Administratoreinstellungen – LDAP-Authentifizierung

Auf der Seite LDAP im Abschnitt Authentifizierung des Menüs Admin können Sie Looker so konfigurieren, dass Nutzer mit Lightweight Directory Access Protocol (LDAP) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie finden eine Anleitung zum Verknüpfen von LDAP-Gruppen mit Looker-Rollen und -Berechtigungen.

Denken Sie daran:

  • Die Looker-Authentifizierung verwendet die einfache LDAP-Authentifizierung. Die anonyme Authentifizierung wird nicht unterstützt.
  • Sie müssen ein einzelnes LDAP-Nutzerkonto erstellen, das Leseberechtigungen für Nutzer- und Gruppeneinträge hat, die von Looker verwendet werden.
  • Looker liest nur aus dem LDAP-Verzeichnis (keine Schreibvorgänge).
  • Looker kann vorhandene Konten mithilfe von E-Mail-Adressen zu LDAP migrieren.
  • Die Nutzung der Looker API interagiert nicht mit der LDAP-Authentifizierung.
  • Wenn Ihr LDAP-Server den IP-Traffic einschränkt, müssen Sie der IP-Zulassungsliste oder den Regeln für eingehenden Traffic Ihres LDAP-Servers die IP-Adressen von Looker hinzufügen.
  • LDAP überschreibt die 2-Faktor-Authentifizierung. Wenn Sie die 2-Faktor-Authentifizierung zuvor aktiviert haben, sehen Ihre Nutzer die Anmeldebildschirme nach der Aktivierung von LDAP nicht.

Vorsicht beim Deaktivieren der LDAP-Authentifizierung

Wenn Sie über LDAP bei Looker angemeldet sind und die LDAP-Authentifizierung deaktivieren möchten, führen Sie zuerst beide der folgenden Schritte aus:

  • Sie benötigen andere Anmeldedaten, um sich anzumelden.
  • Aktivieren Sie auf der LDAP-Konfigurationsseite die Option Alternative Anmeldung.

Andernfalls könnten Sie sich selbst und andere Benutzer aus Looker sperren.

Erste Schritte

Rufen Sie im Bereich Admin von Looker die Seite LDAP-Authentifizierung auf, um die folgenden Konfigurationsoptionen zu sehen.

Verbindung einrichten

Looker unterstützt die Übertragung/Verschlüsselung mit LDAP im Klaren und LDAP über TLS. LDAP über TLS wird dringend empfohlen. StartTLS und andere Verschlüsselungsschemas werden nicht unterstützt.

  1. Geben Sie die Informationen für Host und Port ein.
  2. Klicken Sie das Kästchen neben TLS an, wenn Sie LDAP über TLS verwenden.
  3. Wenn Sie LDAP über TLS verwenden, erzwingt Looker die Prüfung von Peer-Zertifikaten standardmäßig. Wenn Sie die Peer-Zertifikatsprüfung deaktivieren müssen, klicken Sie das Kästchen NoVerify (Keine Überprüfung) an.
  4. Klicken Sie auf Test Connection. Korrigieren Sie etwaige Fehler, bevor Sie fortfahren.

Verbindungsauthentifizierung

Looker benötigt Zugriff auf ein LDAP-Konto, das passwortgeschützt ist. Das LDAP-Konto muss Lesezugriff auf Personeneinträge und einen neuen Satz von Rolleneinträgen haben. Das Looker LDAP-Konto erfordert keinen Schreibzugriff (oder Zugriff auf andere Aspekte des Verzeichnisses) und es spielt keine Rolle, in welchem Namespace das Konto erstellt wird.

  1. Geben Sie das Passwort ein.
  2. [Optional] Aktivieren Sie das Kontrollkästchen Kein Paging erzwingen, wenn Ihr LDAP-Anbieter keine paginierten Ergebnisse bereitstellt. In einigen Fällen kann dies hilfreich sein, wenn Sie bei der Suche nach Nutzern keine Treffer erhalten, obwohl dies nicht die einzige Lösung für ein solches Problem ist.
  3. Klicken Sie auf die Schaltfläche Test Authentication (Authentifizierung testen). Falls Fehler auftreten, prüfen Sie, ob Ihre Authentifizierungsinformationen korrekt sind. Wenn Ihre Anmeldedaten gültig sind, aber weiterhin Fehler auftreten, wenden Sie sich an den LDAP-Administrator Ihres Unternehmens.

Einstellungen für Nutzerbindung

Die Details in diesem Abschnitt geben an, wie Looker Nutzer in Ihrem Verzeichnis findet, eine Bindung für die Authentifizierung herstellt und Nutzerinformationen extrahiert.

  1. Legen Sie den Basis-DN fest, der die Basis des Suchbaums für alle Nutzer ist.
  2. [Optional] Geben Sie eine User Object Class (Nutzerobjektklasse) an. Damit wird gesteuert, welche Arten von Ergebnissen Looker findet und zurückgibt. Dies ist nützlich, wenn der Basis-DN eine Mischung aus Objekttypen (Personen, Gruppen, Drucker usw.) ist und Sie nur Einträge eines Typs zurückgeben möchten.
  3. Legen Sie die Anmeldedaten fest. Diese definieren die Attribute, die Ihre Nutzer bei der Anmeldung verwenden. Diese müssen für jeden Nutzer eindeutig sein und den Nutzern als ID innerhalb Ihres Systems vertraut sein. Sie können beispielsweise eine Nutzer-ID oder eine vollständige E-Mail-Adresse auswählen. Wenn Sie mehr als ein Attribut hinzufügen, durchsucht Looker beide nach dem entsprechenden Benutzer. Bitte achten Sie darauf, hier die entsprechenden Felder auszuwählen. Die Verwendung von Vor- und Nachnamen funktioniert nicht, wenn Sie zwei Jennifer Smiths usw. haben.
  4. Geben Sie die Attribute Email Attr (E-Mail-Attr), First Name Attr (Vorname) und Last Name Attr (Nachname) an. Anhand dieser Informationen weiß Looker, wie diese Felder bei der Anmeldung zugeordnet und ihre Informationen extrahiert werden sollen.
  5. Legen Sie das ID-Attribut fest. Dieses gibt ein Feld an, das Looker selbst als eindeutige ID für Nutzer verwenden soll. Dies ist in der Regel eines der Anmeldefelder.
  6. Optional können Sie einen optionalen benutzerdefinierten Filter eingeben. Damit können Sie beliebige LDAP-Filter angeben, die angewendet werden, wenn nach einem Nutzer gesucht wird, an den sich während der LDAP-Authentifizierung binden soll. Dies ist nützlich, wenn Sie Datensätze von Nutzern herausfiltern möchten, z. B. deaktivierte Nutzer oder Nutzer, die sich in einer anderen Organisation befinden.

Beispiel

In diesem Beispiel für einen ldiff-Benutzereintrag wird gezeigt, wie die entsprechenden Looker-Einstellungen festgelegt werden:

Ldiff-Nutzereintrag

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Entsprechende Looker-Einstellungen

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln

Optional können Sie die Daten in Ihren LDAP-Nutzerattributen verwenden, um automatisch Werte in die Looker-Nutzerattribute einzufügen, wenn sich ein Nutzer anmeldet. Wenn Sie LDAP beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

Beachten Sie, dass das LDAP-Attribut ein Nutzerattribut und kein Gruppenattribut sein muss.

So koppeln Sie LDAP-Nutzerattribute mit entsprechenden Looker-Nutzerattributen:

  1. Geben Sie den Namen des LDAP-Nutzerattributs in das Feld LDAP-Nutzerattribut und den Namen des Looker-Nutzerattributs, mit dem Sie es verknüpfen möchten, im Feld Looker-Nutzerattribute ein.
  2. Aktivieren Sie Erforderlich, wenn ein LDAP-Attributwert erforderlich sein soll, damit sich ein Nutzer anmelden kann.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Nutzerinformationen testen

  1. Geben Sie die Anmeldedaten eines Testnutzers ein und klicken Sie auf die Schaltfläche Test User Authentication (Nutzerauthentifizierung testen). Looker versucht eine vollständige LDAP-Authentifizierungssequenz und zeigt das Ergebnis an. Bei Erfolg gibt Looker die Benutzerinformationen aus dem Verzeichnis sowie einige Trace-Informationen zum Authentifizierungsprozess aus, die bei der Lösung von Konfigurationsproblemen helfen können.
  2. Prüfen Sie, ob die Authentifizierung erfolgreich ist und alle Felder korrekt zugeordnet sind. Bestätigen Sie beispielsweise, dass das Feld first_name keinen Wert enthält, der zu last_name gehört.

Gruppen und Rollen

Sie können Looker so konfigurieren, dass Gruppen erstellt werden, die Ihre extern verwalteten LDAP-Gruppen spiegeln. Anschließend können Sie Nutzern basierend auf ihren gespiegelten LDAP-Gruppen Looker-Rollen zuweisen. Wenn Sie Änderungen an Ihrer LDAP-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Durch das Spiegeln von LDAP-Gruppen können Sie Ihr extern definiertes LDAP-Verzeichnis zum Verwalten von Looker-Gruppen und -Nutzern verwenden. Auf diese Weise können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie die Option LDAP-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede LDAP-Gruppe, die in das System eingeführt wird. Sie können diese Looker-Gruppen in Looker im Bereich Admin auf der Seite Gruppen einsehen. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und -rollen

Der Schalter LDAP-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue LDAP-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden auch nicht erneut angewendet, wenn sie nach der ersten Anmeldung des Nutzers aus den Nutzern entfernt werden.

Wenn Sie später gespiegelte LDAP-Gruppen aktivieren, werden diese Standardeinstellungen für Nutzer bei der nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt Mirror LDAP Groups zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.

Spiegel-LDAP-Gruppen aktivieren

Wenn Sie Ihre LDAP-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter LDAP-Gruppen spiegeln. Looker zeigt diese Einstellungen an:

Gruppensuche-Strategie: Wählen Sie eine Option aus dem Drop-down-Menü aus, um Looker mitzuteilen, wie die Gruppen eines Nutzers gefunden werden sollen:

  • Gruppen haben Mitgliederattribute: Dies ist die gebräuchlichere Option. Bei der Suche nach einem Gruppenmitglied gibt Looker nur die Gruppen zurück, denen ein Nutzer direkt zugewiesen ist. Wenn ein Nutzer beispielsweise Mitglied der Gruppe "Datenbank-Administrator" und die Gruppe "Datenbank-Administrator" Mitglied der Gruppe "Entwicklung" ist, erhält der Nutzer nur die Berechtigungen, die mit der Gruppe "Datenbank-Administrator" verknüpft sind.

  • Gruppen haben Mitgliederattribute (tiefe Suche): Mit dieser Option können Gruppen Mitglieder anderer Gruppen sein. Dies wird manchmal auch als verschachtelte LDAP-Gruppen bezeichnet. Das bedeutet, dass ein Nutzer die Berechtigungen für mehrere Gruppen haben kann. Wenn ein Nutzer beispielsweise Mitglied der Gruppe "Datenbank-Administrator" und die Gruppe "Datenbank-Administrator" Mitglied der Gruppe "Entwicklung" ist, erhält ein Nutzer die Berechtigungen, die mit beiden Gruppen verknüpft sind. Beachten Sie, dass einige LDAP-Server (insbesondere Microsoft Active Directory) die automatische Ausführung dieser Art der Tiefensuche unterstützen, selbst wenn der Aufrufer eine scheinbar oberflächliche Suche ausführt. Dies ist möglicherweise eine weitere Methode, mit der Sie eine Tiefensuche ausführen können.

Base DN (Basis-DN): Ermöglicht die Eingrenzung der Suche. Dieser String kann mit dem Basis-DN übereinstimmen, der oben im Abschnitt Einstellungen für Nutzerbindung angegeben wurde.

Groups-Objektklassen: Diese Einstellung ist optional. Wie im Abschnitt Einstellungen für Nutzerbindung erwähnt, können die von Looker zurückgegebenen Ergebnisse auf einen bestimmten Objekttyp oder eine Gruppe von Typen beschränkt werden.

Gruppenmitgliedsattr: Das Attribut, durch das für jede Gruppe die Objekte (in diesem Fall wahrscheinlich die Personen) bestimmt werden, die Mitglied sind.

Group User Attr (Gruppennutzerattribut): Der Name des LDAP-Nutzerattributs, nach dessen Wert in den Gruppeneinträgen gesucht wird, um festzustellen, ob ein Nutzer zur Gruppe gehört. Die Standardeinstellung ist dn (d. h., das Feld leer zu lassen, entspricht dn). Dies führt dazu, dass LDAP den vollständigen Distinguished Name verwendet, d. h. genau den String, der in der LDAP-Suche selbst vorhanden wäre, um nach Gruppeneinträgen zu suchen.

Bevorzugter Gruppenname/Rollen/Gruppen-DN: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden LDAP-Gruppe in Looker zugewiesen sind:

  1. Geben Sie den LDAP-Gruppen-DN in das Feld Gruppen-DN ein. Dies sollte den vollständigen Distinguished Name enthalten, bei dem es sich um den genauen String handelt, der in der LDAP-Suche vorhanden wäre. Dabei wird die Groß-/Kleinschreibung beachtet. LDAP-Nutzer, die in der LDAP-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

  2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.

  4. Klicken Sie auf +, um weitere Felder hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration einer Gruppe entfernen möchten, klicken Sie neben den entsprechenden Feldern auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch intakt. Sie können z. B. den benutzerdefinierten Namen einer Gruppe ändern. Dadurch wird zwar die Darstellung der Gruppe auf der Looker-Seite Gruppen geändert, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie den Gruppen-DN ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch auf Grundlage der Nutzer neu zugewiesen, die Mitglieder der externen LDAP-Gruppe mit dem neuen LDAP-Gruppen-DN sind.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihre Mitglieder haben nicht mehr die Rollen in Looker, die ihnen über diese Gruppe zugewiesen wurden.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal bei Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter LDAP-Gruppen spiegeln aktiviert haben, zeigt Looker diese Einstellungen an. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und -Benutzern haben, die von LDAP gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppe und -Nutzerkonfiguration genau Ihrer LDAP-Konfiguration entsprechen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über LDAP-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität benötigen, um Ihre Gruppen in Looker weiter anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre LDAP-Konfiguration, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. LDAP-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder LDAP-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder Instanzen, für die zuvor keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die derzeit gespiegelte Gruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält folgende Optionen:

Verhindern, dass einzelne LDAP-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Looker-Rollen nicht direkt LDAP-Nutzern zuweisen. LDAP-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn LDAP-Nutzer die Mitgliedschaft in nativen (nicht gespiegelten) Looker-Gruppen zulässig ist, können sie ihre Rollen sowohl von gespiegelten LDAP-Gruppen als auch von nativen Looker-Gruppen übernehmen. Alle LDAP-Nutzer, denen zuvor Rollen direkt zugewiesen waren, werden bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzern direkt Looker-Rollen zuweisen, als wären sie Benutzer, die nativ in Looker konfiguriert wurden.

Direkte Mitgliedschaft in Nicht-LDAP-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren LDAP-Nutzer nicht direkt nativen Looker-Gruppen hinzufügen. Wenn gespiegelte LDAP-Gruppen Mitglieder nativer Looker-Gruppen sein dürfen, können LDAP-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle LDAP-Nutzer, die zuvor nativen Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzer direkt nativen Looker-Gruppen hinzufügen.

Verhindern, dass Rollen von Nicht-LDAP-Gruppen übernommen werden: Wenn Sie diese Option aktivieren, können Mitglieder gespiegelter LDAP-Gruppen keine Rollen aus nativen Looker-Gruppen übernehmen. Alle LDAP-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte LDAP-Gruppen oder LDAP-Nutzer, die als Mitglied einer nativen Looker-Gruppe hinzugefügt wurden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Authentifizierung erfordert Rolle: Wenn diese Option aktiviert ist, muss den LDAP-Nutzern eine Rolle zugewiesen werden. LDAP-Nutzer, denen keine Rolle zugewiesen wurde, können sich nicht bei Looker anmelden.

Wenn diese Option deaktiviert ist, können sich LDAP-Nutzer auch dann bei Looker authentifizieren, wenn ihnen keine Rolle zugewiesen wurde. Ein Benutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen und keine Aktionen ausführen, aber er kann sich bei Looker anmelden.

Spiegel-LDAP-Gruppen deaktivieren

Wenn Sie Ihre LDAP-Gruppen nicht mehr in Looker spiegeln möchten, deaktivieren Sie den Schalter LDAP-Gruppen spiegeln. Alle leeren gespiegelten LDAP-Gruppen werden gelöscht.

Nicht leere gespiegelte LDAP-Gruppen bleiben weiterhin für das Content-Management und die Rollenerstellung verfügbar. Nutzer können jedoch keinen gespiegelten LDAP-Gruppen hinzugefügt oder daraus entfernt werden.

Migrations- und Integrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

  • Sie können eine alternative E-Mail-basierte Anmeldung für Administratoren und Nutzer mit der Berechtigung login_special_email zulassen. Weitere Informationen zum Festlegen dieser Berechtigung finden Sie in der Dokumentation zu Rollen. Diese Option wird auf der Looker-Anmeldeseite angezeigt, wenn Sie sie aktiviert haben und der Nutzer die entsprechende Berechtigung hat.
  • Diese Option ist als Fallback bei der LDAP-Einrichtung nützlich, wenn LDAP-Konfigurationsprobleme später auftreten oder wenn Sie Nutzer unterstützen müssen, die sich nicht in Ihrem LDAP-Verzeichnis befinden.
  • Looker-E-Mail-/Passwort-Anmeldungen sind für normale Nutzer immer deaktiviert, wenn LDAP aktiviert ist.

Per E-Mail-Adresse zusammenführen

  • Mit dieser Option kann Looker neue LDAP-Nutzer anhand ihrer E-Mail-Adresse mit ihren vorhandenen Looker-Konten zusammenführen.
  • Wenn Looker keine übereinstimmende E-Mail-Adresse finden kann, wird ein neues Konto für den Nutzer erstellt.

Speichern und Einstellungen anwenden

Wenn Sie die Eingabe Ihrer Informationen abgeschlossen haben und alle Tests erfolgreich waren, klicken Sie auf das Kästchen Ich habe die Konfiguration oben bestätigt und möchte die Anwendung global aktivieren und klicken Sie zum Speichern auf Einstellungen aktualisieren.