Configurações de administrador: autenticação LDAP

A página LDAP na seção Autenticação do menu Administrador permite configurar o Looker para autenticar usuários com o Protocolo leve de acesso a diretórios (LDAP). Esta página descreve esse processo e inclui instruções para vincular grupos do LDAP a papéis e permissões do Looker.

Requisitos

O Looker mostra a página LDAP na seção Autenticação do menu Administrador somente se as seguintes condições forem atendidas:

  • Sua instância do Looker não é uma instância do Looker (Google Cloud Core).
  • Você tem a função de administrador.
  • Sua instância do Looker está ativada para usar o LDAP.

Se essas condições forem atendidas e a página LDAP não aparecer, abra uma solicitação de suporte para ativar o LDAP na sua instância.

Considerações

Ao configurar a autenticação LDAP na sua instância do Looker, considere o seguinte:

  • A autenticação do Looker usa a autenticação "simples" do LDAP. A autenticação anônima não é compatível.
  • Crie uma única conta de usuário LDAP com privilégios de leitura para entradas de usuários e de grupos que serão usadas pelo Looker.
  • O Looker só lê do diretório LDAP (sem gravações).
  • O Looker pode migrar contas atuais para LDAP usando endereços de e-mail.
  • O uso da API Looker não interage com a autenticação LDAP.
  • Se o servidor LDAP restringir o tráfego de IP, adicione os endereços IP do Looker à lista de permissões de IP ou às regras de tráfego de entrada do servidor LDAP.
  • O LDAP substitui a autenticação de dois fatores. Se você já tiver ativado a autenticação de dois fatores, os usuários não vão ver as telas de login da autenticação de dois fatores depois que você ativar o LDAP.

Tenha cuidado ao desativar a autenticação LDAP

Se você fez login no Looker usando LDAP e quer desativar a autenticação LDAP, primeiro faça as duas etapas a seguir:

  • Verifique se você tem outras credenciais para fazer login.
  • Ative a opção Login alternativo na página de configuração do LDAP.

Caso contrário, você pode bloquear seu acesso e o de outros usuários ao Looker.

Primeiros passos

Acesse a página Autenticação LDAP na seção Administrador do Looker para conferir as seguintes opções de configuração.

Configurar sua conexão

O Looker é compatível com transporte e criptografia com LDAP em texto sem criptografia e LDAP via TLS. Recomendamos o LDAP em TLS. O StartTLS e outros esquemas de criptografia não são compatíveis.

  1. Insira as informações de Host e Porta.
  2. Marque a caixa ao lado de TLS se você estiver usando LDAP em TLS.
  3. Se você estiver usando LDAP em TLS, o Looker vai exigir a verificação do certificado de peer por padrão. Se você precisar desativar a verificação do certificado do peer, marque Sem verificação.
  4. Clique em Testar conexão. Se houver erros, corrija-os antes de continuar.

Autenticação de conexão

O Looker exige acesso a uma conta LDAP protegida por senha. A conta do LDAP precisa ter acesso de leitura às entradas de pessoas e a um novo conjunto de entradas de função. A conta LDAP do Looker não exige acesso de gravação (nem acesso a outros aspectos do diretório), e não importa em qual namespace ela é criada.

  1. Digite a senha.
  2. [Opcional] Marque a caixa de seleção Forçar sem paginação se o provedor de LDAP não fornecer resultados paginados. Em alguns casos, isso pode ajudar se você não estiver recebendo correspondências ao pesquisar usuários, embora não seja a única solução para esse problema.
  3. Clique no botão Testar autenticação. Se algum erro aparecer, verifique se as informações de autenticação estão corretas. Se as credenciais forem válidas, mas os erros persistirem, entre em contato com o administrador do LDAP da sua empresa.

Configurações de vinculação de usuários

Os detalhes nesta seção especificam como o Looker vai encontrar usuários no seu diretório, fazer vinculação para autenticação e extrair informações do usuário.

  1. Defina o DN de base, que é a base da árvore de pesquisa para todos os usuários.
  2. [Opcional] Especifique uma classe de objeto de usuário, que controla os tipos de resultados que o Looker vai encontrar e retornar. Isso é útil se o DN de base for uma mistura de tipos de objetos (pessoas, grupos, impressoras etc.) e você quiser retornar apenas entradas de um tipo.
  3. Defina os Atributos de login, que definem os atributos que seus usuários vão usar para fazer login. Eles precisam ser exclusivos por usuário e algo que os usuários conheçam como ID no seu sistema. Por exemplo, você pode escolher um User ID ou o endereço de e-mail completo. Se você adicionar mais de um atributo, o Looker vai pesquisar nos dois para encontrar o usuário adequado. Evite usar formatos que possam resultar em contas duplicadas, como nome e sobrenome.
  4. Especifique o Atributo de e-mail, o Atributo de nome e o Atributo de sobrenome. Essas informações informam ao Looker como mapear esses campos e extrair as informações deles durante o login.
  5. Defina o ID Attr, que indica um campo usado pelo Looker como o ID exclusivo dos usuários. Geralmente, é um dos campos de login.
  6. Se quiser, insira um Filtro personalizado opcional, que permite fornecer filtros LDAP arbitrários que serão aplicados ao pesquisar um usuário para vincular durante a autenticação LDAP. Isso é útil se você quiser filtrar conjuntos de registros de usuários, como usuários desativados ou que estão em outra organização.

Exemplo

Este exemplo de entrada de usuário do ldiff demonstra como definir as configurações correspondentes do Looker:

Entrada do usuário Ldiff

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Configurações correspondentes do Looker

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Como parear atributos de usuário do LDAP com atributos de usuário do Looker

Você também pode usar os dados nos atributos de usuário do LDAP para preencher automaticamente os valores nos atributos de usuário do Looker quando um usuário faz login. Por exemplo, se você configurou o LDAP para fazer conexões específicas do usuário com seu banco de dados, é possível parear os atributos de usuário do LDAP com os atributos de usuário do Looker para tornar as conexões de banco de dados específicas do usuário no Looker.

O atributo LDAP precisa ser de usuário, não de grupo.

Para parear atributos de usuário do LDAP com atributos de usuário correspondentes do Looker:

  1. Insira o nome do atributo de usuário LDAP no campo Atributo de usuário LDAP e o nome do atributo de usuário do Looker que você quer parear no campo Atributos de usuário do Looker.
  2. Marque Obrigatório se quiser exigir um valor de atributo LDAP para permitir que um usuário faça login.
  3. Clique em + e repita essas etapas para adicionar mais pares de atributos.

Informações do usuário de teste

  1. Insira as credenciais de um usuário de teste e clique no botão Teste de autenticação do usuário. O Looker vai tentar uma sequência completa de autenticação LDAP e mostrar o resultado. Em caso de sucesso, o Looker gera as informações do usuário do diretório, além de algumas informações de rastreamento sobre o processo de autenticação, que podem ajudar a resolver problemas de configuração.
  2. Verifique se a autenticação foi bem-sucedida e se todos os campos estão mapeados corretamente. Por exemplo, confirme se o campo first_name não contém um valor que pertence a last_name.

Grupos e funções

É possível configurar o Looker para criar grupos que espelham seus grupos LDAP gerenciados externamente e atribuir funções do Looker aos usuários com base nos grupos LDAP espelhados. Quando você faz mudanças na associação ao grupo do LDAP, elas são propagadas automaticamente para a configuração do grupo do Looker.

Com o espelhamento de grupos LDAP, é possível usar seu diretório LDAP definido externamente para gerenciar grupos e usuários do Looker. Isso permite gerenciar a associação a grupos de várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Refletir grupos LDAP, o Looker vai criar um grupo do Looker para cada grupo LDAP introduzido no sistema. Esses grupos do Looker podem ser visualizados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir funções aos participantes, definir controles de acesso ao conteúdo e atribuir atributos do usuário.

Grupos e funções padrão

Por padrão, a chave Refletir grupos do LDAP está desativada. Nesse caso, você pode definir um grupo padrão para novos usuários do LDAP. Nos campos Novos grupos de usuários e Novas funções de usuário, insira os nomes dos grupos ou funções do Looker que você quer atribuir aos novos usuários do Looker quando eles fizerem login pela primeira vez.

Esses grupos e funções são aplicados aos novos usuários no login inicial. Os grupos e papéis não são aplicados a usuários que já existiam e não são reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar os grupos LDAP espelhados mais tarde, esses padrões serão removidos para os usuários no próximo login e substituídos pelas funções atribuídas na seção Espelhar grupos LDAP. Essas opções padrão não estarão mais disponíveis ou atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.

Como ativar o espelhamento de grupos LDAP

Se você optar por espelhar seus grupos LDAP no Looker, ative a chave Espelhar grupos LDAP. O Looker mostra estas configurações:

Estratégia do localizador de grupos: escolha uma opção no menu suspenso para informar ao Looker como encontrar os grupos de um usuário:

  • Os grupos têm atributos de participante: essa é a opção mais comum. Ao procurar um membro do grupo, o Looker só vai retornar os grupos a que um usuário está atribuído diretamente. Por exemplo, se um usuário for membro do grupo "Database-Admin", e esse grupo for membro do grupo "Engineering", o usuário só receberá as permissões afiliadas ao grupo "Database-Admin".

  • Os grupos têm atributos de participante (pesquisa avançada): essa opção permite que os grupos sejam participantes de outros grupos, o que às vezes é chamado de grupos aninhados do LDAP. Isso significa que um usuário pode ter as permissões de mais de um grupo. Por exemplo, se um usuário for membro do grupo "Administrador de banco de dados", e esse grupo for membro do grupo "Engenharia", o usuário vai receber as permissões afiliadas a ambos os grupos. Alguns servidores LDAP (especialmente o Microsoft Active Directory) oferecem suporte para executar automaticamente esse tipo de pesquisa detalhada, mesmo quando o usuário está fazendo o que parece ser uma pesquisa superficial. Esse pode ser outro método para fazer uma pesquisa detalhada.

DN de base: permite restringir a pesquisa e pode ser o mesmo que o DN de base especificado na seção Configurações de vinculação de usuário desta página de documentação.

Classes de objetos de grupos: essa configuração é opcional. Como observado na seção Configurações de vinculação de usuário, isso permite que os resultados retornados pelo Looker sejam restritos a um tipo de objeto ou conjunto de tipos específico.

Atributo de membro do grupo: o atributo que, para cada grupo, determina os objetos (neste caso, provavelmente as pessoas) que são membros.

Atributo do usuário do grupo: o nome do atributo do usuário LDAP cujo valor será pesquisado nas entradas do grupo para determinar se um usuário faz parte dele. O padrão é dn (ou seja, deixar em branco é o mesmo que definir como dn), o que faz com que o LDAP use o nome distinto completo, que é a string exata sensível a maiúsculas e minúsculas que existiria na própria pesquisa LDAP, para pesquisar entradas de grupo.

Nome do grupo preferido/Funções/DN do grupo: esse conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo LDAP correspondente no Looker.

  1. Insira o DN do grupo LDAP no campo DN do grupo. Isso precisa incluir o nome completo, que é a string exata que diferencia maiúsculas de minúsculas e que existiria na própria pesquisa LDAP. Os usuários do LDAP incluídos no grupo do LDAP serão adicionados ao grupo espelhado no Looker.

  2. Insira um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.

  3. No campo à direita de Nome personalizado, selecione uma ou mais funções do Looker que serão atribuídas a cada usuário no grupo.

  4. Clique em + para adicionar outros conjuntos de campos e configurar mais grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um deles, clique em X ao lado do conjunto de campos desse grupo.

Se você editar um grupo espelhado que foi configurado anteriormente nessa tela, a configuração do grupo vai mudar, mas o grupo em si vai permanecer intacto. Por exemplo, você pode mudar o nome personalizado de um grupo, o que mudaria a forma como ele aparece na página Grupos do Looker, mas não alteraria as funções atribuídas e os membros do grupo. Mudar o DN do grupo manteria o nome e as funções do grupo, mas os participantes seriam reatribuídos com base nos usuários que são participantes do grupo LDAP externo com o novo DN do grupo LDAP.

Se você excluir um grupo nessa página, ele não será mais espelhado no Looker, e os membros não terão mais as funções atribuídas a eles no Looker por esse grupo.

Todas as edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo no próximo login no Looker.

Gerenciamento avançado de papéis

Se você ativou a chave Refletir grupos LDAP, o Looker mostra essas configurações. As opções nesta seção determinam a flexibilidade dos administradores do Looker ao configurar grupos e usuários espelhados do Looker.

Por exemplo, se você quiser que a configuração de grupo e usuário do Looker corresponda exatamente à configuração do LDAP, ative essas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a participação em grupos espelhados e só podem atribuir funções a usuários por meio desses grupos.

Se quiser mais flexibilidade para personalizar ainda mais seus grupos no Looker, desative essas opções. Seus grupos do Looker ainda vão espelhar a configuração do LDAP, mas você poderá fazer mais gerenciamento de grupos e usuários no Looker, como adicionar usuários do LDAP a grupos do Looker ou atribuir funções do Looker diretamente a usuários do LDAP.

Para novas instâncias do Looker ou instâncias que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.

Para instâncias do Looker que já têm grupos espelhados configurados, essas opções ficam ativadas por padrão.

A seção Gerenciamento avançado de funções contém estas opções:

Impedir que usuários individuais do LDAP recebam papéis diretos: ao ativar essa opção, os administradores do Looker não podem atribuir papéis do Looker diretamente aos usuários do LDAP. Os usuários do LDAP vão receber papéis apenas pelas associações a grupos. Se os usuários do LDAP puderem participar de grupos integrados do Looker (não espelhados), eles ainda poderão herdar papéis de grupos espelhados do LDAP e de grupos integrados do Looker. Os usuários do LDAP que receberam papéis diretamente vão perder essas atribuições no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão atribuir papéis do Looker diretamente aos usuários do LDAP como se eles tivessem sido configurados diretamente no Looker.

Impedir a associação direta a grupos que não são do LDAP: ao ativar essa opção, os administradores do Looker não podem adicionar usuários do LDAP diretamente aos grupos integrados do Looker. Se os grupos LDAP espelhados puderem ser participantes de grupos integrados do Looker, os usuários do LDAP poderão manter a participação em qualquer grupo pai do Looker. Todos os usuários do LDAP que foram atribuídos a grupos integrados do Looker serão removidos desses grupos no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do LDAP diretamente aos grupos integrados do Looker.

Impedir a herança de papéis de grupos que não são do LDAP: ao ativar essa opção, os membros de grupos LDAP espelhados não herdam papéis de grupos integrados do Looker. Os usuários do LDAP que herdaram papéis de um grupo principal do Looker vão perder essas funções no próximo login.

Se essa opção estiver desativada, os grupos LDAP espelhados ou os usuários LDAP adicionados como membros de um grupo integrado do Looker vão herdar as funções atribuídas ao grupo principal do Looker.

A autenticação exige função: se essa opção estiver ativada, os usuários do LDAP precisarão ter uma função atribuída. Os usuários do LDAP que não tiverem uma função atribuída não poderão fazer login no Looker.

Se essa opção estiver desativada, os usuários do LDAP poderão se autenticar no Looker mesmo sem uma função atribuída. Um usuário sem função atribuída não poderá ver dados nem realizar ações no Looker, mas poderá fazer login.

Desativar grupos LDAP espelhados

Se você quiser parar de espelhar seus grupos do LDAP no Looker, desative a chave Espelhar grupos do LDAP. Desativar a chave resulta no seguinte comportamento:

  • Qualquer grupo LDAP espelhado sem usuários é excluído imediatamente.
  • Qualquer grupo LDAP espelhado que não contenha usuários será marcado como órfão. Se nenhum usuário desse grupo fizer login em 31 dias, o grupo será excluído. Não é mais possível adicionar ou remover usuários de grupos LDAP órfãos.

Opções de migração e integração

Login alternativo para administradores e usuários especificados

  • Permita um login alternativo com base em e-mail para administradores e usuários com a permissão login_special_email. Leia mais sobre como definir essa permissão na documentação de funções. Essa opção vai aparecer na página de login do Looker se você a tiver ativado e o usuário tiver a permissão adequada.
  • Essa opção é útil como alternativa durante a configuração do LDAP, se ocorrerem problemas de configuração do LDAP posteriormente ou se você precisar oferecer suporte a alguns usuários que não estão no seu diretório LDAP.
  • Os logins por e-mail e senha do Looker são sempre desativados para usuários comuns quando o LDAP está ativado.

Mesclar por e-mail

  • Com essa opção, o Looker pode mesclar usuários do LDAP que estão usando o serviço pela primeira vez com as contas do Looker atuais, com base no endereço de e-mail.
  • Se o Looker não encontrar um endereço de e-mail correspondente, uma nova conta será criada para o usuário.

Salvar e aplicar as configurações

Depois de inserir as informações e passar em todos os testes, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.