Setelan admin - Autentikasi LDAP

Halaman LDAP di bagian Autentikasi pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna dengan Lightweight Directory Access Protocol (LDAP). Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup LDAP ke peran dan izin Looker.

Persyaratan

Looker menampilkan halaman LDAP di bagian Authentication pada menu Admin hanya jika kondisi berikut terpenuhi:

  • Instance Looker Anda bukan instance Looker (Google Cloud core).
  • Anda memiliki peran Admin.
  • Instance Looker Anda diaktifkan untuk menggunakan LDAP.

Jika kondisi ini terpenuhi, dan Anda tidak melihat halaman LDAP, buka permintaan dukungan untuk mengaktifkan LDAP di instance Anda.

Pertimbangan

Perhatikan hal-hal berikut saat menyiapkan autentikasi LDAP di instance Looker Anda:

  • Autentikasi Looker menggunakan autentikasi "sederhana" LDAP. Autentikasi anonim tidak didukung.
  • Anda harus membuat satu akun pengguna LDAP yang memiliki hak istimewa baca ke entri pengguna dan entri grup yang akan digunakan oleh Looker.
  • Looker hanya membaca dari direktori LDAP (tidak ada penulisan).
  • Looker dapat memigrasikan akun yang ada ke LDAP menggunakan alamat email.
  • Penggunaan Looker API tidak berinteraksi dengan autentikasi LDAP.
  • Jika server LDAP Anda membatasi traffic IP, Anda harus menambahkan alamat IP Looker ke daftar yang diizinkan IP atau aturan traffic masuk server LDAP Anda.
  • LDAP menggantikan autentikasi 2 langkah. Jika Anda sebelumnya telah mengaktifkan autentikasi dua faktor, pengguna Anda tidak akan melihat layar login autentikasi dua faktor setelah Anda mengaktifkan LDAP.

Berhati-hatilah jika menonaktifkan autentikasi LDAP

Jika Anda login ke Looker menggunakan LDAP dan ingin menonaktifkan autentikasi LDAP, berhati-hatilah untuk terlebih dahulu melakukan kedua langkah berikut:

  • Pastikan Anda memiliki kredensial lain untuk login.
  • Aktifkan opsi Login Alternatif di halaman konfigurasi LDAP.

Jika tidak, Anda dapat mengunci diri sendiri dan pengguna lain dari Looker.

Memulai

Buka halaman LDAP Authentication di bagian Admin Looker untuk melihat opsi konfigurasi berikut.

Menyiapkan koneksi

Looker mendukung transport dan enkripsi dengan LDAP dalam bentuk cleartext dan LDAP melalui TLS. LDAP melalui TLS sangat direkomendasikan. StartTLS dan skema enkripsi lainnya tidak didukung.

  1. Masukkan informasi Host dan Port Anda.
  2. Centang kotak di samping TLS jika Anda menggunakan LDAP melalui TLS.
  3. Jika Anda menggunakan LDAP melalui TLS, Looker akan menerapkan verifikasi sertifikat peer secara default. Jika Anda perlu menonaktifkan verifikasi sertifikat peer, centang Jangan Verifikasi.
  4. KlikUji Koneksi. Jika ada error yang muncul, perbaiki error tersebut sebelum melanjutkan.

Autentikasi koneksi

Looker memerlukan akses ke akun LDAP yang dilindungi dengan sandi. Akun LDAP harus memiliki akses baca ke entri orang dan ke kumpulan entri peran baru. Akun LDAP Looker tidak memerlukan akses tulis (atau akses ke aspek direktori lainnya), dan tidak masalah namespace tempat akun dibuat.

  1. Masukkan Sandi.
  2. [Opsional] Centang kotak Paksa Tanpa Penomoran Halaman jika penyedia LDAP Anda tidak memberikan hasil yang dipaginasi. Dalam beberapa kasus, hal ini dapat membantu jika Anda tidak menerima kecocokan saat menelusuri pengguna, meskipun bukan satu-satunya solusi untuk masalah tersebut.
  3. Klik tombol Test Authentication. Jika ada error yang muncul, pastikan informasi autentikasi Anda sudah benar. Jika kredensial Anda valid, tetapi error masih berlanjut, hubungi administrator LDAP perusahaan Anda.

Setelan pengikatan pengguna

Detail di bagian ini menentukan cara Looker menemukan pengguna di direktori Anda, melakukan binding untuk autentikasi, dan mengekstrak informasi pengguna.

  1. Tetapkan Base DN, yang merupakan dasar pohon penelusuran untuk semua pengguna
  2. [Opsional] Tentukan Class Objek Pengguna, yang mengontrol jenis hasil yang akan ditemukan dan ditampilkan oleh Looker. Hal ini berguna jika Base DN adalah campuran jenis objek (orang, grup, printer, dan sebagainya), dan Anda hanya ingin menampilkan entri dari satu jenis.
  3. Tetapkan Atribut Login, yang menentukan atribut yang akan digunakan pengguna Anda untuk login. ID ini harus unik per pengguna, dan sesuatu yang sudah dikenal pengguna sebagai ID mereka dalam sistem Anda. Misalnya, Anda dapat memilih ID pengguna atau alamat email lengkap. Jika Anda menambahkan lebih dari satu atribut, Looker akan menelusuri keduanya untuk menemukan pengguna yang sesuai. Hindari penggunaan format yang dapat menyebabkan akun duplikat, seperti nama depan dan nama belakang.
  4. Tentukan Email Attr, First Name Attr, dan Last Name Attr. Informasi ini memberi tahu Looker cara memetakan kolom tersebut dan mengekstrak informasinya selama login.
  5. Tetapkan ID Attr, yang menunjukkan kolom yang digunakan Looker sebagai ID unik untuk pengguna. Ini biasanya berupa salah satu kolom login.
  6. Secara opsional, masukkan Filter Kustom Opsional, yang memungkinkan Anda memberikan filter LDAP arbitrer yang akan diterapkan saat menelusuri pengguna untuk diikat selama autentikasi LDAP. Hal ini berguna jika Anda ingin mengecualikan kumpulan data pengguna, seperti pengguna yang dinonaktifkan atau pengguna yang berada di organisasi lain.

Contoh

Entri pengguna ldiff contoh ini menunjukkan cara menyetel setelan Looker yang sesuai:

Entri Pengguna Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Setelan Looker yang Sesuai

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Menyandingkan atribut pengguna LDAP dengan atribut pengguna Looker

Anda dapat secara opsional menggunakan data di atribut pengguna LDAP untuk mengisi nilai secara otomatis di atribut pengguna Looker saat pengguna login. Misalnya, jika Anda telah mengonfigurasi LDAP untuk membuat koneksi khusus pengguna ke database, Anda dapat menyandingkan atribut pengguna LDAP dengan atribut pengguna Looker untuk membuat koneksi database khusus pengguna di Looker.

Perhatikan bahwa atribut LDAP harus berupa atribut pengguna, bukan atribut grup.

Untuk menyandingkan atribut pengguna LDAP dengan atribut pengguna Looker yang sesuai:

  1. Masukkan nama atribut pengguna LDAP di kolom LDAP User Attribute dan nama atribut pengguna Looker yang ingin Anda pasangkan di kolom Looker User Attributes.
  2. Centang Wajib jika Anda ingin mewajibkan nilai atribut LDAP agar pengguna dapat login.
  3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan atribut lainnya.

Informasi pengguna pengujian

  1. Masukkan kredensial pengguna uji coba, lalu klik tombol Test User Authentication. Looker akan mencoba urutan autentikasi LDAP lengkap dan menampilkan hasilnya. Jika berhasil, Looker akan menampilkan informasi pengguna dari direktori ditambah beberapa informasi rekaman aktivitas tentang proses autentikasi yang dapat membantu menyelesaikan masalah konfigurasi.
  2. Pastikan autentikasi berhasil dan semua kolom dipetakan dengan benar. Misalnya, konfirmasi bahwa kolom first_name tidak berisi nilai yang termasuk dalam last_name.

Grup dan peran

Anda dapat mengonfigurasi Looker untuk membuat grup yang mencerminkan grup LDAP yang dikelola secara eksternal, lalu Anda dapat menetapkan peran Looker kepada pengguna berdasarkan grup LDAP yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup LDAP, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker.

Dengan mencerminkan grup LDAP, Anda dapat menggunakan direktori LDAP yang ditentukan secara eksternal untuk mengelola grup dan pengguna Looker. Dengan demikian, Anda dapat mengelola keanggotaan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Mirror LDAP Groups, Looker akan membuat satu grup Looker untuk setiap grup LDAP yang dimasukkan ke dalam sistem. Grup Looker tersebut dapat dilihat di halaman Grup di bagian Admin Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menyetel kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror LDAP Groups dinonaktifkan. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna LDAP baru. Di kolom Grup Pengguna Baru dan Peran Pengguna Baru, masukkan nama grup atau peran Looker yang ingin Anda tetapkan kepada pengguna Looker baru saat mereka pertama kali login ke Looker.

Grup dan peran ini diterapkan kepada pengguna baru saat login awal mereka. Grup dan peran tidak diterapkan kepada pengguna yang sudah ada, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal pengguna.

Jika Anda mengaktifkan grup LDAP yang dicerminkan nanti, setelan default ini akan dihapus untuk pengguna saat mereka login berikutnya dan diganti dengan peran yang ditetapkan di bagian Cerminkan Grup LDAP. Opsi default ini tidak akan lagi tersedia atau ditetapkan, dan akan sepenuhnya digantikan oleh konfigurasi grup yang dicerminkan.

Mengaktifkan grup LDAP mirror

Jika Anda memilih untuk mencerminkan grup LDAP dalam Looker, aktifkan tombol Cerminkan Grup LDAP. Looker menampilkan setelan berikut:

Strategi Pencari Grup: Pilih opsi dari drop-down untuk memberi tahu Looker cara menemukan grup pengguna:

  • Grup Memiliki Atribut Anggota: Ini adalah opsi yang lebih umum. Saat mencari anggota grup, Looker hanya akan menampilkan grup yang secara langsung ditetapkan kepada pengguna. Misalnya, jika pengguna adalah anggota grup Database-Admin, dan grup Database-Admin adalah anggota grup Engineering, pengguna hanya akan mendapatkan izin yang terkait dengan grup Database-Admin.

  • Grup Memiliki Atribut Anggota (penelusuran mendalam): Opsi ini memungkinkan grup menjadi anggota grup lain, yang terkadang disebut sebagai grup bertingkat LDAP. Artinya, pengguna dapat memiliki izin dari lebih dari satu grup. Misalnya, jika pengguna adalah anggota grup Database-Admin, dan grup Database-Admin adalah anggota grup Engineering, pengguna akan mendapatkan izin yang terkait dengan kedua grup ini. Beberapa server LDAP (terutama Microsoft Active Directory) memiliki dukungan untuk otomatis menjalankan jenis penelusuran mendalam ini, meskipun pemanggil melakukan apa yang tampak seperti penelusuran dangkal. Itu mungkin merupakan metode lain yang dapat Anda gunakan untuk melakukan penelusuran mendalam.

DN Dasar: Memungkinkan Anda mempersempit penelusuran, dan dapat sama dengan DN Dasar yang ditentukan di bagian Setelan Pengikatan Pengguna di halaman dokumentasi ini.

Class Objek Grup: Setelan ini bersifat opsional. Seperti yang disebutkan di bagian Setelan Pengikatan Pengguna, hal ini memungkinkan hasil yang ditampilkan Looker dibatasi ke jenis objek atau serangkaian jenis tertentu.

Attr Anggota Grup: Atribut yang, untuk setiap grup, menentukan objek (dalam hal ini, mungkin orang) yang merupakan anggota.

Group User Attr: Nama atribut pengguna LDAP yang nilainya akan kita telusuri dalam entri Grup untuk menentukan apakah pengguna adalah bagian dari grup. Nilai defaultnya adalah dn (artinya, membiarkannya kosong sama dengan menyetelnya ke dn), yang akan menyebabkan LDAP menggunakan Nama Pembeda lengkap, yang merupakan string peka huruf besar/kecil yang akan ada dalam penelusuran LDAP itu sendiri, untuk menelusuri entri Grup.

Nama/Peran/DN Grup Pilihan: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup LDAP yang sesuai di Looker.

  1. Masukkan DN grup LDAP di kolom Group DN. Ini harus mencakup Nama Pembeda lengkap, yang merupakan string peka huruf besar/kecil yang akan ada dalam penelusuran LDAP itu sendiri. Pengguna LDAP yang disertakan dalam grup LDAP akan ditambahkan ke grup yang dicerminkan dalam Looker.

  2. Masukkan nama kustom untuk grup yang dicerminkan di kolom Nama Kustom. Ini adalah nama yang akan ditampilkan di halaman Grup di bagian Admin Looker.

  3. Di kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

  4. Klik + untuk menambahkan set kolom tambahan guna mengonfigurasi grup yang dicerminkan tambahan. Jika Anda telah mengonfigurasi beberapa grup dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup yang dicerminkan yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Mengubah DN Grup akan mempertahankan nama dan peran grup, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup LDAP eksternal yang memiliki DN grup LDAP baru.

Jika Anda menghapus grup di halaman ini, grup tersebut tidak akan lagi dicerminkan di Looker dan anggotanya tidak akan lagi memiliki peran di Looker yang ditetapkan kepada mereka melalui grup tersebut.

Setiap pengeditan yang dilakukan pada grup yang dicerminkan akan diterapkan kepada pengguna grup tersebut saat mereka login ke Looker berikutnya.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Mirror LDAP Groups, Looker akan menampilkan setelan ini. Opsi di bagian ini menentukan seberapa besar fleksibilitas yang dimiliki admin Looker saat mengonfigurasi grup dan pengguna Looker yang telah dicerminkan dari Looker.

Misalnya, jika Anda ingin konfigurasi grup dan pengguna Looker Anda cocok dengan konfigurasi LDAP Anda, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang dicerminkan dan hanya dapat menetapkan peran kepada pengguna melalui grup yang dicerminkan LDAP.

Jika Anda ingin memiliki fleksibilitas lebih untuk menyesuaikan grup lebih lanjut dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi LDAP, tetapi Anda akan dapat melakukan pengelolaan grup dan pengguna tambahan dalam Looker, seperti menambahkan pengguna LDAP ke grup Looker atau menetapkan peran Looker langsung kepada pengguna LDAP.

Untuk instance Looker baru, atau instance Looker yang tidak memiliki grup yang dicerminkan yang dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang sudah ada dan telah mengonfigurasi grup yang dicerminkan, opsi ini aktif secara default.

Bagian Pengelolaan Peran Lanjutan berisi opsi berikut:

Mencegah Pengguna LDAP Individual Menerima Peran Langsung: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker langsung kepada pengguna LDAP. Pengguna LDAP hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna LDAP diizinkan menjadi anggota grup Looker bawaan (tidak dicerminkan), mereka tetap dapat mewarisi perannya dari grup LDAP yang dicerminkan dan dari grup Looker bawaan. Semua pengguna LDAP yang sebelumnya diberi peran secara langsung akan dihapus perannya saat mereka login berikutnya.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker secara langsung kepada pengguna LDAP seolah-olah mereka adalah pengguna yang dikonfigurasi langsung di Looker.

Cegah Keanggotaan Langsung di Grup non-LDAP: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna LDAP secara langsung ke grup Looker bawaan. Jika grup LDAP yang dicerminkan diizinkan menjadi anggota grup Looker bawaan, pengguna LDAP dapat mempertahankan keanggotaan di grup Looker induk mana pun. Semua pengguna LDAP yang sebelumnya ditetapkan ke grup Looker bawaan akan dihapus dari grup tersebut saat mereka login berikutnya.

Jika opsi ini dinonaktifkan, admin Looker dapat menambahkan pengguna LDAP langsung ke grup Looker bawaan.

Mencegah Pewarisan Peran dari Grup non-LDAP: Mengaktifkan opsi ini akan mencegah anggota grup LDAP yang dicerminkan mewarisi peran dari grup Looker bawaan. Semua pengguna LDAP yang sebelumnya mewarisi peran dari grup Looker induk akan kehilangan peran tersebut saat mereka login berikutnya.

Jika opsi ini nonaktif, grup LDAP yang dicerminkan atau pengguna LDAP yang ditambahkan sebagai anggota grup Looker bawaan akan mewarisi peran yang ditetapkan ke grup Looker induk.

Auth Requires Role: Jika opsi ini aktif, pengguna LDAP harus memiliki peran yang ditetapkan. Pengguna LDAP yang tidak memiliki peran yang ditetapkan tidak akan dapat login ke Looker sama sekali.

Jika opsi ini nonaktif, pengguna LDAP dapat melakukan autentikasi ke Looker meskipun mereka tidak memiliki peran yang ditetapkan. Pengguna yang tidak diberi peran tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi mereka akan dapat login ke Looker.

Menonaktifkan grup LDAP mirror

Jika Anda ingin berhenti mencerminkan grup LDAP dalam Looker, nonaktifkan tombol Cerminkan Grup LDAP. Menonaktifkan tombol akan menghasilkan perilaku berikut:

  • Grup LDAP mirror yang tidak memiliki pengguna akan langsung dihapus.
  • Grup LDAP mirror yang berisi pengguna ditandai sebagai tidak memiliki induk. Jika tidak ada pengguna grup ini yang login dalam waktu 31 hari, grup akan dihapus. Pengguna tidak lagi dapat ditambahkan ke atau dihapus dari grup LDAP yang tidak memiliki pemilik.

Opsi migrasi dan integrasi

Login alternatif untuk admin dan pengguna tertentu

  • Mengizinkan login berbasis email alternatif untuk admin dan pengguna dengan izin login_special_email (baca selengkapnya tentang cara menetapkan izin ini di dokumentasi Peran). Opsi ini akan muncul di halaman login Looker jika Anda telah mengaktifkannya dan pengguna memiliki izin yang sesuai.
  • Opsi ini berguna sebagai pengganti selama penyiapan LDAP, jika masalah konfigurasi LDAP terjadi kemudian, atau jika Anda perlu mendukung beberapa pengguna yang tidak ada di direktori LDAP Anda.
  • Login email dan sandi Looker selalu dinonaktifkan untuk pengguna biasa saat LDAP diaktifkan.

Menggabungkan berdasarkan email

  • Opsi ini memungkinkan Looker menggabungkan pengguna LDAP yang baru pertama kali menggunakan Looker dengan akun Looker yang sudah ada, berdasarkan alamat email.
  • Jika Looker tidak dapat menemukan alamat email yang cocok, akun baru akan dibuat untuk pengguna.

Simpan dan terapkan setelan

Setelah Anda selesai memasukkan informasi, dan semua pengujian berhasil, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global, lalu klik Perbarui Setelan untuk menyimpan.