Unternehmen nutzen verschiedene OpenID Connect-Anbieter (OPs), um sich mit OpenID Connect zu koordinieren, z. B. Okta oder OneLogin. Die in den folgenden Einrichtungsanweisungen und in der Looker-Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit den von Ihrem OP verwendeten Begriffen überein.
Auf der Seite OpenID Connect im Abschnitt Authentifizierung des Admin-Menüs können Sie Looker so konfigurieren, dass Nutzer mit dem OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie eine Anleitung zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und -Berechtigungen.
Überlegungen zur Planung
- Sie können die Option Alternative Anmeldung für angegebene Nutzer verwenden, damit Looker-Administratoren ohne OpenID Connect auf Looker zugreifen können.
- Deaktivieren Sie die OpenID Connect-Authentifizierung nicht, während Sie über OpenID Connect bei Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie den Zugriff auf die App beenden.
- Looker kann bestehende Konten zu OpenID Connect migrieren, indem E-Mail-Adressen aus den aktuellen E-Mail-/Passworteinstellungen, LDAP, SAML oder Google Auth stammen. Diese Einstellung können Sie während der Einrichtung konfigurieren.
- Looker unterstützt nur die OpenID Connect-Authentifizierung über den Autorisierungscode-Ablauf von OpenID Connect. Andere Codeabläufe werden nicht unterstützt.
- Die OpenID Connect-Spezifikation enthält einen optionalen Erkennungsmechanismus. Looker unterstützt diesen Mechanismus nicht. Daher müssen Sie im Abschnitt OpenID Connect-Authentifizierungseinstellungen explizite URLs angeben, wie unten beschrieben.
OpenID Connect einrichten
Führen Sie die folgenden Aufgaben aus, um die Verbindung zwischen Looker und OpenID Connect einzurichten:
- Geben Sie Ihre Looker-URL an Ihren OpenID Connect-Anbieter (OP) weiter.
- Hole die erforderlichen Informationen aus deinem OP.
Looker auf Ihrem OP einrichten
Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Ihr OP kann diese unter anderem Weiterleitungs-URI oder Log-in-Weiterleitungs-URI nennen. Geben Sie auf der Website Ihres OPs die URL an, unter der Sie normalerweise über einen Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect
Informationen von deinem OP abrufen
Zum Konfigurieren von Looker für die OpenID Connect-Authentifizierung benötigen Sie die folgenden Informationen von Ihrem OP:
- Eine Client-ID und einen Clientschlüssel. Diese werden normalerweise vom OP auf der entsprechenden Website bereitgestellt, wenn Sie den Weiterleitungs-URI wie oben beschrieben konfigurieren.
- Während der OpenID Connect-Authentifizierung stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Endpunkt für Nutzerinformationen. Sie benötigen die URLs, die Ihr OP für jeden dieser Endpunkte verwendet.
- Jede Operation stellt Nutzerinformationen in Gruppen bereit, die als Bereiche bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. OpenID Connect erfordert den Bereich
openid, aber Ihr OP wird wahrscheinlich andere Bereiche enthalten, z. B.email,profileundgroups. - In OpenID Connect werden Attribute, die Nutzerdaten speichern, als Ansprüche bezeichnet. Sie müssen wissen, welche Ansprüche Ihr OP an Looker übergibt, um die gewünschten Benutzerinformationen in Ihrer Looker-Instanz bereitzustellen. Looker erfordert Ansprüche, die E-Mail- und Namensinformationen enthalten. Wenn Sie jedoch andere Benutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch ermitteln, welche Anforderungen diese Informationen enthalten. Ansprüche können entweder vom Endpunkt für Nutzerinformationen oder vom ID-Token-Endpunkt in die Antwort aufgenommen werden. Looker kann die von jedem Endpunkt zurückgegebenen Anforderungen den Looker-Benutzerattributen zuordnen.
Viele OPs bieten Informationen zur Konfiguration von OpenID Connect in Form eines Discovery-Dokuments, mit dem Sie einige oder alle Informationen erfassen können, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn Sie keinen Zugriff auf ein Discovery-Dokument haben, müssen Sie die erforderlichen Informationen von Ihrem OP oder dem internen Authentifizierungsteam einholen.
Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:
{
"issuer": "https://accounts.google.com",
"authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
"token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
"userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
"revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
"jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
"response_types_supported": [
"code",
"token",
"id_token",
"code token"
"code id_token",
"token id_token",
"code token id_token",
"none"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"scopes_supported": [
"openid",
"email",
"profile"
],
"token_endpoint_auth_methods_supported": [
"client_secret_post",
"client_secret_basic"
],
"claims_supported": [
"aud",
"email",
"email_verified",
"exp",
"family_name",
"given_name",
"iat",
"iss",
"locale",
"name",
"picture",
"sub"
],
OpenID Connect-Authentifizierungseinstellungen konfigurieren
Verwenden Sie die Konfigurationsinformationen, die Sie aus dem Discovery-Dokument Ihres OP, Ihrem OP oder Ihrem internen Authentifizierungsteam erhalten haben, um Verbindungseinstellungen in die folgenden Felder einzugeben:
ID: Die eindeutige Client-ID Ihrer Looker-Instanz. Dies sollte von Ihrem OP bereitgestellt werden.
Secret: Der Clientschlüsselschlüssel, der für Ihre Looker-Instanz eindeutig ist. Dies sollte von Ihrem OP bereitgestellt werden.
Issuer (Aussteller): Die sichere URL, die dein OP identifiziert.
Zielgruppe: Eine Kennung, die Ihrem OP gegenüber angibt, wer der Client ist. Diese ist häufig mit dem Wert Identifier identisch, kann aber auch von einem anderen Wert abweichen.
Autorisierungs-URL: Die URL des Vorgangs, in dem die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument häufig authorization_endpoint genannt.
Token-URL: Die URL, über die Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument häufig token_endpoint genannt.
URL für Nutzerinformationen: Die URL, über die Looker detaillierte Nutzerinformationen abruft. Wird in einem Discovery-Dokument häufig userinfo_endpoint genannt.
Bereiche: Eine durch Kommas getrennte Liste von Bereichen, die vom OP verwendet werden, um Nutzerinformationen für Looker bereitzustellen. Sie müssen den Bereich openid und alle Bereiche angeben, die die von Looker benötigten Informationen enthalten. Dazu gehören E-Mail-Adressen, Nutzernamen und Nutzerattribute, die in Ihrer Looker-Instanz konfiguriert wurden.
Einstellungen für Nutzerattribute konfigurieren
In diesem Abschnitt ordnen Sie die Anforderungen Ihres Vorgangs den Nutzerattributen von Looker zu.
Geben Sie im Abschnitt User Attribute Settings (Einstellungen für Benutzerattribute) den Namen der Anforderung Ihres Vorgangs ein, die die entsprechenden Informationen für jedes Feld enthält. Dadurch weiß Looker, wie diese Ansprüche bei der Anmeldung den Looker-Benutzerinformationen zugeordnet werden sollen. Bei Looker geht es nicht um die Art und Weise, wie Ansprüche aufgebaut sind. Es ist lediglich wichtig, dass die hier eingegebenen Anspruchsinformationen mit der Definition der Ansprüche in Ihrem OP übereinstimmen.
Standardansprüche
Looker benötigt für die Nutzerauthentifizierung Informationen zum Nutzernamen und zur E-Mail-Adresse. Gib in diesem Abschnitt die entsprechenden Anspruchsinformationen deines OP ein:
E-Mail-Anspruch: Der Anspruch, den Ihr OP für Nutzer-E-Mail-Adressen wie email verwendet.
First Name Claim (Vornamensanforderung): Die Behauptung, die Ihr OP für Vornamen von Nutzern verwendet, z. B. given_name.
Last Name Claim (Nachnamenanspruch): Die Behauptung, die Ihr OP für Nachnamen von Nutzern verwendet, z. B. family_name.
Beachte, dass einige OPs nur eine einzige Behauptung für Namen verwenden, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem OP der Fall ist, geben Sie den Anspruch, bei dem die Namen gespeichert sind, in die Felder First Name Claim und Last Name Claim ein. Für jeden Benutzer verwendet Looker den Inhalt bis zum ersten Leerzeichen als Vorname und alles danach als Nachname.
Attributpaare
Optional können Sie die Daten in Ihren OpenID Connect-Anforderungen verwenden, um Werte in Looker-Nutzerattribute automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise OpenID Connect so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre OpenID Connect-Anforderungen mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.
So koppeln Sie Anforderungen mit entsprechenden Looker-Benutzerattributen:
- Geben Sie den Anspruch gemäß Ihrem OP in das Feld Claim (Anspruch) und das Looker-Nutzerattribut, mit dem Sie ihn verknüpfen möchten, im Feld Looker-Nutzerattribute ein.
- Klicke das Kästchen Erforderlich an, wenn du die Anmeldung durch Nutzerkonten blockieren möchtest, bei denen im Anspruchsfeld ein Wert fehlt.
- Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Anspruchs- und Attributpaare hinzuzufügen.
Beachte, dass einige OPs "verschachtelte" Ansprüche haben können. Beispiel:
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
Im Beispiel oben ist die locality-Anforderung innerhalb der address-Anforderung verschachtelt. Gib für verschachtelte Ansprüche die übergeordneten und verschachtelten Anforderungen an, getrennt durch einen Schrägstrich ( / ). Zum Konfigurieren von Looker für die obige Anforderung locality geben Sie address/locality ein.
Gruppen und Rollen
Sie haben die Möglichkeit, dass Looker Gruppen erstellen, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln, und Nutzern dann basierend auf ihren gespiegelten OpenID Connect-Gruppen Looker-Rollen zuweisen. Wenn Sie Änderungen an Ihrer OpenID Connect-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen
Wenn Sie OpenID Connect-Gruppen spiegeln, können Sie Ihr extern definiertes OpenID Connect-Verzeichnis zum Verwalten von Looker-Gruppen und -Nutzern verwenden. Auf diese Weise können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.
Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede OpenID Connect-Gruppe, die in das System eingeführt wird. Sie können diese Looker-Gruppen in Looker im Bereich Admin auf der Seite Gruppen einsehen. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.
Standardgruppen und -rollen
Der Schalter OpenID Connect-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten:
Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung von Nutzern entfernt werden.
Wenn Sie später das Spiegeln von OpenID Connect-Gruppen aktivieren, werden diese Standardeinstellungen für Nutzer bei ihrer nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt Mirror OpenID Connect Groups zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.
Spiegel-OpenID Connect-Gruppen aktivieren
Aktivieren Sie zum Spiegeln Ihrer OpenID Connect-Gruppen in Looker den Schalter OpenID Connect-Gruppen spiegeln:
Groups Claim (Gruppenanspruch): Geben Sie den Anspruch ein, mit dem Ihr OP Gruppennamen speichert. Looker erstellt eine Looker-Gruppe für jede OpenID Connect-Gruppe, die durch die Groups-Anforderung in das System eingeführt wird. Sie können diese Looker-Gruppen in Looker im Bereich Admin auf der Seite Gruppen ansehen. Gruppen können verwendet werden, um Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.
Bevorzugter Gruppenname / Rollen / OpenID Connect-Gruppenname: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden OpenID Connect-Gruppe in Looker zugewiesen sind:
Geben Sie den Namen der OpenID Connect-Gruppe in das Feld OpenID Connect-Gruppenname ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.
Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.
Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.
Klicken Sie auf
+, um weitere Felder hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration einer Gruppe entfernen möchten, klicken Sie neben den entsprechenden Feldern aufX.
Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch intakt. Sie können z. B. den benutzerdefinierten Namen einer Gruppe ändern. Dadurch wird zwar die Darstellung der Gruppe auf der Looker-Seite Gruppen geändert, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die OpenID Connect-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe mit der neuen OpenID Connect-Gruppen-ID sind.
Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihre Mitglieder haben nicht mehr die Rollen in Looker, die ihnen über diese Gruppe zugewiesen wurden.
Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal bei Looker anmelden.
Erweiterte Rollenverwaltung
Wenn Sie den Schalter OpenID Connect-Gruppen spiegeln aktiviert haben, zeigt Looker diese Einstellungen an. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und -Benutzern haben, die aus OpenID Connect gespiegelt wurden.
Wenn beispielsweise Ihre Looker-Gruppe und Ihre Nutzerkonfiguration genau Ihrer OpenID Connect-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über gespiegelte OpenID Connect-Gruppen Rollen zuweisen.
Wenn Sie mehr Flexibilität benötigen, um Ihre Gruppen in Looker weiter anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. können Sie Looker-spezifischen Gruppen OpenID Connect-Nutzer hinzufügen oder OpenID Connect-Nutzern Looker-Rollen direkt zuweisen.
Bei neuen Looker-Instanzen oder Instanzen, für die zuvor keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.
Bei vorhandenen Looker-Instanzen, für die derzeit gespiegelte Gruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.
Wenn Sie restriktivere Einstellungen aktivieren, verlieren Nutzer die Gruppenmitgliedschaft oder zugewiesene Rollen, die direkt in Looker konfiguriert wurden. Das geschieht, wenn sich diese Benutzer das nächste Mal bei Looker anmelden.
Der Abschnitt Erweiterte Rollenverwaltung enthält folgende Optionen:
Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Looker-Rollen nicht direkt OpenID Connect-Nutzern zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzer die Mitgliedschaft in nativen (nicht gespiegelten) Looker-Gruppen zulassen, können sie ihre Rollen sowohl von gespiegelten OpenID Connect-Gruppen als auch von nativen Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, denen zuvor Rollen direkt zugewiesen waren, werden bei der nächsten Anmeldung entfernt.
Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern direkt Looker-Rollen zuweisen, als wären sie Benutzer, die nativ in Looker konfiguriert wurden.
Direkte Mitgliedschaft in Nicht-OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren OpenID Connect-Nutzer direkt nativen Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder nativer Looker-Gruppen sein dürfen, können OpenID Connect-Nutzer die Mitgliedschaft in übergeordneten Looker-Gruppen beibehalten. Alle OpenID Connect-Nutzer, die zuvor nativen Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.
Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt nativen Looker-Gruppen hinzufügen.
Verhindern der Rollenübernahme von Nicht-OpenID Connect-Gruppen: Wenn Sie diese Option aktivieren, können Mitglieder gespiegelter OpenID Connect-Gruppen keine Rollen aus nativen Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.
Wenn diese Option deaktiviert ist, übernehmen gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer nativen Looker-Gruppe hinzugefügt wurden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.
Auth Require Role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, muss OpenID Connect-Nutzern eine Rolle zugewiesen werden. OpenID Connect-Nutzer, denen keine Rolle zugewiesen wurde, können sich nicht bei Looker anmelden.
Wenn diese Option deaktiviert ist, können sich OpenID Connect-Nutzer auch dann bei Looker authentifizieren, wenn ihnen keine Rolle zugewiesen wurde. Ein Benutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen und keine Aktionen ausführen, aber er kann sich bei Looker anmelden.
Spiegel-OpenID Connect-Gruppen deaktivieren
Wenn Sie das Spiegeln Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Alle leeren Spiegel-OpenID Connect-Gruppen werden gelöscht.
Nicht leere gespiegelte OpenID Connect-Gruppen bleiben weiterhin für das Content-Management und die Rollenerstellung verfügbar. Nutzer können jedoch nicht zu gespiegelten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.
Migrationsoptionen konfigurieren
Wie in diesem Abschnitt erläutert, empfiehlt Looker, die Option Alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für vorhandene Nutzer festzulegen.
Alternative Anmeldung für bestimmte Nutzer
Looker-E-Mail-/Passwort-Anmeldungen sind für normale Benutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Mit der Option Alternative Anmeldung für angegebene Nutzer wird die alternative E-Mail-basierte Anmeldung mit /login/email für Administratoren und für bestimmte Nutzer mit der Berechtigung login_special_email aktiviert.
Diese Einstellung kann als Fallback während der Einrichtung von OpenID Connect verwendet werden, falls OpenID Connect-Konfigurationsprobleme später auftreten oder wenn Sie Nutzer unterstützen müssen, die keine Konten in Ihrem OpenID Connect-Verzeichnis haben.
Informationen zum Aktivieren alternativer Anmeldungen über die Looker API finden Sie auf der Dokumentationsseite Alternative Anmeldeoption aktivieren.
Methode zum Zusammenführen von OpenID Connect-Nutzern mit einem Looker-Konto angeben
Geben Sie im Feld Nutzer zusammenführen mit die Methode an, mit der eine erstmalige Anmeldung in Open ID Connect mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:
- E-Mail-Adresse/Passwort für Looker (nicht verfügbar für Looker (Google Cloud Core))
- LDAP (nicht verfügbar für Looker (Google Cloud Core))
- SAML
Wenn Sie mehrere Authentifizierungssysteme verwenden, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker sucht nach Nutzern aus den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit der E-Mail-Adresse und dem Passwort von Looker erstellt, dann LDAP aktiviert und möchten nun OpenID Connect verwenden. Im obigen Beispiel würde Looker zuerst nach E-Mail-Adresse/Passwort und dann nach LDAP zusammengeführt werden.
Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird durch diese Option der Nutzer mit seinem bestehenden Konto verknüpft, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gesucht wird. Wenn für den Nutzer noch kein Konto vorhanden ist, wird ein neues erstellt.
Nutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen
Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der folgenden beiden Bedingungen erfüllt ist:
- Bedingung 1: Nutzer authentifizieren sich bei Looker (Google Cloud Core) mit ihren Google-Identitäten über das OpenID Connect-Protokoll.
Bedingung 2: Bevor Sie die Zusammenführungsoption auswählen, müssen Sie die folgenden beiden Schritte ausgeführt haben:
- Identitäten von föderierten Nutzern in Google Cloud mithilfe von Cloud Identity
- Richten Sie mithilfe der föderierten Nutzer die OAuth-Authentifizierung als sekundäre Authentifizierungsmethode ein.
Wenn bei der Einrichtung keine dieser beiden Bedingungen erfüllt ist, ist die Option Nutzer zusammenführen mithilfe von nicht verfügbar.
Beim Zusammenführen sucht Looker nach Benutzereinträgen, die dieselbe E-Mail-Adresse haben.
Nutzerauthentifizierung testen
Klicken Sie beim Festlegen dieser Konfiguration auf die Schaltfläche Test (Testen), um Ihre OpenID Connect-Konfiguration zu testen.
Lesen Sie die Ergebnisse des Tests sorgfältig durch. Einige Teile des Tests können erfolgreich sein, auch wenn andere nicht bestehen.
Bei den Tests werden Nutzer an die Endpunkte weitergeleitet und ein neuer Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:
- Ob Looker mit den verschiedenen Endpunkten kommunizieren und validieren konnte
- Trace der Antwort des Authentifizierungsendpunkts
- Die Nutzerinformationen, die Looker vom Endpunkt für Nutzerinformationen bezieht
- Sowohl die decodierte Version als auch die Rohversion des erhaltenen ID-Tokens
Mit diesem Test können Sie prüfen, ob die von den verschiedenen Endpunkten empfangenen Informationen korrekt sind, und Fehler beheben.
Tipps:
- Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect nur teilweise konfiguriert ist. Ein Test kann hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
- Für den Test werden die auf der Seite OpenID Connect-Authentifizierung eingegebenen Einstellungen verwendet, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und hat auch keine Auswirkungen darauf.
Speichern und Einstellungen anwenden
Testen Sie zuerst Ihre Konfiguration und lesen Sie sich die Testergebnisse sorgfältig durch, um sicherzustellen, dass alle Teile des Tests erfolgreich waren. Wenn Sie falsche OpenID Connect-Konfigurationsinformationen speichern, können Sie und andere möglicherweise nicht in Looker zugreifen.
Wenn Sie die Eingabe Ihrer Informationen abgeschlossen haben und alle Tests bestanden wurden, klicken Sie auf das Kästchen Ich habe die obige Konfiguration bestätigt und möchte die Anwendung global aktivieren und zum Speichern auf Einstellungen aktualisieren.