La page LDAP de la section Authentication (Authentification) du menu Admin (Administration) vous permet de configurer Looker pour authentifier les utilisateurs avec le protocole LDAP (Lightweight Directory Access Protocol). Cette page décrit ce processus et inclut des instructions pour associer des groupes LDAP aux rôles et autorisations Looker.
Voici quelques points à retenir :
- L'authentification Looker utilise l'authentification "simple" de LDAP. L'authentification anonyme n'est pas disponible.
- Vous devez créer un seul compte utilisateur LDAP disposant de droits de lecture sur les entrées utilisateur et sur les entrées de groupe qui seront utilisées par Looker.
- Looker lit uniquement à partir de l'annuaire LDAP (aucune opération d'écriture).
- Looker peut migrer des comptes existants vers LDAP à l'aide d'adresses e-mail.
- L'utilisation de l'API Looker n'interagit pas avec l'authentification LDAP.
- Si votre serveur LDAP restreint le trafic IP, vous devrez ajouter les adresses IP de Looker à la liste d'autorisation d'adresses IP ou aux règles de trafic entrant de votre serveur LDAP.
- LDAP ignore l'authentification à deux facteurs. Si vous avez déjà activé l'authentification à deux facteurs, vos utilisateurs ne verront pas les écrans de connexion après l'activation de LDAP.
Soyez prudent si vous désactivez l'authentification LDAP
Si vous êtes connecté à Looker avec LDAP et que vous souhaitez désactiver l'authentification LDAP, veillez d'abord à effectuer les deux étapes suivantes:
- Assurez-vous de disposer d'autres identifiants pour vous connecter.
- Activez l'option Autre connexion sur la page de configuration LDAP.
Sinon, vous pourriez empêcher les autres utilisateurs et vous-même d'accéder à Looker.
Premiers pas
Accédez à la page Authentification LDAP dans la section Admin de Looker pour afficher les options de configuration suivantes.
Configurer votre connexion
Looker prend en charge le transport et le chiffrement avec LDAP en clair et LDAP sur TLS. Nous vous recommandons vivement d'utiliser LDAP sur TLS. StartTLS et les autres schémas de chiffrement ne sont pas compatibles.
- Saisissez les informations concernant l'hôte et le port.
- Cochez la case TLS si vous utilisez LDAP sur TLS.
- Si vous utilisez LDAP plutôt que TLS, Looker applique par défaut la vérification du certificat de pair. Si vous devez désactiver la vérification du certificat de pair, cochez la case No Verify (Non vérification).
- Cliquez sur Test Connection (Tester la connexion). Si des erreurs sont détectées, corrigez-les avant de continuer.
Authentification de connexion
Looker a besoin d'accéder à un compte LDAP protégé par mot de passe. Le compte LDAP doit disposer d'un accès en lecture aux entrées de contact et à un nouvel ensemble d'entrées de rôle. Le compte LDAP Looker ne nécessite pas d'accès en écriture (ni d'accès à d'autres aspects de l'annuaire), et l'espace de noms dans lequel le compte est créé n'a pas d'importance.
- Saisissez le mot de passe.
- [Facultatif] Cochez la case Ne pas forcer la pagination si votre fournisseur LDAP ne fournit pas de résultats paginés. Dans certains cas, cela peut être utile si vous n'obtenez aucune correspondance lors de la recherche d'utilisateurs, même si ce n'est pas la seule solution à ce problème.
- Cliquez sur le bouton Tester l'authentification. Si des erreurs sont détectées, assurez-vous que vos informations d'authentification sont correctes. Si vos identifiants sont valides, mais que les erreurs persistent, contactez l'administrateur LDAP de votre entreprise.
Paramètres de liaison d'utilisateur
Cette section fournit des informations détaillées sur la manière dont Looker va trouver les utilisateurs de votre annuaire, effectuer la liaison pour l'authentification et extraire les informations utilisateur.
- Définissez le DN de base, qui constitue la base de l'arborescence de recherche pour tous les utilisateurs.
- [Facultatif] Spécifiez une classe d'objet utilisateur qui contrôle les types de résultats que Looker trouvera et renverra. Cela s'avère utile si le nom distinctif de base combine différents types d'objets (personnes, groupes, imprimantes, etc.) et que vous souhaitez uniquement renvoyer des entrées d'un seul type.
- Définissez les identifiants de connexion, qui définissent le ou les attributs dont vos utilisateurs se serviront pour se connecter. Ces identifiants doivent être uniques pour chaque utilisateur et être un identifiant que vos utilisateurs connaissent dans votre système. Par exemple, vous pouvez choisir un ID utilisateur ou une adresse e-mail complète. Si vous ajoutez plusieurs attributs, Looker les recherchera dans les deux pour trouver l'utilisateur approprié. Évitez d'utiliser des formats qui pourraient créer des comptes en double, tels que le prénom et le nom.
- Renseignez les champs Email Attr, First Name Attr et Last Name Attr. Ces informations indiquent à Looker comment mapper ces champs et extraire leurs informations lors de la connexion.
- Définissez le Attr ID, qui indique un champ que Looker utilise comme ID unique pour les utilisateurs. Il s'agit généralement de l'un des champs de connexion.
- Si vous le souhaitez, indiquez un filtre personnalisé facultatif, qui vous permet de définir des filtres LDAP arbitraires qui seront appliqués lors de la recherche d'un utilisateur à lier lors de l'authentification LDAP. Cela est utile si vous souhaitez filtrer des ensembles d'enregistrements utilisateur, tels que les utilisateurs désactivés ou ceux appartenant à une autre organisation.
Exemple
Cet exemple d'entrée utilisateur ldiff montre comment définir les paramètres Looker correspondants:
Entrée de l'utilisateur Ldiff
dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People
Paramètres Looker correspondants
Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn
Association des attributs utilisateur LDAP avec les attributs utilisateur Looker
Vous pouvez éventuellement utiliser les données de vos attributs utilisateur LDAP pour renseigner automatiquement les valeurs dans les attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré LDAP pour établir des connexions spécifiques à l'utilisateur avec votre base de données, vous pouvez associer vos attributs utilisateur LDAP aux attributs utilisateur Looker afin de rendre vos connexions de base de données spécifiques à l'utilisateur dans Looker.
Notez que l'attribut LDAP doit être un attribut utilisateur, et non un attribut de groupe.
Pour associer des attributs utilisateur LDAP avec les attributs utilisateur Looker correspondants:
- Saisissez le nom de l'attribut utilisateur LDAP dans le champ LDAP User Attribute (Attribut d'utilisateur LDAP) et le nom de l'attribut utilisateur Looker avec lequel vous souhaitez l'associer dans le champ Looker User Attributes (Attributs utilisateur de Looker).
- Cochez Required (Obligatoire) si vous souhaitez exiger une valeur d'attribut LDAP pour permettre à un utilisateur de se connecter.
- Cliquez sur +, puis répétez ces étapes pour ajouter d'autres paires d'attributs.
Informations sur l'utilisateur test
- Saisissez les identifiants d'un utilisateur test, puis cliquez sur le bouton Tester l'authentification de l'utilisateur. Looker tentera une séquence d'authentification LDAP complète et affichera le résultat. En cas de réussite, Looker renvoie les informations utilisateur de l'annuaire, ainsi que des informations de trace sur le processus d'authentification. Ces informations peuvent vous aider à résoudre les problèmes de configuration.
- Vérifiez que l'authentification aboutit et que tous les champs sont correctement mappés. Par exemple, vérifiez que le champ
first_namene contient aucune valeur appartenant àlast_name.
Groupes et rôles
Vous pouvez configurer Looker pour créer des groupes qui reflètent vos groupes LDAP gérés en externe, puis attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes LDAP dupliqués. Lorsque vous modifiez l'appartenance à un groupe LDAP, ces modifications sont automatiquement appliquées à la configuration du groupe Looker.
La duplication des groupes LDAP vous permet d'utiliser votre annuaire LDAP défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à un groupe pour plusieurs outils Software as a Service (SaaS), comme Looker, en un seul et même endroit.
Si vous activez l'option Mirror LDAP Groups (Mettre en miroir les groupes LDAP), Looker créera un groupe Looker pour chaque groupe LDAP introduit dans le système. Ces groupes Looker s'affichent sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir des contrôles d'accès au contenu et d'attribuer des attributs utilisateur.
Groupes et rôles par défaut
Par défaut, l'option Mirror LDAP Groups (Mettre en miroir les groupes LDAP) est désactivée. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs LDAP. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez le nom des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lorsqu'ils se connectent pour la première fois à Looker.
Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne sont pas appliqués aux utilisateurs préexistants et ne sont pas réappliqués s'ils sont supprimés des utilisateurs après leur première connexion.
Si vous activez ultérieurement les groupes LDAP dupliqués, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Mirror LDAP Groups (Mettre en miroir les groupes LDAP). Ces options par défaut ne seront plus disponibles ni attribuées, et seront entièrement remplacées par la configuration des groupes mis en miroir.
Activation de la mise en miroir des groupes LDAP
Si vous choisissez de dupliquer vos groupes LDAP dans Looker, activez l'option Mirror LDAP Groups (Mettre en miroir les groupes LDAP). Looker affiche les paramètres suivants:
Stratégie de l'outil de recherche de groupes: choisissez une option dans la liste déroulante pour indiquer à Looker comment rechercher les groupes d'un utilisateur:
Les groupes comportent des attributs de membre: il s'agit de l'option la plus courante. Lorsque vous recherchez un membre d'un groupe, Looker ne renvoie que les groupes auxquels un utilisateur est directement affecté. Par exemple, si un utilisateur est membre du groupe Administrateur de bases de données et que ce groupe est membre du groupe Ingénierie, cet utilisateur n'obtiendra que les autorisations associées au groupe Administrateur de bases de données.
Les groupes possèdent des attributs de membre (recherche approfondie): cette option permet aux groupes d'être membres d'autres groupes, parfois appelés groupes imbriqués LDAP. Cela signifie qu'un utilisateur peut avoir les autorisations de plusieurs groupes. Par exemple, si un utilisateur est membre du groupe Administrateur de bases de données et que celui-ci est membre du groupe Ingénierie, cet utilisateur obtient les autorisations associées aux deux groupes. Certains serveurs LDAP (en particulier Microsoft Active Directory) permettent d'exécuter automatiquement ce type de recherche approfondie, même lorsque l'appelant effectue une recherche qui semble superficielle. Il s'agit peut-être d'une autre méthode que vous pouvez utiliser pour effectuer une recherche approfondie.
Base DN (Nom distinctif de base) : permet d'affiner la recherche. Il peut être identique au DN de base indiqué dans la section Paramètres de liaison utilisateur de cette page de documentation.
Classes d'objets Groupes: ce paramètre est facultatif. Comme indiqué dans la section Paramètres de liaison d'utilisateur, les résultats renvoyés par Looker sont donc limités à un type ou à un ensemble de types d'objets spécifiques.
Group Member Attr: l'attribut qui, pour chaque groupe, détermine les objets (dans ce cas, probablement les personnes) qui sont membres.
Group User Attr: nom de l'attribut utilisateur LDAP dont la valeur sera recherchée dans les entrées du groupe pour déterminer si un utilisateur fait partie du groupe. La valeur par défaut est dn (ce qui signifie que ne pas renseigner ce champ revient à le définir sur dn), ce qui oblige LDAP à utiliser le nom distinctif complet, qui est la chaîne exacte sensible à la casse, qui existerait dans la recherche LDAP elle-même, pour rechercher les entrées de groupe.
Nom de groupe préféré/Rôles/Nom distinctif du groupe: cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles attribués au groupe LDAP correspondant dans Looker.
Saisissez le nom distinctif du groupe LDAP dans le champ Group DN (Nom distinctif du groupe). Celle-ci doit inclure le nom distinctif complet, qui est la chaîne exacte sensible à la casse qui existerait dans la recherche LDAP elle-même. Les utilisateurs LDAP inclus dans le groupe LDAP seront ajoutés au groupe dupliqué dans Looker.
Saisissez un nom personnalisé pour le groupe dupliqué dans le champ Nom personnalisé. Il s'agit du nom qui sera affiché sur la page Groupes de la section Admin de Looker.
Dans le champ situé à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.
Cliquez sur
+pour ajouter d'autres ensembles de champs afin de configurer d'autres groupes en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez surXà côté des champs de ce groupe.
Si vous modifiez un groupe dupliqué précédemment configuré sur cet écran, la configuration du groupe est modifiée, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifiera la façon dont le groupe apparaît sur la page Groupes de Looker, mais ne modifiera pas les rôles attribués ni ses membres. La modification du DN de groupe permet de conserver le nom et les rôles du groupe, mais les membres du groupe sont réaffectés en fonction des utilisateurs membres du groupe LDAP externe portant le nouveau nom distinctif du groupe.
Si vous supprimez un groupe sur cette page, il ne sera plus dupliqué dans Looker et ses membres ne se verront plus attribuer les rôles dans Lookerr via ce groupe.
Toute modification apportée à un groupe dupliqué sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.
Gestion avancée des rôles
Si vous avez activé le bouton bascule Mirror LDAP Groups (Mettre en miroir les groupes LDAP), Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lorsqu'ils configurent les groupes et les utilisateurs Looker qui ont été mis en miroir depuis Looker.
Par exemple, si vous souhaitez que votre groupe Looker et votre configuration utilisateur correspondent exactement à votre configuration LDAP, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance aux groupes en miroir et ne peuvent attribuer des rôles aux utilisateurs que via des groupes en miroir LDAP.
Si vous souhaitez bénéficier d'une plus grande flexibilité pour personnaliser davantage vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration LDAP, mais vous pourrez effectuer d'autres opérations de gestion des groupes et des utilisateurs dans Looker, comme ajouter des utilisateurs LDAP aux groupes Looker ou attribuer des rôles Looker directement aux utilisateurs LDAP.
Pour les nouvelles instances Looker ou les instances Looker pour lesquelles aucun groupe mis en miroir n'a été configuré précédemment, ces options sont désactivées par défaut.
Pour les instances Looker existantes qui ont configuré des groupes mis en miroir, ces options sont activées par défaut.
La section Gestion avancée des rôles contient les options suivantes:
Empêcher les utilisateurs LDAP individuels de recevoir des rôles directs: l'activation de cette option empêche les administrateurs Looker d'attribuer des rôles Looker directement aux utilisateurs LDAP. Les utilisateurs LDAP obtiendront des rôles uniquement en fonction de leur appartenance à des groupes. Si les utilisateurs LDAP sont autorisés à rejoindre des groupes Looker intégrés (non dupliqués), ils peuvent toujours hériter de leurs rôles des groupes LDAP dupliqués et des groupes Looker intégrés. Les rôles des utilisateurs LDAP précédemment attribués directement seront supprimés lors de leur prochaine connexion.
Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs LDAP comme s'il s'agissait d'utilisateurs configurés directement dans Looker.
Empêcher l'adhésion directe dans les groupes non LDAP: l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs LDAP aux groupes Looker intégrés. Si les groupes LDAP dupliqués sont autorisés à être membres des groupes Looker intégrés, les utilisateurs LDAP peuvent conserver leur adhésion à n'importe quel groupe Looker parent. Tous les utilisateurs LDAP précédemment affectés à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.
Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs LDAP directement aux groupes Looker intégrés.
Empêcher l'héritage de rôle des groupes non LDAP: l'activation de cette option empêche les membres de groupes LDAP dupliqués d'hériter des rôles des groupes Looker intégrés. Les utilisateurs LDAP qui ont hérité des rôles d'un groupe Looker parent le perdront lors de leur prochaine connexion.
Si cette option est désactivée, les groupes LDAP dupliqués ou les utilisateurs LDAP ajoutés en tant que membres d'un groupe Looker intégré héritent des rôles attribués au groupe Looker parent.
Rôle d'authentification requis: si cette option est activée, un rôle doit être attribué aux utilisateurs LDAP. Les utilisateurs LDAP auxquels aucun rôle n'est attribué ne pourront pas se connecter à Looker.
Si cette option est désactivée, les utilisateurs LDAP peuvent s'authentifier auprès de Looker même si aucun rôle ne leur a été attribué. Un utilisateur auquel aucun rôle ne sera attribué ne pourra pas consulter les données ni effectuer d'actions dans Looker, mais il pourra s'y connecter.
Désactivation des groupes LDAP en miroir
Si vous souhaitez arrêter la duplication de vos groupes LDAP dans Looker, désactivez l'option Mirror LDAP Groups (Mettre en miroir les groupes LDAP). Les groupes LDAP en miroir vides seront supprimés.
Les groupes LDAP miroir non vides restent utilisables pour la gestion de contenu et la création de rôles. Toutefois, il n'est pas possible d'ajouter des utilisateurs à des groupes LDAP dupliqués ni d'en supprimer.
Options de migration et d'intégration
Autre moyen de connexion pour les administrateurs et les utilisateurs spécifiés
- Autorisez une connexion secondaire par adresse e-mail pour les administrateurs et les utilisateurs disposant de l'autorisation
login_special_email. Pour en savoir plus sur la définition de cette autorisation, consultez la documentation sur les rôles. Cette option apparaît sur la page de connexion Looker si vous l'avez activée et si l'utilisateur dispose de l'autorisation appropriée. - Cette option est utile comme solution de secours lors de la configuration LDAP, si des problèmes de configuration LDAP surviennent ultérieurement ou si vous devez prendre en charge des utilisateurs qui ne figurent pas dans votre annuaire LDAP.
- Les connexions par e-mail et mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque LDAP est activé.
Fusionner par e-mail
- Cette option permet à Looker de fusionner les nouveaux utilisateurs LDAP avec leurs comptes Looker existants, en fonction de leur adresse e-mail.
- Si Looker ne trouve pas d'adresse e-mail correspondante, un compte est créé pour l'utilisateur.
Enregistrer et appliquer les paramètres
Une fois que vous avez saisi vos informations et que les tests ont tous réussi, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'activer de manière globale, puis cliquez sur Mettre à jour les paramètres pour enregistrer.