Administratoreinstellungen – LDAP-Authentifizierung

Im Abschnitt Authentifizierung des Menüs Admin können Sie Looker auf der Seite LDAP so konfigurieren, dass Nutzer über das Lightweight Directory Access Protocol (LDAP) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie erhalten Anweisungen zum Verknüpfen von LDAP-Gruppen mit Looker-Rollen und -Berechtigungen.

Denken Sie daran:

  • Für die Looker-Authentifizierung wird die "einfache" Authentifizierung von LDAP verwendet. Anonyme Authentifizierung wird nicht unterstützt.
  • Sie müssen ein einzelnes LDAP-Nutzerkonto erstellen, das Leseberechtigungen für Nutzereinträge und alle Gruppeneinträge hat, die von Looker verwendet werden.
  • Looker liest nur aus dem LDAP-Verzeichnis (keine Schreibvorgänge).
  • Looker kann vorhandene Konten mithilfe von E-Mail-Adressen zu LDAP migrieren.
  • Die Nutzung der Looker API interagiert nicht mit der LDAP-Authentifizierung.
  • Wenn Ihr LDAP-Server den IP-Traffic einschränkt, müssen Sie die IP-Adressen von Looker der IP-Zulassungsliste Ihres LDAP-Servers oder den Regeln für eingehenden Traffic hinzufügen.
  • LDAP überschreibt die 2-Faktor-Authentifizierung. Wenn Sie die 2-Faktor-Authentifizierung zuvor aktiviert haben, sehen Ihre Nutzer die Anmeldebildschirme nicht, nachdem Sie LDAP aktiviert haben.

Vorsicht bei der Deaktivierung der LDAP-Authentifizierung

Wenn Sie über LDAP in Looker angemeldet sind und die LDAP-Authentifizierung deaktivieren möchten, führen Sie zuerst beide Schritte aus:

  • Prüfen Sie, ob Sie weitere Anmeldedaten für die Anmeldung haben.
  • Aktivieren Sie auf der LDAP-Konfigurationsseite die Option Alternative Anmeldung.

Andernfalls könnten Sie sich selbst und andere Benutzer für Looker sperren.

Erste Schritte

Gehen Sie im Looker-Bereich Admin zur Seite LDAP-Authentifizierung, um die folgenden Konfigurationsoptionen zu sehen.

Verbindung einrichten

Looker unterstützt Transport und Verschlüsselung mit LDAP im Klaren und LDAP über TLS. LDAP über TLS wird dringend empfohlen. StartTLS und andere Verschlüsselungsschemas werden nicht unterstützt.

  1. Geben Sie Informationen zu Host und Port ein.
  2. Klicken Sie das Kästchen neben TLS an, wenn Sie LDAP über TLS verwenden.
  3. Wenn Sie LDAP über TLS verwenden, erzwingt Looker standardmäßig die Überprüfung des Peer-Zertifikats. Wenn Sie die Überprüfung des Peer-Zertifikats deaktivieren möchten, aktivieren Sie die Option Keine Überprüfung.
  4. Klicken Sie auf Test Connection. Wenn Fehler angezeigt werden, korrigieren Sie diese, bevor Sie fortfahren.

Verbindungsauthentifizierung

Looker benötigt Zugriff auf ein passwortgeschütztes LDAP-Konto. Das LDAP-Konto sollte Lesezugriff auf Personeneinträge und auf neue Rolleneinträge haben. Das Looker LDAP-Konto benötigt keinen Schreibzugriff (noch keinen Zugriff auf andere Aspekte des Verzeichnisses) und es spielt keine Rolle, in welchem Namespace das Konto erstellt wird.

  1. Geben Sie das Passwort ein.
  2. [Optional] Aktivieren Sie das Kontrollkästchen Kein Paging erzwingen, wenn Ihr LDAP-Anbieter keine Seitenergebnisse zur Verfügung stellt. In einigen Fällen kann dies hilfreich sein, wenn Sie bei der Suche nach Nutzern keine Treffer erhalten. Dies ist jedoch nicht die einzige Lösung für ein solches Problem.
  3. Klicken Sie auf die Schaltfläche Authentifizierung testen. Falls Fehler angezeigt werden, prüfen Sie, ob Ihre Authentifizierungsinformationen korrekt sind. Wenn Ihre Anmeldedaten gültig sind, aber Fehler weiterhin auftreten, wenden Sie sich an den LDAP-Administrator Ihres Unternehmens.

Einstellungen für Nutzerbindungen

Die Details in diesem Abschnitt geben an, wie Looker Nutzer in Ihrem Verzeichnis finden, zur Authentifizierung binden und Nutzerinformationen extrahiert.

  1. Legen Sie den Basis-DN fest. Dieser ist die Basis des Suchbaums für alle Nutzer.
  2. [Optional] Geben Sie eine Nutzerobjektklasse an, um die Ergebnistypen zu steuern, die von Looker gefunden und zurückgegeben werden. Dies ist nützlich, wenn der Basis-DN eine Mischung aus Objekttypen (Personen, Gruppen, Drucker usw.) ist und Sie nur Einträge eines Typs zurückgeben möchten.
  3. Legen Sie die Login-Attribute fest, um die Attribute festzulegen, mit denen Ihre Nutzer sich anmelden. Diese müssen für jeden Nutzer eindeutig sein und müssen in Ihrem System als ID verwendet werden. Sie können beispielsweise eine Nutzer-ID oder eine vollständige E-Mail-Adresse auswählen. Wenn Sie mehr als ein Attribut hinzufügen, durchsucht Looker beide nach dem richtigen Benutzer. Verwenden Sie keine Formate, die zu doppelten Konten führen könnten, z. B. Vor- und Nachname.
  4. Geben Sie die Attribute Email Attr (E-Mail-Adresse), First Name Attr (Vorname) und Last Name Attr (Nachname) an. Anhand dieser Informationen wird Looker mitgeteilt, wie diese Felder zugeordnet und die Informationen beim Log-in extrahiert werden sollen.
  5. Legen Sie die ID-Zuordnung fest. Das ist ein Feld, das Looker als eindeutige ID für Nutzer verwendet. Dies ist in der Regel eines der Anmeldefelder.
  6. Geben Sie optional einen optionalen benutzerdefinierten Filter ein, mit dem Sie beliebige LDAP-Filter angeben können, die bei der Suche nach einem Nutzer zum Binden während der LDAP-Authentifizierung angewendet werden. Dies ist nützlich, wenn Sie Gruppen von Nutzerdatensätzen wie deaktivierte Nutzer oder Nutzer aus einer anderen Organisation herausfiltern möchten.

Beispiel

In diesem Beispiel für einen ldiff-Nutzereintrag wird gezeigt, wie die entsprechenden Looker-Einstellungen festgelegt werden:

Ldiff-Nutzereintrag

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Entsprechende Looker-Einstellungen

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln

Optional können Sie die Daten in Ihren LDAP-Nutzerattributen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie LDAP beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

Beachten Sie, dass das LDAP-Attribut ein Nutzerattribut sein muss, kein Gruppenattribut.

So koppeln Sie LDAP-Nutzerattribute mit entsprechenden Looker-Nutzerattributen:

  1. Geben Sie den Namen des LDAP-Nutzerattributs in das Feld LDAP-Nutzerattribut und den Namen des Looker-Nutzerattributs, mit dem Sie es koppeln möchten, in das Feld Looker-Nutzerattribute ein.
  2. Aktivieren Sie Erforderlich, wenn Sie einen LDAP-Attributwert verlangen möchten, damit sich ein Nutzer anmelden kann.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Informationen zum Testnutzer

  1. Geben Sie die Anmeldedaten eines Testnutzers ein und klicken Sie auf die Schaltfläche Test User Authentication (Nutzerauthentifizierung testen). Looker versucht, eine vollständige LDAP-Authentifizierungssequenz durchzuführen und zeigt das Ergebnis an. Bei Erfolg gibt Looker die Benutzerinformationen aus dem Verzeichnis sowie einige Trace-Informationen zum Authentifizierungsprozess aus, die bei der Lösung von Konfigurationsproblemen helfen können.
  2. Prüfen Sie, ob die Authentifizierung erfolgreich war und alle Felder korrekt zugeordnet sind. Achten Sie beispielsweise darauf, dass das Feld first_name keinen Wert enthält, der zu last_name gehört.

Gruppen und Rollen

Sie können Looker so konfigurieren, dass Gruppen erstellt werden, die Ihre extern verwalteten LDAP-Gruppen spiegeln. Anschließend können Sie Nutzern basierend auf den gespiegelten LDAP-Gruppen Looker-Rollen zuweisen. Wenn Sie Änderungen an Ihrer LDAP-Gruppenmitgliedschaft vornehmen, werden diese automatisch in die Looker-Gruppenkonfiguration übernommen.

Durch das Spiegeln von LDAP-Gruppen können Sie Ihr extern definiertes LDAP-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. Dadurch können Sie wiederum Ihre Gruppenmitgliedschaft für verschiedene SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie LDAP-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede LDAP-Gruppe, die in das System eingeführt wird. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Mithilfe von Gruppen können Sie Gruppenmitgliedern Rollen zuweisen, Zugriffssteuerungen für Inhalte festlegen und Nutzerattribute zuweisen.

Standardgruppen und -rollen

Der Schalter LDAP-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue LDAP-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neuen Looker-Nutzern bei der ersten Anmeldung in Looker zuweisen möchten.

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht noch einmal angewendet, wenn sie nach der ersten Anmeldung von Nutzern entfernt werden.

Wenn Sie gespiegelte LDAP-Gruppen später aktivieren, werden diese Standardeinstellungen für Nutzer bei ihrer nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt LDAP-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.

Spiegel-LDAP-Gruppen aktivieren

Wenn Sie Ihre LDAP-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter LDAP-Gruppen spiegeln. In Looker werden die folgenden Einstellungen angezeigt:

Gruppensuche-Strategie: Wählen Sie eine Option aus dem Drop-down-Menü aus, um Looker mitzuteilen, wie die Gruppen eines Nutzers gesucht werden sollen:

  • Gruppen haben Mitgliederattribute: Dies ist die gebräuchlichere Option. Bei der Suche nach einem Gruppenmitglied gibt Looker nur die Gruppen zurück, denen ein Benutzer direkt zugewiesen ist. Wenn ein Nutzer beispielsweise Mitglied der Gruppe „Datenbank-Administrator“ und die Gruppe „Datenbank-Administrator“ ein Mitglied der Gruppe „Entwickler“ ist, erhält ein Nutzer nur die Berechtigungen, die mit der Gruppe „Datenbank-Administrator“ verknüpft sind.

  • Gruppen haben Mitgliederattribute (Tiefesuche): Mit dieser Option können Gruppen Mitglieder anderer Gruppen werden. Dies wird manchmal als verschachtelte LDAP-Gruppen bezeichnet. Das bedeutet, dass ein Nutzer die Berechtigungen mehrerer Gruppen haben kann. Wenn ein Nutzer beispielsweise Mitglied der Gruppe „Datenbank-Administrator“ und die Gruppe „Datenbank-Administrator“ ein Mitglied der Gruppe „Entwickler“ ist, erhält ein Nutzer die Berechtigungen, die mit beiden Gruppen verknüpft sind. Einige LDAP-Server (insbesondere Microsoft Active Directory) unterstützen die automatische Ausführung dieser Art von tiefer Suche, auch wenn der Aufrufer eine scheinbar oberflächliche Suche durchführt. Dies könnte eine weitere Methode sein, mit der Sie eine tiefe Suche ausführen können.

Base DN (Basis-DN): zum Eingrenzen der Suche. Dieser kann mit dem Basis-DN übereinstimmen, der im Abschnitt Einstellungen für die Nutzerbindung auf dieser Dokumentationsseite angegeben ist.

Groups-Objektklasse(en): Diese Einstellung ist optional. Wie im Abschnitt Einstellungen für die Nutzerbindung erwähnt, können die von Looker zurückgegebenen Ergebnisse auf einen bestimmten Objekttyp oder eine Gruppe von Typen beschränkt werden.

Gruppenmitgliedszugehörigkeit: Das Attribut, das in jeder Gruppe die Objekte (in diesem Fall wahrscheinlich die Personen) bestimmt, die ein Mitglied sind.

Gruppennutzer-Attr: Der Name des LDAP-Nutzerattributs, nach dessen Wert in den Gruppeneinträgen gesucht wird, um zu bestimmen, ob ein Nutzer Teil der Gruppe ist. Die Standardeinstellung ist dn (d. h., wenn Sie das Feld leer lassen, entspricht dies der Einstellung dn), was dazu führt, dass LDAP den vollständigen Distinguished Name verwendet. Dabei handelt es sich um den exakten String, der in der LDAP-Suche selbst vorhanden ist, um nach Gruppeneinträgen zu suchen.

Bevorzugter Gruppenname/Rollen/Gruppen-DN: Mit dieser Gruppe von Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden LDAP-Gruppe in Looker zugewiesen sind.

  1. Geben Sie den DN der LDAP-Gruppe in das Feld Gruppen-DN ein. Diese Angabe sollte den vollständigen Distinguished Name enthalten. Dabei handelt es sich um die exakte Zeichenfolge, bei der die Groß- und Kleinschreibung berücksichtigt wird, die auch in der LDAP-Suche enthalten wäre. LDAP-Nutzer, die in der LDAP-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

  2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

  4. Klicken Sie auf +, um weitere Felder hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch erhalten. Wenn Sie beispielsweise den benutzerdefinierten Namen einer Gruppe ändern, ändert sich dadurch die Darstellung der Gruppe auf der Looker-Seite Gruppen. Die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch bestehen. Durch das Ändern des Gruppen-DNs werden der Gruppenname und die Rollen beibehalten, die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen LDAP-Gruppe mit dem neuen LDAP-Gruppen-DN sind.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihren Mitgliedern werden die Rollen in Lookerr nicht mehr über diese Gruppe zugewiesen.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter LDAP-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und Benutzern haben, die von Looker gespiegelt wurden.

Wenn beispielsweise Ihre Looker-Gruppe und Ihre Nutzerkonfiguration genau Ihrer LDAP-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über LDAP-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre LDAP-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung innerhalb von Looker durchführen, z. B. LDAP-Nutzer zu Looker-Gruppen hinzufügen oder Looker-Rollen direkt LDAP-Nutzern zuweisen.

Bei neuen Looker-Instanzen oder Looker-Instanzen, für die keine zuvor konfigurierten gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Im Abschnitt Erweiterte Rollenverwaltung sind folgende Optionen verfügbar:

Verhindern, dass einzelne LDAP-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren LDAP-Nutzern keine direkten Rollen zuweisen. LDAP-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn LDAP-Nutzern die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen gestattet ist, können sie ihre Rollen sowohl von gespiegelten LDAP-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Allen LDAP-Nutzern, denen Rollen zuvor direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzern direkt Looker-Rollen zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in Nicht-LDAP-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren keine LDAP-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte LDAP-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können LDAP-Nutzer die Mitgliedschaft in einer übergeordneten Looker-Gruppe beibehalten. Alle LDAP-Benutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Verhindern, dass Rollen von Nicht-LDAP-Gruppen übernommen werden: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten LDAP-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. LDAP-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte LDAP-Gruppen oder LDAP-Nutzer, die einer integrierten Looker-Gruppe als Mitglied hinzugefügt werden, die der übergeordneten Looker-Gruppe zugewiesenen Rollen.

Auth erfordert Rolle: Wenn diese Option aktiviert ist, muss LDAP-Nutzern eine Rolle zugewiesen sein. LDAP-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht bei Looker anmelden.

Wenn diese Option deaktiviert ist, können sich LDAP-Benutzer bei Looker authentifizieren, auch wenn sie keine Rolle zugewiesen haben. Ein Benutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen und keine Aktionen ausführen, er kann sich jedoch in Looker anmelden.

Spiegel-LDAP-Gruppen deaktivieren

Wenn Sie die Spiegelung Ihrer LDAP-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter LDAP-Gruppen spiegeln. Alle leeren gespiegelten LDAP-Gruppen werden gelöscht.

Spiegel-LDAP-Gruppen, die nicht leer sind, können weiterhin für das Content-Management und die Rollenerstellung verwendet werden. Nutzer können jedoch nicht zu gespiegelten LDAP-Gruppen hinzugefügt oder daraus entfernt werden.

Migrations- und Integrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

  • Erlauben Sie Administratoren und Nutzern mit der Berechtigung login_special_email eine alternative E-Mail-Anmeldung. Weitere Informationen zum Festlegen dieser Berechtigung finden Sie in der Dokumentation zu Rollen. Diese Option wird auf der Looker-Anmeldeseite angezeigt, wenn Sie sie aktiviert haben und der Benutzer die entsprechende Berechtigung hat.
  • Diese Option ist als Fallback während der LDAP-Einrichtung nützlich, wenn später Probleme mit der LDAP-Konfiguration auftreten oder wenn Sie Support für einige Nutzer benötigen, die sich nicht in Ihrem LDAP-Verzeichnis befinden.
  • Anmeldungen mit E-Mail-Adresse und Passwort für Looker sind für normale Nutzer immer deaktiviert, wenn LDAP aktiviert ist.

Per E-Mail zusammenführen

  • Mit dieser Option kann Looker neue LDAP-Nutzer anhand ihrer E-Mail-Adresse mit ihren vorhandenen Looker-Konten zusammenführen.
  • Wenn Looker keine übereinstimmende E-Mail-Adresse finden kann, wird für den Nutzer ein neues Konto erstellt.

Speichern und Einstellungen anwenden

Wenn Sie Ihre Informationen eingegeben haben und alle Tests bestanden wurden, aktivieren Sie die Option Ich habe die oben genannte Konfiguration bestätigt und möchte die globale Anwendung aktivieren. Klicken Sie dann zum Speichern auf Einstellungen aktualisieren.