Unternehmen verwenden verschiedene OpenID Connect-Anbieter (OPs), um OpenID Connect zu koordinieren (z. B. Okta oder OneLogin). Die in den folgenden Einrichtungsanweisungen und der Looker-Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit den in Ihrem OP verwendeten Begriffen überein.
Im Abschnitt Authentifizierung des Admin-Menüs können Sie auf der Seite OpenID Connect Looker so konfigurieren, dass Nutzer über das OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Vorgang beschrieben und es gibt eine Anleitung zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und ‑Berechtigungen.
Überlegungen zur Planung
- Mit der Option Alternative Anmeldung für angegebene Nutzer können Sie Looker-Administratoren ohne OpenID Connect Zugriff auf Looker gewähren.
- Deaktivieren Sie die OpenID Connect-Authentifizierung nicht, während Sie mit OpenID Connect in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich aus der App aussperren.
- Looker kann vorhandene Konten zu OpenID Connect migrieren, indem E-Mail-Adressen aus aktuellen E-Mail- und Passworteinstellungen, LDAP, SAML oder Google Auth verwendet werden. Sie können dies während der Einrichtung konfigurieren.
- Looker unterstützt nur die OpenID Connect-Authentifizierung mithilfe des Autorisierungscode-Vorgangs von OpenID Connect. Andere Codeflüsse werden nicht unterstützt.
- Die OpenID Connect-Spezifikation enthält einen optionalen Discovery-Mechanismus. Looker unterstützt diesen Mechanismus nicht. Sie müssen daher explizite URLs im Abschnitt Authentifizierungseinstellungen für OpenID Connect angeben, wie unter Authentifizierungseinstellungen für OpenID Connect konfigurieren beschrieben.
OpenID Connect einrichten
Führen Sie die folgenden Aufgaben aus, um die Verbindung zwischen Looker und OpenID Connect einzurichten:
- Geben Sie Ihre Looker-URL an Ihren OpenID Connect-Anbieter (OP) weiter.
- Erforderliche Informationen von Ihrem Auftragnehmer einholen
Looker für Ihr OP einrichten
Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Ihr Auftragnehmer bezeichnet diesen URI unter anderem als Weiterleitungs-URI oder Anmelde-Weiterleitungs-URI. Geben Sie auf der Website des Kunden die URL an, über die Sie normalerweise in einem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect
Informationen aus deinem OP werden abgerufen
Um Looker für die OpenID Connect-Authentifizierung zu konfigurieren, benötigen Sie die folgenden Informationen aus Ihrem OP:
- Client-ID und Clientschlüssel. Diese werden in der Regel vom Anzeigenauftraggeber auf seiner Website angegeben, wenn Sie die Weiterleitungs-URI konfigurieren.
- Während des OpenID Connect-Authentifizierungsprozesses stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Endpunkt für Nutzerinformationen. Du benötigst die URLs, die dein OP für jeden dieser Endpunkte verwendet.
- Jedes OP stellt Nutzerinformationen in Sätzen bereit, die als Bereiche bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. Für OpenID Connect ist der Bereich
openiderforderlich. Ihr OP enthält jedoch wahrscheinlich auch andere Bereiche, z. B.email,profileundgroups. - In OpenID Connect werden Attribute, die Nutzerdaten speichern, als Anforderungen bezeichnet. Sie müssen wissen, welche Anforderungen Ihr OP an Looker übergibt, um die gewünschten Benutzerinformationen in Ihrer Looker-Instanz bereitzustellen. Looker benötigt Ansprüche, die E-Mail-Adressen und Namen enthalten. Wenn Sie jedoch andere Nutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch angeben, welche Ansprüche diese Informationen enthalten. Ansprüche können entweder in der Antwort vom Endpunkt „User Information“ oder vom Endpunkt „ID Token“ enthalten sein. Looker kann von beiden Endpunkten zurückgegebene Ansprüche Looker-Nutzerattributen zuordnen.
Viele OPs bieten Informationen zur Konfiguration von OpenID Connect in Form eines Discovery-Dokuments, mit dem Sie einige oder alle Informationen erfassen können, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn du keinen Zugriff auf ein Discovery-Dokument hast, musst du die erforderlichen Informationen von deinem OP- oder internen Authentifizierungsteam einholen.
Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:
{
"issuer": "https://accounts.google.com",
"authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
"token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
"userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
"revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
"jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
"response_types_supported": [
"code",
"token",
"id_token",
"code token"
"code id_token",
"token id_token",
"code token id_token",
"none"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"scopes_supported": [
"openid",
"email",
"profile"
],
"token_endpoint_auth_methods_supported": [
"client_secret_post",
"client_secret_basic"
],
"claims_supported": [
"aud",
"email",
"email_verified",
"exp",
"family_name",
"given_name",
"iat",
"iss",
"locale",
"name",
"picture",
"sub"
],
OpenID Connect-Authentifizierungseinstellungen konfigurieren
Verwende die Konfigurationsinformationen, die du dem Discovery-Dokument deines OP, deinem OP oder deinem internen Authentifizierungsteam erhalten hast, um in die folgenden Felder Verbindungseinstellungen einzugeben:
ID: Die für Ihre Looker-Instanz eindeutige Client-ID. Diese sollte von deinem OP bereitgestellt werden.
Secret: Der Clientschlüssel, der nur für Ihre Looker-Instanz gilt. Diese Informationen sollte dir dein Einsatzleiter zur Verfügung stellen.
Aussteller: Die sichere URL, die Ihren Aussteller identifiziert.
Zielgruppe: Eine Kennung, die Ihrem Auftragnehmer mitteilt, wer der Kunde ist. Dieser Wert stimmt häufig mit dem Wert Kennung überein, kann aber auch abweichen.
Autorisierungs-URL: URL des Vorgangs, bei dem die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument häufig authorization_endpoint genannt.
Token-URL: Die URL, unter der Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument oft als token_endpoint bezeichnet.
URL für Nutzerinformationen: Die URL, unter der Looker detaillierte Nutzerinformationen abrufen kann. Wird in einem Discovery-Dokument oft als userinfo_endpoint bezeichnet.
Bereiche: Eine durch Kommas getrennte Liste von Bereichen, die vom OP verwendet werden, um Nutzerinformationen für Looker bereitzustellen. Sie müssen den Bereich openid und alle Bereiche angeben, die die für Looker erforderlichen Informationen enthalten. Dazu gehören E-Mail-Adressen, Nutzernamen und Nutzerattribute, die in Ihrer Looker-Instanz konfiguriert sind.
Einstellungen für Nutzerattribute konfigurieren
In diesem Abschnitt ordnen Sie die Ansprüche des OP den Nutzerattributen in Looker zu.
Gib im Abschnitt User Attribute Settings (Benutzerattribut-Einstellungen) den Namen der Anforderung deines OP ein, die die entsprechenden Informationen für jedes Feld enthält. So wird Looker mitgeteilt, wie diese Ansprüche bei der Anmeldung den Looker-Nutzerinformationen zugeordnet werden sollen. Bei Looker geht es nicht speziell darum, wie Anforderungen aufgebaut werden. Es ist nur wichtig, dass die hier eingegebenen Anspruchsinformationen der Art und Weise entsprechen, wie die Anforderungen in Ihrem OP definiert sind.
Standardansprüche
Looker erfordert für die Nutzerauthentifizierung einen Nutzernamen und eine E-Mail-Adresse. Geben Sie in diesem Abschnitt die entsprechenden Anspruchsinformationen für Ihren Auftragnehmer ein:
E-Mail-Anspruch: Der Anspruch, den dein OP für die E-Mail-Adressen von Nutzern verwendet, z. B. email.
First Name Claim (Anspruch auf den Vornamen): Der Anspruch, den dein OP für Vornamen von Nutzern wie given_name verwendet.
Anspruch auf Nachnamen: Der Anspruch, den Ihr Anzeigenauftragsgeber für die Nachnamen von Nutzern verwendet, z. B. family_name.
Beachte, dass einige Operationen eine einzige Anforderung für Namen verwenden, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem OP der Fall ist, geben Sie die Anforderung, die Namen speichert, sowohl in das Feld First Name Claim als auch das Last Name Claim-Feld ein. Looker verwendet für jeden Nutzer den Inhalt bis zum ersten Leerzeichen als Vornamen und alles danach als Nachnamen.
Attributpaarungen
Optional können Sie die Daten in Ihren OpenID Connect-Ansprüchen verwenden, um Werte in den Nutzerattributen in Looker automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie OpenID Connect beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre OpenID Connect-Anspruche mit Looker-Nutzerattributen verknüpfen, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.
So kombinieren Sie Anforderungen mit entsprechenden Looker-Benutzerattributen:
- Geben Sie den in Ihrem OP angegebenen Anspruch in das Feld Anspruch und das Looker-Nutzerattribut, mit dem Sie sie koppeln möchten, im Feld Looker-Nutzerattribute ein.
- Setzen Sie ein Häkchen bei Erforderlich, wenn Sie die Anmeldung von Nutzerkonten blockieren möchten, für die in diesem Anspruchsfeld kein Wert angegeben ist.
- Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Anspruchs- und Attributpaare hinzuzufügen.
Beachten Sie, dass einige OPs „verschachtelte“ Ansprüche haben können. Beispiel:
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
Im vorherigen Beispiel ist die locality-Anforderung in der address-Anforderung verschachtelt. Bei verschachtelten Ansprüchen gib die übergeordneten und verschachtelten Ansprüche durch einen Schrägstrich ( / ) getrennt an. Wenn Sie Looker für den Anspruch locality im Beispiel konfigurieren möchten, geben Sie address/locality ein.
Gruppen und Rollen
Sie haben die Möglichkeit, Gruppen zu erstellen, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten OpenID Connect-Gruppen zuzuweisen. Wenn Sie Änderungen an Ihrer OpenID Connect-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.
Wenn Sie OpenID Connect-Gruppen spiegeln, können Sie Ihr extern definiertes OpenID Connect-Verzeichnis verwenden, um Looker-Gruppen und ‑Nutzer zu verwalten. So können Sie die Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.
Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker für jede OpenID Connect-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen finden Sie in Looker auf der Seite Gruppen im Bereich Verwaltung. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.
Standardgruppen und -rollen
Standardmäßig ist der Schalter OpenID Connect Groups (OpenID Connect-Gruppen spiegeln) deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Gruppen für neue Nutzer und Rollen für neue Nutzer die Namen aller Looker-Gruppen oder -Rollen ein, die Sie neuen Looker-Nutzern zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden:
Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und auch nicht noch einmal angewendet, wenn sie nach der Erstanmeldung von Nutzern entfernt werden.
Spiegel-OpenID Connect-Gruppen aktivieren
Wenn Sie Ihre OpenID Connect-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln:
Gruppenanforderung: Geben Sie die Anforderung ein, die Ihr OP zum Speichern von Gruppennamen verwendet. In Looker wird für jede OpenID Connect-Gruppe, die über den Gruppenanspruch in das System eingeführt wird, eine Looker-Gruppe erstellt. Diese Looker-Gruppen finden Sie in Looker auf der Seite Gruppen im Bereich Verwaltung. Gruppen können zum Festlegen von Zugriffssteuerungen für Inhalte und zum Zuweisen von Nutzerattributen verwendet werden.
Bevorzugter Gruppenname / Rollen / OpenID Connect-Gruppenname: Mit dieser Gruppe von Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden OpenID Connect-Gruppe in Looker zugewiesen sind:
Geben Sie den Namen der OpenID Connect-Gruppe in das Feld OpenID Connect-Gruppenname ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.
Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird im Looker-Bereich Verwaltung auf der Seite Gruppen angezeigt.
Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die allen Nutzern in der Gruppe zugewiesen werden.
Klicken Sie auf
+, um weitere Feldsätze hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe aufX.
Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Wenn Sie beispielsweise den benutzerdefinierten Namen einer Gruppe ändern, ändert sich dadurch die Darstellung der Gruppe auf der Looker-Seite Gruppen. Die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch bestehen. Wenn Sie die OpenID Connect-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch anhand der Nutzer neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe mit der neuen OpenID Connect-Gruppen-ID sind.
Wenn Sie eine Gruppe auf dieser Seite löschen, wird sie nicht mehr in Looker gespiegelt und ihre Mitglieder haben keine Rollen mehr in Looker, die ihnen über diese Gruppe zugewiesen wurden.
Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.
Erweiterte Rollenverwaltung
Wenn Sie die Option OpenID Connect-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und Benutzern haben, die von OpenID Connect gespiegelt wurden.
Wenn beispielsweise Ihre Looker-Gruppe und Ihre Benutzerkonfiguration genau Ihrer OpenID Connect-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über die gespiegelten OpenID Connect-Gruppen Rollen zuweisen.
Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration wider. Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. OpenID Connect-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt OpenID Connect-Nutzern zuweisen.
Bei neuen Looker-Instanzen oder Instanzen, die keine zuvor konfigurierten gespiegelten Gruppen haben, sind diese Optionen standardmäßig deaktiviert.
Bei bestehenden Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.
Im Abschnitt Erweiterte Rollenverwaltung sind folgende Optionen verfügbar:
Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren OpenID Connect-Nutzern keine Looker-Rollen direkt zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzer die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen zulassen, können sie ihre Rollen sowohl von gespiegelten OpenID Connect-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Bei allen OpenID Connect-Nutzern, denen zuvor direkt Rollen zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.
Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern Looker-Rollen direkt zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.
Direkte Mitgliedschaft in Nicht-OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren keine OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können OpenID Connect-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle OpenID Connect-Benutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.
Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.
Rollenübernahme von nicht OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten OpenID Connect-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.
Wenn diese Option deaktiviert ist, erben gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.
Auth requires role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, müssen OpenID Connect-Nutzern Rollen zugewiesen werden. OpenID Connect-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht bei Looker anmelden.
Wenn diese Option deaktiviert ist, können sich OpenID Connect-Nutzer auch dann in Looker authentifizieren, wenn ihnen keine Rolle zugewiesen ist. Nutzer ohne zugewiesene Rolle können keine Daten sehen oder Aktionen in Looker ausführen, sich aber in Looker anmelden.
Spiegeln von OpenID Connect-Gruppen deaktivieren
Wenn Sie die Spiegelung Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Alle leeren gespiegelten OpenID Connect-Gruppen werden gelöscht.
Nicht leere OpenID Connect-Spiegelgruppen können weiterhin für die Inhaltsverwaltung und das Erstellen von Rollen verwendet werden. Nutzer können jedoch nicht zu gespiegelten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.
Migrationsoptionen konfigurieren
Wie in diesem Abschnitt erläutert, empfiehlt Looker, die Alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für bestehende Nutzer anzugeben.
Alternative Anmeldung für bestimmte Nutzer
Looker-Anmeldungen per E-Mail und Passwort sind für normale Nutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Die Option Alternative Anmeldung für angegebene Nutzer aktiviert eine alternative E-Mail-basierte Anmeldung mit /login/email für Administratoren und für bestimmte Nutzer mit der Berechtigung login_special_email.
Wenn Sie diese Option aktivieren, können Sie sie als Fallback bei der OpenID Connect-Einrichtung verwenden, falls später Probleme mit der OpenID Connect-Konfiguration auftreten, oder wenn Sie einige Nutzer unterstützen müssen, die keine Konten in Ihrem OpenID Connect-Verzeichnis haben.
Geben Sie die Methode an, mit der OpenID Connect-Nutzer mit einem Looker-Konto zusammengeführt werden
Geben Sie im Feld Merge Users Using (Nutzer zusammenführen über) die Methode an, die verwendet werden soll, um eine erstmalige OpenID Connect-Anmeldung mit einem vorhandenen Nutzerkonto zusammenzuführen. Sie können Nutzer aus den folgenden Systemen zusammenführen:
- Looker-E-Mail-Adresse/-Passwort (nicht verfügbar für Looker (Google Cloud Core))
- LDAP (nicht verfügbar für Looker (Google Cloud Core))
- SAML
Wenn Sie mehrere Authentifizierungssysteme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. Looker sucht Nutzer in den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Benutzer mit Looker-E-Mail-Adresse und -Passwort erstellt, dann haben Sie LDAP aktiviert und möchten nun OpenID Connect verwenden. Im vorherigen Beispiel würde Looker zuerst nach E-Mail-Adresse und Passwort und dann nach LDAP zusammenführen.
Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird er über diese Option mit seinem bestehenden Konto verknüpft, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.
Benutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen
Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der folgenden zwei Bedingungen erfüllt ist:
- Bedingung 1: Nutzer authentifizieren sich mit ihren Google-Identitäten über das OpenID Connect-Protokoll in Looker (Google Cloud Core).
Bedingung 2: Bevor Sie die Zusammenführungsoption ausgewählt haben, haben Sie die folgenden zwei Schritte ausgeführt:
- Föderierte Nutzer Identitäten in Google Cloud mit Cloud Identity.
- Richten Sie die OAuth-Authentifizierung als Authentifizierungsmethode für den Notfall ein und verwenden Sie dazu die föderierten Nutzer.
Wenn bei der Einrichtung keine dieser beiden Bedingungen erfüllt ist, ist die Option Nutzer mit nicht verfügbar.
Bei der Zusammenführung sucht Looker nach Nutzereinträgen mit genau derselben E-Mail-Adresse.
Nutzerauthentifizierung testen
Klicken Sie beim Festlegen dieser Konfiguration auf die Schaltfläche Test, um Ihre OpenID Connect-Konfiguration zu testen.
Tests leiten an die Endpunkte weiter und öffnen einen neuen Browsertab. Auf dem Tab wird Folgendes angezeigt:
- Ob Looker mit den verschiedenen Endpunkten kommunizieren und sie validieren konnte
- Ein Trace der Antwort des Authentifizierungsendpunkts
- Die Nutzerinformationen, die Looker vom Endpunkt für Nutzerinformationen erhält
- Sowohl die decodierte als auch die Rohversionen des erhaltenen ID-Tokens
Mit diesem Test können Sie überprüfen, ob die von den verschiedenen Endpunkten erhaltenen Informationen korrekt sind, und Fehler beheben.
Tipps:
- Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect nur teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
- Für den Test werden die Einstellungen verwendet, die auf der Seite OpenID Connect-Authentifizierung eingegeben wurden, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.
Speichern und Einstellungen anwenden
Wenn Sie mit der Eingabe Ihrer Informationen fertig sind und alle Tests bestanden haben, setzen Sie ein Häkchen bei Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden und klicken Sie auf Einstellungen aktualisieren, um sie zu speichern.