请注意，您正在查看 Looker 文档。如需查看 Looker Studio 文档，请访问 https://support.google.com/looker-studio。

此页面由 Cloud Translation API 翻译。

管理员设置 - OpenID Connect 身份验证

公司使用不同的 OpenID Connect 提供商 (OP) 与 OpenID Connect（例如 Okta 或 OneLogin）协调。以下设置说明和 Looker 界面中使用的术语可能与您的 OP 中使用的术语不直接一致。

通过“管理”菜单的 Authentication 部分的 OpenID Connect 页面，您可以将 Looker 配置为使用 OpenID Connect 协议对用户进行身份验证。本页面介绍了该流程，并说明了如何将 OpenID Connect 群组与 Looker 角色和权限相关联。

规划时的注意事项

请考虑使用指定用户的备用登录选项，允许 Looker 管理员在不使用 OpenID Connect 的情况下访问 Looker。
在使用 OpenID Connect 登录 Looker 时，请勿停用 OpenID Connect 身份验证，除非您设置了备用账号登录信息。否则，您可能会无法访问该应用。
Looker 可以使用来自当前电子邮件地址和密码设置、LDAP、SAML 或 Google 身份验证的电子邮件地址将现有帐号迁移到 OpenID Connect。您可以在设置过程中对此进行配置。
Looker 仅支持使用 OpenID Connect 的授权代码流程进行 OpenID Connect 身份验证。不支持其他代码流程。
OpenID Connect 规范包含可选的发现机制。Looker 不支持此机制，因此您必须在 OpenID Connect 身份验证设置部分提供明确的网址，如配置 OpenID Connect 身份验证设置中所述。

设置 OpenID Connect

如需设置 Looker 与 OpenID Connect 之间的关联，请执行以下任务：

向 OpenID Connect Provider (OP) 提供 Looker 网址。
从您的 OP 处获取所需信息。

在 OP 上设置 Looker

您的 OpenID Connect Provider (OP) 将需要 Looker 实例的网址。您的 OP 可能会将其称为重定向 URI 或登录重定向 URI 以及其他名称。在您的 OP 网站上，向 OP 提供您通常在浏览器中访问 Looker 实例的网址，后跟 /openidconnect。例如 https://instance_name.looker.com/openidconnect。

从 OP 获取信息

如需为 OpenID Connect 身份验证配置 Looker，您需要 OP 的以下信息：

客户端标识符和客户端密钥。当您配置重定向 URI 时，这些标识符通常由 OP 在其网站上提供。
在 OpenID Connect 身份验证过程中，Looker 将连接到三个不同的端点：一个身份验证端点、一个 ID 令牌端点和一个用户信息端点。您需要您的 OP 用于每个端点的网址。
每个 OP 都会以集合（称为“作用域”）提供用户信息。你需要知道 OP 使用的范围的名称。OpenID Connect 需要 openid 范围，但您的 OP 可能会包含其他范围，例如 email、profile 和 groups。
在 OpenID Connect 中，存储用户数据的属性称为声明。您需要知道您的 OP 会将哪些声明传递给 Looker，以在您的 Looker 实例上提供您需要的用户信息。Looker 要求包含电子邮件地址和姓名信息的声明，但如果您有任何其他用户属性（例如时区或部门），Looker 还需要确定哪些声明包含该信息。声明可以包含在来自用户信息端点或 ID 令牌端点的响应中。Looker 可以将任一端点返回的声明映射到 Looker 用户属性。

许多 OP 以发现文档的形式提供了有关配置 OpenID Connect 的信息，让您能够收集为 OpenID Connect 配置 Looker 所需的部分或全部信息。如果您无权访问发现文档，则需要从您的运营部或内部身份验证团队获取必要信息。

以下部分摘自一个发现文档示例：

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

配置 OpenID Connect 身份验证设置

使用从 OP 的发现文档、OP 或内部身份验证团队获取的配置信息在以下字段中输入连接设置：

标识符：您的 Looker 实例独有的客户端标识符。该 ID 应由您的 OP 提供。

密钥：您的 Looker 实例独有的客户端密钥。该 ID 应由您的 OP 提供。

颁发者：用于标识您的 OP 的安全网址。

受众群体：向您的 OP 表明您的客户的标识符。通常与您的标识符值相同，但可能会有所不同。

授权网址：身份验证序列开始处的 OP 的网址。通常在发现文档中称为 authorization_endpoint。

令牌网址：Looker 在获得授权后检索 OAuth 令牌的网址。通常在发现文档中称为 token_endpoint。

用户信息网址：Looker 检索详细用户信息的网址。通常在发现文档中称为 userinfo_endpoint。

范围：OP 用于向 Looker 提供用户信息的范围列表（以英文逗号分隔）。您必须添加 openid 范围以及包含 Looker 所需信息（包括电子邮件地址、用户名以及在 Looker 实例上配置的任何用户属性）的所有范围。

配置用户属性设置

在本部分中，您需要将 OP 的声明映射到 Looker 用户属性。

在用户属性设置部分，输入 OP 声明的名称，其中包含每个字段的相应信息。这会告知 Looker 如何在登录时将这些声明映射到 Looker 用户信息。Looker 对声明的构建方式并不讲究，只需确保在此处输入的声明信息与 OP 中定义声明的方式一致即可。

标准版权主张

Looker 需要用户名和电子邮件信息以进行用户身份验证。在此部分中输入 OP 的相应声明信息：

电子邮件声明：您的 OP 对用户电子邮件地址（例如 email）使用的声明。

名字声明：您的 OP 对用户名字使用的声明，例如 given_name。

姓氏声明：您的 OP 对用户姓氏的声明，例如 family_name。

请注意，有些 OP 针对姓名使用单一声明，而不是将名字和姓氏分开。如果您的 OP 属于这种情况，请在 First Name Claim 和 Last Name Claim 字段中输入存储了姓名的声明。对于每位用户，Looker 会将第一个空格之前的内容用作名字，之后的所有内容用作姓氏。

属性配对

您可以选择使用 OpenID Connect 声明中的数据，以便在用户登录时自动填充 Looker 用户属性中的值。例如，如果您已将 OpenID Connect 配置为与数据库建立特定于用户的连接，则可以将 OpenID Connect 声明与 Looker 用户属性配对，以在 Looker 中使数据库连接特定于用户。

如需将声明与相应 Looker 用户属性配对，请执行以下操作：

在 Claim 字段中输入由 OP 标识的声明，然后在 Looker 用户属性字段中输入要与之配对的 Looker 用户属性。
如果您希望禁止任何用户帐号在该声明字段中缺少值，请选中必需复选框。
点击 + 并重复这些步骤，以添加更多声明和属性对。

请注意，某些 OP 可能具有“嵌套”声明。例如：

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

在前面的示例中，locality 声明嵌套在 address 声明中。对于嵌套声明，请指定父声明和嵌套声明，并用正斜线 ( / ) 字符分隔。如要为示例中的 locality 声明配置 Looker，请输入 address/locality。

群组和角色

您可以选择让 Looker 创建镜像您的外部管理的 OpenID Connect 群组的群组，然后根据用户镜像的 OpenID Connect 群组为用户分配 Looker 角色。当您对 OpenID Connect 群组成员资格进行更改时，这些更改会自动传播到 Looker 的群组配置中

通过镜像 OpenID Connect 群组，您可以使用外部定义的 OpenID Connect 目录管理 Looker 群组和用户。这样一来，您就可以在一个位置集中管理 Looker 等多种软件即服务 (SaaS) 工具的群组成员资格。

如果您启用 Mirror OpenID Connect Groups，则 Looker 将为在系统中引入的每个 OpenID Connect 群组创建一个 Looker 群组。您可以在 Looker 管理部分的群组页面上查看这些 Looker 群组。群组可用于为群组成员分配角色、设置内容访问权限控制以及分配用户属性。

默认群组和角色

默认情况下，Mirror OpenID Connect Groups 开关处于关闭状态。在这种情况下，您可以为 OpenID Connect 新用户设置默认群组。在新建用户组和新建用户角色字段中，输入您希望在新的 Looker 用户首次登录 Looker 时向其分配的所有 Looker 群组或角色的名称：

新用户初次登录时，这些群组和角色将应用于新用户。而不会应用于既有的用户，如果在初次登录后将其从用户中移除，也不会重新应用。

启用镜像 OpenID Connect 群组

如需在 Looker 中镜像您的 OpenID Connect 群组，请开启镜像 OpenID Connect 群组开关：

群组声明：输入您的 OP 用于存储群组名称的声明。Looker 将为群组声明引入系统的每个 OpenID Connect 群组创建一个 Looker 群组。您可以在 Looker 管理部分的群组页面上查看这些 Looker 群组。群组可用于设置内容访问权限控制和分配用户属性。

首选群组名称 / 角色 / OpenID Connect 群组名称：通过这组字段，您可以分配自定义群组名称，以及分配给 Looker 中相应 OpenID Connect 群组的一个或多个角色：

在 OpenID Connect 群组名称字段中输入 OpenID Connect 群组名称。包含在 OpenID Connect 群组中的 OpenID Connect 用户将被添加到 Looker 内的镜像群组中。
在自定义名称字段中，为镜像的群组输入自定义名称。这个名称将显示在 Looker 管理部分的群组页面中。
在自定义名称字段右侧的字段中，选择一个或多个 Looker 角色，这些角色将分配给群组中的各个用户。
点击 + 可添加其他字段集，以配置其他镜像群组。如果您配置了多个群组，但想要移除该群组的配置，请点击该群组字段旁边的 X。

如果您修改此屏幕中之前配置的镜像群组，该群组的配置将会更改，但群组本身将保持不变。例如，您可以更改群组的自定义名称，这会更改群组在 Looker 群组页面中的显示方式，但不会更改已分配的角色和群组成员。更改 OpenID Connect 群组 ID 将保留群组名称和角色，但系统会根据用户（这些用户是具有新 OpenID Connect 群组 ID 的外部 OpenID Connect 群组的成员）重新分配群组成员。

如果您在此页面中删除某个群组，则该群组将不会再在 Looker 中镜像，且其成员在 Looker 中将不再具有通过该群组分配给他们的角色。

对镜像群组所做的任何修改都会在该群组的用户下次登录 Looker 时应用。

高级角色管理

如果您启用了 Mirror OpenID Connect Groups 开关，Looker 会显示这些设置。本部分中的选项决定了 Looker 管理员在配置从 OpenID Connect 镜像的 Looker 群组和用户的灵活性。

例如，如果您希望 Looker 群组和用户配置与 OpenID Connect 配置完全匹配，请启用这些选项。启用前三个选项后，Looker 管理员将无法修改镜像群组的成员资格，而只能通过 OpenID Connect 镜像群组为用户分配角色。

如果您希望更灵活地在 Looker 中进一步自定义群组，请关闭这些选项。您的 Looker 群组仍会反映您的 OpenID Connect 配置，但您可以在 Looker 中执行其他群组和用户管理，例如将 OpenID Connect 用户添加到 Looker 专用群组，或直接向 OpenID Connect 用户分配 Looker 角色。

对于新的 Looker 实例或之前未配置镜像群组的实例，这些选项默认处于停用状态。

对于配置了镜像群组的现有 Looker 实例，这些选项默认处于启用状态。

高级角色管理部分包含以下选项：

阻止单个 OpenID Connect 用户接收直接角色：启用此选项可阻止 Looker 管理员直接将 Looker 角色分配给 OpenID Connect 用户。OpenID Connect 用户只能通过其群组成员资格获得角色。如果允许 OpenID Connect 用户成为内置（而非镜像）Looker 群组的成员，他们仍然可以同时从镜像的 OpenID Connect 群组和内置 Looker 群组继承其角色。之前直接获得过角色的所有 OpenID Connect 用户在下次登录时都将移除这些角色。

如果此选项处于关闭状态，Looker 管理员可以直接向 OpenID Connect 用户分配 Looker 角色，就如同直接在 Looker 中配置的用户一样。

禁止在非 OpenID Connect 群组中使用直接成员资格：启用此选项后，Looker 管理员将无法将 OpenID Connect 用户直接添加到内置的 Looker 群组。如果允许镜像的 OpenID Connect 群组成为内置 Looker 群组的成员，则 OpenID Connect 用户可以保留任何父级 Looker 群组的成员资格。之前分配到内置 Looker 群组的所有 OpenID Connect 用户都将在下次登录时从这些群组中移除。

如果此选项处于关闭状态，Looker 管理员可以将 OpenID Connect 用户直接添加到内置的 Looker 群组。

防止从非 OpenID Connect 群组继承角色：启用此选项可阻止镜像的 OpenID Connect 群组的成员继承内置 Looker 群组的角色。之前从父级 Looker 群组继承角色的任何 OpenID Connect 用户都将在下次登录时失去这些角色。

如果此选项处于关闭状态，已镜像的 OpenID Connect 群组或添加为内置 Looker 群组成员的 OpenID Connect 用户将继承分配给父级 Looker 群组的角色。

身份验证需要角色：如果启用此选项，则必须为 OpenID Connect 用户分配角色。任何未被分配角色的 OpenID Connect 用户根本无法登录 Looker。

如果此选项处于关闭状态，OpenID Connect 用户即使未分配角色，也可以向 Looker 进行身份验证。未获得角色的用户将无法在 Looker 中查看任何数据或执行任何操作，但可以登录 Looker。

停用镜像 OpenID Connect 群组

如果您想停止在 Looker 中镜像 OpenID Connect 群组，请关闭镜像 OpenID Connect 群组开关。任何空的镜像 OpenID Connect 群组都将被删除。

非空的镜像 OpenID Connect 群组仍可用于内容管理和角色创建。但是，您无法向镜像 OpenID Connect 群组添加用户或从中移除用户。

配置迁移选项

如本部分所述，Looker 建议您启用备用登录，并为现有用户提供合并策略。

指定用户的备用登录信息

启用 OpenID Connect 身份验证后，常规用户的 Looker 电子邮件地址和密码登录将始终停用。指定用户的备用登录信息选项可为管理员以及拥有 login_special_email 权限的指定用户使用 /login/email 启用基于电子邮件的备用登录信息。

如果稍后出现 OpenID Connect 配置问题，或者您需要为一些没有在您的 OpenID Connect 目录中没有帐号的用户提供支持，那么启用此设置非常有帮助。

指定用于将 OpenID Connect 用户合并到 Looker 账号的方法

在合并用户字段中，指定用于将首次 Open ID Connect 登录与现有用户帐号合并的方法。您可以合并以下系统中的用户：

Looker 电子邮件地址/密码（不适用于 Looker (Google Cloud Core)）
Google
LDAP（不适用于 Looker (Google Cloud Core)）
SAML

如果您有多个身份验证系统，您可以在此字段中指定多个要合并的系统。Looker 会按照用户指定的顺序从所列系统中查找用户。例如，假设您使用 Looker 电子邮件地址/密码创建了一些用户，然后启用了 LDAP，现在想要使用 OpenID Connect。在前面的示例中，Looker 会先通过电子邮件地址和密码合并，然后再通过 LDAP 进行合并。

当用户首次使用 OpenID Connect 登录时，此选项会通过查找具有匹配电子邮件地址的帐号，将用户与现有帐号关联。如果用户没有现有账号，系统会创建新的用户账号。

在使用 Looker (Google Cloud Core) 时合并用户

当您使用 Looker (Google Cloud Core) 和 OpenID Connect 时，合并的运作方式如上一部分所述。不过，只有在满足以下两个条件之一时才能执行此操作：

条件 1：用户通过 OpenID Connect 协议使用其 Google 身份在 Looker (Google Cloud Core) 中进行身份验证。
条件 2：在选择合并选项之前，您已完成以下两个步骤：
1. 使用 Cloud Identity 在 Google Cloud 中联合用户的身份。
2. 将 OAuth 身份验证设置为使用联合用户的备用身份验证方法。

如果设置不满足这两个条件中的任何一个，合并用户选项将无法使用。

合并时，Looker 会搜索具有相同电子邮件地址的用户记录。

测试用户身份验证

指定此配置时，点击 Test 按钮以测试 OpenID Connect 配置。

测试将重定向到端点并打开新的浏览器标签页。该标签页会显示以下内容：

Looker 是否能够与各种端点通信并验证
身份验证端点响应的跟踪记录
Looker 从用户信息端点获取的用户信息
收到的 ID 令牌的解码版本和原始版本

您可以使用此测试来验证从各个端点收到的信息是否正确，并排查任何错误。

提示：

即使 OpenID Connect 仅进行了部分配置，您也可以随时运行此测试。在配置期间运行测试有助于了解需要配置哪些参数。
此测试会使用在 OpenID Connect 身份验证页面上输入的设置，即使这些设置尚未保存也是如此。测试不会影响或更改该页面上的任何设置。

保存并应用设置

输入完信息并且所有测试均已通过后，请选中 I have Confirm the above configuration and want to enable it to global apply it（我已确认上述配置，并希望启用全局应用配置）并点击 Update Settings（更新设置）进行保存。