Configuración de administrador: autenticación LDAP

La página LDAP de la sección Autenticación del menú Administrar te permite configurar Looker para autenticar a los usuarios con el protocolo ligero de acceso a directorios (LDAP). En esta página se describe ese proceso y se incluyen instrucciones para vincular grupos LDAP a roles y permisos de Looker.

Requisitos

Looker muestra la página LDAP en la sección Autenticación del menú Administrar solo si se cumplen las siguientes condiciones:

  • Tu instancia de Looker no es una instancia de Looker (Google Cloud Core).
  • Tienes el rol de administrador.
  • Tu instancia de Looker está habilitada para usar LDAP.

Si se cumplen estas condiciones y no ves la página LDAP, abre una solicitud de asistencia para habilitar LDAP en tu instancia.

Cuestiones importantes

Ten en cuenta lo siguiente al configurar la autenticación LDAP en tu instancia de Looker:

  • La autenticación de Looker usa la autenticación "simple" de LDAP. No se admite la autenticación anónima.
  • Debes crear una única cuenta de usuario LDAP que tenga privilegios de lectura para las entradas de usuario y las entradas de grupo que vaya a usar Looker.
  • Looker solo lee del directorio LDAP (no escribe).
  • Looker puede migrar cuentas a LDAP mediante direcciones de correo electrónico.
  • El uso de la API de Looker no interactúa con la autenticación LDAP.
  • Si tu servidor LDAP restringe el tráfico IP, tendrás que añadir las direcciones IP de Looker a la lista de permitidos de IPs o a las reglas de tráfico entrante de tu servidor LDAP.
  • LDAP anula la autenticación de dos factores. Si ya has habilitado la autenticación de dos factores, tus usuarios no verán las pantallas de inicio de sesión de la autenticación de dos factores después de habilitar LDAP.

Ten cuidado si vas a inhabilitar la autenticación LDAP

Si has iniciado sesión en Looker con LDAP y quieres inhabilitar la autenticación LDAP, asegúrate de seguir ambos pasos:

  • Asegúrate de tener otras credenciales para iniciar sesión.
  • Habilita la opción Inicio de sesión alternativo en la página de configuración de LDAP.

De lo contrario, podrías perder el acceso a Looker y otros usuarios también.

Primeros pasos

Ve a la página Autenticación LDAP de la sección Administrar de Looker para ver las siguientes opciones de configuración.

Configurar la conexión

Looker admite el transporte y el cifrado con LDAP en texto sin formato y LDAP sobre TLS. Te recomendamos que uses LDAP sobre TLS. No se admiten StartTLS ni otros esquemas de cifrado.

  1. Introduce la información de Host y Puerto.
  2. Seleccione la casilla situada junto a TLS si utiliza LDAP a través de TLS.
  3. Si usas LDAP a través de TLS, Looker aplica la verificación de certificados de pares de forma predeterminada. Si necesitas inhabilitar la verificación del certificado de peer, marca No verificar.
  4. Haz clic en Test Connection (Probar conexión). Si se detecta algún error, corríjalo antes de continuar.

Autenticación de conexión

Looker requiere acceso a una cuenta LDAP protegida con contraseña. La cuenta LDAP debe tener acceso de lectura a las entradas de personas y a un nuevo conjunto de entradas de roles. La cuenta de LDAP de Looker no requiere acceso de escritura (ni acceso a ningún otro aspecto del directorio) y no importa en qué espacio de nombres se cree la cuenta.

  1. Introduce la contraseña.
  2. [Opcional] Seleccione la casilla Forzar sin paginación si su proveedor de LDAP no proporciona resultados paginados. En algunos casos, esto puede ayudar si no recibes ninguna coincidencia al buscar usuarios, aunque no es la única solución para este problema.
  3. Haga clic en el botón Probar autenticación. Si se detecta algún error, asegúrate de que la información de autenticación sea correcta. Si tus credenciales son válidas, pero los errores persisten, ponte en contacto con el administrador de LDAP de tu empresa.

Configuración de vinculación de usuarios

Los detalles de esta sección especifican cómo encontrará Looker a los usuarios en tu directorio, cómo se vinculará para la autenticación y cómo extraerá la información de los usuarios.

  1. Define el DN base, que es la base del árbol de búsqueda de todos los usuarios.
  2. [Opcional] Especifica una clase de objeto de usuario, que controla los tipos de resultados que Looker encontrará y devolverá. Esto es útil si el DN base es una mezcla de tipos de objetos (personas, grupos, impresoras, etc.) y solo quieres devolver entradas de un tipo.
  3. Define los atributos de inicio de sesión, que son los atributos que usarán tus usuarios para iniciar sesión. Deben ser únicos por usuario y algo con lo que los usuarios estén familiarizados, ya que será su ID en tu sistema. Por ejemplo, puedes elegir un ID de usuario o una dirección de correo completa. Si añade más de un atributo, Looker buscará en ambos para encontrar el usuario adecuado. No utilices formatos que puedan dar lugar a cuentas duplicadas, como el nombre y los apellidos.
  4. Especifica los atributos Email Attr (Atributo de correo), First Name Attr (Atributo de nombre) y Last Name Attr (Atributo de apellidos). Esta información indica a Looker cómo asignar esos campos y extraer su información durante el inicio de sesión.
  5. Define el atributo ID, que indica un campo que Looker usa como ID único de los usuarios. Por lo general, será uno de los campos de inicio de sesión.
  6. Si quiere, puede introducir un filtro personalizado opcional, que le permite proporcionar filtros LDAP arbitrarios que se aplicarán al buscar un usuario para vincularlo durante la autenticación LDAP. Esto resulta útil si quieres excluir conjuntos de registros de usuarios, como los usuarios inhabilitados o los que pertenecen a otra organización.

Ejemplo

En este ejemplo de entrada de usuario de ldiff se muestra cómo definir los ajustes de Looker correspondientes:

Ldiff User Entry

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configuración de Looker correspondiente

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Emparejar atributos de usuario de LDAP con atributos de usuario de Looker

También puedes usar los datos de los atributos de usuario de LDAP para rellenar automáticamente los valores de los atributos de usuario de Looker cuando un usuario inicie sesión. Por ejemplo, si has configurado LDAP para que realice conexiones específicas de cada usuario a tu base de datos, puedes emparejar los atributos de usuario de LDAP con los atributos de usuario de Looker para que las conexiones a tu base de datos sean específicas de cada usuario en Looker.

Ten en cuenta que el atributo LDAP debe ser un atributo de usuario, no de grupo.

Para emparejar atributos de usuario de LDAP con atributos de usuario de Looker correspondientes, sigue estos pasos:

  1. Introduce el nombre del atributo de usuario de LDAP en el campo Atributo de usuario de LDAP y el nombre del atributo de usuario de Looker con el que quieras emparejarlo en el campo Atributos de usuario de Looker.
  2. Marca Obligatorio si quieres que se requiera un valor de atributo LDAP para que un usuario pueda iniciar sesión.
  3. Haz clic en + y repite estos pasos para añadir más pares de atributos.

Información de usuario de prueba

  1. Introduce las credenciales de un usuario de prueba y haz clic en el botón Probar autenticación de usuario. Looker intentará realizar una secuencia de autenticación LDAP completa y mostrará el resultado. Si la operación se realiza correctamente, Looker muestra la información del usuario del directorio, así como información de seguimiento sobre el proceso de autenticación, lo que puede ayudar a resolver problemas de configuración.
  2. Comprueba que la autenticación se realiza correctamente y que todos los campos se han asignado correctamente. Por ejemplo, comprueba que el campo first_name no contenga un valor que pertenezca a last_name.

Grupos y roles

Puedes configurar Looker para que cree grupos que reflejen tus grupos LDAP gestionados externamente y, a continuación, asignar roles de Looker a los usuarios en función de sus grupos LDAP reflejados. Cuando modificas la pertenencia a un grupo de LDAP, esos cambios se propagan automáticamente a la configuración de grupos de Looker.

La creación de réplicas de grupos LDAP te permite usar tu directorio LDAP definido externamente para gestionar grupos y usuarios de Looker. Esto, a su vez, te permite gestionar la pertenencia a grupos de varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas Reflejar grupos de LDAP, Looker creará un grupo de Looker por cada grupo de LDAP que se introduzca en el sistema. Estos grupos de Looker se pueden ver en la página Grupos de la sección Administración de Looker. Los grupos se pueden usar para asignar roles a los miembros del grupo, configurar controles de acceso al contenido y asignar atributos de usuario.

Grupos y roles predeterminados

De forma predeterminada, el interruptor Duplicar grupos LDAP está desactivado. En este caso, puedes definir un grupo predeterminado para los nuevos usuarios de LDAP. En los campos New User Groups (Nuevos grupos de usuarios) y New User Roles (Nuevos roles de usuario), introduce los nombres de los grupos o roles de Looker a los que quieras asignar nuevos usuarios de Looker cuando inicien sesión por primera vez en Looker.

Estos grupos y roles se aplican a los nuevos usuarios cuando inician sesión por primera vez. Los grupos y los roles no se aplican a los usuarios que ya existían, y no se vuelven a aplicar si se quitan de los usuarios después de que estos hayan iniciado sesión por primera vez.

Si habilitas los grupos de LDAP reflejados más adelante, estos valores predeterminados se eliminarán para los usuarios la próxima vez que inicien sesión y se sustituirán por los roles asignados en la sección Reflejar grupos de LDAP. Estas opciones predeterminadas dejarán de estar disponibles o asignadas y se sustituirán por completo por la configuración de grupos reflejados.

Habilitar grupos de LDAP reflejados

Si decides replicar tus grupos LDAP en Looker, activa el interruptor Replicar grupos LDAP. Looker muestra estos ajustes:

Estrategia de búsqueda de grupos: elige una opción del menú desplegable para indicar a Looker cómo encontrar los grupos de un usuario:

  • Los grupos tienen atributos de miembro: esta es la opción más habitual. Cuando se busca un miembro de un grupo, Looker solo devuelve los grupos a los que se ha asignado directamente un usuario. Por ejemplo, si un usuario es miembro del grupo Administrador de bases de datos y este grupo es miembro del grupo Ingeniería, el usuario solo obtendrá los permisos afiliados al grupo Administrador de bases de datos.

  • Los grupos tienen atributos de miembro (búsqueda profunda): esta opción permite que los grupos sean miembros de otros grupos, lo que a veces se denomina grupos anidados de LDAP. Esto significa que un usuario puede tener los permisos de más de un grupo. Por ejemplo, si un usuario es miembro del grupo Administrador de bases de datos y este grupo es miembro del grupo Ingeniería, el usuario obtendrá los permisos asociados a ambos grupos. Algunos servidores LDAP (especialmente Microsoft Active Directory) admiten la ejecución automática de este tipo de búsqueda profunda, incluso cuando el llamante está haciendo lo que parece una búsqueda superficial. Ese puede ser otro método que puedes usar para hacer una búsqueda en profundidad.

DN base: te permite acotar la búsqueda y puede ser el mismo que el DN base especificado en la sección Configuración de enlace de usuario de esta página de documentación.

Clase(s) de objeto de grupos: este ajuste es opcional. Como se indica en la sección Ajustes de vinculación de usuarios, esto permite que los resultados que devuelve Looker se limiten a un tipo de objeto concreto o a un conjunto de tipos.

Atributo de miembro del grupo: el atributo que, en cada grupo, determina los objetos (en este caso, probablemente las personas) que son miembros.

Atributo de usuario de grupo: el nombre del atributo de usuario de LDAP cuyo valor buscaremos en las entradas de grupo para determinar si un usuario forma parte del grupo. El valor predeterminado es dn (es decir, si lo dejas en blanco, es lo mismo que si lo definieras como dn), lo que hará que LDAP use el nombre completo, que es la cadena exacta que distingue entre mayúsculas y minúsculas que se encontraría en la propia búsqueda de LDAP, para buscar entradas de grupos.

Nombre de grupo, roles o nombre distintivo de grupo preferidos: este conjunto de campos te permite asignar un nombre de grupo personalizado y uno o varios roles que se asignan al grupo LDAP correspondiente en Looker.

  1. Introduce el DN del grupo LDAP en el campo DN del grupo. Debe incluir el nombre completo, que es la cadena exacta que distingue entre mayúsculas y minúsculas que se encontraría en la propia búsqueda LDAP. Los usuarios de LDAP que se incluyan en el grupo de LDAP se añadirán al grupo reflejado en Looker.

  2. Escriba un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administración de Looker.

  3. En el campo situado a la derecha del campo Nombre personalizado, selecciona uno o varios roles de Looker que se asignarán a cada usuario del grupo.

  4. Haga clic en + para añadir más conjuntos de campos y configurar más grupos reflejados. Si tienes varios grupos configurados y quieres quitar la configuración de uno de ellos, haz clic en X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se haya configurado previamente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, puedes cambiar el nombre personalizado de un grupo, lo que modificaría la forma en que se muestra el grupo en la página Grupos de Looker, pero no cambiaría los roles asignados ni los miembros del grupo. Si se cambia el DN del grupo, se mantendrán el nombre y los roles del grupo, pero los miembros del grupo se reasignarán en función de los usuarios que sean miembros del grupo LDAP externo que tenga el nuevo DN del grupo LDAP.

Si eliminas un grupo en esta página, dejará de replicarse en Looker y sus miembros ya no tendrán los roles de Looker que se les hayan asignado a través de ese grupo.

Los cambios que se hagan en un grupo reflejado se aplicarán a los usuarios de ese grupo la próxima vez que inicien sesión en Looker.

Gestión avanzada de roles

Si has habilitado el interruptor Duplicar grupos LDAP, Looker muestra estos ajustes. Las opciones de esta sección determinan la flexibilidad que tienen los administradores de Looker a la hora de configurar grupos y usuarios de Looker que se han replicado.

Por ejemplo, si quieres que la configuración de usuarios y grupos de Looker coincida exactamente con la de LDAP, activa estas opciones. Si las tres primeras opciones están habilitadas, los administradores de Looker no podrán modificar la pertenencia a grupos reflejados y solo podrán asignar roles a los usuarios a través de grupos reflejados de LDAP.

Si quieres tener más flexibilidad para personalizar aún más tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán reflejando tu configuración de LDAP, pero podrás gestionar grupos y usuarios en Looker, como añadir usuarios de LDAP a grupos de Looker o asignar roles de Looker directamente a usuarios de LDAP.

En las instancias de Looker nuevas o en las que no se hayan configurado grupos reflejados, estas opciones están desactivadas de forma predeterminada.

En las instancias de Looker que ya tengan configurados grupos reflejados, estas opciones estarán activadas de forma predeterminada.

La sección Gestión avanzada de roles contiene estas opciones:

Evitar que los usuarios de LDAP reciban roles directos: si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de LDAP. Los usuarios de LDAP solo recibirán roles a través de su pertenencia a grupos. Si se permite que los usuarios de LDAP sean miembros de grupos de Looker integrados (no reflejados), podrán seguir heredando sus roles tanto de grupos de LDAP reflejados como de grupos de Looker integrados. Los roles que se hayan asignado directamente a los usuarios de LDAP se eliminarán la próxima vez que inicien sesión.

Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de LDAP como si fueran usuarios configurados directamente en Looker.

Evitar la pertenencia directa a grupos que no sean LDAP: si activas esta opción, los administradores de Looker no podrán añadir usuarios de LDAP directamente a grupos de Looker integrados. Si se permite que los grupos LDAP reflejados sean miembros de grupos de Looker integrados, los usuarios de LDAP pueden conservar la pertenencia a cualquier grupo de Looker principal. Los usuarios de LDAP que se hayan asignado previamente a grupos de Looker integrados se eliminarán de esos grupos la próxima vez que inicien sesión.

Si esta opción está desactivada, los administradores de Looker pueden añadir usuarios LDAP directamente a grupos de Looker integrados.

Evitar la herencia de roles de grupos que no son de LDAP: si activas esta opción, los miembros de los grupos de LDAP reflejados no heredarán roles de los grupos de Looker integrados. Los usuarios de LDAP que hayan heredado roles de un grupo de Looker principal perderán esos roles la próxima vez que inicien sesión.

Si esta opción está desactivada, los grupos de LDAP reflejados o los usuarios de LDAP que se añadan como miembros de un grupo de Looker integrado heredarán los roles asignados al grupo de Looker principal.

Autenticación requiere rol: si esta opción está activada, los usuarios de LDAP deben tener un rol asignado. Los usuarios de LDAP que no tengan ningún rol asignado no podrán iniciar sesión en Looker.

Si esta opción está desactivada, los usuarios de LDAP pueden autenticarse en Looker aunque no tengan ningún rol asignado. Un usuario sin ningún rol asignado no podrá ver ningún dato ni realizar ninguna acción en Looker, pero sí podrá iniciar sesión en Looker.

Inhabilitar grupos de LDAP reflejados

Si quieres dejar de replicar tus grupos LDAP en Looker, desactiva el interruptor Replicar grupos LDAP. Si desactivas el interruptor, ocurrirá lo siguiente:

  • Los grupos LDAP reflejados que no tengan usuarios se eliminarán inmediatamente.
  • Cualquier grupo LDAP reflejado que no contenga usuarios se marcará como huérfano. Si ningún usuario de este grupo inicia sesión en un plazo de 31 días, el grupo se elimina. Ya no se pueden añadir ni quitar usuarios de grupos LDAP huérfanos.

Opciones de migración e integración

Inicio de sesión alternativo para administradores y usuarios especificados

  • Permite que los administradores y los usuarios con el permiso login_special_email inicien sesión con una dirección de correo alternativa (consulta más información sobre cómo configurar este permiso en la documentación sobre roles). Esta opción aparecerá en la página de inicio de sesión de Looker si la has activado y el usuario tiene el permiso adecuado.
  • Esta opción es útil como alternativa durante la configuración de LDAP, si se producen problemas de configuración de LDAP más adelante o si necesitas admitir a algunos usuarios que no están en tu directorio LDAP.
  • Los inicios de sesión con correo y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando LDAP está habilitado.

Combinar por correo

  • Esta opción permite que Looker combine los usuarios de LDAP que acceden por primera vez con sus cuentas de Looker, en función de la dirección de correo electrónico.
  • Si Looker no encuentra ninguna dirección de correo que coincida, se creará una cuenta para el usuario.

Guardar y aplicar la configuración

Cuando hayas terminado de introducir la información y todas las pruebas se hayan superado, marca la casilla He confirmado la configuración anterior y quiero habilitarla de forma global y haz clic en Actualizar configuración para guardar los cambios.