Impostazioni amministratore: autenticazione LDAP

La pagina LDAP nella sezione Autenticazione del menu Amministrazione consente di configurare Looker per l'autenticazione degli utenti mediante il protocollo LDAP (Lightweight Directory Access Protocol). Questa pagina descrive il processo e include le istruzioni per collegare i gruppi LDAP ai ruoli e alle autorizzazioni di Looker.

Aspetti da tenere presente:

  • L'autenticazione Looker utilizza l'autenticazione semplice di LDAP. L'autenticazione anonima non è supportata.
  • Devi creare un singolo account utente LDAP con privilegi di lettura per le voci utente e per le eventuali voci di gruppo che verranno utilizzate da Looker.
  • Looker legge solo dalla directory LDAP (nessuna scrittura).
  • Looker può eseguire la migrazione degli account esistenti a LDAP utilizzando gli indirizzi email.
  • L'utilizzo dell'API Looker non interagisce con l'autenticazione LDAP.
  • Se il server LDAP limita il traffico IP, dovrai aggiungere gli indirizzi IP di Looker alla lista consentita IP o alle regole di traffico in entrata del server LDAP.
  • LDAP sostituisce l'autenticazione a due fattori. Se in precedenza hai attivato l'autenticazione a due fattori, i tuoi utenti non vedranno le relative schermate di accesso dopo aver attivato LDAP.

Presta attenzione se disattivi l'autenticazione LDAP

Se hai eseguito l'accesso a Looker utilizzando LDAP e vuoi disattivare l'autenticazione LDAP, esegui prima entrambi i passaggi seguenti:

  • Assicurati di disporre di altre credenziali per accedere.
  • Attiva l'opzione alternate Login (Accesso alternativo) nella pagina di configurazione di LDAP.

In caso contrario, potresti impedire l'accesso a Looker e a quello degli altri utenti.

Per iniziare

Vai alla pagina LDAP Authentication (Autenticazione LDAP) nella sezione Admin (Amministrazione) di Looker per visualizzare le seguenti opzioni di configurazione.

Configura la connessione

Looker supporta il trasporto/crittografia con LDAP in chiaro e LDAP su TLS. Si consiglia vivamente di utilizzare LDAP su TLS. StartTLS e altri schemi di crittografia non sono supportati.

  1. Inserisci le informazioni relative a Host e Porta.
  2. Seleziona la casella accanto a TLS se utilizzi LDAP su TLS.
  3. Se utilizzi LDAP su TLS, Looker applica la verifica del certificato peer per impostazione predefinita. Se devi disattivare la verifica del certificato peer, seleziona Nessuna verifica.
  4. Fai clic su Test Connection (Verifica connessione). Se vengono visualizzati errori, correggili prima di procedere.

Autenticazione connessione

Looker richiede l'accesso a un account LDAP protetto da password. L'account LDAP deve avere accesso in lettura alle voci Persone e a un nuovo insieme di voci di ruoli. L'account LDAP di Looker non richiede l'accesso in scrittura (né l'accesso ad altri aspetti della directory) e non è importante lo spazio dei nomi in cui viene creato l'account.

  1. Inserisci la Password.
  2. [Facoltativo] Seleziona la casella di controllo Non forzare le pagine se il tuo provider LDAP non fornisce risultati impaginati. In alcuni casi, ciò può essere utile se non ricevi corrispondenze durante la ricerca degli utenti, anche se non è l'unica soluzione a questo problema.
  3. Fai clic sul pulsante Test Authentication (Prova autenticazione). Se vengono visualizzati errori, assicurati che le informazioni di autenticazione siano corrette. Se le credenziali sono valide, ma gli errori persistono, contatta l'amministratore LDAP della tua azienda.

Impostazioni di associazione utente

I dettagli di questa sezione specificano in che modo Looker troverà gli utenti nella tua directory, si impegnerà per l'autenticazione ed estrarrà le informazioni degli utenti.

  1. Imposta il DN di base, ovvero la base della struttura di ricerca per tutti gli utenti
  2. [Facoltativo] Specifica una Classe oggetti utente, che controlla i tipi di risultati che Looker troverà e restituirà. È utile se il DN di base è un mix di tipi di oggetti (persone, gruppi, stampanti e così via) e vuoi restituire solo voci di un solo tipo.
  3. Imposta Attrs di accesso, che definisce gli attributi che gli utenti utilizzeranno per accedere. Devono essere univoci per utente e i tuoi utenti conoscono bene come ID all'interno del tuo sistema. Ad esempio, puoi scegliere un ID utente o un indirizzo email completo. Se aggiungi più di un attributo, Looker li cercherà in entrambi per trovare l'utente appropriato. Assicurati di selezionare i campi appropriati qui; l'utilizzo di qualcosa come nome e cognome non funzionerà se hai due Jennifer Smith e così via.
  4. Specifica Email Attr, First Name Attr e Last Name Attr. Queste informazioni indicano a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso.
  5. Imposta ID Attr, che indica un campo che Looker deve utilizzare come ID univoco per gli utenti. In genere questo sarà uno dei campi di accesso.
  6. (Facoltativo) Inserisci un filtro personalizzato facoltativo, che ti consente di fornire filtri LDAP arbitrari che verranno applicati durante la ricerca di un utente da associare durante l'autenticazione LDAP. Questa opzione è utile se vuoi filtrare i set di record degli utenti, ad esempio utenti disattivati o che si trovano in un'altra organizzazione.

Esempio

Questa voce utente ldiff di esempio mostra come configurare le impostazioni di Looker corrispondenti:

Voce utente Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Impostazioni di Looker corrispondenti

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Accoppiare gli attributi utente LDAP con gli attributi utente di Looker

Facoltativamente, puoi utilizzare i dati degli attributi utente LDAP per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato LDAP per creare connessioni specifiche per l'utente al tuo database, puoi associare gli attributi utente LDAP agli attributi utente di Looker per rendere le connessioni al database specifiche per l'utente in Looker.

Tieni presente che l'attributo LDAP deve essere un attributo utente, non un attributo di gruppo.

Per accoppiare gli attributi utente LDAP agli attributi utente di Looker corrispondenti:

  1. Inserisci il nome dell'attributo utente LDAP nel campo LDAP User Attribute (Attributo utente LDAP) e il nome dell'attributo utente di Looker con cui vuoi accoppiarlo nel campo Looker User Attributes (Attributi utente Looker).
  2. Seleziona Obbligatorio se vuoi richiedere un valore di attributo LDAP per consentire a un utente di accedere.
  3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Testare le informazioni dell'utente

  1. Inserisci le credenziali di un utente di test e fai clic sul pulsante Test User Authentication (Prova autenticazione utente). Looker tenterà di utilizzare una sequenza di autenticazione LDAP completa e mostrerà il risultato. Se l'operazione ha esito positivo, Looker restituisce le informazioni sull'utente dalla directory oltre ad alcune informazioni di traccia sul processo di autenticazione che possono aiutare a risolvere i problemi di configurazione.
  2. Verifica che l'autenticazione abbia esito positivo e che tutti i campi siano mappati correttamente. Ad esempio, verifica che il campo first_name non contenga un valore appartenente a last_name.

Gruppi e ruoli

Puoi configurare Looker in modo da creare gruppi che rispecchino i gruppi LDAP gestiti esternamente, quindi assegnare i ruoli di Looker agli utenti in base ai gruppi LDAP con mirroring. Le modifiche apportate all'appartenenza al gruppo LDAP vengono automaticamente propagate alla configurazione dei gruppi di Looker.

Il mirroring dei gruppi LDAP consente di utilizzare la directory LDAP definita esternamente per gestire gruppi e utenti Looker. Questo, a sua volta, ti consente di gestire in un'unica posizione l'appartenenza al gruppo per più strumenti Software as a Service (SaaS), come Looker.

Se attivi l'opzione Esegui il mirroring dei gruppi LDAP, Looker creerà un gruppo Looker per ogni gruppo LDAP introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare i ruoli ai membri dei gruppi, impostare i controlli di accesso ai contenuti e assegnare gli attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Esegui il mirroring dei gruppi LDAP è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti LDAP. Nei campi Nuovi gruppi utenti e Nuovi ruoli utente, inserisci i nomi degli eventuali gruppi o ruoli Looker a cui vuoi assegnare nuovi utenti Looker quando accedono per la prima volta a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. I gruppi e i ruoli non vengono applicati agli utenti preesistenti e non vengono applicati nuovamente se vengono rimossi dagli utenti dopo il loro accesso iniziale.

Se in un secondo momento abiliti i gruppi LDAP con mirroring, questi valori predefiniti verranno rimossi per gli utenti all'accesso successivo e sostituiti dai ruoli assegnati nella sezione Esegui il mirroring dei gruppi LDAP. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi con mirroring.

Abilitazione del mirroring dei gruppi LDAP

Se scegli di eseguire il mirroring dei gruppi LDAP in Looker, attiva l'opzione Esegui il mirroring dei gruppi LDAP. Looker mostra queste impostazioni:

Strategia di ricerca gruppi: scegli un'opzione dal menu a discesa per indicare a Looker come trovare i gruppi di un utente:

  • I gruppi hanno attributi dei membri: questa è l'opzione più comune. Quando cerchi un membro di un gruppo, Looker restituisce solo i gruppi a cui è stato assegnato direttamente un utente. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Ingegneria, un utente otterrà solo le autorizzazioni affiliate al gruppo Database-Admin.

  • I gruppi hanno attributi dei membri (ricerca approfondita): questa opzione consente ai gruppi di essere membri di altri gruppi, a volte denominati gruppi nidificati LDAP. Questo significa che un utente può avere le autorizzazioni di più gruppi. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Ingegneria, un utente otterrà le autorizzazioni affiliate a entrambi questi gruppi. Tieni presente che alcuni server LDAP (in particolare Microsoft Active Directory) supportano l'esecuzione automatica di questo tipo di ricerca approfondita, anche quando il chiamante esegue una ricerca superficiale. Questo potrebbe essere un altro metodo che puoi utilizzare per eseguire una ricerca approfondita.

Base DN (DN di base): consente di restringere la ricerca e può essere uguale al DN di base specificato nella sezione Impostazioni di associazione utente sopra.

Classi di oggetti Groups: questa impostazione è facoltativa. Come indicato nella sezione Impostazioni di associazione utenti, questa opzione consente ai risultati restituiti da Looker di essere vincolati a un determinato tipo di oggetto o insieme di tipi.

Attr. membro gruppo: l'attributo che, per ogni gruppo, determina gli oggetti (in questo caso, probabilmente le persone) che sono membri.

Group User Attr (Attr utente gruppo): il nome dell'attributo utente LDAP di cui cercheremo il valore nelle voci del gruppo per determinare se un utente fa parte del gruppo. Il valore predefinito è dn, vale a dire che lasciarlo vuoto equivale a impostarlo su dn, di conseguenza LDAP utilizza il DN completo, ovvero l'esatta stringa sensibile alle maiuscole che esisterebbe nella ricerca LDAP stessa per cercare le voci del gruppo.

Nome gruppo preferito/Ruoli/DN gruppo: questo insieme di campi consente di assegnare un nome di gruppo personalizzato e uno o più ruoli assegnati al gruppo LDAP corrispondente in Looker:

  1. Inserisci il DN del gruppo LDAP nel campo Group DN (DN gruppo). Dovrebbe essere incluso il DN completo, ovvero l'esatta stringa sensibile alle maiuscole che esisterebbe nella ricerca LDAP stessa. Gli utenti LDAP inclusi nel gruppo LDAP verranno aggiunti al gruppo con mirroring in Looker.

  2. Inserisci un nome personalizzato per il gruppo di cui è stato eseguito il mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Gruppi della sezione Amministratore di Looker.

  3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli Looker che verranno assegnati a ciascun utente del gruppo.

  4. Fai clic su + per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic su X accanto all'insieme di campi del gruppo.

Se modifichi un gruppo con mirroring precedentemente configurato in questa schermata, la configurazione del gruppo cambia, ma il gruppo rimane invariato. Ad esempio, potresti modificare il nome personalizzato di un gruppo, cambiando il modo in cui il gruppo viene visualizzato nella pagina Gruppi di Looker, ma senza modificare i ruoli e i membri del gruppo assegnati. Se modifichi il DN del gruppo, verranno mantenuti il nome e i ruoli del gruppo, ma i membri del gruppo verrebbero riassegnati in base agli utenti che sono membri del gruppo LDAP esterno che ha il nuovo DN del gruppo LDAP.

Se elimini un gruppo in questa pagina, il gruppo non sarà più incluso in Looker e ai suoi membri non saranno più assegnati i ruoli di Looker tramite quel gruppo.

Eventuali modifiche apportate a un gruppo con mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Esegui il mirroring dei gruppi LDAP, Looker visualizza queste impostazioni. Le opzioni in questa sezione determinano la flessibilità che gli amministratori di Looker hanno a disposizione quando configurano i gruppi e gli utenti di Looker di cui è stato eseguito il mirroring da LDAP.

Ad esempio, se vuoi che la configurazione dei gruppi Looker e degli utenti corrisponda rigorosamente alla configurazione LDAP, attiva queste opzioni. Quando tutte le prime tre opzioni sono abilitate, gli amministratori di Looker non possono modificare l'appartenenza ai gruppi con mirroring e possono assegnare i ruoli agli utenti solo tramite gruppi con mirroring LDAP.

Se vuoi avere una maggiore flessibilità per personalizzare ulteriormente i gruppi all'interno di Looker, disattiva queste opzioni. I tuoi gruppi Looker continueranno a rispecchiare la tua configurazione LDAP, ma potrai eseguire altre operazioni di gestione dei gruppi e degli utenti all'interno di Looker, ad esempio aggiungendo utenti LDAP a gruppi specifici di Looker o assegnando ruoli di Looker direttamente agli utenti LDAP.

Per le nuove istanze di Looker o per le quali non sono stati configurati gruppi con mirroring precedentemente configurati, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze di Looker esistenti in cui sono attualmente configurati gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti LDAP di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti LDAP. Gli utenti LDAP riceveranno i ruoli solo tramite le loro iscrizioni ai gruppi. Se agli utenti LDAP è consentita l'appartenenza a gruppi Looker nativi (non con mirroring), possono comunque ereditare i propri ruoli sia dai gruppi LDAP con mirroring sia dai gruppi Looker nativi. Questi ruoli verranno rimossi all'accesso successivo per tutti gli utenti LDAP a cui erano stati assegnati direttamente ruoli in precedenza.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare i ruoli di Looker direttamente agli utenti LDAP come se fossero utenti configurati in modo nativo in Looker.

Impedisci l'appartenenza diretta a gruppi non LDAP: l'attivazione di questa opzione impedisce agli amministratori di Looker di aggiungere utenti LDAP direttamente ai gruppi Looker nativi. Se i gruppi LDAP con mirroring possono essere membri di gruppi Looker nativi, gli utenti LDAP possono mantenere l'appartenenza a qualsiasi gruppo Looker padre. Tutti gli utenti LDAP assegnati in precedenza a gruppi Looker nativi verranno rimossi da questi gruppi all'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere gli utenti LDAP direttamente ai gruppi Looker nativi.

Impedisci l'ereditarietà dei ruoli da gruppi non LDAP: l'attivazione di questa opzione impedisce ai membri dei gruppi LDAP con mirroring di ereditare i ruoli dai gruppi Looker nativi. Tutti gli utenti LDAP che in precedenza ereditavano i ruoli da un gruppo Looker principale perderanno questi ruoli all'accesso successivo.

Se questa opzione è disattivata, i gruppi LDAP con mirroring o gli utenti LDAP aggiunti come membri di un gruppo Looker nativo erediteranno i ruoli assegnati al gruppo Looker principale.

L'autenticazione richiede il ruolo: se questa opzione è attiva, agli utenti LDAP deve essere assegnato un ruolo. Gli utenti LDAP a cui non è stato assegnato un ruolo non saranno in grado di accedere a Looker.

Se questa opzione è disattivata, gli utenti LDAP possono eseguire l'autenticazione in Looker anche se non hanno alcun ruolo assegnato. Un utente a cui non è assegnato un ruolo non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Disattivazione dei gruppi LDAP di mirroring

Se vuoi interrompere il mirroring dei gruppi LDAP in Looker, disattiva l'opzione Esegui il mirroring dei gruppi LDAP. Eventuali gruppi LDAP mirror vuoti verranno eliminati.

I gruppi LDAP mirror non vuoti rimarranno disponibili per la gestione dei contenuti e la creazione di ruoli. Tuttavia, gli utenti non possono essere aggiunti o rimossi dai gruppi LDAP di cui viene eseguito il mirroring.

Opzioni di migrazione e integrazione

Accesso alternativo per gli amministratori e gli utenti specificati

  • Consenti un accesso alternativo basato su email per gli amministratori e per gli utenti con l'autorizzazione login_special_email. Per saperne di più sull'impostazione di questa autorizzazione, consulta la documentazione relativa ai ruoli. Questa opzione viene visualizzata nella pagina di accesso di Looker se è stata attivata e l'utente dispone dell'autorizzazione appropriata.
  • Questa opzione è utile come fallback durante la configurazione di LDAP, se i problemi di configurazione si verificano successivamente o se è necessario supportare alcuni utenti che non si trovano nella directory LDAP.
  • Quando il protocollo LDAP è abilitato, gli accessi tramite email e password di Looker sono sempre disabilitati per gli utenti normali.

Unione via email

  • Questa opzione consente a Looker di unire i nuovi utenti LDAP ai loro account Looker esistenti, in base all'indirizzo email.
  • Se Looker non riesce a trovare un indirizzo email corrispondente, verrà creato un nuovo account per l'utente.

Salva e applica impostazioni

Dopo aver inserito le informazioni e aver superato tutti i test, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione globale e fai clic su Aggiorna impostazioni per salvare.