Administratoreinstellungen – OpenID Connect-Authentifizierung

Unternehmen verwenden verschiedene OpenID Connect-Anbieter (OPs), um OpenID Connect zu koordinieren (z. B. Okta oder OneLogin). Die Begriffe, die in der folgenden Einrichtungsanleitung und in der Looker-Benutzeroberfläche verwendet werden, stimmen möglicherweise nicht genau mit denen überein, die von Ihrem Auftragnehmer verwendet werden.

Auf der Seite OpenID Connect im Bereich Authentifizierung des Menüs „Verwaltung“ können Sie Looker so konfigurieren, dass Nutzer mit dem OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Vorgang beschrieben und es gibt eine Anleitung zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und ‑Berechtigungen.

Voraussetzungen

Die Seite OpenID Connect wird in Looker nur im Abschnitt Authentifizierung des Menüs Verwaltung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

• Sie haben die Rolle „Administrator“.
• Ihre Looker-Instanz ist für die Verwendung von OpenID Connect aktiviert.

Wenn diese Bedingungen erfüllt sind und die Seite OpenID Connect nicht angezeigt wird, erstellen Sie eine Supportanfrage, um OpenID Connect in Ihrer Instanz zu aktivieren.

Überlegungen zur Planung

• Sie können die Option Alternative Anmeldung für bestimmte Nutzer verwenden, um Looker-Administratoren den Zugriff auf Looker ohne OpenID Connect zu ermöglichen.
• Deaktivieren Sie die OpenID Connect-Authentifizierung nicht, während Sie mit OpenID Connect in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich aus der App aussperren.
• In Looker können vorhandene Konten zu OpenID Connect migriert werden. Dazu werden E-Mail-Adressen verwendet, die entweder aus aktuellen E-Mail- und Passwort-Konfigurationen, LDAP, SAML oder Google Auth stammen. Sie können dies während der Einrichtung konfigurieren.
• Looker unterstützt nur die OpenID Connect-Authentifizierung mit dem Autorisierungscode-Vorgang von OpenID Connect. Andere Codeflüsse werden nicht unterstützt.
• Die OpenID Connect-Spezifikation enthält einen optionalen Discovery-Mechanismus. Looker unterstützt diesen Mechanismus nicht. Sie müssen daher im Abschnitt OpenID Connect-Authentifizierungseinstellungen explizite URLs angeben, wie unter OpenID Connect-Authentifizierungseinstellungen konfigurieren beschrieben.

OpenID Connect einrichten

Führen Sie die folgenden Schritte aus, um die Verbindung zwischen Looker und OpenID Connect einzurichten:

1. Geben Sie Ihre Looker-URL an Ihren OpenID Connect-Anbieter (OP) weiter.
2. Erforderliche Informationen von Ihrem Auftragnehmer einholen

Looker auf Ihrer OP einrichten

Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Dein Auftragnehmer bezeichnet diesen URI unter anderem als Weiterleitungs-URI oder Anmelde-Weiterleitungs-URI. Geben Sie auf der Website des Kunden die URL an, über die Sie normalerweise in einem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect

Informationen von Ihrem Auftragnehmer abrufen

Wenn Sie Looker für die OpenID Connect-Authentifizierung konfigurieren möchten, benötigen Sie die folgenden Informationen von Ihrem Identitätsanbieter:

• Eine Clientkennung und ein Clientschlüssel. Diese werden in der Regel vom Anzeigenauftraggeber auf seiner Website angegeben, wenn Sie die Weiterleitungs-URI konfigurieren.
• Während der OpenID Connect-Authentifizierung stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Endpunkt für Nutzerinformationen. Sie benötigen die URLs, die Ihr Anzeigenauftragsgeber für jeden dieser Endpunkte verwendet.
• Jede Anzeigenplattform stellt Nutzerinformationen in Sets bereit, die als Scopes bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. Für OpenID Connect ist der Bereich openid erforderlich. Ihr OP enthält jedoch wahrscheinlich auch andere Bereiche, z. B. email, profile und groups.
• In OpenID Connect werden Attribute, in denen Nutzerdaten gespeichert werden, als Anforderung bezeichnet. Sie müssen wissen, welche Berechtigungen Ihr OP an Looker weitergibt, um die gewünschten Nutzerinformationen in Ihrer Looker-Instanz bereitzustellen. Looker benötigt Ansprüche, die E-Mail-Adressen und Namen enthalten. Wenn Sie jedoch andere Nutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch angeben, welche Ansprüche diese Informationen enthalten. Ansprüche können entweder in der Antwort vom Endpunkt „User Information“ oder vom Endpunkt „ID Token“ enthalten sein. Looker kann von beiden Endpunkten zurückgegebene Ansprüche Looker-Nutzerattributen zuordnen.

Viele OPs stellen Informationen zur Konfiguration von OpenID Connect in Form eines Discovery-Dokuments bereit. So können Sie einige oder alle Informationen erfassen, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn du keinen Zugriff auf ein Discovery-Dokument hast, musst du die erforderlichen Informationen von deinem OP oder deinem internen Authentifizierungsteam abrufen.

Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

OpenID Connect-Authentifizierungseinstellungen konfigurieren

Verwenden Sie die Konfigurationsinformationen aus dem Discovery-Dokument Ihres Anzeigenauftraggebers, von Ihrem Anzeigenauftraggeber oder Ihrem internen Authentifizierungsteam, um die Verbindungseinstellungen in die folgenden Felder einzugeben:

Kennung: Die Client-ID, die für Ihre Looker-Instanz eindeutig ist. Diese Informationen sollte dir dein Einsatzleiter zur Verfügung stellen.

Secret: Der Clientschlüssel, der nur für Ihre Looker-Instanz gilt. Diese Informationen sollte dir dein Einsatzleiter zur Verfügung stellen.

Aussteller: Die sichere URL, die Ihren Aussteller identifiziert.

Zielgruppe: Eine Kennung, die Ihrem Auftragnehmer mitteilt, wer der Kunde ist. Dieser Wert stimmt häufig mit dem Wert Kennung überein, kann aber auch abweichen.

Autorisierungs-URL: Die URL des OP, an der die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument oft als authorization_endpoint bezeichnet.

Token-URL: Die URL, unter der Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument oft als token_endpoint bezeichnet.

URL für Nutzerinformationen: Die URL, unter der Looker detaillierte Nutzerinformationen abruft. Wird in einem Discovery-Dokument oft als userinfo_endpoint bezeichnet.

Bereiche: Eine durch Kommas getrennte Liste von Bereichen, die vom OP verwendet werden, um Nutzerinformationen an Looker zu senden. Sie müssen den Umfang openid und alle Bereiche angeben, die die von Looker benötigten Informationen enthalten, z. B. E-Mail-Adressen, Nutzernamen und alle Nutzerattribute, die in Ihrer Looker-Instanz konfiguriert sind.

Einstellungen für Nutzerattribute konfigurieren

In diesem Abschnitt ordnen Sie die Ansprüche des OP den Nutzerattributen in Looker zu.

Geben Sie im Abschnitt Einstellungen für Nutzerattribute den Namen des Anspruchs Ihrer Anzeigenplattform ein, der die entsprechenden Informationen für jedes Feld enthält. So wird Looker mitgeteilt, wie diese Ansprüche bei der Anmeldung den Looker-Nutzerinformationen zugeordnet werden sollen. In Looker ist es nicht wichtig, wie Ansprüche formuliert werden. Es ist nur wichtig, dass die hier eingegebenen Informationen zu den Ansprüchen mit der Definition in Ihrer Angebotsbeschreibung übereinstimmen.

Standardansprüche

Für die Nutzerauthentifizierung sind in Looker der Nutzername und die E-Mail-Adresse erforderlich. Geben Sie in diesem Abschnitt die entsprechenden Anspruchsinformationen für Ihren Auftragnehmer ein:

E-Mail-Anspruch: Der Anspruch, den Ihr OP für E-Mail-Adressen von Nutzern verwendet, z. B. email.

Anspruch auf Vornamen: Der Anspruch, den Ihr OP für die Vornamen von Nutzern verwendet, z. B. given_name.

Anspruch auf Nachnamen: Der Anspruch, den Ihr Anzeigenauftragsgeber für die Nachnamen von Nutzern verwendet, z. B. family_name.

Einige Anbieter verwenden eine einzelne Anspruchsanfrage für Namen, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem Anzeigenauftrag der Fall ist, geben Sie den Anspruch ein, in dem Namen sowohl im Feld Vorname als auch im Feld Nachname gespeichert werden. Looker verwendet für jeden Nutzer den Inhalt bis zum ersten Leerzeichen als Vornamen und alles danach als Nachnamen.

Attributpaarungen

Optional können Sie die Daten in Ihren OpenID Connect-Ansprüchen verwenden, um Werte in den Nutzerattributen in Looker automatisch zu füllen, wenn sich ein Nutzer anmeldet. Wenn Sie OpenID Connect beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre OpenID Connect-Anspruche mit Looker-Nutzerattributen verknüpfen, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So ordnen Sie Anspruchsdaten den entsprechenden Looker-Nutzerattributen zu:

1. Geben Sie im Feld Claim den Anspruch ein, der von Ihrem OP angegeben wurde, und im Feld Looker User Attributes (Looker-Nutzerattribute) das Looker-Nutzerattribut, mit dem Sie ihn verknüpfen möchten.
2. Setzen Sie ein Häkchen bei Erforderlich, wenn Sie die Anmeldung von Nutzerkonten blockieren möchten, für die in diesem Anspruchsfeld kein Wert angegeben ist.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Anspruchs- und Attributpaare hinzuzufügen.

Einige OPs können „verschachtelte“ Ansprüche haben. Beispiel:

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

Im vorherigen Beispiel ist die locality-Anforderung in der address-Anforderung verschachtelt. Geben Sie bei verschachtelten Ansprüchen die übergeordneten und verschachtelten Ansprüche durch einen Schrägstrich ( /) getrennt an. Wenn Sie Looker für den Anspruch locality im Beispiel konfigurieren möchten, geben Sie address/locality ein.

Gruppen und Rollen

Sie haben die Möglichkeit, in Looker Gruppen zu erstellen, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten OpenID Connect-Gruppen zuzuweisen. Wenn Sie Änderungen an Ihrer OpenID Connect-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Wenn Sie OpenID Connect-Gruppen spiegeln, können Sie Ihr extern definiertes OpenID Connect-Verzeichnis verwenden, um Looker-Gruppen und ‑Nutzer zu verwalten. So können Sie die Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker für jede OpenID Connect-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen finden Sie in Looker auf der Seite Gruppen im Bereich Verwaltung. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und ‑rollen

Standardmäßig ist der Schalter OpenID Connect-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Gruppen für neue Nutzer und Rollen für neue Nutzer die Namen aller Looker-Gruppen oder -Rollen ein, die Sie neuen Looker-Nutzern zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und auch nicht noch einmal angewendet, wenn sie nach der Erstanmeldung von Nutzern entfernt werden.

Spiegeln von OpenID Connect-Gruppen aktivieren

Wenn Sie Ihre OpenID Connect-Gruppen in Looker spiegeln möchten, aktivieren Sie die Option OpenID Connect-Gruppen spiegeln:

Gruppenanforderung: Geben Sie die Behauptung ein, die Ihr OP zum Speichern von Gruppennamen verwendet. In Looker wird für jede OpenID Connect-Gruppe, die über den Gruppenanspruch in das System eingeführt wird, eine Looker-Gruppe erstellt. Diese Looker-Gruppen finden Sie in Looker auf der Seite Gruppen im Bereich Verwaltung. Gruppen können zum Festlegen von Zugriffssteuerungen für Inhalte und zum Zuweisen von Nutzerattributen verwendet werden.

Bevorzugter Gruppenname / Rollen / OpenID Connect-Gruppenname: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden OpenID Connect-Gruppe in Looker zugewiesen sind:

1. Geben Sie den Namen der OpenID Connect-Gruppe in das Feld OpenID Connect-Gruppenname ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird im Looker-Bereich Verwaltung auf der Seite Gruppen angezeigt.

3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die allen Nutzern in der Gruppe zugewiesen werden.

4. Klicken Sie auf +, um weitere Feldsätze hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern der Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie können beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch wird die Darstellung der Gruppe auf der Seite Gruppen in Looker geändert, die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch unverändert. Wenn Sie die OpenID Connect-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch anhand der Nutzer neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe mit der neuen OpenID Connect-Gruppen-ID sind.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird sie nicht mehr in Looker gespiegelt und ihre Mitglieder haben keine Rollen mehr in Looker, die ihnen über diese Gruppe zugewiesen wurden.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie die Option OpenID Connect-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie flexibel Looker-Administratoren Looker-Gruppen und Nutzer konfigurieren können, die aus OpenID Connect gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppen- und Nutzerkonfiguration genau mit Ihrer OpenID Connect-Konfiguration übereinstimmt, aktivieren Sie diese Optionen. Wenn alle drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über OpenID Connect-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie Ihre Gruppen in Looker flexibler anpassen möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration wider. Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. OpenID Connect-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt OpenID Connect-Nutzern zuweisen.

Bei neuen Looker-Instanzen oder Instanzen ohne zuvor konfigurierte gespiegelte Gruppen sind diese Optionen standardmäßig deaktiviert.

Bei bestehenden Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren OpenID Connect-Nutzern keine Looker-Rollen direkt zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzern die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen erlaubt ist, können sie ihre Rollen sowohl von gespiegelten OpenID Connect-Gruppen als auch von integrierten Looker-Gruppen erben. Bei allen OpenID Connect-Nutzern, denen zuvor direkt Rollen zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern Looker-Rollen direkt zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in nicht OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren OpenID Connect-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können OpenID Connect-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle OpenID Connect-Nutzer, die zuvor zu integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Übernahme von Rollen von anderen Gruppen als OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten OpenID Connect-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth requires role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, müssen OpenID Connect-Nutzern Rollen zugewiesen werden. OpenID Connect-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich OpenID Connect-Nutzer auch dann in Looker authentifizieren, wenn ihnen keine Rolle zugewiesen ist. Nutzer ohne zugewiesene Rolle können keine Daten sehen oder Aktionen in Looker ausführen, sich aber in Looker anmelden.

Spiegeln von OpenID Connect-Gruppen deaktivieren

Wenn Sie das Spiegeln Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Alle leeren gespiegelten OpenID Connect-Gruppen werden gelöscht.

Nicht leere OpenID Connect-Spiegelgruppen können weiterhin für die Inhaltsverwaltung und das Erstellen von Rollen verwendet werden. Nutzer können jedoch nicht zu gespiegelten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen konfigurieren

Wie in diesem Abschnitt erläutert, empfiehlt Looker, die Alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für bestehende Nutzer anzugeben.

Alternative Anmeldung für bestimmte Nutzer

Looker-Anmeldungen per E-Mail und Passwort sind für normale Nutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Mit der Option Alternative Anmeldung für bestimmte Nutzer können Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email eine alternative E-Mail-basierte Anmeldung mit /login/email verwenden.

Wenn Sie diese Option aktivieren, können Sie sie als Fallback bei der OpenID Connect-Einrichtung verwenden, falls später Probleme mit der OpenID Connect-Konfiguration auftreten, oder wenn Sie einige Nutzer unterstützen müssen, die keine Konten in Ihrem OpenID Connect-Verzeichnis haben.

Methode angeben, mit der OpenID Connect-Nutzer mit einem Looker-Konto zusammengeführt werden

Geben Sie im Feld Merge Users Using (Nutzer mithilfe von) die Methode an, mit der eine erstmalige Open ID Connect-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• Looker-E-Mail-Adresse/-Passwort (nicht verfügbar für Looker (Google Cloud Core))
• Google
• LDAP (nicht für Looker (Google Cloud Core) verfügbar)
• SAML

Wenn Sie mehrere Authentifizierungssysteme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. Looker sucht Nutzer in den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit E-Mail-Adresse und Passwort in Looker erstellt, dann LDAP aktiviert und möchten jetzt OpenID Connect verwenden. Im vorherigen Beispiel würde Looker zuerst nach E-Mail-Adresse und Passwort und dann nach LDAP zusammenführen.

Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird er über diese Option mit seinem bestehenden Konto verknüpft, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzer zusammenführen bei Verwendung von Looker (Google Cloud Core)

Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der folgenden beiden Bedingungen erfüllt ist:

• Bedingung 1: Nutzer authentifizieren sich mit ihren Google-Identitäten über das OpenID Connect-Protokoll in Looker (Google Cloud Core).

• Bedingung 2: Bevor Sie die Zusammenführungsoption ausgewählt haben, haben Sie die folgenden beiden Schritte ausgeführt:

  1. Föderierte Nutzeridentitäten in Google Cloud mit Cloud Identity
  2. Richten Sie die OAuth-Authentifizierung als Authentifizierungsmethode für den Notfall ein. Verwenden Sie dazu die föderierten Nutzer.

Wenn bei der Einrichtung keine dieser beiden Bedingungen erfüllt ist, ist die Option Nutzer mit nicht verfügbar.

Bei der Zusammenführung sucht Looker nach Nutzereinträgen mit genau derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie beim Angeben dieser Konfiguration auf die Schaltfläche Testen, um Ihre OpenID Connect-Konfiguration zu testen.

Tests werden an die Endpunkte weitergeleitet und ein neuer Browsertab wird geöffnet. Auf dem Tab werden folgende Informationen angezeigt:

• Ob Looker mit den verschiedenen Endpunkten kommunizieren und sie validieren konnte
• Eine Spur der Antwort des Authentifizierungsendpunkts
• Die Nutzerinformationen, die Looker vom Endpunkt für Nutzerinformationen erhält
• Sowohl die decodierte als auch die Rohversion des empfangenen ID-Tokens

Mit diesem Test können Sie überprüfen, ob die von den verschiedenen Endpunkten empfangenen Informationen korrekt sind, und Fehler beheben.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect nur teilweise konfiguriert ist. Während der Konfiguration kann es hilfreich sein, einen Test auszuführen, um zu sehen, welche Parameter konfiguriert werden müssen.
• Für den Test werden die Einstellungen verwendet, die auf der Seite OpenID Connect-Authentifizierung eingegeben wurden, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.

Einstellungen speichern und anwenden

Wenn Sie mit der Eingabe Ihrer Informationen fertig sind und alle Tests bestanden haben, setzen Sie ein Häkchen bei Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden und klicken Sie auf Einstellungen aktualisieren, um sie zu speichern.