Configuración del administrador: autenticación de LDAP

La página LDAP en la sección Autenticación del menú Administrador te permite configurar Looker para autenticar usuarios con el Protocolo ligero de acceso a directorios (LDAP). En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos de LDAP a roles y permisos de Looker.

Requisitos

Looker muestra la página LDAP en la sección Autenticación del menú Administrador solo si se cumplen las siguientes condiciones:

  • Tu instancia de Looker no es una instancia de Looker (Google Cloud Core).
  • Tienes el rol de administrador.
  • Tu instancia de Looker está habilitada para usar LDAP.

Si se cumplen estas condiciones y no ves la página LDAP, abre una solicitud de asistencia para habilitar LDAP en tu instancia.

Consideraciones

Ten en cuenta las siguientes consideraciones cuando configures la autenticación LDAP en tu instancia de Looker:

  • La autenticación de Looker usa la autenticación "simple" de LDAP. No se admite la autenticación anónima.
  • Debes crear una sola cuenta de usuario de LDAP que tenga privilegios de lectura para las entradas de usuario y las entradas de grupo que usará Looker.
  • Looker solo lee el directorio LDAP (no escribe en él).
  • Looker puede migrar cuentas existentes a LDAP con direcciones de correo electrónico.
  • El uso de la API de Looker no interactúa con la autenticación de LDAP.
  • Si tu servidor LDAP restringe el tráfico de IP, deberás agregar las direcciones IP de Looker a la lista de direcciones IP permitidas o a las reglas de tráfico entrante de tu servidor LDAP.
  • LDAP anula la autenticación de dos factores. Si habilitaste la autenticación de dos factores anteriormente, tus usuarios no verán las pantallas de acceso de la autenticación de dos factores después de que habilites LDAP.

Ten cuidado si inhabilitas la autenticación LDAP

Si accediste a Looker con LDAP y deseas inhabilitar la autenticación de LDAP, ten cuidado de seguir ambos pasos que se indican a continuación:

  • Asegúrate de tener otras credenciales para acceder.
  • Habilita la opción Alternate Login en la página de configuración de LDAP.

De lo contrario, es posible que te bloquees a ti y a otros usuarios de Looker.

Cómo comenzar

Navega a la página LDAP Authentication en la sección Admin de Looker para ver las siguientes opciones de configuración.

Configura tu conexión

Looker admite el transporte y la encriptación con LDAP en texto simple y LDAP a través de TLS. Se recomienda usar LDAP sobre TLS. No se admiten StartTLS ni otros esquemas de encriptación.

  1. Ingresa la información de Host y Port.
  2. Selecciona la casilla junto a TLS si usas LDAP sobre TLS.
  3. Si usas LDAP sobre TLS, Looker aplica la verificación de certificados de pares de forma predeterminada. Si necesitas inhabilitar la verificación del certificado de pares, marca No Verify.
  4. Haz clic en Test Connection. Si aparece algún error, corrígelo antes de continuar.

Autenticación de conexión

Looker requiere acceso a una cuenta de LDAP protegida con contraseña. La cuenta de LDAP debe tener acceso de lectura a las entradas de personas y a un nuevo conjunto de entradas de roles. La cuenta de LDAP de Looker no requiere acceso de escritura (ni acceso a ningún otro aspecto del directorio), y no importa en qué espacio de nombres se cree la cuenta.

  1. Ingresa la contraseña.
  2. [Opcional] Selecciona la casilla de verificación Forzar sin paginación si tu proveedor de LDAP no proporciona resultados paginados. En algunos casos, esto puede ayudar si no recibes coincidencias cuando buscas usuarios, aunque no es la única solución para este problema.
  3. Haz clic en el botón Probar autenticación. Si aparece algún error, asegúrate de que la información de autenticación sea correcta. Si tus credenciales son válidas, pero los errores persisten, comunícate con el administrador de LDAP de tu empresa.

Configuración de vinculación del usuario

Los detalles de esta sección especifican cómo Looker encontrará a los usuarios en tu directorio, se vinculará para la autenticación y extraerá la información del usuario.

  1. Establece el DN base, que es la base del árbol de búsqueda para todos los usuarios.
  2. [Opcional] Especifica una clase de objeto del usuario, que controla los tipos de resultados que Looker encontrará y devolverá. Esto es útil si el DN base es una combinación de tipos de objetos (personas, grupos, impresoras, etcétera) y solo deseas devolver entradas de un tipo.
  3. Establece los atributos de acceso, que definen los atributos que usarán tus usuarios para acceder. Estos deben ser únicos por usuario y algo con lo que tus usuarios estén familiarizados como su ID dentro de tu sistema. Por ejemplo, puedes elegir un ID de usuario o una dirección de correo electrónico completa. Si agregas más de un atributo, Looker buscará en ambos para encontrar el usuario adecuado. Evita usar formatos que puedan generar cuentas duplicadas, como nombre y apellido.
  4. Especifica los atributos Email Attr, First Name Attr y Last Name Attr. Esta información le indica a Looker cómo correlacionar esos campos y extraer su información durante el acceso.
  5. Establece el ID Attr, que indica un campo que Looker usa como ID único para los usuarios. Por lo general, será uno de los campos de acceso.
  6. De manera opcional, ingresa un filtro personalizado opcional, que te permite proporcionar filtros LDAP arbitrarios que se aplicarán cuando se busque un usuario para vincular durante la autenticación de LDAP. Esto es útil si deseas filtrar conjuntos de registros de usuarios, como los usuarios inhabilitados o los que pertenecen a una organización diferente.

Ejemplo

En este ejemplo de entrada de usuario de ldiff, se muestra cómo establecer la configuración correspondiente de Looker:

Entrada del usuario de Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configuración de Looker correspondiente

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Cómo vincular atributos de usuario de LDAP con atributos de usuario de Looker

De manera opcional, puedes usar los datos de tus atributos de usuario de LDAP para completar automáticamente los valores en los atributos de usuario de Looker cuando un usuario accede. Por ejemplo, si configuraste LDAP para realizar conexiones específicas del usuario a tu base de datos, podrías vincular tus atributos de usuario de LDAP con los atributos de usuario de Looker para hacer que tus conexiones de base de datos sean específicas del usuario en Looker.

Ten en cuenta que el atributo de LDAP debe ser un atributo de usuario, no un atributo de grupo.

Para vincular los atributos de usuario de LDAP con los atributos de usuario de Looker correspondientes, haz lo siguiente:

  1. Ingresa el nombre del atributo de usuario de LDAP en el campo LDAP User Attribute y el nombre del atributo de usuario de Looker con el que deseas vincularlo en el campo Looker User Attributes.
  2. Marca Obligatorio si deseas que se requiera un valor de atributo de LDAP para permitir que un usuario acceda.
  3. Haz clic en + y repite estos pasos para agregar más pares de atributos.

Información del usuario de prueba

  1. Ingresa las credenciales de un usuario de prueba y haz clic en el botón Test User Authentication. Looker intentará realizar una secuencia completa de autenticación de LDAP y mostrará el resultado. Si la operación se realiza correctamente, Looker genera la información del usuario del directorio y cierta información de seguimiento sobre el proceso de autenticación que puede ayudar a resolver problemas de configuración.
  2. Verifica que la autenticación se realice correctamente y que todos los campos se asignen de forma correcta. Por ejemplo, confirma que el campo first_name no contenga un valor que pertenezca a last_name.

Grupos y roles

Puedes configurar Looker para que cree grupos que reflejen tus grupos LDAP administrados externamente y, luego, puedes asignar roles de Looker a los usuarios según sus grupos LDAP reflejados. Cuando realizas cambios en la membresía de tu grupo de LDAP, esos cambios se propagan automáticamente a la configuración del grupo de Looker.

La duplicación de grupos de LDAP te permite usar tu directorio de LDAP definido externamente para administrar los grupos y usuarios de Looker. Esto, a su vez, te permite administrar tu membresía de grupo para varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas Mirror LDAP Groups, Looker creará un grupo de Looker para cada grupo de LDAP que se introduzca en el sistema. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar roles a los miembros del grupo, establecer controles de acceso al contenido y asignar atributos del usuario.

Roles y grupos predeterminados

De forma predeterminada, el interruptor Mirror LDAP Groups está desactivado. En este caso, puedes establecer un grupo predeterminado para los usuarios nuevos de LDAP. En los campos New User Groups y New User Roles, ingresa los nombres de los grupos o roles de Looker a los que deseas asignar usuarios nuevos de Looker cuando accedan a Looker por primera vez.

Estos grupos y roles se aplican a los usuarios nuevos en su acceso inicial. Los grupos y roles no se aplican a los usuarios existentes y no se vuelven a aplicar si se quitan de los usuarios después de su acceso inicial.

Si luego habilitas los grupos LDAP duplicados, estos valores predeterminados se quitarán para los usuarios cuando vuelvan a acceder y se reemplazarán por los roles asignados en la sección Duplicar grupos LDAP. Estas opciones predeterminadas ya no estarán disponibles ni asignadas, y se reemplazarán por completo por la configuración de grupos duplicados.

Cómo habilitar la replicación de grupos de LDAP

Si decides duplicar tus grupos de LDAP en Looker, activa el botón de activación Duplicar grupos de LDAP. Looker muestra los siguientes parámetros de configuración:

Estrategia de búsqueda de grupos: Elige una opción en el menú desplegable para indicarle a Looker cómo encontrar los grupos de un usuario:

  • Los grupos tienen atributos de miembros: Esta es la opción más común. Cuando busques un miembro del grupo, Looker solo mostrará los grupos a los que se asignó directamente un usuario. Por ejemplo, si un usuario es miembro del grupo Database-Admin y este grupo es miembro del grupo Engineering, el usuario solo obtendrá los permisos afiliados al grupo Database-Admin.

  • Groups Have Member Attributes (deep search): Esta opción permite que los grupos sean miembros de otros grupos, lo que a veces se conoce como grupos anidados de LDAP. Esto significa que un usuario puede tener los permisos de más de un grupo. Por ejemplo, si un usuario es miembro del grupo Database-Admin y este grupo es miembro del grupo Engineering, el usuario obtendrá los permisos afiliados a ambos grupos. Algunos servidores LDAP (en especial, Microsoft Active Directory) admiten la ejecución automática de este tipo de búsqueda profunda, incluso cuando el llamador realiza lo que parece ser una búsqueda superficial. Ese puede ser otro método que puedes usar para realizar una búsqueda profunda.

DN base: Te permite acotar la búsqueda y puede ser el mismo que el DN base especificado en la sección Configuración de vinculación del usuario de esta página de documentación.

Clases de objetos de grupos: Este parámetro de configuración es opcional. Como se indica en la sección Configuración de vinculación del usuario, esto permite que los resultados que devuelve Looker se limiten a un tipo de objeto o conjunto de tipos en particular.

Group Member Attr: Es el atributo que, para cada grupo, determina los objetos (en este caso, probablemente las personas) que son miembros.

Group User Attr: Es el nombre del atributo de usuario de LDAP cuyo valor buscaremos en las entradas de Group para determinar si un usuario forma parte del grupo. El valor predeterminado es dn (es decir, dejarlo en blanco es lo mismo que configurarlo como dn), lo que hará que LDAP use el nombre distinguido completo, que es la cadena exacta que distingue mayúsculas de minúsculas que existiría en la búsqueda de LDAP, para buscar entradas de grupo.

Preferred Group Name/Roles/Group DN: Este conjunto de campos te permite asignar un nombre de grupo personalizado y uno o más roles que se asignan al grupo de LDAP correspondiente en Looker.

  1. Ingresa el DN del grupo LDAP en el campo DN del grupo. Debe incluir el nombre completo distintivo, que es la cadena exacta que distingue mayúsculas de minúsculas y que existiría en la búsqueda de LDAP. Los usuarios de LDAP que se incluyan en el grupo de LDAP se agregarán al grupo duplicado en Looker.

  2. Ingresa un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.

  3. En el campo a la derecha del campo Nombre personalizado, selecciona uno o más roles de Looker que se asignarán a cada usuario del grupo.

  4. Haz clic en + para agregar conjuntos de campos adicionales y configurar grupos duplicados adicionales. Si tienes varios grupos configurados y quieres quitar la configuración de uno de ellos, haz clic en X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se configuró anteriormente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, podrías cambiar el nombre personalizado de un grupo, lo que modificaría la forma en que aparece el grupo en la página Grupos de Looker, pero no cambiaría los roles asignados ni los miembros del grupo. Si se cambia el DN del grupo, se mantendrán el nombre y los roles del grupo, pero los miembros del grupo se reasignarán en función de los usuarios que sean miembros del grupo LDAP externo que tenga el nuevo DN del grupo LDAP.

Si borras un grupo en esta página, ya no se duplicará en Looker y sus miembros ya no tendrán los roles en Looker que se les asignaron a través de ese grupo.

Las modificaciones que se realicen en un grupo duplicado se aplicarán a los usuarios de ese grupo la próxima vez que accedan a Looker.

Administración avanzada de roles

Si habilitaste el interruptor Mirror LDAP Groups, Looker mostrará estos parámetros de configuración. Las opciones de esta sección determinan la flexibilidad que tienen los administradores de Looker al configurar grupos y usuarios de Looker que se duplicaron desde Looker.

Por ejemplo, si quieres que la configuración de usuarios y grupos de Looker coincida estrictamente con la configuración de LDAP, activa estas opciones. Cuando se habilitan las tres primeras opciones, los administradores de Looker no pueden modificar la membresía de los grupos duplicados y solo pueden asignar roles a los usuarios a través de los grupos duplicados de LDAP.

Si quieres tener más flexibilidad para personalizar aún más tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán replicando tu configuración de LDAP, pero podrás realizar tareas adicionales de administración de grupos y usuarios en Looker, como agregar usuarios de LDAP a grupos de Looker o asignar roles de Looker directamente a usuarios de LDAP.

En el caso de las instancias de Looker nuevas o las que no tienen grupos duplicados configurados anteriormente, estas opciones están desactivadas de forma predeterminada.

En el caso de las instancias de Looker existentes que tienen configurados grupos duplicados, estas opciones están activadas de forma predeterminada.

La sección Administración avanzada de roles contiene las siguientes opciones:

Prevent Individual LDAP Users from Receiving Direct Roles: Si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de LDAP. Los usuarios de LDAP recibirán roles solo a través de sus pertenencias a grupos. Si se permite que los usuarios de LDAP sean miembros de grupos integrados (no duplicados) de Looker, podrán heredar sus roles de los grupos de LDAP duplicados y de los grupos integrados de Looker. A los usuarios de LDAP a los que se les asignaron roles directamente, se les quitarán esos roles cuando vuelvan a acceder.

Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de LDAP como si fueran usuarios configurados directamente en Looker.

Prevent Direct Membership in non-LDAP Groups: Si activas esta opción, los administradores de Looker no podrán agregar usuarios de LDAP directamente a los grupos integrados de Looker. Si se permite que los grupos de LDAP duplicados sean miembros de los grupos integrados de Looker, los usuarios de LDAP pueden conservar la membresía en cualquier grupo principal de Looker. Los usuarios de LDAP que se hayan asignado previamente a grupos integrados de Looker se quitarán de esos grupos cuando vuelvan a acceder.

Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de LDAP directamente a los grupos integrados de Looker.

Prevent Role Inheritance from non-LDAP Groups: Si activas esta opción, se evitará que los miembros de los grupos de LDAP duplicados hereden roles de los grupos integrados de Looker. Los usuarios de LDAP que anteriormente heredaron roles de un grupo principal de Looker perderán esos roles cuando vuelvan a acceder.

Si esta opción está desactivada, los grupos de LDAP duplicados o los usuarios de LDAP que se agreguen como miembros de un grupo integrado de Looker heredarán los roles asignados al grupo principal de Looker.

Auth Requires Role: Si esta opción está activada, los usuarios de LDAP deben tener un rol asignado. Los usuarios de LDAP que no tengan un rol asignado no podrán acceder a Looker.

Si esta opción está desactivada, los usuarios de LDAP pueden autenticarse en Looker incluso si no tienen un rol asignado. Un usuario sin un rol asignado no podrá ver ningún dato ni realizar ninguna acción en Looker, pero podrá acceder a Looker.

Cómo inhabilitar la replicación de grupos de LDAP

Si deseas dejar de duplicar tus grupos de LDAP en Looker, desactiva el botón de activación Duplicar grupos de LDAP. Si desactivas el interruptor, se producirá el siguiente comportamiento:

  • Cualquier grupo LDAP duplicado que no tenga usuarios se borrará de inmediato.
  • Cualquier grupo LDAP duplicado que contenga usuarios se marcará como huérfano. Si ningún usuario de este grupo accede en un plazo de 31 días, el grupo se borrará. Ya no se pueden agregar ni quitar usuarios de los grupos LDAP huérfanos.

Opciones de migración e integración

Acceso alternativo para administradores y usuarios especificados

  • Permite un acceso alternativo basado en correo electrónico para los administradores y los usuarios con el permiso login_special_email (obtén más información para configurar este permiso en la documentación de Roles). Esta opción aparecerá en la página de acceso de Looker si la activaste y el usuario tiene el permiso adecuado.
  • Esta opción es útil como alternativa durante la configuración de LDAP si se producen problemas de configuración de LDAP más adelante o si necesitas admitir a algunos usuarios que no están en tu directorio de LDAP.
  • Los accesos con correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando se habilita LDAP.

Combinar por correo electrónico

  • Esta opción permite que Looker combine los usuarios de LDAP que acceden por primera vez con sus cuentas de Looker existentes, según la dirección de correo electrónico.
  • Si Looker no encuentra una dirección de correo electrónico coincidente, se creará una cuenta nueva para el usuario.

Guardar y aplicar la configuración

Cuando termines de ingresar tu información y todas las pruebas se aprueben, marca la casilla de verificación I have confirmed the configuration above and want to enable applying it globally y haz clic en Update Settings para guardar los cambios.