Setelan admin - Autentikasi OpenID Connect

Perusahaan menggunakan penyedia OpenID Connect (OP) yang berbeda untuk berkoordinasi dengan OpenID Connect (misalnya, Okta atau OneLogin). Istilah yang digunakan dalam petunjuk penyiapan berikut dan di UI Looker mungkin tidak sama persis dengan yang digunakan oleh OP Anda.

Halaman OpenID Connect di bagian Autentikasi pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna menggunakan protokol OpenID Connect. Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup OpenID Connect ke peran dan izin Looker.

Persyaratan

Looker menampilkan halaman OpenID Connect di bagian Authentication pada menu Admin hanya jika kondisi berikut terpenuhi:

  • Anda memiliki peran Admin.
  • Instance Looker Anda diaktifkan untuk menggunakan OpenID Connect.

Jika kondisi ini terpenuhi, dan Anda tidak melihat halaman OpenID Connect, buka permintaan dukungan untuk mengaktifkan OpenID Connect di instance Anda.

Pertimbangan perencanaan

  • Pertimbangkan untuk menggunakan opsi Login Alternatif untuk Pengguna Tertentu agar admin Looker dapat mengakses Looker tanpa OpenID Connect.
  • Jangan menonaktifkan autentikasi OpenID Connect saat Anda login ke Looker menggunakan OpenID Connect, kecuali jika Anda telah menyiapkan login akun alternatif. Jika tidak, Anda dapat kehilangan akses ke aplikasi.
  • Looker dapat memigrasikan akun yang ada ke OpenID Connect menggunakan alamat email yang berasal dari penyiapan email dan sandi saat ini, LDAP, SAML, atau Google Auth. Anda dapat mengonfigurasinya dalam proses penyiapan.
  • Looker hanya mendukung autentikasi OpenID Connect menggunakan Authorization Code Flow OpenID Connect. Alur kode lainnya tidak didukung.
  • Spesifikasi OpenID Connect mencakup mekanisme Penemuan opsional. Looker tidak mendukung mekanisme ini, jadi Anda harus memberikan URL eksplisit di bagian Setelan Auth OpenID Connect, seperti yang dijelaskan dalam Mengonfigurasi setelan auth OpenID Connect.

Menyiapkan OpenID Connect

Untuk menyiapkan koneksi antara Looker dan OpenID Connect, lakukan tugas berikut:

  1. Berikan URL Looker Anda ke Penyedia OpenID Connect (OP) Anda.
  2. Mendapatkan informasi yang diperlukan dari OP Anda.

Menyiapkan Looker di OP Anda

Penyedia OpenID Connect (OP) Anda akan memerlukan URL instance Looker Anda. OP Anda dapat menyebutnya sebagai Redirect URI atau Login Redirect URI, di antara nama lainnya. Di situs OP Anda, berikan URL tempat Anda biasanya mengakses instance Looker di browser kepada OP, diikuti dengan /openidconnect. Contohnya, https://instance_name.looker.com/openidconnect

Mendapatkan informasi dari OP Anda

Untuk mengonfigurasi Looker untuk autentikasi OpenID Connect, Anda memerlukan informasi berikut dari OP Anda:

  • ID klien dan rahasia klien. Biasanya, OP menyediakan informasi ini di situsnya saat Anda mengonfigurasi URI Pengalihan.
  • Selama proses autentikasi OpenID Connect, Looker akan terhubung ke tiga endpoint yang berbeda, yaitu endpoint Autentikasi, endpoint Token ID, dan endpoint Informasi Pengguna. Anda akan memerlukan URL yang digunakan OP untuk setiap endpoint ini.
  • Setiap OP akan memberikan informasi pengguna dalam set yang disebut cakupan. Anda perlu mengetahui nama cakupan yang digunakan OP Anda. OpenID Connect memerlukan cakupan openid, tetapi OP Anda kemungkinan akan menyertakan cakupan lain, seperti email, profile, dan groups.
  • Di OpenID Connect, atribut yang menyimpan data pengguna disebut klaim. Anda perlu mengetahui klaim mana yang diteruskan OP ke Looker untuk memberikan informasi pengguna yang Anda inginkan di instance Looker Anda. Looker memerlukan klaim yang berisi informasi email dan nama, tetapi jika Anda memiliki atribut pengguna lain, seperti zona waktu atau departemen, Looker juga perlu mengidentifikasi klaim mana yang berisi informasi tersebut. Klaim dapat disertakan dalam respons dari endpoint Informasi Pengguna atau endpoint Token ID. Looker dapat memetakan klaim yang ditampilkan oleh salah satu endpoint ke atribut pengguna Looker.

Banyak OP memberikan informasi tentang cara mengonfigurasi OpenID Connect dalam bentuk dokumen penemuan, sehingga Anda dapat mengumpulkan sebagian atau semua informasi yang diperlukan untuk mengonfigurasi Looker untuk OpenID Connect. Jika Anda tidak memiliki akses ke dokumen penemuan, Anda harus mendapatkan informasi yang diperlukan dari OP atau tim autentikasi internal Anda.

Bagian berikut berasal dari contoh dokumen penemuan:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

Mengonfigurasi setelan autentikasi OpenID Connect

Gunakan informasi konfigurasi yang Anda peroleh dari dokumen penemuan OP, OP, atau tim autentikasi internal Anda untuk memasukkan setelan koneksi di kolom berikut:

ID: ID klien yang unik untuk instance Looker Anda. Ini harus disediakan oleh OP Anda.

Secret: Kunci rahasia klien yang unik untuk instance Looker Anda. Ini harus disediakan oleh OP Anda.

Penerbit: URL aman yang mengidentifikasi OP Anda.

Audiens: ID yang menunjukkan kepada OP Anda siapa kliennya. ID ini sering kali sama dengan nilai ID Anda, tetapi mungkin merupakan nilai yang berbeda.

Authorization URL: URL OP tempat urutan autentikasi dimulai. Sering disebut authorization_endpoint dalam dokumen penemuan.

URL Token: URL tempat Looker mengambil token OAuth setelah Looker diotorisasi. Sering disebut token_endpoint dalam dokumen penemuan.

URL Info Pengguna: URL tempat Looker akan mengambil informasi pengguna yang mendetail. Sering disebut userinfo_endpoint dalam dokumen penemuan.

Cakupan: Daftar cakupan yang dipisahkan koma yang digunakan oleh OP untuk memberikan informasi pengguna ke Looker. Anda harus menyertakan cakupan openid dan cakupan apa pun yang menyertakan informasi yang diperlukan Looker, yang mencakup alamat email, nama pengguna, dan atribut pengguna yang dikonfigurasi di instance Looker Anda.

Mengonfigurasi setelan atribut pengguna

Di bagian ini, Anda akan memetakan klaim OP ke atribut pengguna Looker.

Di bagian Setelan Atribut Pengguna, masukkan nama klaim OP yang berisi informasi yang sesuai untuk setiap kolom. Hal ini memberi tahu Looker cara memetakan klaim tersebut ke informasi pengguna Looker pada waktu login. Looker tidak mempermasalahkan cara klaim dibuat, yang penting informasi klaim yang dimasukkan di sini cocok dengan cara klaim ditentukan dalam OP Anda.

Klaim standar

Looker memerlukan informasi nama pengguna dan email untuk autentikasi pengguna. Masukkan informasi klaim yang sesuai dengan OP Anda di bagian ini:

Klaim Email: Klaim yang digunakan OP Anda untuk alamat email pengguna, seperti email.

Klaim Nama Depan: Klaim yang digunakan OP Anda untuk nama depan pengguna, seperti given_name.

Klaim Nama Belakang: Klaim yang digunakan OP Anda untuk nama belakang pengguna, seperti family_name.

Perhatikan bahwa beberapa OP menggunakan satu klaim untuk nama, bukan memisahkan nama depan dan belakang. Jika demikian halnya dengan OP Anda, masukkan klaim yang menyimpan nama di kolom Klaim Nama Depan dan Klaim Nama Belakang. Untuk setiap pengguna, Looker akan menggunakan konten hingga spasi pertama sebagai Nama Depan dan semuanya setelahnya sebagai Nama Belakang.

Pasangan atribut

Secara opsional, Anda dapat menggunakan data dalam klaim OpenID Connect untuk mengisi nilai secara otomatis di atribut pengguna Looker saat pengguna login. Misalnya, jika Anda telah mengonfigurasi OpenID Connect untuk membuat koneksi khusus pengguna ke database, Anda dapat menyandingkan klaim OpenID Connect dengan atribut pengguna Looker untuk membuat koneksi database khusus pengguna di Looker.

Untuk menyandingkan klaim dengan atribut pengguna Looker yang sesuai:

  1. Masukkan klaim sebagaimana diidentifikasi oleh OP Anda di kolom Claim dan atribut pengguna Looker yang ingin Anda pasangkan di kolom Looker User Attributes.
  2. Centang Wajib jika Anda ingin memblokir login oleh akun pengguna yang tidak memiliki nilai di kolom klaim tersebut.
  3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan klaim dan atribut lainnya.

Perhatikan bahwa beberapa OP dapat memiliki klaim "bertumpuk". Contoh:

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

Dalam contoh sebelumnya, klaim locality di-nesting dalam klaim address. Untuk klaim bertingkat, tentukan klaim induk dan bertingkat, yang dipisahkan oleh karakter garis miring ( / ). Untuk mengonfigurasi Looker untuk klaim locality dalam contoh, Anda akan memasukkan address/locality.

Grup dan peran

Anda memiliki opsi agar Looker membuat grup yang mencerminkan grup OpenID Connect yang dikelola secara eksternal, lalu menetapkan peran Looker kepada pengguna berdasarkan grup OpenID Connect yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup OpenID Connect, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker

Dengan mencerminkan grup OpenID Connect, Anda dapat menggunakan direktori OpenID Connect yang ditentukan secara eksternal untuk mengelola grup dan pengguna Looker. Dengan demikian, Anda dapat mengelola keanggotaan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Mirror OpenID Connect Groups, Looker akan membuat satu grup Looker untuk setiap grup OpenID Connect yang diperkenalkan ke dalam sistem. Grup Looker tersebut dapat dilihat di halaman Grup di bagian Admin Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menyetel kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror OpenID Connect Groups nonaktif. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna OpenID Connect baru. Di kolom Grup Pengguna Baru dan Peran Pengguna Baru, masukkan nama grup atau peran Looker yang ingin Anda tetapkan kepada pengguna Looker baru saat mereka pertama kali login ke Looker:

Grup dan peran ini diterapkan ke pengguna baru saat login awal mereka. Kebijakan ini tidak diterapkan kepada pengguna yang sudah ada, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal.

Mengaktifkan grup OpenID Connect mirror

Jika Anda menggunakan instance Looker (Google Cloud core), sebaiknya aktifkan pencerminan grup hanya untuk metode autentikasi utama dan jangan aktifkan pencerminan grup untuk autentikasi OAuth cadangan. Jika Anda mengaktifkan pencerminan grup untuk metode autentikasi primer dan sekunder, perilaku berikut akan terjadi:

  • Jika pengguna telah menggabungkan identitas, pencerminan grup akan mencocokkan metode autentikasi utama, terlepas dari metode autentikasi sebenarnya yang digunakan untuk login.
  • Jika pengguna tidak memiliki identitas gabungan, pencerminan grup akan mencocokkan metode autentikasi yang digunakan untuk login.

Langkah-langkah untuk mengaktifkan grup yang dicerminkan

Untuk mencerminkan grup OpenID Connect Anda dalam Looker, aktifkan tombol Cerminkan Grup OpenID Connect:

Klaim Grup: Masukkan klaim yang digunakan OP Anda untuk menyimpan nama grup. Looker akan membuat satu grup Looker untuk setiap grup OpenID Connect yang diperkenalkan ke dalam sistem oleh klaim Grup. Grup Looker tersebut dapat dilihat di halaman Grup di bagian Admin Looker. Grup dapat digunakan untuk menetapkan kontrol akses konten dan menetapkan atribut pengguna.

Nama Grup Pilihan / Peran / Nama Grup OpenID Connect: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup OpenID Connect yang sesuai di Looker:

  1. Masukkan nama grup OpenID Connect di kolom Nama Grup OpenID Connect. Pengguna OpenID Connect yang disertakan dalam grup OpenID Connect akan ditambahkan ke grup yang dicerminkan dalam Looker.

  2. Masukkan nama kustom untuk grup yang dicerminkan di kolom Nama Kustom. Ini adalah nama yang akan ditampilkan di halaman Grup di bagian Admin Looker.

  3. Di kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

  4. Klik + untuk menambahkan set kolom tambahan guna mengonfigurasi grup yang dicerminkan tambahan. Jika Anda telah mengonfigurasi beberapa grup dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup yang dicerminkan yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Mengubah ID Grup OpenID Connect akan mempertahankan nama dan peran grup, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup OpenID Connect eksternal yang memiliki ID grup OpenID Connect baru.

Jika Anda menghapus grup di halaman ini, grup tersebut tidak akan lagi dicerminkan di Looker dan anggotanya tidak akan lagi memiliki peran di Looker yang ditetapkan kepada mereka melalui grup tersebut.

Setiap pengeditan yang dilakukan pada grup yang dicerminkan akan diterapkan kepada pengguna grup tersebut saat mereka login ke Looker berikutnya.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Mirror OpenID Connect Groups, Looker akan menampilkan setelan ini. Opsi di bagian ini menentukan fleksibilitas yang dimiliki admin Looker saat mengonfigurasi grup dan pengguna Looker yang telah dicerminkan dari OpenID Connect.

Misalnya, jika Anda ingin konfigurasi grup dan pengguna Looker cocok dengan konfigurasi OpenID Connect, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang dicerminkan dan hanya dapat menetapkan peran kepada pengguna melalui grup yang dicerminkan OpenID Connect.

Jika Anda ingin memiliki fleksibilitas lebih untuk menyesuaikan grup lebih lanjut dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi OpenID Connect, tetapi Anda akan dapat melakukan pengelolaan grup dan pengguna tambahan dalam Looker, seperti menambahkan pengguna OpenID Connect ke grup khusus Looker atau menetapkan peran Looker langsung kepada pengguna OpenID Connect.

Untuk instance Looker baru, atau instance yang tidak memiliki grup yang dicerminkan yang dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang sudah ada dan telah mengonfigurasi grup yang dicerminkan, opsi ini aktif secara default.

Bagian Pengelolaan Peran Lanjutan berisi opsi berikut:

Mencegah Pengguna OpenID Connect Individual Menerima Peran Langsung: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker secara langsung kepada pengguna OpenID Connect. Pengguna OpenID Connect hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna OpenID Connect diizinkan menjadi anggota grup Looker bawaan (tidak dicerminkan), mereka tetap dapat mewarisi perannya dari grup OpenID Connect yang dicerminkan dan dari grup Looker bawaan. Pengguna OpenID Connect yang sebelumnya diberi peran secara langsung akan dihapus perannya saat mereka login berikutnya.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker secara langsung kepada pengguna OpenID Connect seolah-olah mereka adalah pengguna yang dikonfigurasi langsung di Looker.

Cegah Keanggotaan Langsung di Grup non-OpenID Connect: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna OpenID Connect secara langsung ke grup Looker bawaan. Jika grup OpenID Connect yang dicerminkan diizinkan menjadi anggota grup Looker bawaan, pengguna OpenID Connect dapat mempertahankan keanggotaan di grup Looker induk mana pun. Semua pengguna OpenID Connect yang sebelumnya ditetapkan ke grup Looker bawaan akan dihapus dari grup tersebut saat mereka login berikutnya.

Jika opsi ini dinonaktifkan, admin Looker dapat menambahkan pengguna OpenID Connect langsung ke grup Looker bawaan.

Mencegah Pewarisan Peran dari Grup non-OpenID Connect: Mengaktifkan opsi ini akan mencegah anggota grup OpenID Connect yang dicerminkan mewarisi peran dari grup Looker bawaan. Semua pengguna OpenID Connect yang sebelumnya mewarisi peran dari grup Looker induk akan kehilangan peran tersebut saat mereka login berikutnya.

Jika opsi ini nonaktif, grup OpenID Connect yang dicerminkan atau pengguna OpenID Connect yang ditambahkan sebagai anggota grup Looker bawaan akan mewarisi peran yang ditetapkan ke grup Looker induk.

Auth Requires Role: Jika opsi ini aktif, pengguna OpenID Connect harus memiliki peran yang ditetapkan. Semua pengguna OpenID Connect yang tidak memiliki peran yang ditetapkan tidak akan dapat login ke Looker sama sekali.

Jika opsi ini nonaktif, pengguna OpenID Connect dapat melakukan autentikasi ke Looker meskipun mereka tidak memiliki peran yang ditetapkan. Pengguna yang tidak diberi peran tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi mereka akan dapat login ke Looker.

Menonaktifkan grup OpenID Connect yang dicerminkan

Jika Anda ingin berhenti mencerminkan grup OpenID Connect dalam Looker, nonaktifkan tombol Cerminkan Grup OpenID Connect. Menonaktifkan tombol akan menghasilkan perilaku berikut:

  • Grup OpenID Connect cermin tanpa pengguna akan langsung dihapus.
  • Grup OpenID Connect mirror yang tidak berisi pengguna akan ditandai sebagai tidak memiliki induk. Jika tidak ada pengguna grup ini yang login dalam waktu 31 hari, grup akan dihapus. Pengguna tidak lagi dapat ditambahkan ke atau dihapus dari grup OpenID Connect yang tidak memiliki pemilik.

Mengonfigurasi opsi migrasi

Seperti yang dijelaskan di bagian ini, Looker merekomendasikan agar Anda mengaktifkan Login Alternatif dan memberikan strategi penggabungan untuk pengguna lama.

Login alternatif untuk pengguna tertentu

Login email dan sandi Looker selalu dinonaktifkan untuk pengguna biasa saat autentikasi OpenID Connect diaktifkan. Opsi Login Alternatif untuk Pengguna Tertentu memungkinkan login berbasis email alternatif menggunakan /login/email untuk admin dan untuk pengguna tertentu dengan izin login_special_email.

Mengaktifkan opsi ini berguna sebagai penggantian selama penyiapan OpenID Connect jika masalah konfigurasi OpenID Connect terjadi di kemudian hari, atau jika Anda perlu mendukung beberapa pengguna yang tidak memiliki akun di direktori OpenID Connect Anda.

Menentukan metode yang digunakan untuk menggabungkan pengguna OpenID Connect ke akun Looker

Di kolom Gabungkan Pengguna Menggunakan, tentukan metode yang akan digunakan untuk menggabungkan login Open ID Connect pertama kali ke akun pengguna yang ada. Anda dapat menggabungkan pengguna dari sistem berikut:

  • Email/Sandi Looker (tidak tersedia untuk Looker (Google Cloud core))
  • Google
  • LDAP (tidak tersedia untuk Looker (Google Cloud core))
  • SAML

Jika Anda memiliki beberapa sistem autentikasi, Anda dapat menentukan lebih dari satu sistem untuk digabungkan di kolom ini. Looker akan mencari pengguna dari sistem yang tercantum dalam urutan yang ditentukan. Misalnya, anggaplah Anda membuat beberapa pengguna menggunakan email/sandi Looker, lalu Anda mengaktifkan LDAP, dan sekarang Anda ingin menggunakan OpenID Connect. Dalam contoh sebelumnya, Looker akan menggabungkan berdasarkan email dan sandi terlebih dahulu, lalu LDAP.

Saat pengguna login untuk pertama kalinya dengan OpenID Connect, opsi ini akan menghubungkan pengguna ke akun yang sudah ada dengan menemukan akun yang memiliki alamat email yang cocok. Jika tidak ada akun yang sudah ada untuk pengguna, akun pengguna baru akan dibuat.

Menggabungkan pengguna saat menggunakan Looker (Google Cloud core)

Saat Anda menggunakan Looker (inti Google Cloud) dan OpenID Connect, penggabungan berfungsi seperti yang dijelaskan di bagian sebelumnya. Namun, hal ini hanya dapat dilakukan jika salah satu dari dua kondisi berikut terpenuhi:

  • Kondisi 1: Pengguna melakukan autentikasi ke Looker (Google Cloud core) menggunakan identitas Google mereka melalui protokol OpenID Connect.

  • Kondisi 2: Sebelum memilih opsi penggabungan, Anda telah menyelesaikan dua langkah berikut:

    1. Identitas pengguna gabungan di Google Cloud menggunakan Cloud Identity.
    2. Siapkan autentikasi OAuth sebagai metode autentikasi cadangan menggunakan pengguna gabungan.

Jika penyiapan tidak memenuhi salah satu dari dua kondisi ini, opsi Gabungkan Pengguna Menggunakan tidak akan tersedia.

Saat menggabungkan, Looker akan menelusuri data pengguna yang memiliki alamat email yang sama persis.

Menguji autentikasi pengguna

Saat menentukan konfigurasi ini, klik tombol Uji untuk menguji konfigurasi OpenID Connect Anda.

Pengujian akan mengalihkan ke endpoint dan membuka tab browser baru. Tab ini menampilkan:

  • Apakah Looker dapat berkomunikasi dengan berbagai endpoint dan memvalidasi
  • Perekaman respons endpoint autentikasi
  • Info pengguna yang didapatkan Looker dari endpoint info pengguna
  • Versi token ID yang didekode dan mentah yang diterima

Anda dapat menggunakan pengujian ini untuk memverifikasi bahwa informasi yang diterima dari berbagai endpoint sudah benar, dan untuk memecahkan masalah error.

Tips:

  • Anda dapat menjalankan pengujian ini kapan saja, meskipun OpenID Connect dikonfigurasi sebagian. Menjalankan pengujian dapat membantu selama konfigurasi untuk melihat parameter mana yang perlu dikonfigurasi.
  • Pengujian menggunakan setelan yang dimasukkan di halaman Autentikasi OpenID Connect, meskipun setelan tersebut belum disimpan. Pengujian tidak akan memengaruhi atau mengubah setelan apa pun di halaman tersebut.

Simpan dan terapkan setelan

Setelah Anda selesai memasukkan informasi, dan semua pengujian berhasil, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global, lalu klik Perbarui Setelan untuk menyimpan.