Administratoreinstellungen – LDAP-Authentifizierung

Auf der Seite LDAP im Abschnitt Authentifizierung des Menüs Admin können Sie Looker so konfigurieren, dass Nutzer über das Lightweight Directory Access Protocol (LDAP) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie erhalten Anweisungen zum Verknüpfen von LDAP-Gruppen mit Looker-Rollen und -Berechtigungen.

Beachten Sie Folgendes:

  • Die Looker-Authentifizierung nutzt die einfache“ LDAP- Authentifizierung. Die anonyme Authentifizierung wird nicht unterstützt.
  • Sie müssen ein einzelnes LDAP-Nutzerkonto erstellen, das Leseberechtigungen für Nutzereinträge und alle Gruppeneinträge hat, die von Looker verwendet werden.
  • Looker liest nur aus dem LDAP-Verzeichnis (keine Schreibvorgänge).
  • Looker kann vorhandene Konten mithilfe von E-Mail-Adressen zu LDAP migrieren.
  • Die Nutzung der Looker API interagiert nicht mit der LDAP-Authentifizierung.
  • Wenn Ihr LDAP-Server den IP-Datenverkehr einschränkt, müssen Sie die IP-Adressen von Looker der entsprechenden Allowlist Ihres LDAP-Servers oder den Regeln für eingehenden Datenverkehr hinzufügen.
  • LDAP überschreibt die 2-Faktor-Authentifizierung. Wenn Sie die Bestätigung in zwei Schritten bereits aktiviert haben, werden Ihren Nutzern nach der Aktivierung von LDAP keine Anmeldebildschirme für die Bestätigung in zwei Schritten angezeigt.

Vorsicht bei der Deaktivierung der LDAP-Authentifizierung

Wenn Sie über LDAP in Looker angemeldet sind und die LDAP-Authentifizierung deaktivieren möchten, führen Sie zuerst beide Schritte aus:

  • Prüfen Sie, ob Sie weitere Anmeldedaten für die Anmeldung haben.
  • Aktivieren Sie auf der Seite „LDAP-Konfiguration“ die Option Alternative Anmeldung.

Andernfalls könnten Sie sich und andere Nutzer von Looker ausschließen.

Erste Schritte

Gehen Sie im Looker-Bereich Admin zur Seite LDAP-Authentifizierung, um die folgenden Konfigurationsoptionen zu sehen.

Verbindung einrichten

Looker unterstützt Transport und Verschlüsselung mit LDAP im Klaren und LDAP über TLS. LDAP über TLS wird dringend empfohlen. StartTLS und andere Verschlüsselungsschemata werden nicht unterstützt.

  1. Geben Sie Informationen zu Host und Port ein.
  2. Klicken Sie das Kästchen neben TLS an, wenn Sie LDAP über TLS verwenden.
  3. Wenn Sie LDAP über TLS verwenden, erzwingt Looker standardmäßig die Überprüfung des Peer-Zertifikats. Wenn Sie die Überprüfung von Peer-Zertifikaten deaktivieren möchten, setzen Sie ein Häkchen bei Keine Überprüfung.
  4. Klicken Sie auf Test Connection. Wenn Fehler angezeigt werden, korrigieren Sie diese, bevor Sie fortfahren.

Verbindungsauthentifizierung

Looker benötigt Zugriff auf ein passwortgeschütztes LDAP-Konto. Das LDAP-Konto sollte Lesezugriff auf Personeneinträge und auf eine neue Gruppe von Rolleneinträgen haben. Das Looker LDAP-Konto benötigt keinen Schreibzugriff (noch keinen Zugriff auf andere Aspekte des Verzeichnisses) und es spielt keine Rolle, in welchem Namespace das Konto erstellt wird.

  1. Geben Sie das Passwort ein.
  2. [Optional] Aktivieren Sie das Kontrollkästchen Kein Paging erzwingen, wenn Ihr LDAP-Anbieter keine Seitenergebnisse zur Verfügung stellt. In einigen Fällen kann dies hilfreich sein, wenn Sie bei der Suche nach Nutzern keine Übereinstimmungen erhalten. Es ist jedoch nicht die einzige Lösung für dieses Problem.
  3. Klicken Sie auf die Schaltfläche Authentifizierung testen. Falls Fehler angezeigt werden, prüfen Sie, ob Ihre Authentifizierungsinformationen korrekt sind. Wenn Ihre Anmeldedaten gültig sind, aber Fehler weiterhin auftreten, wenden Sie sich an den LDAP-Administrator Ihres Unternehmens.

Einstellungen für die Nutzerbindung

Die Details in diesem Abschnitt geben an, wie Looker Nutzer in Ihrem Verzeichnis finden, zur Authentifizierung binden und Nutzerinformationen extrahiert.

  1. Legen Sie den Basis-DN fest. Dieser ist die Basis des Suchbaums für alle Nutzer.
  2. [Optional] Geben Sie eine Nutzerobjektklasse an, die festlegt, welche Arten von Ergebnissen in Looker gefunden und zurückgegeben werden. Dies ist nützlich, wenn die Basis-DN eine Mischung aus Objekttypen (Personen, Gruppen, Drucker usw.) enthält und Sie nur Einträge eines bestimmten Typs zurückgeben möchten.
  3. Legen Sie die Anmeldeattribute fest, mit denen sich Ihre Nutzer anmelden. Diese müssen für jeden Nutzer eindeutig sein und müssen in Ihrem System als ID verwendet werden. Sie können beispielsweise eine Nutzer-ID oder eine vollständige E-Mail-Adresse auswählen. Wenn Sie mehr als ein Attribut hinzufügen, durchsucht Looker beide nach dem richtigen Benutzer. Verwenden Sie keine Formate, die zu doppelten Konten führen können, z. B. Vor- und Nachname.
  4. Geben Sie die Attribute Email Attr, First Name Attr und Last Name Attr an. Anhand dieser Informationen kann Looker diese Felder zuordnen und ihre Informationen während der Anmeldung extrahieren.
  5. Legen Sie das ID-Attribut fest. Damit wird ein Feld angegeben, das in Looker als eindeutige ID für Nutzer verwendet wird. In der Regel ist dies eines der Anmeldefelder.
  6. Geben Sie optional einen optionalen benutzerdefinierten Filter ein, mit dem Sie beliebige LDAP-Filter angeben können, die bei der Suche nach einem Nutzer zum Binden während der LDAP-Authentifizierung angewendet werden. Dies ist nützlich, wenn Sie Gruppen von Nutzerdatensätzen wie deaktivierte Nutzer oder Nutzer aus einer anderen Organisation herausfiltern möchten.

Beispiel

In diesem Beispiel für einen ldiff-Nutzereintrag wird gezeigt, wie die entsprechenden Looker-Einstellungen festgelegt werden:

Ldiff-Nutzereintrag

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Entsprechende Looker-Einstellungen

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

LDAP-Nutzerattribute mit Looker-Nutzerattributen verknüpfen

Optional können Sie die Daten in Ihren LDAP-Nutzerattributen verwenden, um Werte in den Nutzerattributen in Looker automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie LDAP beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre LDAP-Nutzerattribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

Beachten Sie, dass das LDAP-Attribut ein Nutzerattribut sein muss, kein Gruppenattribut.

So koppeln Sie LDAP-Nutzerattribute mit entsprechenden Looker-Nutzerattributen:

  1. Geben Sie im Feld LDAP-Nutzerattribut den Namen des LDAP-Nutzerattributs und im Feld Looker-Nutzerattribute den Namen des Looker-Nutzerattributs ein, mit dem es verknüpft werden soll.
  2. Aktivieren Sie Erforderlich, wenn Sie einen LDAP-Attributwert verlangen möchten, damit sich ein Nutzer anmelden kann.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Informationen zu Testnutzern

  1. Geben Sie die Anmeldedaten eines Testnutzers ein und klicken Sie auf die Schaltfläche Test User Authentication (Nutzerauthentifizierung testen). Looker versucht, eine vollständige LDAP-Authentifizierungssequenz auszuführen und zeigt das Ergebnis an. Bei Erfolg gibt Looker die Nutzerinformationen aus dem Verzeichnis sowie einige Ablaufinformationen zur Authentifizierung aus, die bei der Behebung von Konfigurationsproblemen helfen können.
  2. Prüfen Sie, ob die Authentifizierung erfolgreich war und alle Felder korrekt zugeordnet sind. Prüfen Sie beispielsweise, ob das Feld first_name keinen Wert enthält, der zu last_name gehört.

Gruppen und Rollen

Sie können Looker so konfigurieren, dass Gruppen erstellt werden, die Ihre extern verwalteten LDAP-Gruppen spiegeln. Anschließend können Sie Nutzern basierend auf den gespiegelten LDAP-Gruppen Looker-Rollen zuweisen. Wenn Sie Änderungen an der LDAP-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Looker-Gruppenkonfiguration übernommen.

Durch das Spiegeln von LDAP-Gruppen können Sie Ihr extern definiertes LDAP-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. So können Sie die Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie LDAP-Gruppen spiegeln aktivieren, erstellt Looker für jede LDAP-Gruppe, die in das System aufgenommen wird, eine Looker-Gruppe. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und -rollen

Standardmäßig ist die Option LDAP-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue LDAP-Nutzer festlegen. Geben Sie in den Feldern Gruppen für neue Nutzer und Rollen für neue Nutzer die Namen aller Looker-Gruppen oder -Rollen ein, die Sie neuen Looker-Nutzern zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden.

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht noch einmal angewendet, wenn sie nach dem Erstanmeldung.

Wenn Sie gespiegelte LDAP-Gruppen später aktivieren, werden diese Standardeinstellungen für Nutzer bei ihrer nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt LDAP-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind dann nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration der gespiegelten Gruppen ersetzt.

Spiegel-LDAP-Gruppen aktivieren

Wenn Sie Ihre LDAP-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter LDAP-Gruppen spiegeln. In Looker werden die folgenden Einstellungen angezeigt:

Gruppensuche-Strategie: Wählen Sie eine Option aus dem Drop-down-Menü aus, um Looker mitzuteilen, wie die Gruppen eines Nutzers gesucht werden sollen:

  • Gruppen haben Mitgliederattribute: Dies ist die gängigere Option. Bei der Suche nach einem Gruppenmitglied gibt Looker nur die Gruppen zurück, denen ein Benutzer direkt zugewiesen ist. Wenn ein Nutzer beispielsweise Mitglied der Gruppe „Datenbank-Administrator“ und die Gruppe „Datenbank-Administrator“ ein Mitglied der Gruppe „Entwickler“ ist, erhält ein Nutzer nur die Berechtigungen, die mit der Gruppe „Datenbank-Administrator“ verknüpft sind.

  • Gruppen haben Mitgliederattribute (tiefe Suche): Mit dieser Option können Gruppen Mitglieder anderer Gruppen sein, was manchmal als verschachtelte LDAP-Gruppen bezeichnet wird. Das bedeutet, dass ein Nutzer die Berechtigungen mehrerer Gruppen haben kann. Wenn ein Nutzer beispielsweise Mitglied der Gruppe „Datenbank-Administrator“ ist und diese Gruppe Mitglied der Gruppe „Entwicklung“ ist, erhält der Nutzer die Berechtigungen, die mit beiden Gruppen verknüpft sind. Einige LDAP-Server (insbesondere Microsoft Active Directory) unterstützen die automatische Ausführung dieser Art von Deep Search, auch wenn der Aufrufer eine scheinbar einfache Suche durchführt. Dies könnte eine weitere Methode sein, mit der Sie eine tiefe Suche ausführen können.

Base DN (Basis-DN): zum Eingrenzen der Suche. Dieser kann mit dem Basis-DN übereinstimmen, der im Abschnitt Einstellungen für die Nutzerbindung auf dieser Dokumentationsseite angegeben ist.

Gruppenobjektklasse(n): Diese Einstellung ist optional. Wie im Abschnitt Einstellungen für die Nutzerbindung erwähnt, können die von Looker zurückgegebenen Ergebnisse auf einen bestimmten Objekttyp oder eine Gruppe von Typen beschränkt werden.

Gruppenmitgliedszugehörigkeit: Das Attribut, das in jeder Gruppe die Objekte (in diesem Fall wahrscheinlich die Personen) bestimmt, die ein Mitglied sind.

Gruppennutzer-Attr: Der Name des LDAP-Nutzerattributs, nach dessen Wert in den Gruppeneinträgen gesucht wird, um zu bestimmen, ob ein Nutzer Teil der Gruppe ist. Standardmäßig ist dies dn. Wenn Sie das Feld leer lassen, entspricht das dem Festlegen von dn. In diesem Fall verwendet LDAP den vollständigen Distinguished Name, also den genauen String, der in der LDAP-Suche selbst vorhanden ist, um nach Gruppeneinträgen zu suchen.

Preferred Group Name/Roles/Group DN (Bevorzugter Gruppenname/Rollen/Gruppen-DN): Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden LDAP-Gruppe in Looker zugewiesen sind.

  1. Geben Sie den DN der LDAP-Gruppe in das Feld DN der Gruppe ein. Dies sollte den vollständigen Distinguished Name enthalten. Dabei handelt es sich um die exakte Zeichenfolge, bei der die Groß- und Kleinschreibung berücksichtigt wird, wie sie auch in der LDAP-Suche enthalten wäre. LDAP-Nutzer, die in der LDAP-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

  2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird im Looker-Bereich Verwaltung auf der Seite Gruppen angezeigt.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die allen Nutzern in der Gruppe zugewiesen werden.

  4. Klicken Sie auf +, um weitere Felder hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch erhalten. Sie können beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch wird die Darstellung der Gruppe auf der Seite Gruppen in Looker geändert, die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch unverändert. Wenn Sie die DN der Gruppe ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch anhand der Nutzer neu zugewiesen, die Mitglieder der externen LDAP-Gruppe mit der neuen LDAP-Gruppen-DN sind.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihren Mitgliedern werden die Rollen in Lookerr nicht mehr über diese Gruppe zugewiesen.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie die Option LDAP-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie flexibel Looker-Administratoren Looker-Gruppen und Nutzer konfigurieren können, die aus Looker gespiegelt wurden.

Wenn beispielsweise Ihre Looker-Gruppe und Ihre Nutzerkonfiguration genau Ihrer LDAP-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über LDAP-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie Ihre Gruppen in Looker flexibler anpassen möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre LDAP-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung innerhalb von Looker durchführen, z. B. LDAP-Nutzer zu Looker-Gruppen hinzufügen oder Looker-Rollen direkt LDAP-Nutzern zuweisen.

Bei neuen Looker-Instanzen oder Looker-Instanzen, für die keine zuvor konfigurierten gespiegelten Gruppen vorhanden sind, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Im Abschnitt Erweiterte Rollenverwaltung sind folgende Optionen verfügbar:

Verhindern, dass einzelne LDAP-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren LDAP-Nutzern keine direkten Rollen zuweisen. LDAP-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn LDAP-Nutzern die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen gestattet ist, können sie ihre Rollen sowohl von gespiegelten LDAP-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Bei allen LDAP-Nutzern, denen zuvor direkt Rollen zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzern direkt Looker-Rollen zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in nicht LDAP-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren LDAP-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte LDAP-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können LDAP-Nutzer die Mitgliedschaft in einer übergeordneten Looker-Gruppe beibehalten. Alle LDAP-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren LDAP-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Verhindern, dass Rollen von Nicht-LDAP-Gruppen übernommen werden: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten LDAP-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. LDAP-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte LDAP-Gruppen oder LDAP-Nutzer, die einer integrierten Looker-Gruppe als Mitglied hinzugefügt werden, die der übergeordneten Looker-Gruppe zugewiesenen Rollen.

Authentifizierung erfordert Rolle: Wenn diese Option aktiviert ist, muss LDAP-Nutzern eine Rolle zugewiesen sein. LDAP-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich LDAP-Nutzer auch dann in Looker authentifizieren, wenn ihnen keine Rolle zugewiesen ist. Ein Benutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen und keine Aktionen ausführen, er kann sich jedoch in Looker anmelden.

Spiegel-LDAP-Gruppen deaktivieren

Wenn Sie das Spiegeln Ihrer LDAP-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter LDAP-Gruppen spiegeln. Alle leeren gespiegelten LDAP-Gruppen werden gelöscht.

Nicht leere Spiegel-LDAP-Gruppen können weiterhin für die Inhaltsverwaltung und die Rollenerstellung verwendet werden. Nutzer können jedoch nicht zu gespiegelten LDAP-Gruppen hinzugefügt oder daraus entfernt werden.

Migrations- und Integrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

  • Erlauben Sie eine alternative E-Mail-basierte Anmeldung für Administratoren und Nutzer mit der Berechtigung login_special_email. Weitere Informationen zum Festlegen dieser Berechtigung finden Sie in der Dokumentation zu Rollen. Diese Option wird auf der Looker-Anmeldeseite angezeigt, wenn Sie sie aktiviert haben und der Benutzer die entsprechende Berechtigung hat.
  • Diese Option ist als Ausweichlösung während der LDAP-Einrichtung nützlich, wenn später LDAP-Konfigurationsprobleme auftreten oder wenn Sie Support für einige Nutzer benötigen, die sich nicht in Ihrem LDAP-Verzeichnis befinden.
  • Looker-Anmeldungen per E-Mail und Passwort sind für reguläre Nutzer immer deaktiviert, wenn LDAP aktiviert ist.

Per E-Mail zusammenführen

  • Mit dieser Option können neue LDAP-Nutzer basierend auf ihrer E-Mail-Adresse mit ihren bestehenden Looker-Konten zusammengeführt werden.
  • Wenn Looker keine übereinstimmende E-Mail-Adresse findet, wird für den Nutzer ein neues Konto erstellt.

Einstellungen speichern und anwenden

Wenn Sie Ihre Informationen eingegeben haben und alle Tests bestanden wurden, aktivieren Sie die Option Ich habe die oben genannte Konfiguration bestätigt und möchte die globale Anwendung aktivieren. Klicken Sie dann zum Speichern auf Einstellungen aktualisieren.