Definições de administrador – Autenticação LDAP

A página LDAP na secção Autenticação do menu Administração permite-lhe configurar o Looker para autenticar utilizadores com o Protocolo LDAP (Lightweight Directory Access Protocol). Esta página descreve esse processo e inclui instruções para associar grupos LDAP a funções e autorizações do Looker.

Requisitos

O Looker apresenta a página LDAP na secção Autenticação do menu Administração apenas se forem cumpridas as seguintes condições:

  • A sua instância do Looker não é uma instância do Looker (Google Cloud Core).
  • Tem a função de administrador.
  • A sua instância do Looker está ativada para usar o LDAP.

Se estas condições forem cumpridas e não vir a página LDAP, abra um pedido de apoio técnico para ativar o LDAP na sua instância.

Considerações

Tenha em atenção as seguintes considerações ao configurar a autenticação LDAP na sua instância do Looker:

  • A autenticação do Looker usa a autenticação "simples" do LDAP. A autenticação anónima não é suportada.
  • Tem de criar uma única conta de utilizador LDAP com privilégios de leitura para entradas de utilizadores e quaisquer entradas de grupos que vão ser usadas pelo Looker.
  • O Looker só lê a partir do diretório LDAP (não escreve).
  • O Looker pode migrar contas existentes para LDAP através de endereços de email.
  • A utilização da API Looker não interage com a autenticação LDAP.
  • Se o seu servidor LDAP restringir o tráfego de IP, tem de adicionar os endereços IP do Looker à lista de autorizações de IPs ou às regras de tráfego de entrada do seu servidor LDAP.
  • O LDAP substitui a autenticação de dois fatores. Se tiver ativado anteriormente a autenticação de dois fatores, os utilizadores não veem os ecrãs de início de sessão da autenticação de dois fatores depois de ativar o LDAP.

Tenha cuidado se desativar a autenticação LDAP

Se tiver sessão iniciada no Looker através do LDAP e quiser desativar a autenticação LDAP, certifique-se de que executa ambos os passos seguintes:

  • Certifique-se de que tem outras credenciais para iniciar sessão.
  • Ative a opção Início de sessão alternativo na página de configuração do LDAP.

Caso contrário, pode bloquear o seu acesso e o de outros utilizadores ao Looker.

Começar

Navegue para a página Autenticação LDAP na secção Administração do Looker para ver as seguintes opções de configuração.

Configure a sua associação

O Looker suporta o transporte e a encriptação com LDAP em texto não cifrado e LDAP através de TLS. Recomendamos vivamente o LDAP através de TLS. O STARTTLS e outros esquemas de encriptação não são suportados.

  1. Introduza as informações de Anfitrião e Porta.
  2. Se estiver a usar LDAP através de TLS, selecione a caixa junto a TLS.
  3. Se estiver a usar LDAP através de TLS, o Looker aplica a validação de certificados de pares por predefinição. Se precisar de desativar a validação de certificados de pares, selecione No Verify.
  4. Clique em Testar ligação. Se forem apresentados erros, corrija-os antes de continuar.

Autenticação de ligação

O Looker requer acesso a uma conta LDAP protegida por palavra-passe. A conta LDAP deve ter acesso de leitura a entradas de pessoas e a um novo conjunto de entradas de funções. A conta LDAP do Looker não requer acesso de escrita (nem acesso a outros aspetos do diretório) e não importa em que espaço de nomes a conta é criada.

  1. Introduza a palavra-passe.
  2. [Opcional] Selecione a caixa de verificação Forçar sem paginação se o seu fornecedor de LDAP não fornecer resultados paginados. Em alguns casos, isto pode ajudar se não estiver a receber nenhuma correspondência quando pesquisa utilizadores, embora não seja a única solução para este problema.
  3. Clique no botão Testar autenticação. Se forem apresentados erros, certifique-se de que as suas informações de autenticação estão corretas. Se as suas credenciais forem válidas, mas os erros persistirem, contacte o administrador de LDAP da sua empresa.

Definições de associação de utilizadores

Os detalhes nesta secção especificam como o Looker encontra os utilizadores no seu diretório, faz a associação para autenticação e extrai informações do utilizador.

  1. Defina o DN de base, que é a base da árvore de pesquisa para todos os utilizadores
  2. [Opcional] Especifique uma classe de objeto de utilizador, que controla os tipos de resultados que o Looker encontra e devolve. Isto é útil se o DN de base for uma combinação de tipos de objetos (pessoas, grupos, impressoras, etc.) e quiser devolver apenas entradas de um tipo.
  3. Defina os Atributos de início de sessão, que definem os atributos que os utilizadores vão usar para iniciar sessão. Estes têm de ser exclusivos por utilizador e algo que os seus utilizadores conheçam como o respetivo ID no seu sistema. Por exemplo, pode escolher um ID do utilizador ou um endereço de email completo. Se adicionar mais do que um atributo, o Looker vai pesquisar em ambos para encontrar o utilizador adequado. Evite usar formatos que possam resultar em contas duplicadas, como o nome próprio e o apelido.
  4. Especifique Email Attr, First Name Attr e Last Name Attr. Estas informações indicam ao Looker como mapear esses campos e extrair as respetivas informações durante o início de sessão.
  5. Defina o ID Attr, que indica um campo que o Looker usa como o ID exclusivo dos utilizadores. Geralmente, trata-se de um dos campos de início de sessão.
  6. Opcionalmente, introduza um filtro personalizado opcional, que lhe permite fornecer filtros LDAP arbitrários que serão aplicados quando pesquisar um utilizador para associar durante a autenticação LDAP. Isto é útil se quiser filtrar conjuntos de registos de utilizadores, como utilizadores desativados ou utilizadores que pertencem a uma organização diferente.

Exemplo

Esta entrada de utilizador ldiff de exemplo demonstra como definir as definições do Looker correspondentes:

Ldiff User Entry

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Definições do Looker correspondentes

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Sincronizar atributos de utilizadores do LDAP com atributos de utilizadores do Looker

Opcionalmente, pode usar os dados nos atributos do utilizador LDAP para preencher automaticamente os valores nos atributos do utilizador do Looker quando um utilizador inicia sessão. Por exemplo, se tiver configurado o LDAP para fazer ligações específicas do utilizador à sua base de dados, pode sincronizar os atributos do utilizador do LDAP com os atributos do utilizador do Looker para tornar as ligações à base de dados específicas do utilizador no Looker.

Tenha em atenção que o atributo LDAP tem de ser um atributo do utilizador e não um atributo do grupo.

Para sincronizar atributos de utilizador do LDAP com atributos de utilizador do Looker correspondentes:

  1. Introduza o nome do atributo do utilizador LDAP no campo Atributo do utilizador LDAP e o nome do atributo do utilizador do Looker com o qual quer sincronizá-lo no campo Atributos do utilizador do Looker.
  2. Selecione Obrigatório se quiser exigir um valor de atributo LDAP para permitir que um utilizador inicie sessão.
  3. Clique em + e repita estes passos para adicionar mais pares de atributos.

Informações do utilizador de teste

  1. Introduza as credenciais de um utilizador de teste e clique no botão Testar autenticação do utilizador. O Looker tenta uma sequência de autenticação LDAP completa e mostra o resultado. Após o sucesso, o Looker produz as informações do utilizador do diretório, além de algumas informações de rastreio sobre o processo de autenticação, que podem ajudar a resolver problemas de configuração.
  2. Verifique se a autenticação é bem-sucedida e se todos os campos estão mapeados corretamente. Por exemplo, confirme que o campo first_name não contém um valor pertencente a last_name.

Grupos e funções

Pode configurar o Looker para criar grupos que refletem os seus grupos LDAP geridos externamente e, em seguida, pode atribuir funções do Looker aos utilizadores com base nos respetivos grupos LDAP refletidos. Quando faz alterações à sua associação ao grupo LDAP, essas alterações são propagadas automaticamente para a configuração do grupo do Looker.

A replicação de grupos LDAP permite-lhe usar o seu diretório LDAP definido externamente para gerir grupos e utilizadores do Looker. Isto, por sua vez, permite-lhe gerir a sua associação a grupos para várias ferramentas de software como serviço (SaaS), como o Looker, num único local.

Se ativar a opção Refletir grupos LDAP, o Looker cria um grupo do Looker para cada grupo LDAP introduzido no sistema. Pode ver esses grupos do Looker na página Grupos da secção Administração do Looker. Os grupos podem ser usados para atribuir funções aos membros do grupo, definir controlos de acesso ao conteúdo e atribuir atributos do utilizador.

Grupos e funções predefinidos

Por predefinição, o interruptor Refletir grupos LDAP está desativado. Neste caso, pode definir um grupo predefinido para novos utilizadores LDAP. Nos campos Novos grupos de utilizadores e Novas funções de utilizadores, introduza os nomes de quaisquer grupos ou funções do Looker aos quais quer atribuir novos utilizadores do Looker quando iniciarem sessão no Looker pela primeira vez.

Estes grupos e funções são aplicados aos novos utilizadores no respetivo início de sessão inicial. Os grupos e as funções não são aplicados a utilizadores pré-existentes e não são reaplicados se forem removidos dos utilizadores após o início de sessão inicial dos utilizadores.

Se ativar posteriormente os grupos LDAP espelhados, estas predefinições são removidas para os utilizadores no respetivo início de sessão seguinte e substituídas pelas funções atribuídas na secção Espelhar grupos LDAP. Estas opções predefinidas vão deixar de estar disponíveis ou atribuídas e vão ser totalmente substituídas pela configuração de grupos espelhados.

Ativar grupos de LDAP espelhados

Se optar por espelhar os seus grupos LDAP no Looker, ative o interruptor Espelhar grupos LDAP. O Looker apresenta estas definições:

Estratégia de localização de grupos: escolha uma opção no menu pendente para indicar ao Looker como encontrar os grupos de um utilizador:

  • Os grupos têm atributos de membros: esta é a opção mais comum. Quando procura um membro de um grupo, o Looker só devolve os grupos aos quais um utilizador está diretamente atribuído. Por exemplo, se um utilizador for membro do grupo Database-Admin e o grupo Database-Admin for membro do grupo Engineering, um utilizador só recebe as autorizações afiliadas ao grupo Database-Admin.

  • Os grupos têm atributos de membros (pesquisa detalhada): esta opção permite que os grupos sejam membros de outros grupos, o que, por vezes, é denominado grupos aninhados de LDAP. Isto significa que um utilizador pode ter as autorizações de mais do que um grupo. Por exemplo, se um utilizador for membro do grupo Database-Admin e o grupo Database-Admin for membro do grupo Engineering, o utilizador recebe as autorizações associadas a ambos os grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) têm suporte para executar automaticamente este tipo de pesquisa detalhada, mesmo quando o autor da chamada está a fazer o que parece ser uma pesquisa superficial. Este pode ser outro método que pode usar para executar uma pesquisa detalhada.

DN de base: permite restringir a pesquisa e pode ser igual ao DN de base especificado na secção Definições de associação de utilizadores desta página de documentação.

Agrupa classes de objetos: esta definição é opcional. Conforme indicado na secção Definições de associação de utilizadores, isto permite que os resultados devolvidos pelo Looker sejam restritos a um tipo de objeto específico ou a um conjunto de tipos.

Group Member Attr: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são membros.

Group User Attr: o nome do atributo do utilizador LDAP cujo valor vamos procurar nas entradas do grupo para determinar se um utilizador faz parte do grupo. A predefinição é dn (o que significa que deixá-lo em branco é o mesmo que defini-lo como dn), o que resulta no LDAP a usar o nome distinto completo, que é a string exata sensível a maiúsculas e minúsculas que existiria na própria pesquisa LDAP, para pesquisar entradas de grupos.

Nome/funções/DN do grupo preferido: este conjunto de campos permite-lhe atribuir um nome de grupo personalizado e uma ou mais funções que são atribuídas ao grupo LDAP correspondente no Looker.

  1. Introduza o DN do grupo LDAP no campo DN do grupo. Isto deve incluir o nome distinto completo, que é a string exata sensível a maiúsculas e minúsculas que existiria na própria pesquisa LDAP. Os utilizadores LDAP incluídos no grupo LDAP são adicionados ao grupo espelhado no Looker.

  2. Introduza um nome personalizado para o grupo duplicado no campo Nome personalizado. Este é o nome que é apresentado na página Grupos da secção Administração do Looker.

  3. No campo à direita do campo Nome personalizado, selecione uma ou mais funções do Looker que vão ser atribuídas a cada utilizador no grupo.

  4. Clique em + para adicionar conjuntos de campos adicionais para configurar grupos espelhados adicionais. Se tiver vários grupos configurados e quiser remover a configuração de um grupo, clique em X junto ao conjunto de campos desse grupo.

Se editar um grupo espelhado que foi configurado anteriormente neste ecrã, a configuração do grupo é alterada, mas o próprio grupo permanece intacto. Por exemplo, pode alterar o nome personalizado de um grupo, o que alteraria a forma como o grupo aparece na página Grupos do Looker, mas não alteraria as funções atribuídas nem os membros do grupo. A alteração do DN do grupo manteria o nome e as funções do grupo, mas os membros do grupo seriam reatribuídos com base nos utilizadores que são membros do grupo LDAP externo com o novo DN do grupo LDAP.

Se eliminar um grupo nesta página, esse grupo deixa de ser replicado no Looker, e os respetivos membros deixam de ter as funções no Looker atribuídas através desse grupo.

Todas as edições feitas a um grupo espelhado são aplicadas aos utilizadores desse grupo quando iniciarem sessão no Looker da próxima vez.

Gestão avançada de funções

Se tiver ativado o switch Refletir grupos LDAP, o Looker apresenta estas definições. As opções nesta secção determinam a flexibilidade que os administradores do Looker têm ao configurar grupos e utilizadores do Looker que foram replicados do Looker.

Por exemplo, se quiser que a configuração de utilizadores e grupos do Looker corresponda rigorosamente à configuração do LDAP, ative estas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a associação de grupos espelhados e só podem atribuir funções a utilizadores através de grupos espelhados do LDAP.

Se quiser ter mais flexibilidade para personalizar ainda mais os seus grupos no Looker, desative estas opções. Os seus grupos do Looker continuam a refletir a configuração LDAP, mas pode fazer a gestão adicional de grupos e utilizadores no Looker, como adicionar utilizadores LDAP a grupos do Looker ou atribuir funções do Looker diretamente a utilizadores LDAP.

Para novas instâncias do Looker ou instâncias do Looker que não tenham grupos espelhados configurados anteriormente, estas opções estão desativadas por predefinição.

Para instâncias do Looker existentes que tenham configurado grupos espelhados, estas opções estão ativadas por predefinição.

A secção Gestão avançada de funções contém estas opções:

Impedir que utilizadores individuais do LDAP recebam funções diretas: se ativar esta opção, impede que os administradores do Looker atribuam funções do Looker diretamente a utilizadores do LDAP. Os utilizadores do LDAP só recebem funções através das respetivas subscrições de grupos. Se os utilizadores LDAP tiverem autorização de adesão a grupos do Looker incorporados (não sincronizados), podem continuar a herdar as respetivas funções de grupos LDAP sincronizados e de grupos do Looker incorporados. As funções atribuídas diretamente a utilizadores do LDAP são removidas no próximo início de sessão.

Se esta opção estiver desativada, os administradores do Looker podem atribuir funções do Looker diretamente a utilizadores do LDAP como se fossem utilizadores configurados diretamente no Looker.

Impedir associação direta em grupos não LDAP: se ativar esta opção, impede que os administradores do Looker adicionem utilizadores LDAP diretamente a grupos incorporados do Looker. Se os grupos LDAP sincronizados forem autorizados a serem membros de grupos do Looker incorporados, os utilizadores LDAP podem manter a associação a quaisquer grupos do Looker principais. Todos os utilizadores do LDAP que foram atribuídos anteriormente a grupos incorporados do Looker são removidos desses grupos no próximo início de sessão.

Se esta opção estiver desativada, os administradores do Looker podem adicionar utilizadores LDAP diretamente a grupos incorporados do Looker.

Impedir a herança de funções de grupos não LDAP: a ativação desta opção impede que os membros de grupos LDAP espelhados herdem funções de grupos Looker incorporados. Todos os utilizadores do LDAP que herdaram anteriormente funções de um grupo principal do Looker perdem essas funções no próximo início de sessão.

Se esta opção estiver desativada, os grupos LDAP sincronizados ou os utilizadores LDAP adicionados como membros de um grupo Looker incorporado herdam as funções atribuídas ao grupo Looker principal.

Auth Requires Role: se esta opção estiver ativada, os utilizadores LDAP têm de ter uma função atribuída. Os utilizadores LDAP que não tenham uma função atribuída não podem iniciar sessão no Looker.

Se esta opção estiver desativada, os utilizadores do LDAP podem autenticar-se no Looker, mesmo que não tenham nenhuma função atribuída. Um utilizador sem uma função atribuída não pode ver dados nem realizar ações no Looker, mas pode iniciar sessão no Looker.

Desativar grupos de LDAP espelhados

Se quiser parar de espelhar os seus grupos LDAP no Looker, desative o interruptor Espelhar grupos LDAP. A desativação do interruptor resulta no seguinte comportamento:

  • Qualquer grupo LDAP espelhado sem utilizadores é eliminado imediatamente.
  • Qualquer grupo LDAP espelhado que não contenha utilizadores é marcado como órfão. Se nenhum utilizador deste grupo iniciar sessão no prazo de 31 dias, o grupo é eliminado. Já não é possível adicionar nem remover utilizadores de grupos LDAP órfãos.

Opções de migração e integração

Início de sessão alternativo para administradores e utilizadores especificados

  • Permitir um início de sessão alternativo baseado em email para administradores e utilizadores com a autorização login_special_email (leia mais sobre a definição desta autorização na documentação sobre funções). Esta opção aparece na página de início de sessão do Looker se a tiver ativado e o utilizador tiver a autorização adequada.
  • Esta opção é útil como alternativa durante a configuração do LDAP, se ocorrerem problemas de configuração do LDAP posteriormente ou se precisar de oferecer apoio técnico a alguns utilizadores que não estão no seu diretório LDAP.
  • Os inícios de sessão por email e palavra-passe do Looker estão sempre desativados para utilizadores normais quando o LDAP está ativado.

Unir por email

  • Esta opção permite que o Looker combine utilizadores do LDAP pela primeira vez com as respetivas contas do Looker existentes, com base no endereço de email.
  • Se o Looker não conseguir encontrar um endereço de email correspondente, é criada uma nova conta para o utilizador.

Guardar e aplicar definições

Quando terminar de introduzir as suas informações e todos os testes forem aprovados, selecione Confirmei a configuração acima e quero ativá-la globalmente e clique em Atualizar definições para guardar.