôles de groupes Looker natifs. Les utilisateurs LDAP ayant précédemment hérité des rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.
Si cette option est désactivée, les groupes LDAP en miroir ou les utilisateurs LDAP ajoutés en tant que membres d'un groupe Looker natif héritent des rôles attribués au groupe Looker parent.
Authentification requise par un rôle: si cette option est activée, un rôle doit être attribué aux utilisateurs LDAP. Les utilisateurs LDAP auxquels aucun rôle n'a été attribué ne pourront pas du tout se connecter à Looker.
Si cette option est désactivée, les utilisateurs LDAP peuvent s'authentifier auprès de Looker même s'ils n'ont aucun rôle attribué. Un utilisateur sans rôle attribué ne pourra consulter aucune donnée ni effectuer d'action dans Looker, mais il pourra s'y connecter.
Désactivation des groupes LDAP en miroir
Si vous souhaitez arrêter la duplication de vos groupes LDAP dans Looker, désactivez l'option Dupliquer les groupes LDAP. Tous les groupes LDAP en miroir vides seront supprimés.
Les groupes LDAP en miroir non vides pourront toujours être utilisés pour la gestion de contenu et la création de rôles. Toutefois, les utilisateurs ne peuvent pas être ajoutés à des groupes LDAP miroir ni en être retirés.
Options de migration et d'intégration
Autre connexion pour les administrateurs et les utilisateurs spécifiés
- Autorisez une autre connexion basée sur l'adresse e-mail pour les administrateurs et les utilisateurs disposant de l'autorisation
login_special_email. Pour en savoir plus sur la définition de cette autorisation, consultez la documentation sur les rôles. Cette option apparaît sur la page de connexion de Looker si vous l'avez activée et que l'utilisateur dispose de l'autorisation appropriée. - Cette option est utile comme solution de secours lors de la configuration LDAP, si des problèmes de configuration LDAP surviennent ultérieurement ou si vous avez besoin de prendre en charge des utilisateurs qui ne figurent pas dans votre annuaire LDAP.
- Lorsque LDAP est activé, les connexions par adresse e-mail/mot de passe Looker sont toujours désactivées pour les utilisateurs standards.
Fusionner par e-mail
- Cette option permet à Looker de fusionner les nouveaux utilisateurs LDAP avec leurs comptes Looker existants, en fonction de leur adresse e-mail.
- Si Looker ne trouve aucune adresse e-mail correspondante, un compte est créé pour l'utilisateur.
Enregistrer et appliquer les paramètres
Une fois que vous avez saisi vos informations et que les tests sont concluants, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite activer son application globale, puis cliquez sur Mettre à jour les paramètres pour enregistrer.