Setelan admin - Autentikasi LDAP

Halaman LDAP di bagian Autentikasi pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna dengan Lightweight Directory Access Protocol (LDAP). Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup LDAP ke peran dan izin Looker.

Hal yang perlu diingat:

• Autentikasi Looker menggunakan autentikasi "sederhana" LDAP. Autentikasi anonim tidak didukung.
• Anda harus membuat satu akun pengguna LDAP yang memiliki hak istimewa baca ke entri pengguna dan entri grup yang akan digunakan oleh Looker.
• Looker hanya membaca dari direktori LDAP (tidak ada operasi tulis).
• Looker dapat memigrasikan akun yang ada ke LDAP menggunakan alamat email.
• Penggunaan Looker API tidak berinteraksi dengan autentikasi LDAP.
• Jika server LDAP Anda membatasi traffic IP, Anda harus menambahkan alamat IP Looker ke daftar IP yang diizinkan atau aturan traffic masuk server LDAP Anda.
• LDAP menggantikan autentikasi 2 langkah. Jika sebelumnya Anda telah mengaktifkan autentikasi 2 langkah, pengguna tidak akan melihat layar login autentikasi 2 langkah setelah Anda mengaktifkan LDAP.

Berhati-hatilah jika menonaktifkan autentikasi LDAP

Jika Anda login ke Looker menggunakan LDAP dan ingin menonaktifkan autentikasi LDAP, pastikan untuk melakukan kedua langkah berikut terlebih dahulu:

• Pastikan Anda memiliki kredensial lain untuk login.
• Aktifkan opsi Alternate Login di halaman konfigurasi LDAP.

Jika tidak, Anda dapat mengunci diri sendiri dan pengguna lain dari Looker.

Memulai

Buka halaman LDAP Authentication di bagian Admin di Looker untuk melihat opsi konfigurasi berikut.

Menyiapkan koneksi

Looker mendukung transpor dan enkripsi dengan LDAP dalam cleartext dan LDAP melalui TLS. LDAP melalui TLS sangat direkomendasikan. StartTLS dan skema enkripsi lainnya tidak didukung.

1. Masukkan informasi Host dan Port.
2. Centang kotak di samping TLS jika Anda menggunakan LDAP melalui TLS.
3. Jika Anda menggunakan LDAP melalui TLS, Looker akan menerapkan verifikasi sertifikat peer secara default. Jika Anda perlu menonaktifkan verifikasi sertifikat peer, centang Tidak Verifikasi.
4. KlikUji Koneksi. Jika ada error yang muncul, perbaiki sebelum melanjutkan.

Autentikasi koneksi

Looker memerlukan akses ke akun LDAP yang dilindungi sandi. Akun LDAP harus memiliki akses baca ke entri orang dan ke kumpulan entri peran baru. Akun LDAP Looker tidak memerlukan akses tulis (atau akses ke aspek direktori lainnya), dan tidak masalah namespace apa yang digunakan untuk membuat akun.

1. Masukkan Sandi.
2. [Opsional] Centang kotak Force No Paging jika penyedia LDAP Anda tidak memberikan hasil yang di-paging. Dalam beberapa kasus, tindakan ini dapat membantu jika Anda tidak menerima kecocokan saat menelusuri pengguna, meskipun ini bukan satu-satunya solusi untuk masalah tersebut.
3. Klik tombol Test Authentication. Jika ada error yang muncul, pastikan informasi autentikasi Anda sudah benar. Jika kredensial Anda valid, tetapi error masih terjadi, hubungi administrator LDAP perusahaan Anda.

Setelan binding pengguna

Detail di bagian ini menentukan cara Looker menemukan pengguna di direktori Anda, mengikat untuk autentikasi, dan mengekstrak informasi pengguna.

1. Tetapkan Base DN, yang merupakan dasar hierarki penelusuran untuk semua pengguna
2. [Opsional] Tentukan Class Objek Pengguna, yang mengontrol jenis hasil yang akan ditemukan dan ditampilkan oleh Looker. Hal ini berguna jika Base DN adalah campuran jenis objek (orang, grup, printer, dan sebagainya), dan Anda hanya ingin menampilkan entri dari satu jenis.
3. Tetapkan Login Attrs, yang menentukan atribut yang akan digunakan pengguna Anda untuk login. ID ini harus unik per pengguna, dan sesuatu yang dikenal pengguna sebagai ID mereka dalam sistem Anda. Misalnya, Anda dapat memilih User-ID atau alamat email lengkap. Jika Anda menambahkan lebih dari satu atribut, Looker akan menelusuri keduanya untuk menemukan pengguna yang sesuai. Hindari penggunaan format yang dapat menyebabkan akun duplikat, seperti nama depan dan nama belakang.
4. Tentukan Email Attr, First Name Attr, dan Last Name Attr. Informasi ini memberi tahu Looker cara memetakan kolom tersebut dan mengekstrak informasinya selama login.
5. Tetapkan ID Attr, yang menunjukkan kolom yang digunakan Looker sebagai ID unik untuk pengguna. Kolom ini biasanya merupakan salah satu kolom login.
6. Secara opsional, masukkan Filter Kustom Opsional, yang memungkinkan Anda memberikan filter LDAP arbitrer yang akan diterapkan saat menelusuri pengguna untuk diikat selama autentikasi LDAP. Hal ini berguna jika Anda ingin memfilter kumpulan data pengguna, seperti pengguna yang dinonaktifkan atau pengguna yang berada di organisasi lain.

Contoh

Contoh entri pengguna ldiff ini menunjukkan cara menetapkan setelan Looker yang sesuai:

Entri Pengguna Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Setelan Looker yang Sesuai

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Menyambungkan atribut pengguna LDAP dengan atribut pengguna Looker

Anda dapat menggunakan data di atribut pengguna LDAP secara opsional untuk mengisi nilai di atribut pengguna Looker secara otomatis saat pengguna login. Misalnya, jika telah mengonfigurasi LDAP untuk membuat koneksi khusus pengguna ke database, Anda dapat menyambungkan atribut pengguna LDAP dengan atribut pengguna Looker untuk membuat koneksi database khusus pengguna di Looker.

Perhatikan bahwa atribut LDAP harus berupa atribut pengguna, bukan atribut grup.

Untuk menyambungkan atribut pengguna LDAP dengan atribut pengguna Looker yang sesuai:

1. Masukkan nama atribut pengguna LDAP di kolom LDAP User Attribute dan nama atribut pengguna Looker yang ingin Anda pasangkan di kolom Looker User Attributes.
2. Centang Wajib jika Anda ingin mewajibkan nilai atribut LDAP untuk mengizinkan pengguna login.
3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan atribut lainnya.

Menguji informasi pengguna

1. Masukkan kredensial pengguna pengujian, lalu klik tombol Test User Authentication. Looker akan mencoba urutan autentikasi LDAP lengkap dan menampilkan hasilnya. Setelah berhasil, Looker akan menampilkan informasi pengguna dari direktori beserta beberapa informasi rekaman aktivitas tentang proses autentikasi yang dapat membantu menyelesaikan masalah konfigurasi.
2. Pastikan autentikasi berhasil dan semua kolom dipetakan dengan benar. Misalnya, pastikan kolom first_name tidak berisi nilai yang termasuk dalam last_name.

Grup dan peran

Anda dapat mengonfigurasi Looker untuk membuat grup yang mencerminkan grup LDAP yang dikelola secara eksternal, lalu menetapkan peran Looker kepada pengguna berdasarkan grup LDAP yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup LDAP, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker.

Dengan mencerminkan grup LDAP, Anda dapat menggunakan direktori LDAP yang ditentukan secara eksternal untuk mengelola grup dan pengguna Looker. Dengan demikian, Anda dapat mengelola langganan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Mirror LDAP Groups, Looker akan membuat satu grup Looker untuk setiap grup LDAP yang dimasukkan ke dalam sistem. Grup Looker tersebut dapat dilihat di halaman Grup di bagian Admin di Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menetapkan kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror LDAP Groups nonaktif. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna LDAP baru. Di kolom New User Groups dan New User Roles, masukkan nama grup atau peran Looker yang ingin Anda tetapkan kepada pengguna Looker baru saat mereka pertama kali login ke Looker.

Grup dan peran ini diterapkan ke pengguna baru saat login pertama kali. Grup dan peran tidak diterapkan ke pengguna yang sudah ada, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal pengguna.

Jika Anda mengaktifkan grup LDAP yang dicerminkan nanti, default ini akan dihapus untuk pengguna saat mereka login berikutnya dan diganti dengan peran yang ditetapkan di bagian Mirror LDAP Groups. Opsi default ini tidak akan lagi tersedia atau ditetapkan, dan akan sepenuhnya diganti oleh konfigurasi grup yang dicerminkan.

Mengaktifkan grup LDAP mirror

Jika Anda memilih untuk mencerminkan grup LDAP dalam Looker, aktifkan tombol Mirror LDAP Groups. Looker menampilkan setelan berikut:

Group Finder Strategy: Pilih opsi dari menu drop-down untuk memberi tahu Looker cara menemukan grup pengguna:

• Grup Memiliki Atribut Anggota: Ini adalah opsi yang lebih umum. Saat mencari anggota grup, Looker hanya akan menampilkan grup tempat pengguna ditetapkan secara langsung. Misalnya, jika pengguna adalah anggota grup Database-Admin, dan grup Database-Admin adalah anggota grup Engineering, pengguna hanya akan mendapatkan izin yang berafiliasi dengan grup Database-Admin.

• Grup Memiliki Atribut Anggota (penelusuran mendalam): Opsi ini memungkinkan grup menjadi anggota grup lain, yang terkadang disebut sebagai grup bertingkat LDAP. Artinya, pengguna dapat memiliki izin dari lebih dari satu grup. Misalnya, jika pengguna adalah anggota grup Database-Admin, dan grup Database-Admin adalah anggota grup Engineering, pengguna akan mendapatkan izin yang berafiliasi dengan kedua grup ini. Beberapa server LDAP (terutama Microsoft Active Directory) memiliki dukungan untuk otomatis menjalankan jenis penelusuran mendalam ini, meskipun pemanggil melakukan penelusuran dangkal. Ini mungkin metode lain yang dapat Anda gunakan untuk menjalankan penelusuran mendalam.

Base DN: Memungkinkan Anda mempersempit penelusuran, dan dapat sama dengan Base DN yang ditentukan di bagian User Binding Settings di halaman dokumentasi ini.

Groups Object Class: Setelan ini bersifat opsional. Seperti yang disebutkan di bagian Setelan Binding Pengguna, hal ini memungkinkan hasil yang ditampilkan Looker dibatasi pada jenis objek atau kumpulan jenis tertentu.

Group Member Attr: Atribut yang, untuk setiap grup, menentukan objek (dalam hal ini, mungkin orang) yang merupakan anggota.

Group User Attr: Nama atribut pengguna LDAP yang nilainya akan kita telusuri di entri Grup untuk menentukan apakah pengguna merupakan bagian dari grup. Setelan defaultnya adalah dn (artinya membiarkannya kosong sama dengan menyetelnya ke dn), yang akan menyebabkan LDAP menggunakan Nama yang Dibedakan (DN) lengkap, yang merupakan string yang tepat dan peka huruf besar/kecil yang akan ada dalam penelusuran LDAP itu sendiri, untuk menelusuri entri Grup.

Preferred Group Name/Roles/Group DN: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup LDAP yang sesuai di Looker.

1. Masukkan DN grup LDAP di kolom DN Grup. Ini harus menyertakan Nama Unik lengkap, yang merupakan string yang tepat dan peka huruf besar/kecil yang akan ada dalam penelusuran LDAP itu sendiri. Pengguna LDAP yang disertakan dalam grup LDAP akan ditambahkan ke grup yang dicerminkan dalam Looker.

2. Masukkan nama kustom untuk grup yang dicerminkan di kolom Nama Kustom. Ini adalah nama yang akan ditampilkan di halaman Grup di bagian Admin Looker.

3. Di kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

4. Klik + untuk menambahkan kumpulan kolom tambahan guna mengonfigurasi grup yang dicerminkan tambahan. Jika Anda memiliki beberapa grup yang dikonfigurasi dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup yang dicerminkan yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Mengubah DN Grup akan mempertahankan nama dan peran grup, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup LDAP eksternal yang memiliki DN grup LDAP baru.

Jika Anda menghapus grup di halaman ini, grup tersebut tidak akan lagi dicerminkan di Looker dan anggotanya tidak akan lagi memiliki peran di Looker yang ditetapkan kepada mereka melalui grup tersebut.

Setiap hasil edit yang dilakukan pada grup yang dicerminkan akan diterapkan kepada pengguna grup tersebut saat mereka login lagi ke Looker.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Mirror LDAP Groups, Looker akan menampilkan setelan ini. Opsi di bagian ini menentukan seberapa fleksibel admin Looker saat mengonfigurasi grup dan pengguna Looker yang telah dicerminkan dari Looker.

Misalnya, jika Anda ingin konfigurasi pengguna dan grup Looker benar-benar cocok dengan konfigurasi LDAP, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang dicerminkan dan hanya dapat menetapkan peran kepada pengguna melalui grup yang dicerminkan LDAP.

Jika Anda ingin memiliki fleksibilitas lebih untuk menyesuaikan grup lebih lanjut dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi LDAP, tetapi Anda dapat melakukan pengelolaan grup dan pengguna tambahan dalam Looker, seperti menambahkan pengguna LDAP ke grup Looker atau menetapkan peran Looker langsung ke pengguna LDAP.

Untuk instance Looker baru, atau instance Looker yang tidak memiliki grup yang dicerminkan yang telah dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang ada yang telah mengonfigurasi grup yang dicerminkan, opsi ini diaktifkan secara default.

Bagian Advanced Role Management berisi opsi berikut:

Cegah Pengguna LDAP Individual Menerima Peran Langsung: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker langsung kepada pengguna LDAP. Pengguna LDAP hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna LDAP diizinkan untuk menjadi anggota grup Looker bawaan (bukan yang dicerminkan), mereka tetap dapat mewarisi peran dari grup LDAP yang dicerminkan dan dari grup Looker bawaan. Setiap pengguna LDAP yang sebelumnya diberi peran secara langsung akan memiliki peran tersebut dihapus saat mereka login lagi.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker langsung kepada pengguna LDAP seolah-olah mereka adalah pengguna yang dikonfigurasi langsung di Looker.

Prevent Direct Membership in non-LDAP Groups: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna LDAP secara langsung ke grup Looker bawaan. Jika grup LDAP yang dicerminkan diizinkan menjadi anggota grup Looker bawaan, pengguna LDAP dapat mempertahankan keanggotaan di grup Looker induk. Semua pengguna LDAP yang sebelumnya ditetapkan ke grup Looker bawaan akan dihapus dari grup tersebut saat mereka login lagi.

Jika opsi ini dinonaktifkan, admin Looker dapat menambahkan pengguna LDAP langsung ke grup Looker bawaan.

Cegah Pewarisan Peran dari Grup non-LDAP: Mengaktifkan opsi ini akan mencegah anggota grup LDAP yang dicerminkan mewarisi peran dari grup Looker bawaan. Semua pengguna LDAP yang sebelumnya mewarisi peran dari grup induk Looker akan kehilangan peran tersebut saat login berikutnya.

Jika opsi ini nonaktif, grup LDAP yang dicerminkan atau pengguna LDAP yang ditambahkan sebagai anggota grup Looker bawaan akan mewarisi peran yang ditetapkan ke grup Looker induk.

Autentikasi Memerlukan Peran: Jika opsi ini diaktifkan, pengguna LDAP harus memiliki peran yang ditetapkan. Pengguna LDAP yang tidak memiliki peran yang ditetapkan tidak akan dapat login ke Looker sama sekali.

Jika opsi ini nonaktif, pengguna LDAP dapat mengautentikasi ke Looker meskipun mereka tidak memiliki peran yang ditetapkan. Pengguna tanpa peran yang ditetapkan tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi mereka akan dapat login ke Looker.

Menonaktifkan grup LDAP duplikat

Jika Anda ingin berhenti mencerminkan grup LDAP dalam Looker, nonaktifkan tombol Mirror LDAP Groups. Semua grup LDAP mirror kosong akan dihapus.

Grup LDAP mirror yang tidak kosong akan tetap tersedia untuk digunakan dalam pengelolaan konten dan pembuatan peran. Namun, pengguna tidak dapat ditambahkan ke atau dihapus dari grup LDAP mirror.

Opsi migrasi dan integrasi

Login alternatif untuk admin dan pengguna tertentu

• Izinkan login alternatif berbasis email untuk admin dan pengguna dengan izin login_special_email (baca selengkapnya tentang cara menetapkan izin ini di Dokumentasi peran). Opsi ini akan muncul di halaman login Looker jika Anda telah mengaktifkannya dan pengguna memiliki izin yang sesuai.
• Opsi ini berguna sebagai pengganti selama penyiapan LDAP, jika masalah konfigurasi LDAP terjadi nanti, atau jika Anda perlu mendukung beberapa pengguna yang tidak ada di direktori LDAP.
• Login email dan sandi Looker selalu dinonaktifkan untuk pengguna reguler saat LDAP diaktifkan.

Menggabungkan melalui email

• Opsi ini memungkinkan Looker menggabungkan pengguna LDAP pertama kali dengan akun Looker mereka yang ada, berdasarkan alamat email.
• Jika Looker tidak dapat menemukan alamat email yang cocok, akun baru akan dibuat untuk pengguna tersebut.

Menyimpan dan menerapkan setelan

Setelah Anda selesai memasukkan informasi, dan semua pengujian lulus, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global, lalu klik Update Settings untuk menyimpan.