A página LDAP na seção Authentication do menu Admin permite configurar o Looker para autenticar usuários com o protocolo leve de acesso a diretórios (LDAP). Esta página descreve esse processo e inclui instruções para vincular grupos LDAP a papéis e permissões do Looker.
Alguns lembretes:
- A autenticação do Looker usa a configuração "simples" autenticação. A autenticação anônima não é suportada.
- Você precisa criar uma única conta de usuário LDAP com privilégios de leitura para entradas de usuários e de grupos que serão usadas pelo Looker.
- O Looker só lê no diretório LDAP (sem gravações).
- O Looker pode migrar contas atuais para LDAP usando endereços de e-mail.
- O uso da API Looker não interage com a autenticação LDAP.
- Se o servidor LDAP restringir o tráfego IP, será preciso adicionar os endereços IP do Looker à lista de permissões de IP ou às regras de tráfego de entrada do servidor LDAP.
- O LDAP substitui a autenticação de dois fatores. Se você já tiver ativado a autenticação de dois fatores, seus usuários não verão as telas de login desse recurso depois que você ativar o LDAP.
Tenha cuidado ao desativar a autenticação LDAP
Se você tiver feito login no Looker usando o LDAP e quiser desativar a autenticação LDAP, siga ambas as etapas a seguir:
- Verifique se você tem outras credenciais para fazer login.
- Ative a opção Login alternativo na página de configuração do LDAP.
Caso contrário, você e outros usuários podem ser bloqueados do Looker.
Primeiros passos
Acesse a página Autenticação LDAP na seção Administrador do Looker para conferir as opções de configuração a seguir.
Configurar a conexão
O Looker oferece suporte a transporte e criptografia com LDAP na limpeza e LDAP sobre TLS. O LDAP sobre TLS é altamente recomendado. O StartTLS e outros esquemas de criptografia não são compatíveis.
- Insira as informações de Host e Port.
- Marque a caixa ao lado de TLS se você estiver usando o LDAP sobre TLS.
- Se você estiver usando LDAP sobre TLS, o Looker aplicará a verificação de certificado de peering por padrão. Se for necessário desativar a verificação de certificados de apps semelhantes, marque Sem verificação.
- Clique em Testar conexão. Se houver algum erro, corrija-o antes de continuar.
Autenticação de conexão
O Looker exige acesso a uma conta LDAP protegida por senha. A conta LDAP deve ter acesso de leitura às entradas de pessoas e a um novo conjunto de entradas de função. A conta LDAP do Looker não requer acesso de gravação (nem a qualquer outro aspecto do diretório) e não importa o namespace em que a conta é criada.
- Digite a Senha.
- [Opcional] Marque a caixa de seleção Forçar a não paginação se o provedor LDAP não fornecer resultados paginados. Em alguns casos, isso pode ajudar se você não estiver recebendo correspondências ao pesquisar usuários, embora não seja a única solução para esse problema.
- Clique no botão Testar autenticação. Se algum erro aparecer, verifique se as informações de autenticação estão corretas. Se as credenciais forem válidas, mas os erros persistirem, entre em contato com o administrador do LDAP da sua empresa.
Configurações de vinculação do usuário
Os detalhes desta seção especificam como o Looker encontra usuários no seu diretório, faz a vinculação para autenticação e extrai informações do usuário.
- Defina o DN de base, que é a base da árvore de pesquisa para todos os usuários.
- [Opcional] Especifique uma classe de objeto do usuário, que controla os tipos de resultados que o Looker vai encontrar e retornar. Isso é útil se o DN de base for uma combinação de tipos de objetos (pessoas, grupos, impressoras etc.) e você só quiser retornar entradas de um tipo.
- Configure Login Attrs, que define os atributos que os usuários usarão para fazer login. Eles precisam ser exclusivos para cada usuário e algo que os usuários conheçam como ID no sistema. Por exemplo, é possível escolher um ID do usuário ou um endereço de e-mail completo. Se você adicionar mais de um atributo, o Looker vai pesquisar em ambos para encontrar o usuário apropriado. Evite formatos que podem resultar em contas duplicadas, como nome e sobrenome.
- Especifique o atributo de e-mail, o atributo de nome e o atributo de sobrenome. Essas informações informam ao Looker como mapear esses campos e extrair as informações durante o login.
- Defina o ID Attr, que indica um campo que o Looker usa como o ID exclusivo dos usuários. Geralmente, esse será um dos campos de login.
- Também é possível digitar um Filtro personalizado opcional, que permite fornecer filtros LDAP arbitrários que serão aplicados ao pesquisar um usuário para vincular durante a autenticação LDAP. Isso é útil se você quiser filtrar conjuntos de registros de usuários, como usuários desativados ou usuários que estão em uma organização diferente.
Exemplo
Este exemplo de entrada de usuário diferente demonstra como definir as configurações correspondentes do Looker:
Entrada de usuário do Ldiff
dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People
Configurações correspondentes do Looker
Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn
Como vincular atributos de usuários do LDAP aos atributos de usuários do Looker
Você pode usar os dados nos seus atributos de usuário LDAP para preencher automaticamente os valores nos atributos de usuário do Looker quando um usuário fizer login. Por exemplo, se você tiver configurado o LDAP para fazer conexões específicas do usuário com seu banco de dados, poderá parear os atributos de usuário LDAP com os atributos de usuário do Looker para tornar suas conexões de banco de dados específicas do usuário no Looker.
O atributo LDAP precisa ser um atributo de usuário, não de grupo.
Para parear os atributos de usuário LDAP e os atributos de usuário correspondentes do Looker, faça o seguinte:
- Insira o nome do atributo do usuário LDAP no campo Atributo do usuário LDAP e o nome do atributo do usuário do Looker que você quer vincular no campo Atributos do usuário do Looker.
- Marque Obrigatório se você quiser exigir um valor de atributo LDAP para permitir que um usuário faça login.
- Clique em + e repita essas etapas para adicionar mais pares de atributos.
Informações do usuário de teste
- Insira as credenciais de um usuário de teste e clique no botão Testar autenticação do usuário. O Looker vai tentar uma sequência completa de autenticação LDAP e mostrar o resultado. Se for bem-sucedido, o Looker vai gerar as informações do usuário do diretório, além de algumas informações de rastreamento sobre o processo de autenticação, que podem ajudar a resolver problemas de configuração.
- Verifique se a autenticação foi concluída e se todos os campos foram mapeados corretamente. Por exemplo, confirme se o campo
first_namenão contém um valor que pertence alast_name.
Grupos e funções
É possível configurar o Looker para criar grupos que espelham seus grupos LDAP gerenciados externamente e, em seguida, atribuir funções do Looker aos usuários com base nos grupos LDAP espelhados. Quando você faz mudanças na associação ao grupo LDAP, elas são propagadas automaticamente para a configuração do grupo do Looker.
O espelhamento de grupos LDAP permite usar o diretório LDAP definido externamente para gerenciar grupos e usuários do Looker. Isso permite gerenciar a associação do grupo em várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.
Se você ativar a opção Espelhar grupos LDAP, o Looker criará um grupo do Looker para cada grupo LDAP que for introduzido no sistema. Esses grupos do Looker podem ser visualizados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir papéis aos participantes, definir controles de acesso ao conteúdo e atribuir atributos de usuário.
Papéis e grupos padrão
Por padrão, a chave Espelhamento de grupos LDAP está desativada. Nesse caso, é possível definir um grupo padrão para novos usuários do LDAP. Nos campos Novos grupos de usuários e Novas funções de usuário, insira os nomes dos grupos ou papéis do Looker que você quer atribuir aos novos usuários quando eles fizerem login pela primeira vez.
Esses grupos e funções são aplicados aos novos usuários no primeiro login. Os grupos e as funções não são aplicados a usuários anteriores e não são reaplicados se forem removidos dos usuários após o login inicial.
Se você ativar grupos LDAP espelhados depois, esses padrões serão removidos dos usuários no próximo login e substituídos pelas funções atribuídas na seção Grupos LDAP espelhado. Essas opções padrão não estarão mais disponíveis ou atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.
Como ativar grupos LDAP espelhados
Se você quiser espelhar seus grupos LDAP no Looker, ative a chave Mirror LDAP Groups. O Looker mostra estas configurações:
Estratégia do Localizador de grupos: escolha uma opção no menu suspenso para informar ao Looker como encontrar os grupos de um usuário:
Grupos têm atributos de membro: esta é a opção mais comum. Ao procurar um participante, o Looker só vai retornar os grupos a que um usuário foi atribuído diretamente. Por exemplo, se um usuário for membro do grupo Database-Admin e o grupo Database-Admin for um membro do grupo Engineering, um usuário terá apenas as permissões afiliadas ao grupo Database-Admin.
Grupos têm atributos de membro (pesquisa profunda): esta opção permite que os grupos sejam membros de outros grupos, também conhecidos como grupos aninhados LDAP. Isso significa que um usuário pode ter as permissões de mais de um grupo. Por exemplo, se um usuário for membro do grupo "Administrador de banco de dados" e o grupo "Administrador de banco de dados" for membro do grupo "Engenharia", o usuário vai receber as permissões afiliadas a ambos esses grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) têm suporte para executar automaticamente esse tipo de pesquisa profunda, mesmo quando o autor da chamada está fazendo o que parece ser uma pesquisa superficial. Esse pode ser outro método que você pode usar para realizar uma pesquisa detalhada.
DN de base: permite restringir a pesquisa e pode ser o mesmo que o DN de base especificado na seção Configurações de vinculação de usuário desta página de documentação.
Classes de objeto de grupos: essa configuração é opcional. Como observado na seção Configurações de vinculação de usuários, isso permite que os resultados retornados pelo Looker sejam restritos a um tipo de objeto ou conjunto de tipos específico.
Atributo de membro do grupo: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são membros.
Atributo de usuário de grupo: o nome do atributo de usuário LDAP cujo valor será pesquisado nas entradas de grupo para determinar se um usuário faz parte do grupo. O padrão é dn (o que significa que deixar em branco é o mesmo que defini-lo como dn), o que fará com que o LDAP use o Nome distinto completo, que é a string exata com diferenciação de maiúsculas e minúsculas que existiria na própria pesquisa LDAP, para pesquisar entradas de grupos.
Nome/papéis/DN do grupo preferido: esse conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo LDAP correspondente no Looker.
Digite o DN do grupo LDAP no campo DN do grupo. Isso deve incluir o Nome distinto completo, que é a string exata que diferencia maiúsculas de minúsculas que existiria na própria pesquisa LDAP. Os usuários do LDAP incluídos no grupo LDAP serão adicionados ao grupo espelhado no Looker.
Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.
No campo à direita de Nome personalizado, selecione um ou mais papéis do Looker que serão atribuídos a cada usuário no grupo.
Clique em
+para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um grupo, clique noXao lado do conjunto de campos desse grupo.
Ao editar um grupo espelhado que foi configurado anteriormente nesta tela, a configuração do grupo será alterada, mas o grupo em si permanecerá intacto. Por exemplo, você pode mudar o nome personalizado de um grupo, o que altera a forma como o grupo aparece na página Grupos do Looker, mas não altera as funções atribuídas e os membros do grupo. A alteração do DN do grupo mantém o nome e as funções do grupo, mas os participantes são reatribuídos com base nos usuários que são membros do grupo LDAP externo que tem o novo DN.
Se você excluir um grupo nesta página, ele não será mais espelhado no Looker, e os membros dele não terão mais as funções atribuídas a eles no Lookerr.
As edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo na próxima vez que eles fizerem login no Looker.
Gerenciamento avançado de funções
Se você tiver ativado a chave Mirror LDAP Groups, o Looker vai mostrar essas configurações. As opções desta seção determinam a flexibilidade dos administradores do Looker ao configurar grupos e usuários espelhados do Looker.
Por exemplo, se você quiser que o grupo do Looker e a configuração de usuários correspondam estritamente à configuração LDAP, ative estas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a associação de grupos espelhados e só podem atribuir papéis a usuários por grupos espelhados LDAP.
Se quiser mais flexibilidade para personalizar ainda mais seus grupos no Looker, desative essas opções. Seus grupos do Looker ainda vão refletir sua configuração do LDAP, mas você poderá fazer mais gerenciamento de grupos e usuários no Looker, como adicionar usuários do LDAP a grupos do Looker ou atribuir funções do Looker diretamente a usuários do LDAP.
Para novas instâncias do Looker ou instâncias do Looker que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.
Para instâncias atuais do Looker que têm grupos espelhados configurados, essas opções estão ativadas por padrão.
A seção Gerenciamento avançado de funções contém estas opções:
Impedir que usuários individuais do LDAP recebam papéis diretos: ao ativar essa opção, os administradores do Looker não podem atribuir papéis do Looker diretamente a usuários do LDAP. Os usuários LDAP só recebem funções por meio da associação a grupos. Se os usuários LDAP tiverem permissão para participar de grupos integrados do Looker (não espelhados), eles ainda poderão herdar os papéis de grupos LDAP espelhados e de grupos integrados do Looker. Os papéis atribuídos diretamente a usuários do LDAP serão removidos na próxima vez que eles fizerem login.
Se essa opção estiver desativada, os administradores do Looker poderão atribuir funções do Looker diretamente aos usuários do LDAP como se eles tivessem sido configurados diretamente no Looker.
Impedir a associação direta em grupos que não são LDAP: ativar essa opção impede que os administradores do Looker adicionem usuários LDAP diretamente aos grupos integrados do Looker. Se os grupos LDAP espelhados tiverem permissão para ser membros de grupos do Looker integrados, os usuários do LDAP poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários LDAP atribuídos a grupos integrados do Looker serão removidos desses grupos no próximo login.
Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do LDAP diretamente aos grupos integrados do Looker.
Impedir herança de papéis de grupos que não sejam LDAP: ativar essa opção impede que membros de grupos LDAP espelhados herdem papéis de grupos integrados do Looker. Os usuários do LDAP que herdaram papéis de um grupo pai do Looker vão perder essas funções na próxima vez que fizerem login.
Se essa opção estiver desativada, os grupos LDAP espelhados ou os usuários LDAP adicionados como participantes de um grupo integrado do Looker vão herdar os papéis atribuídos ao grupo pai do Looker.
Autenticação exige função: se essa opção estiver ativada, os usuários do LDAP precisarão ter uma função atribuída. Os usuários LDAP que não tiverem uma função atribuída não vão conseguir fazer login no Looker.
Se essa opção estiver desativada, os usuários LDAP poderão se autenticar no Looker mesmo que não tenham um papel atribuído. Um usuário sem função atribuída não pode acessar dados nem realizar ações no Looker, mas pode fazer login.
Como desativar grupos LDAP espelhados
Se quiser parar de espelhar seus grupos LDAP no Looker, desative a opção Espelhar grupos LDAP. Todos os grupos LDAP espelhados vazios serão excluídos.
Os grupos LDAP espelhados não vazios vão continuar disponíveis para uso no gerenciamento de conteúdo e na criação de funções. No entanto, não é possível adicionar ou remover usuários de grupos LDAP espelhados.
Opções de migração e integração
Login alternativo para administradores e usuários específicos
- Permitir um login alternativo baseado em e-mail para administradores e usuários com a permissão
login_special_email. Saiba mais sobre como definir essa permissão na documentação sobre funções. Essa opção vai aparecer na página de login do Looker se você tiver ativado a opção e o usuário tiver a permissão adequada. - Essa opção é útil como alternativa durante a configuração do LDAP, se ocorrerem problemas de configuração do LDAP mais tarde ou se você precisar oferecer suporte a alguns usuários que não estão no diretório LDAP.
- Os logins de e-mail e senha do Looker são sempre desativados para usuários comuns quando o LDAP está ativado.
Mesclar por e-mail
- Essa opção permite que o Looker mescle usuários do LDAP pela primeira vez com as contas do Looker existentes com base no endereço de e-mail.
- Se o Looker não encontrar um endereço de e-mail correspondente, uma nova conta será criada para o usuário.
Salvar e aplicar configurações
Quando terminar de inserir as informações e todos os testes estiverem aprovados, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.