Administratoreinstellungen – OpenID Connect-Authentifizierung

Unternehmen verwenden verschiedene OpenID Connect-Anbieter (OPs), um OpenID Connect zu koordinieren (z. B. Okta oder OneLogin). Die Begriffe, die in der folgenden Einrichtungsanleitung und in der Looker-Benutzeroberfläche verwendet werden, stimmen möglicherweise nicht direkt mit denen überein, die von Ihrem OP verwendet werden.

Auf der Seite OpenID Connect im Bereich Authentifizierung des Administratormenüs können Sie Looker so konfigurieren, dass Nutzer mit dem OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie hier eine Anleitung zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und -Berechtigungen.

Voraussetzungen

Die Seite OpenID Connect im Bereich Authentifizierung des Menüs Administrator wird in Looker nur angezeigt, wenn die folgenden Bedingungen erfüllt sind:

• Sie haben die Administratorrolle.
• Ihre Looker-Instanz ist für die Verwendung von OpenID Connect aktiviert.

Wenn diese Bedingungen erfüllt sind und Sie die Seite OpenID Connect nicht sehen, stellen Sie eine Supportanfrage, um OpenID Connect für Ihre Instanz zu aktivieren.

Überlegungen zur Planung

• Mit der Option Alternative Anmeldung für bestimmte Nutzer können Looker-Administratoren auf Looker zugreifen, ohne OpenID Connect zu verwenden.
• Deaktivieren Sie die OpenID Connect-Authentifizierung nicht, während Sie mit OpenID Connect in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich selbst aus der App aussperren.
• Looker kann vorhandene Konten zu OpenID Connect migrieren. Dazu werden E‑Mail-Adressen aus aktuellen E‑Mail- und Passwortkonfigurationen, LDAP, SAML oder Google-Authentifizierung verwendet. Sie können dies während der Einrichtung konfigurieren.
• Looker unterstützt die OpenID Connect-Authentifizierung nur mit dem Autorisierungscode-Vorgang von OpenID Connect. Andere Code-Abläufe werden nicht unterstützt.
• Die OpenID Connect-Spezifikation enthält einen optionalen Discovery-Mechanismus. Looker unterstützt diesen Mechanismus nicht. Sie müssen also explizite URLs im Abschnitt OpenID Connect-Authentifizierungseinstellungen angeben, wie unter OpenID Connect-Authentifizierungseinstellungen konfigurieren beschrieben.

OpenID Connect einrichten

So richten Sie die Verbindung zwischen Looker und OpenID Connect ein:

1. Looker-URL an Ihren OpenID Connect-Anbieter (OP) weitergeben:
2. Erforderliche Informationen von Ihrem OP abrufen:

Looker in Ihrem OP einrichten

Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Ihr OP kann diesen unter anderem als Weiterleitungs-URI oder Anmelde-Weiterleitungs-URI bezeichnen. Geben Sie auf der Website des OP die URL an, über die Sie normalerweise in einem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect

Informationen von Ihrem OP abrufen

Wenn Sie Looker für die OpenID Connect-Authentifizierung konfigurieren möchten, benötigen Sie die folgenden Informationen von Ihrem OP:

• Eine Clientkennung und ein Clientschlüssel. Diese werden in der Regel vom OP auf seiner Website bereitgestellt, wenn Sie die Weiterleitungs-URI konfigurieren.
• Während der OpenID Connect-Authentifizierung stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Endpunkt für Nutzerinformationen. Sie benötigen die URLs, die Ihr OP für jeden dieser Endpunkte verwendet.
• Jeder OP stellt Nutzerinformationen in Gruppen bereit, die als Bereiche bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. Für OpenID Connect ist der Bereich openid erforderlich. Ihr OP enthält jedoch wahrscheinlich auch andere Bereiche wie email, profile und groups.
• In OpenID Connect werden Attribute, in denen Nutzerdaten gespeichert sind, als Anforderungen bezeichnet. Sie müssen wissen, welche Ansprüche Ihr OP an Looker weitergibt, um die gewünschten Nutzerinformationen in Ihrer Looker-Instanz zu erhalten. Looker erfordert Ansprüche, die E-Mail- und Namensinformationen enthalten. Wenn Sie jedoch andere Nutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch ermitteln, welche Ansprüche diese Informationen enthalten. Ansprüche können entweder im Antwortendpunkt für Nutzerinformationen oder im ID-Token-Endpunkt enthalten sein. Looker kann die von beiden Endpunkten zurückgegebenen Anforderungen Looker-Nutzerattributen zuordnen.

Viele OPs stellen Informationen zum Konfigurieren von OpenID Connect in Form eines Discovery-Dokuments bereit. So können Sie einige oder alle Informationen abrufen, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn Sie keinen Zugriff auf ein Discovery-Dokument haben, müssen Sie die erforderlichen Informationen von Ihrem OP oder internen Authentifizierungsteam anfordern.

Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

OpenID Connect-Authentifizierungseinstellungen konfigurieren

Verwenden Sie die Konfigurationsinformationen, die Sie aus dem Discovery-Dokument Ihres OP, von Ihrem OP oder von Ihrem internen Authentifizierungsteam erhalten haben, um Verbindungseinstellungen in den folgenden Feldern einzugeben:

Kennung: Die Client-Kennung, die für Ihre Looker-Instanz eindeutig ist. Diese Informationen sollten von Ihrem OP bereitgestellt werden.

Secret: Der für Ihre Looker-Instanz eindeutige Clientschlüssel. Diese Informationen sollten von Ihrem OP bereitgestellt werden.

Aussteller: Die sichere URL, die Ihren OP identifiziert.

Zielgruppe: Eine Kennzeichnung, die Ihrem OP angibt, wer der Kunde ist. Dieser Wert ist oft derselbe wie Ihr Identifier-Wert, kann aber auch ein anderer Wert sein.

Autorisierungs-URL: Die URL des OP, an dem die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument häufig als authorization_endpoint bezeichnet.

Token-URL: Die URL, unter der Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument häufig als token_endpoint bezeichnet.

URL für Nutzerinformationen: Die URL, unter der Looker detaillierte Nutzerinformationen abruft. Wird in einem Discovery-Dokument häufig als userinfo_endpoint bezeichnet.

Bereiche: Eine durch Kommas getrennte Liste der Bereiche, die vom OP verwendet werden, um Looker Nutzerinformationen zur Verfügung zu stellen. Sie müssen den Bereich openid und alle Bereiche angeben, die die von Looker benötigten Informationen enthalten, einschließlich E-Mail-Adressen, Nutzernamen und aller in Ihrer Looker-Instanz konfigurierten Nutzerattribute.

Einstellungen für Nutzerattribute konfigurieren

In diesem Abschnitt ordnen Sie die Ansprüche des OP den Nutzerattributen von Looker zu.

Geben Sie im Bereich Einstellungen für Nutzerattribute den Namen des Anspruchs Ihres OP ein, der die entsprechenden Informationen für jedes Feld enthält. Dadurch wird Looker mitgeteilt, wie diese Ansprüche bei der Anmeldung Looker-Nutzerinformationen zugeordnet werden sollen. Looker ist nicht besonders anspruchsvoll, was die Erstellung von Ansprüchen angeht. Es ist nur wichtig, dass die hier eingegebenen Anspruchsinformationen mit der Art und Weise übereinstimmen, wie die Ansprüche in Ihrem OP definiert sind.

Standardansprüche

Für die Nutzerauthentifizierung in Looker sind Nutzername und E-Mail-Adresse erforderlich. Geben Sie in diesem Abschnitt die entsprechenden Anspruchsinformationen des Rechteinhabers ein:

E-Mail-Anspruch: Der Anspruch, den Ihr OP für Nutzer-E-Mail-Adressen verwendet, z. B. email.

Anforderung für Vorname: Die Anforderung, die Ihr OP für Vornamen von Nutzern verwendet, z. B. given_name.

Anforderung für Nachname: Die Anforderung, die Ihr OP für Nachnamen von Nutzern verwendet, z. B. family_name.

Bei einigen OPs wird für Namen nur ein Anspruch verwendet, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem OP der Fall ist, geben Sie den Anspruch, in dem Namen gespeichert werden, in den Feldern Anspruch für Vorname und Anspruch für Nachname ein. Für jeden Nutzer verwendet Looker den Inhalt bis zum ersten Leerzeichen als „Vorname“ und alles danach als „Nachname“.

Attributpaare

Optional können Sie die Daten in Ihren OpenID Connect-Ansprüchen verwenden, um beim Anmelden eines Nutzers automatisch Werte in Looker-Nutzerattributen einzufügen. Wenn Sie beispielsweise OpenID Connect konfiguriert haben, um nutzerspezifische Verbindungen zu Ihrer Datenbank herzustellen, können Sie Ihre OpenID Connect-Claims mit Looker-Nutzerattributen kombinieren, um nutzerspezifische Datenbankverbindungen in Looker zu erstellen.

So ordnen Sie Anforderungen entsprechenden Looker-Nutzerattributen zu:

1. Geben Sie den Anspruch, wie er von Ihrem OP identifiziert wurde, in das Feld Anspruch und das Looker-Nutzerattribut, das Sie damit verknüpfen möchten, in das Feld Looker-Nutzerattribute ein.
2. Klicken Sie auf Erforderlich, wenn Sie die Anmeldung für alle Nutzerkonten blockieren möchten, bei denen in diesem Anspruchsfeld kein Wert vorhanden ist.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Behauptungs- und Attributpaare hinzuzufügen.

Einige OPs können „verschachtelte“ Ansprüche haben. Beispiel:

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

Im vorherigen Beispiel ist die locality-Anforderung in der address-Anforderung verschachtelt. Geben Sie für verschachtelte Ansprüche den übergeordneten und den verschachtelten Anspruch an und trennen Sie sie durch einen Schrägstrich ( /). Um Looker für den locality-Anspruch im Beispiel zu konfigurieren, geben Sie address/locality ein.

Gruppen und Rollen

Sie haben die Möglichkeit, Gruppen in Looker erstellen zu lassen, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten OpenID Connect-Gruppen zuzuweisen. Wenn Sie Änderungen an der Mitgliedschaft in Ihrer OpenID Connect-Gruppe vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Durch das Spiegeln von OpenID Connect-Gruppen können Sie Ihr extern definiertes OpenID Connect-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. So können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software-as-a-Service) wie Looker an einem Ort verwalten.

Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker für jede OpenID Connect-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können im Abschnitt Admin von Looker auf der Seite Gruppen aufgerufen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und ‑rollen

Standardmäßig ist der Schalter OpenID Connect-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, die Sie neuen Looker-Nutzern zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung entfernt werden.

OpenID Connect-Gruppen spiegeln aktivieren

Wenn Sie eine Looker (Google Cloud Core)-Instanz verwenden, empfehlen wir, die Gruppenspiegelung nur für die primäre Authentifizierungsmethode zu aktivieren und nicht für die OAuth-Sicherheitsauthentifizierung. Wenn Sie die Gruppenspiegelung sowohl für die primäre als auch für die sekundäre Authentifizierungsmethode aktivieren, gilt Folgendes:

• Wenn ein Nutzer Identitäten zusammengeführt hat, wird beim Spiegeln von Gruppen die primäre Authentifizierungsmethode verwendet, unabhängig davon, welche Authentifizierungsmethode tatsächlich für die Anmeldung verwendet wurde.
• Wenn ein Nutzer keine zusammengeführten Identitäten hat, wird bei der Gruppenspiegelung die Authentifizierungsmethode verwendet, mit der er sich angemeldet hat.

Spiegelung von Gruppen aktivieren

Wenn Sie Ihre OpenID Connect-Gruppen in Looker spiegeln möchten, aktivieren Sie die Option OpenID Connect-Gruppen spiegeln:

Gruppenanforderung: Geben Sie die Anforderung ein, die Ihr OP zum Speichern von Gruppennamen verwendet. Looker erstellt für jede OpenID Connect-Gruppe, die durch den Gruppenanspruch in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können auf der Seite Gruppen im Bereich Administrator von Looker eingesehen werden. Gruppen können zum Festlegen von Zugriffssteuerungen für Inhalte und zum Zuweisen von Nutzerattributen verwendet werden.

Bevorzugter Gruppenname / Bevorzugte Rollen / Bevorzugter OpenID Connect-Gruppenname: Mit dieser Gruppe von Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden OpenID Connect-Gruppe in Looker zugewiesen werden:

1. Geben Sie den OpenID Connect-Gruppennamen in das Feld OpenID Connect-Gruppenname ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.

3. Wählen Sie im Feld rechts neben Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.

4. Klicken Sie auf +, um weitere Feldgruppen hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie könnten beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch ändert sich die Darstellung der Gruppe auf der Seite Gruppen in Looker, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die OpenID Connect-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe mit der neuen OpenID Connect-Gruppen-ID sind.

Wenn Sie eine Gruppe auf dieser Seite löschen, wird sie nicht mehr in Looker gespiegelt und ihre Mitglieder haben nicht mehr die Rollen in Looker, die ihnen über diese Gruppe zugewiesen wurden.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter OpenID Connect-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und ‑Nutzern haben, die von OpenID Connect gespiegelt wurden.

Wenn Ihre Looker-Gruppen- und Nutzerkonfiguration beispielsweise genau mit Ihrer OpenID Connect-Konfiguration übereinstimmen soll, aktivieren Sie diese Optionen. Wenn die ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über gespiegelte OpenID Connect-Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität benötigen, um Ihre Gruppen in Looker weiter anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration, aber Sie können zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. OpenID Connect-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt OpenID Connect-Nutzern zuweisen.

Bei neuen Looker-Instanzen oder Instanzen, für die noch keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn diese Option aktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern keine Looker-Rollen direkt zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzer Mitgliedschaften in integrierten (nicht gespiegelten) Looker-Gruppen haben dürfen, können sie ihre Rollen weiterhin sowohl von gespiegelten OpenID Connect-Gruppen als auch von integrierten Looker-Gruppen erben. Allen OpenID Connect-Nutzern, denen zuvor Rollen direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entzogen.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern direkt Looker-Rollen zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in nicht von OpenID Connect verwalteten Gruppen verhindern: Wenn diese Option aktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, behalten OpenID Connect-Nutzer möglicherweise die Mitgliedschaft in übergeordneten Looker-Gruppen. Alle OpenID Connect-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Übernahme von Rollen aus nicht von OpenID Connect verwalteten Gruppen verhindern: Wenn Sie diese Option aktivieren, wird verhindert, dass Mitglieder gespiegelter OpenID Connect-Gruppen Rollen von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth Requires Role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, muss OpenID Connect-Nutzern eine Rolle zugewiesen sein. OpenID Connect-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich OpenID Connect-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Ein Nutzer ohne zugewiesene Rolle kann keine Daten sehen und keine Aktionen in Looker ausführen, sich aber in Looker anmelden.

Spiegeln von OpenID Connect-Gruppen deaktivieren

Wenn Sie das Spiegeln Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Wenn Sie den Schalter deaktivieren, führt das zu folgendem Verhalten:

• Alle gespiegelten OpenID Connect-Gruppen ohne Nutzer werden sofort gelöscht.
• Alle gespiegelten OpenID Connect-Gruppen, die Nutzer enthalten, werden als verwaist markiert. Wenn sich innerhalb von 31 Tagen keine Nutzer dieser Gruppe anmelden, wird die Gruppe gelöscht. Nutzer können nicht mehr zu verwaisten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen konfigurieren

Wie in diesem Abschnitt erläutert, empfiehlt Looker, Alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für bestehende Nutzer bereitzustellen.

Alternative Anmeldung für bestimmte Nutzer

Die Looker-Anmeldung per E‑Mail-Adresse und Passwort ist für normale Nutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Mit der Option Alternative Anmeldung für bestimmte Nutzer können Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email eine alternative E‑Mail-basierte Anmeldung über /login/email verwenden.

Diese Option ist als Ausweichlösung bei der Einrichtung von OpenID Connect nützlich, wenn später Probleme mit der OpenID Connect-Konfiguration auftreten oder wenn Sie Nutzer unterstützen müssen, die keine Konten in Ihrem OpenID Connect-Verzeichnis haben.

Methode zum Zusammenführen von OpenID Connect-Nutzern mit einem Looker-Konto angeben

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, die zum Zusammenführen einer erstmaligen OpenID Connect-Anmeldung mit einem bestehenden Nutzerkonto verwendet werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• Looker-E‑Mail-Adresse/-Passwort (nicht für Looker (Google Cloud Core) verfügbar)
• Google
• LDAP (nicht für Looker (Google Cloud Core) verfügbar)
• SAML

Wenn Sie mehrere Authentifizierungssysteme haben, können Sie in diesem Feld mehr als ein System angeben, das zusammengeführt werden soll. Looker sucht Nutzer in den aufgeführten Systemen in der angegebenen Reihenfolge. Angenommen, Sie haben einige Nutzer mit Looker-E‑Mail-Adresse/Passwort erstellt, dann LDAP aktiviert und möchten jetzt OpenID Connect verwenden. Im vorherigen Beispiel würde Looker zuerst nach E‑Mail-Adresse und Passwort und dann nach LDAP zusammenführen.

Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verknüpft, indem das Konto mit einer übereinstimmenden E‑Mail-Adresse gesucht wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzer zusammenführen, wenn Looker (Google Cloud Core) verwendet wird

Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der folgenden beiden Bedingungen erfüllt ist:

• Bedingung 1: Nutzer authentifizieren sich in Looker (Google Cloud Core) mit ihren Google-Identitäten über das OpenID Connect-Protokoll.

• Bedingung 2: Bevor Sie die Option zum Zusammenführen auswählen, haben Sie die folgenden beiden Schritte ausgeführt:

  1. Identitäten föderierter Nutzer in Google Cloud mit Cloud Identity.
  2. Richten Sie die OAuth-Authentifizierung als Backup-Authentifizierungsmethode für die Verbundnutzer ein.

Wenn die Einrichtung eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen mit nicht verfügbar.

Beim Zusammenführen sucht Looker nach Nutzerdatensätzen mit derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie beim Festlegen dieser Konfiguration auf die Schaltfläche Test, um Ihre OpenID Connect-Konfiguration zu testen.

Bei Tests werden Sie zu den Endpunkten weitergeleitet und ein neuer Browsertab wird geöffnet. Auf dem Tab wird Folgendes angezeigt:

• Ob Looker mit den verschiedenen Endpunkten kommunizieren und die Daten validieren konnte
• Ein Trace der Antwort des Authentifizierungsendpunkts
• Die Nutzerinformationen, die Looker vom Nutzerinfo-Endpunkt abruft
• Sowohl die decodierte als auch die Rohversion des empfangenen ID-Tokens

Mit diesem Test können Sie überprüfen, ob die von den verschiedenen Endpunkten empfangenen Informationen korrekt sind, und Fehler beheben.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect nur teilweise konfiguriert ist. Das Ausführen eines Tests kann bei der Konfiguration hilfreich sein, um zu sehen, welche Parameter konfiguriert werden müssen.
• Für den Test werden die Einstellungen verwendet, die auf der Seite OpenID Connect-Authentifizierung eingegeben wurden, auch wenn sie nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden sind, setzen Sie ein Häkchen bei I have confirmed the configuration above and want to enable applying it globally (Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden) und klicken Sie auf Update Settings (Einstellungen aktualisieren), um die Änderungen zu speichern.