Administratoreinstellungen – OpenID Connect-Authentifizierung

Unternehmen nutzen verschiedene OpenID Connect-Anbieter (OPs), um sich mit OpenID Connect zu koordinieren, z. B. Okta oder OneLogin. Die in den folgenden Einrichtungsanweisungen und in der Looker-Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit denen überein, die in Ihrem OP verwendet werden.

Auf der Seite OpenID Connect im Abschnitt Authentifizierung des Admin-Menüs können Sie Looker so konfigurieren, dass Nutzer mit dem OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie dort eine Anleitung zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und ‐Berechtigungen.

Überlegungen zur Planung

• Sie können die Option Alternative Anmeldung für angegebene Nutzer verwenden, damit Looker-Administratoren ohne OpenID Connect auf Looker zugreifen können.
• Deaktivieren Sie die OpenID Connect-Authentifizierung nicht, während Sie mit OpenID Connect bei Looker angemeldet sind, es sei denn, Sie haben ein alternatives Konto-Log-in eingerichtet. Andernfalls kann es passieren, dass Sie die App nicht mehr nutzen können.
• Looker kann bestehende Konten zu OpenID Connect migrieren. Dazu werden E-Mail-Adressen verwendet, die aus den aktuellen E-Mail- und Passworteinstellungen, aus LDAP, SAML oder Google Auth stammen. Diese Einstellungen können Sie während der Einrichtung vornehmen.
• Looker unterstützt nur die OpenID Connect-Authentifizierung mithilfe des Autorisierungscode-Vorgangs von OpenID Connect. Andere Codeabläufe werden nicht unterstützt.
• Die OpenID Connect-Spezifikation enthält einen optionalen Erkennungsmechanismus. Looker unterstützt diesen Mechanismus nicht. Daher müssen Sie explizite URLs im Abschnitt OpenID Connect Auth Settings angeben, wie unten beschrieben.

OpenID Connect einrichten

Führen Sie die folgenden Aufgaben aus, um die Verbindung zwischen Looker und OpenID Connect einzurichten:

1. Geben Sie Ihrem OpenID Connect-Anbieter (OP) Ihre Looker-URL.
2. Rufe die erforderlichen Informationen aus deinem OP ab.

Looker im OP einrichten

Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Dein OP kann unter anderem Weiterleitungs-URI oder Log-in-Weiterleitungs-URI nennen. Geben Sie auf der Website Ihres OPs die URL an, unter der Sie normalerweise über einen Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect

Informationen aus deinem OP abrufen

Um Looker für die OpenID Connect-Authentifizierung zu konfigurieren, benötigen Sie die folgenden Informationen aus Ihrem OP:

• Eine Client-ID und ein Clientschlüssel. Diese werden normalerweise vom OP auf der Website bereitgestellt, wenn Sie den Weiterleitungs-URI wie oben beschrieben konfigurieren.
• Während der OpenID Connect-Authentifizierung stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Endpunkt für Nutzerdaten. Sie benötigen die URLs, die Ihr OP für jeden dieser Endpunkte verwendet.
• Jede OP stellt Benutzerinformationen in Sätzen bereit, die als Bereiche bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. Für OpenID Connect ist der Bereich openid erforderlich. Ihr OP enthält jedoch wahrscheinlich andere Bereiche wie email, profile und groups.
• In OpenID Connect werden Attribute, die Nutzerdaten speichern, als Anforderungen bezeichnet. Sie müssen wissen, welche Anforderungen Ihr OP an Looker übergibt, um die gewünschten Benutzerinformationen in Ihrer Looker-Instanz bereitzustellen. Looker benötigt Anforderungen, die E-Mail- und Namensinformationen enthalten. Wenn Sie jedoch andere Benutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch ermitteln, welche Anforderungen diese Informationen enthalten. Ansprüche können entweder vom Endpunkt für Nutzerinformationen oder vom ID-Token-Endpunkt in die Antwort aufgenommen werden. Looker kann Anforderungen, die von einem der beiden Endpunkte zurückgegeben werden, den Looker-Nutzerattributen zuordnen.

Viele Ops bieten Informationen zum Konfigurieren von OpenID Connect in Form eines Discovery-Dokuments, sodass Sie einige oder alle Informationen erfassen können, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn Sie keinen Zugriff auf ein Discovery-Dokument haben, müssen Sie die erforderlichen Informationen von Ihrem OP oder dem internen Authentifizierungsteam einholen.

Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

OpenID Connect-Authentifizierungseinstellungen konfigurieren

Verwenden Sie die Konfigurationsinformationen, die Sie aus dem Discovery-Dokument des OP, Ihrem OP oder Ihrem internen Authentifizierungsteam erhalten haben, um Verbindungseinstellungen in die folgenden Felder einzugeben:

ID: Die eindeutige Client-ID für Ihre Looker-Instanz. Dies sollte von deinem OP bereitgestellt werden.

Secret: Der für Ihre Looker-Instanz eindeutige Clientschlüssel. Dies sollte von deinem OP bereitgestellt werden.

Issuer (Aussteller): Die sichere URL, die dein OP identifiziert.

Audience: Eine Kennung, die Ihrem OP angibt, wer der Client ist. Dies ist häufig mit dem Identifier-Wert identisch, kann aber auch ein anderer Wert sein.

Autorisierungs-URL: Die URL des Vorgangs, bei dem die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument häufig authorization_endpoint genannt.

Token-URL: Die URL, über die Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument häufig token_endpoint genannt.

URL für Nutzerinformationen: Die URL, unter der Looker detaillierte Nutzerinformationen abruft. Wird in einem Discovery-Dokument häufig userinfo_endpoint genannt.

Bereiche: Eine durch Kommas getrennte Liste von Bereichen, die vom OP zum Bereitstellen von Nutzerinformationen für Looker verwendet werden. Sie müssen den Bereich openid und alle Bereiche angeben, die die von Looker benötigten Informationen enthalten. Dazu gehören E-Mail-Adressen, Nutzernamen und Nutzerattribute, die in Ihrer Looker-Instanz konfiguriert wurden.

Einstellungen für Nutzerattribute konfigurieren

In diesem Abschnitt ordnen Sie die Anforderungen Ihres OP den Nutzerattributen von Looker zu.

Geben Sie im Abschnitt User Attribute Settings (Einstellungen für Benutzerattribute) den Namen der Anforderung Ihres OP ein, die die entsprechenden Informationen für jedes Feld enthält. So weiß Looker, wie diese Anforderungen bei der Anmeldung den Looker-Benutzerinformationen zugeordnet werden sollen. Bei Looker geht es nicht um die Art und Weise, wie Ansprüche aufgebaut sind. Es ist nur wichtig, dass die hier eingegebenen Anspruchsinformationen mit der Definition der Anforderungen in Ihrem OP übereinstimmen.

Standardansprüche

In Looker sind Nutzername und E-Mail-Adresse für die Nutzerauthentifizierung erforderlich. Gib in diesem Abschnitt die Anspruchsinformationen deines OPs ein:

E-Mail-Anspruch: Der Anspruch, den Ihr OP für Nutzer-E-Mail-Adressen wie email verwendet.

Vornamenanspruch: Die Behauptung, die Ihr OP für Vornamen von Nutzern verwendet, z. B. given_name.

Nachnamenanspruch: Die Behauptung, die Ihr OP für den Nachnamen von Nutzern verwendet, z. B. family_name.

Beachte, dass einige Ops eine einzelne Anforderung für Namen verwenden, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem OP der Fall ist, geben Sie den Anspruch, bei dem die Namen gespeichert werden, sowohl in das Feld First Name Claim als auch in Last Name Claim ein. Looker verwendet für jeden Nutzer den Inhalt bis zum ersten Leerzeichen als Vorname und alle folgenden Informationen als Nachname.

Attributpaare

Optional können Sie die Daten in Ihren OpenID Connect-Anforderungen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise OpenID Connect so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre OpenID Connect-Anforderungen mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So koppeln Sie Anforderungen mit entsprechenden Looker-Benutzerattributen:

1. Geben Sie den durch Ihr OP ermittelten Anspruch in das Feld Anspruch ein und das Looker-Nutzerattribut, mit dem Sie ihn verknüpfen möchten, im Feld Looker-Nutzerattribute.
2. Klicken Sie das Kästchen Erforderlich an, wenn Sie die Anmeldung durch Nutzerkonten blockieren möchten, bei denen ein Wert im Anspruchsfeld fehlt.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Anspruchs- und Attributpaare hinzuzufügen.

Beachte, dass einige OPs „verschachtelte“ Ansprüche haben können. Beispiel:

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

Im vorherigen Beispiel ist die locality-Anforderung innerhalb der address-Anforderung verschachtelt. Gib für verschachtelte Ansprüche die übergeordneten und die verschachtelten Anforderungen an, getrennt durch einen Schrägstrich ( / ). Um Looker für die locality-Anforderung im Beispiel zu konfigurieren, geben Sie address/locality ein.

Gruppen und Rollen

Sie haben die Möglichkeit, dass Looker Gruppen erstellen kann, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln, und Nutzern dann anhand ihrer gespiegelten OpenID Connect-Gruppen Looker-Rollen zuweisen. Wenn Sie Änderungen an Ihrer OpenID Connect-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen

Durch das Spiegeln von OpenID Connect-Gruppen können Sie Ihr extern definiertes OpenID Connect-Verzeichnis zum Verwalten von Looker-Gruppen und ‐Nutzern verwenden. Auf diese Weise können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede OpenID Connect-Gruppe, die in das System eingeführt wird. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und -rollen

Der Schalter OpenID Connect-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung von Nutzern entfernt werden.

Spiegeln von OpenID Connect-Gruppen aktivieren

Aktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln, um Ihre OpenID Connect-Gruppen in Looker zu spiegeln:

Groups Claim (Gruppenanforderung): Geben Sie den Anspruch ein, den Ihr OP zum Speichern von Gruppennamen verwendet. Looker erstellt eine Looker-Gruppe für jede OpenID Connect-Gruppe, die durch die Groups-Anforderung in das System eingeführt wird. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Gruppen können verwendet werden, um Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Bevorzugter Gruppenname / Rollen / OpenID Connect-Gruppenname: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden OpenID Connect-Gruppe in Looker zugewiesen sind:

1. Geben Sie den Namen der OpenID Connect-Gruppe in das Feld OpenID Connect-Gruppenname ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird von Looker im Bereich Admin auf der Seite Gruppen angezeigt.

3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

4. Klicken Sie auf +, um weitere Felder hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern der Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, aber die Gruppe selbst bleibt intakt. Beispielsweise können Sie den benutzerdefinierten Namen einer Gruppe ändern. Dadurch würde die Gruppe zwar auf der Looker-Seite Gruppen angezeigt, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die OpenID Connect-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten, aber Mitglieder der Gruppe werden basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe sind, die die neue OpenID Connect-Gruppen-ID hat.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihren Mitgliedern werden die Rollen in Looker nicht mehr über diese Gruppe zugewiesen.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal bei Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter OpenID Connect-Gruppen spiegeln aktiviert haben, werden in Looker diese Einstellungen angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und -Benutzern haben, die aus OpenID Connect gespiegelt wurden.

Wenn beispielsweise Ihre Looker-Gruppen- und Nutzerkonfiguration genau Ihrer OpenID Connect-Konfiguration entsprechen soll, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über gespiegelte OpenID Connect-Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität wünschen, um Ihre Gruppen in Looker weiter anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration, Sie können aber zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen. So können Sie z. B. OpenID Connect-Nutzern Looker-spezifischen Gruppen hinzufügen oder OpenID Connect-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder Instanzen, für die zuvor keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Looker-Rollen nicht direkt OpenID Connect-Nutzern zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzer die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen zulassen, können sie ihre Rollen sowohl von gespiegelten OpenID Connect-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, denen Rollen zuvor direkt zugewiesen waren, werden bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern direkt Looker-Rollen zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in Nicht-OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren OpenID Connect-Nutzer direkt integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können OpenID Connect-Nutzer ihre Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle OpenID Connect-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt in integrierte Looker-Gruppen aufnehmen.

Rollenübernahme von Nicht-OpenID-Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, wird verhindert, dass Mitglieder von gespiegelten OpenID Connect-Gruppen Rollen von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt wurden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Authentifizierung erfordert Rolle: Wenn diese Option aktiviert ist, müssen OpenID Connect-Nutzer eine Rolle haben. OpenID Connect-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht bei Looker anmelden.

Ist diese Option deaktiviert, können sich OpenID Connect-Nutzer auch dann bei Looker authentifizieren, wenn ihnen keine Rolle zugewiesen wurde. Ein Nutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen oder Aktionen ausführen, sich aber bei Looker anmelden.

Spiegel-OpenID Connect-Gruppen deaktivieren

Wenn Sie das Spiegeln Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Alle leeren Spiegel-OpenID Connect-Gruppen werden gelöscht.

Nicht leere Spiegel-OpenID Connect-Gruppen bleiben für das Content-Management und die Rollenerstellung verfügbar. Nutzer können jedoch nicht zu gespiegelten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen konfigurieren

Wie in diesem Abschnitt erläutert, empfiehlt Looker, die Option Alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für bestehende Nutzer anzugeben.

Alternative Anmeldung für bestimmte Nutzer

Die E-Mail- und Passwort-Anmeldungen in Looker sind für normale Nutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Mit der Option Alternative Anmeldung für angegebene Nutzer wird eine alternative E-Mail-basierte Anmeldung mit /login/email für Administratoren und für bestimmte Nutzer mit der Berechtigung login_special_email aktiviert.

Das Aktivieren dieser Funktion ist als Ausweichlösung bei der Einrichtung von OpenID Connect nützlich, falls OpenID Connect-Konfigurationsprobleme später auftreten oder wenn Sie Nutzer unterstützen müssen, die keine Konten in Ihrem OpenID Connect-Verzeichnis haben.

Methode zum Zusammenführen von OpenID Connect-Nutzern mit einem Looker-Konto angeben

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, mit der eine erstmalige Open ID Connect-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• Looker-E-Mail-Adresse und -Passwort (nicht für Looker (Google Cloud Core) verfügbar)
• Google
• LDAP (nicht verfügbar für Looker (Google Cloud Core))
• SAML

Wenn Sie mehrere Authentifizierungssysteme verwenden, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker sucht nach Nutzern aus den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit Looker-E-Mail-Adresse und ‐Passwort erstellt, dann LDAP aktiviert und möchten nun OpenID Connect verwenden. Im vorherigen Beispiel würde Looker zuerst nach E-Mail-Adresse und Passwort und dann nach LDAP zusammenführen.

Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird über diese Option eine Verbindung zu seinem bestehenden Konto hergestellt, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gesucht wird. Wenn für den Nutzer noch kein Konto vorhanden ist, wird ein neues Konto erstellt.

Nutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen

Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert die Zusammenführung wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der folgenden beiden Bedingungen erfüllt ist:

• Bedingung 1: Nutzer authentifizieren sich bei Looker (Google Cloud Core) mit ihren Google-Identitäten über das OpenID Connect-Protokoll.

• Bedingung 2: Bevor Sie die Zusammenführungsoption auswählen, müssen Sie die folgenden zwei Schritte ausgeführt haben:

  1. Identitäten von föderierten Nutzern in Google Cloud mithilfe von Cloud Identity
  2. Richten Sie die OAuth-Authentifizierung als sekundäre Authentifizierungsmethode mithilfe der föderierten Nutzer ein.

Wenn bei der Einrichtung eine dieser beiden Bedingungen nicht erfüllt ist, ist die Option Nutzer zusammenführen mithilfe von nicht verfügbar.

Beim Zusammenführen sucht Looker nach Benutzerdatensätzen mit derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie während der Angabe der Konfiguration auf die Schaltfläche Testen, um Ihre OpenID Connect-Konfiguration zu testen.

Tests werden an die Endpunkte weitergeleitet und ein neuer Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:

• Ob Looker mit den verschiedenen Endpunkten kommunizieren und die Validierung
• Trace der Antwort des Authentifizierungsendpunkts
• Die Nutzerinformationen, die Looker vom Endpunkt für Nutzerinformationen erhält
• Sowohl decodierte als auch die Rohversion des erhaltenen ID-Tokens

Mit diesem Test können Sie prüfen, ob die von den verschiedenen Endpunkten empfangenen Informationen korrekt sind, und Fehler beheben.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
• Für den Test werden die auf der Seite OpenID Connect-Authentifizierung eingegebenen Einstellungen verwendet, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test wirkt sich nicht auf die Einstellungen auf dieser Seite aus und ändert diese auch nicht.

Speichern und Einstellungen anwenden

Wenn Sie mit der Eingabe Ihrer Informationen fertig sind und alle Tests bestanden wurden, klicken Sie auf das Kästchen Ich habe die Konfiguration oben bestätigt und möchte die globale Anwendung aktivieren und zum Speichern auf Einstellungen aktualisieren.