Paramètres d'administration : authentification LDAP

La page LDAP de la section Authentification du menu Admin vous permet de configurer Looker pour authentifier les utilisateurs avec le protocole LDAP (Lightweight Directory Access Protocol). Cette page décrit ce processus et inclut des instructions pour associer des groupes LDAP à des rôles et autorisations Looker.

Conditions requises

Looker n'affiche la page LDAP dans la section Authentification du menu Admin que si les conditions suivantes sont remplies :

  • Votre instance Looker n'est pas une instance Looker (Google Cloud Core).
  • Vous disposez du rôle Administrateur.
  • Votre instance Looker est activée pour utiliser LDAP.

Si ces conditions sont remplies et que la page LDAP ne s'affiche pas, ouvrez une demande d'assistance pour activer LDAP sur votre instance.

Remarques

Tenez compte des points suivants lorsque vous configurez l'authentification LDAP sur votre instance Looker :

  • L'authentification Looker utilise l'authentification "simple" de LDAP. L'authentification anonyme n'est pas acceptée.
  • Vous devez créer un compte utilisateur LDAP unique disposant de droits de lecture pour les entrées utilisateur et toutes les entrées de groupe qui seront utilisées par Looker.
  • Looker ne lit que l'annuaire LDAP (aucune écriture).
  • Looker peut migrer les comptes existants vers LDAP à l'aide des adresses e-mail.
  • L'utilisation de l'API Looker n'interagit pas avec l'authentification LDAP.
  • Si votre serveur LDAP restreint le trafic IP, veillez à ajouter les adresses IP de Looker à la liste autorisée ou aux règles de trafic entrant de votre serveur LDAP.
  • LDAP remplace l'authentification à deux facteurs. Si vous avez déjà activé l'authentification à deux facteurs, vos utilisateurs ne verront pas les écrans de connexion à l'authentification à deux facteurs après l'activation de LDAP.

Soyez prudent si vous désactivez l'authentification LDAP

Si vous êtes connecté à Looker à l'aide de LDAP et que vous souhaitez désactiver l'authentification LDAP, veillez à effectuer les deux étapes suivantes :

  • Assurez-vous de disposer d'autres identifiants pour vous connecter.
  • Activez l'option Alternate Login (Autre méthode de connexion) sur la page de configuration LDAP.

Sinon, vous risquez de vous bloquer l'accès à Looker, ainsi qu'à d'autres utilisateurs.

Premiers pas

Accédez à la page Authentification LDAP dans la section Admin de Looker pour afficher les options de configuration suivantes.

Configurer votre connexion

Looker est compatible avec le transport et le chiffrement avec LDAP en texte clair et LDAP sur TLS. Nous vous recommandons vivement d'utiliser LDAP sur TLS. StartTLS et les autres schémas de chiffrement ne sont pas acceptés.

  1. Saisissez les informations sur l'hôte et le port.
  2. Cochez la case à côté de TLS si vous utilisez LDAP sur TLS.
  3. Si vous utilisez LDAP sur TLS, Looker applique la validation des certificats homologues par défaut. Si vous devez désactiver la validation du certificat pair, cochez No Verify (Ne pas valider).
  4. Cliquez sur Test Connection (Tester la connexion). Si des erreurs sont détectées, corrigez-les avant de continuer.

Authentification de la connexion

Looker nécessite l'accès à un compte LDAP protégé par mot de passe. Le compte LDAP doit disposer d'un accès en lecture aux entrées de personnes et à un nouvel ensemble d'entrées de rôle. Le compte LDAP Looker ne nécessite pas d'accès en écriture (ni d'accès à d'autres aspects du répertoire), et l'espace de noms dans lequel le compte est créé n'a pas d'importance.

  1. Saisissez le mot de passe.
  2. [Facultatif] Cochez la case Forcer l'absence de pagination si votre fournisseur LDAP ne fournit pas de résultats paginés. Dans certains cas, cela peut vous aider si vous ne trouvez aucun résultat lorsque vous recherchez des utilisateurs, mais ce n'est pas la seule solution à ce problème.
  3. Cliquez sur le bouton Test Authentication (Tester l'authentification). Si des erreurs s'affichent, assurez-vous que vos informations d'authentification sont correctes. Si vos identifiants sont valides, mais que des erreurs persistent, contactez l'administrateur LDAP de votre entreprise.

Paramètres d'association des utilisateurs

Les informations de cette section indiquent comment Looker trouvera les utilisateurs dans votre annuaire, les associera pour l'authentification et extraira les informations utilisateur.

  1. Définissez le nom unique de base, qui correspond à la base de l'arborescence de recherche pour tous les utilisateurs.
  2. [Facultatif] Spécifiez une classe d'objet utilisateur, qui contrôle les types de résultats que Looker trouvera et renverra. Cela peut être utile si le nom distinctif de base est un mélange de types d'objets (personnes, groupes, imprimantes, etc.) et que vous ne souhaitez renvoyer que les entrées d'un seul type.
  3. Définissez les attributs de connexion, qui définissent le ou les attributs que vos utilisateurs utiliseront pour se connecter. Ces identifiants doivent être uniques pour chaque utilisateur et être familiers pour eux, car ils correspondent à leur ID dans votre système. Par exemple, vous pouvez choisir un ID utilisateur ou une adresse e-mail complète. Si vous ajoutez plusieurs attributs, Looker les utilisera tous les deux pour trouver l'utilisateur approprié. Évitez d'utiliser des formats qui pourraient entraîner la création de comptes en double, comme le prénom et le nom.
  4. Spécifiez les attributs Email Attr (Attribut d'adresse e-mail), First Name Attr (Attribut de prénom) et Last Name Attr (Attribut de nom). Ces informations indiquent à Looker comment mapper ces champs et extraire leurs informations lors de la connexion.
  5. Définissez l'attribut ID, qui indique un champ que Looker utilise comme identifiant unique pour les utilisateurs. Il s'agit généralement de l'un des champs de connexion.
  6. Vous pouvez également saisir un filtre personnalisé facultatif, qui vous permet de fournir des filtres LDAP arbitraires qui seront appliqués lors de la recherche d'un utilisateur à associer lors de l'authentification LDAP. Cela peut être utile si vous souhaitez filtrer des ensembles d'enregistrements utilisateur, tels que les utilisateurs désactivés ou ceux qui appartiennent à une autre organisation.

Exemple

Cet exemple d'entrée utilisateur ldiff montre comment définir les paramètres Looker correspondants :

Ldiff User Entry

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Paramètres Looker correspondants

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Associer des attributs utilisateur LDAP à des attributs utilisateur Looker

Vous pouvez également utiliser les données de vos attributs utilisateur LDAP pour renseigner automatiquement les valeurs des attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré LDAP pour établir des connexions spécifiques aux utilisateurs à votre base de données, vous pouvez associer vos attributs utilisateur LDAP à des attributs utilisateur Looker pour rendre vos connexions à la base de données spécifiques aux utilisateurs dans Looker.

Notez que l'attribut LDAP doit être un attribut utilisateur, et non un attribut de groupe.

Pour associer des attributs utilisateur LDAP aux attributs utilisateur Looker correspondants :

  1. Saisissez le nom de l'attribut utilisateur LDAP dans le champ Attribut utilisateur LDAP, puis le nom de l'attribut utilisateur Looker auquel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
  2. Cochez Obligatoire si vous souhaitez qu'une valeur d'attribut LDAP soit requise pour qu'un utilisateur puisse se connecter.
  3. Cliquez sur + et répétez ces étapes pour ajouter d'autres paires d'attributs.

Informations sur les utilisateurs tests

  1. Saisissez les identifiants d'un utilisateur test, puis cliquez sur le bouton Test User Authentication (Tester l'authentification de l'utilisateur). Looker tentera une séquence d'authentification LDAP complète et affichera le résultat. En cas de succès, Looker affiche les informations utilisateur du répertoire, ainsi que des informations de trace sur le processus d'authentification, qui peuvent aider à résoudre les problèmes de configuration.
  2. Vérifiez que l'authentification réussit et que tous les champs sont correctement mappés. Par exemple, vérifiez que le champ first_name ne contient pas de valeur appartenant à last_name.

Groupes et rôles

Vous pouvez configurer Looker pour créer des groupes qui reflètent vos groupes LDAP gérés en externe, puis attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes LDAP mis en miroir. Lorsque vous modifiez l'appartenance à un groupe LDAP, ces modifications sont automatiquement propagées à la configuration des groupes Looker.

La mise en miroir des groupes LDAP vous permet d'utiliser votre annuaire LDAP défini en externe pour gérer les groupes et les utilisateurs Looker. Cela vous permet de gérer vos appartenances à des groupes pour plusieurs outils Software as a Service (SaaS), tels que Looker, en un seul endroit.

Si vous activez l'option Miroir des groupes LDAP, Looker créera un groupe Looker pour chaque groupe LDAP introduit dans le système. Vous pouvez consulter ces groupes Looker sur la page Groupes de la section Admin de Looker. Les groupes peuvent être utilisés pour attribuer des rôles aux membres, définir des contrôles d'accès au contenu et attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, le bouton Mirror LDAP Groups (Miroir des groupes LDAP) est désactivé. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs LDAP. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles d'utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer les nouveaux utilisateurs Looker lors de leur première connexion à Looker.

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne sont pas appliqués aux utilisateurs existants. Ils ne sont pas non plus appliqués une nouvelle fois s'ils sont supprimés des utilisateurs après leur première connexion.

Si vous activez ultérieurement les groupes LDAP mis en miroir, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Mettre en miroir les groupes LDAP. Ces options par défaut ne seront plus disponibles ni attribuées. Elles seront entièrement remplacées par la configuration des groupes miroirs.

Activer la mise en miroir des groupes LDAP

Si vous choisissez de refléter vos groupes LDAP dans Looker, activez l'option Refléter les groupes LDAP. Looker affiche les paramètres suivants :

Stratégie du sélecteur de groupes : choisissez une option dans le menu déroulant pour indiquer à Looker comment trouver les groupes d'un utilisateur :

  • Les groupes ont des attributs de membre : il s'agit de l'option la plus courante. Lorsque vous recherchez un membre d'un groupe, Looker ne renvoie que les groupes auxquels un utilisateur est directement attribué. Par exemple, si un utilisateur est membre du groupe "Administrateur de base de données" et que ce groupe est membre du groupe "Ingénierie", l'utilisateur ne bénéficiera que des autorisations associées au groupe "Administrateur de base de données".

  • Les groupes ont des attributs de membre (recherche approfondie) : cette option permet aux groupes d'être membres d'autres groupes, ce qui est parfois appelé groupes imbriqués LDAP. Autrement dit, un utilisateur peut disposer des autorisations de plusieurs groupes. Par exemple, si un utilisateur est membre du groupe "Database-Admin" et que ce groupe est membre du groupe "Engineering", l'utilisateur obtient les autorisations associées à ces deux groupes. Certains serveurs LDAP (en particulier Microsoft Active Directory) sont compatibles avec l'exécution automatique de ce type de recherche approfondie, même lorsque l'appelant effectue ce qui semble être une recherche superficielle. Il s'agit peut-être d'une autre méthode que vous pouvez utiliser pour effectuer une recherche approfondie.

Nom distinctif de base : vous permet d'affiner la recherche. Il peut être identique au nom distinctif de base spécifié dans la section Paramètres de liaison utilisateur de cette page de documentation.

Classes d'objets Groupes : ce paramètre est facultatif. Comme indiqué dans la section Paramètres d'association des utilisateurs, cela permet de limiter les résultats renvoyés par Looker à un type d'objet ou à un ensemble de types spécifiques.

Attribut de membre du groupe : attribut qui, pour chaque groupe, détermine les objets (dans ce cas, probablement les personnes) qui en sont membres.

Attribut utilisateur du groupe : nom de l'attribut utilisateur LDAP dont nous rechercherons la valeur dans les entrées de groupe pour déterminer si un utilisateur fait partie du groupe. La valeur par défaut est dn (c'est-à-dire que laisser ce champ vide revient à le définir sur dn). LDAP utilisera alors le nom unique complet, qui correspond à la chaîne exacte et sensible à la casse qui existerait dans la recherche LDAP elle-même, pour rechercher les entrées de groupe.

Nom du groupe préféré/Rôles/DN du groupe : cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles qui sont attribués au groupe LDAP correspondant dans Looker.

  1. Saisissez le nom distinctif du groupe LDAP dans le champ Nom distinctif du groupe. Il doit inclure le nom distinctif complet, qui correspond à la chaîne exacte (sensible à la casse) qui figurerait dans la recherche LDAP elle-même. Les utilisateurs LDAP inclus dans le groupe LDAP seront ajoutés au groupe mis en miroir dans Looker.

  2. Saisissez un nom personnalisé pour le groupe mis en miroir dans le champ Nom personnalisé. Il s'agit du nom qui s'affichera sur la page Groupes de la section Admin de Looker.

  3. Dans le champ à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

  4. Cliquez sur + pour ajouter des ensembles de champs et configurer d'autres groupes mis en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X à côté de l'ensemble de champs de ce groupe.

Si vous modifiez un groupe mis en miroir qui a été configuré précédemment sur cet écran, la configuration du groupe changera, mais le groupe lui-même restera intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui changera la façon dont il s'affiche sur la page Groupes de Looker, mais pas les rôles et les membres qui lui sont attribués. Si vous modifiez le nom distinctif du groupe, le nom et les rôles du groupe seront conservés, mais les membres du groupe seront réattribués en fonction des utilisateurs qui sont membres du groupe LDAP externe associé au nouveau nom distinctif du groupe LDAP.

Si vous supprimez un groupe sur cette page, il ne sera plus répliqué dans Looker et ses membres ne disposeront plus des rôles Looker qui leur ont été attribués par le biais de ce groupe.

Toute modification apportée à un groupe mis en miroir sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé le bouton Mirror LDAP Groups (Miroir des groupes LDAP), Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lorsqu'ils configurent des groupes et des utilisateurs Looker qui ont été mis en miroir depuis Looker.

Par exemple, si vous souhaitez que la configuration de vos groupes et utilisateurs Looker corresponde exactement à votre configuration LDAP, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance aux groupes mis en miroir et ne peuvent attribuer des rôles aux utilisateurs que par le biais des groupes mis en miroir LDAP.

Si vous souhaitez davantage de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker continueront de refléter votre configuration LDAP, mais vous pourrez effectuer des tâches supplémentaires de gestion des groupes et des utilisateurs dans Looker, comme ajouter des utilisateurs LDAP à des groupes Looker ou attribuer des rôles Looker directement à des utilisateurs LDAP.

Pour les nouvelles instances Looker ou celles qui n'ont pas de groupes mis en miroir précédemment configurés, ces options sont désactivées par défaut.

Pour les instances Looker existantes qui ont configuré des groupes mis en miroir, ces options sont activées par défaut.

La section Gestion avancée des rôles contient les options suivantes :

Empêcher les utilisateurs LDAP individuels de recevoir des rôles directs : si vous activez cette option, les administrateurs Looker ne pourront pas attribuer de rôles Looker directement aux utilisateurs LDAP. Les utilisateurs LDAP ne pourront recevoir des rôles que via les groupes dont ils sont membres. Si les utilisateurs LDAP sont autorisés à être membres de groupes Looker intégrés (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois des groupes LDAP mis en miroir et des groupes Looker intégrés. Les rôles qui avaient été attribués directement aux utilisateurs LDAP seront supprimés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs LDAP, comme s'ils avaient été configurés directement dans Looker.

Empêcher l'adhésion directe à des groupes non LDAP : si vous activez cette option, les administrateurs Looker ne pourront pas ajouter d'utilisateurs LDAP directement aux groupes Looker intégrés. Si les groupes LDAP mis en miroir sont autorisés à être membres des groupes Looker intégrés, les utilisateurs LDAP peuvent conserver leur appartenance à tous les groupes Looker parents. Tous les utilisateurs LDAP qui étaient auparavant attribués à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs LDAP directement à des groupes Looker intégrés.

Empêcher l'héritage des rôles depuis des groupes non LDAP : si vous activez cette option, les membres des groupes LDAP mis en miroir n'hériteront pas des rôles des groupes Looker intégrés. Tous les utilisateurs LDAP qui ont précédemment hérité de rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes LDAP mis en miroir ou les utilisateurs LDAP ajoutés en tant que membres d'un groupe Looker intégré hériteront des rôles attribués au groupe Looker parent.

L'authentification nécessite un rôle : si cette option est activée, les utilisateurs LDAP doivent disposer d'un rôle attribué. Les utilisateurs LDAP auxquels aucun rôle n'a été attribué ne pourront pas du tout se connecter à Looker.

Si cette option est désactivée, les utilisateurs LDAP peuvent s'authentifier auprès de Looker même si aucun rôle ne leur est attribué. Un utilisateur sans rôle attribué ne pourra pas voir de données ni effectuer d'actions dans Looker, mais il pourra se connecter à Looker.

Désactiver la duplication des groupes LDAP

Si vous souhaitez arrêter la mise en miroir de vos groupes LDAP dans Looker, désactivez le bouton Mettre en miroir les groupes LDAP. Si vous désactivez le bouton bascule, le comportement suivant se produit :

  • Tout groupe LDAP miroir sans utilisateur est supprimé immédiatement.
  • Tout groupe LDAP miroir qui contient des utilisateurs est marqué comme orphelin. Si aucun utilisateur de ce groupe ne se connecte dans un délai de 31 jours, le groupe est supprimé. Il n'est plus possible d'ajouter ni de supprimer des utilisateurs des groupes LDAP orphelins.

Options de migration et d'intégration

Méthode de connexion alternative pour les administrateurs et les utilisateurs spécifiés

  • Autorisez une méthode de connexion alternative basée sur l'adresse e-mail pour les administrateurs et les utilisateurs disposant de l'autorisation login_special_email (pour en savoir plus sur la définition de cette autorisation, consultez la documentation sur les rôles). Cette option s'affiche sur la page de connexion Looker si vous l'avez activée et que l'utilisateur dispose de l'autorisation appropriée.
  • Cette option est utile comme solution de secours lors de la configuration LDAP, si des problèmes de configuration LDAP surviennent ultérieurement ou si vous devez assister des utilisateurs qui ne figurent pas dans votre annuaire LDAP.
  • Les connexions Looker par combinaison adresse e-mail/mot de passe sont toujours désactivées pour les utilisateurs standards lorsque LDAP est activé.

Fusionner par e-mail

  • Cette option permet à Looker de fusionner les nouveaux utilisateurs LDAP avec leurs comptes Looker existants, en fonction de leur adresse e-mail.
  • Si Looker ne trouve pas d'adresse e-mail correspondante, un compte sera créé pour l'utilisateur.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que tous les tests sont réussis, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement, puis cliquez sur Mettre à jour les paramètres pour enregistrer.