Le aziende utilizzano provider OpenID Connect (OP) diversi per il coordinamento con OpenID Connect (ad esempio, Okta o OneLogin). I termini utilizzati nelle seguenti istruzioni di configurazione e nella UI di Looker potrebbero non corrispondere direttamente a quelli utilizzati dal tuo OP.
La pagina Connessione OpenID nella sezione Autenticazione del menu Amministratore consente di configurare Looker in modo da autenticare gli utenti utilizzando il protocollo OpenID Connect. Questa pagina descrive questo processo e include le istruzioni per collegare i gruppi OpenID Connect ai ruoli e alle autorizzazioni di Looker.
Considerazioni sulla pianificazione
- Valuta la possibilità di utilizzare l'opzione Accesso alternativo per gli utenti specificati per consentire agli amministratori di Looker di accedere a Looker senza OpenID Connect.
- Non disabilitare l'autenticazione OpenID Connect mentre hai eseguito l'accesso a Looker utilizzando OpenID Connect, a meno che tu non abbia configurato un accesso alternativo all'account. In caso contrario, potresti non riuscire più ad accedere all'app.
- Looker può eseguire la migrazione degli account esistenti a OpenID Connect utilizzando indirizzi email provenienti dalle configurazioni attuali di email/password, LDAP, SAML o Auth di Google. Potrai configurarlo durante la procedura di configurazione.
- Looker supporta solo l'autenticazione OpenID Connect tramite il flusso del codice di autorizzazione di OpenID Connect. Altri flussi di codice non sono supportati.
- La specifica OpenID Connect include un meccanismo di rilevamento facoltativo. Looker non supporta questo meccanismo, quindi devi fornire URL espliciti nella sezione Impostazioni di autorizzazione connessione OpenID, come descritto di seguito.
Configurazione di OpenID Connect
Per configurare la connessione tra Looker e OpenID Connect, esegui queste attività:
- Assegna l'URL di Looker al tuo provider OpenID Connect (OP).
- Ottenere le informazioni richieste dal tuo OP.
Configurazione di Looker in OP
Il provider OpenID Connect (OP) richiede l'URL dell'istanza di Looker. Il tuo OP potrebbe chiamarlo URI di reindirizzamento o URI di reindirizzamento dell'accesso, tra gli altri nomi. Sul sito web del tuo OP, fornisci al OP l'URL da cui accedi in genere all'istanza Looker in un browser, seguito da /openidconnect. Ad esempio: https://instance_name.looker.com/openidconnect.
Ottenere informazioni dal tuo OP
Per configurare Looker per l'autenticazione OpenID Connect, devi disporre delle seguenti informazioni dal tuo OP:
- Un identificatore client e un client secret. Di solito, questi vengono forniti dal OP sul suo sito web quando configuri l'URI di reindirizzamento come descritto sopra.
- Durante il processo di autenticazione OpenID Connect, Looker si connetterà a tre diversi endpoint: un endpoint di autenticazione, un endpoint del token ID e un endpoint delle informazioni degli utenti. Avrai bisogno degli URL utilizzati dal tuo OP per ciascuno di questi endpoint.
- Ogni OP fornirà le informazioni utente in insiemi chiamati ambiti. Devi conoscere i nomi degli ambiti utilizzati dal tuo OP. OpenID Connect richiede l'ambito
openid, ma il tuo OP probabilmente includerà altri ambiti, comeemail,profileegroups. - In OpenID Connect, gli attributi che archiviano i dati utente sono chiamati rivendicazioni. Devi sapere quali attestazioni passa a Looker per fornire le informazioni utente che vuoi sulla tua istanza Looker. Looker richiede attestazioni che contengono informazioni sull'indirizzo email e sul nome, ma se hai altri attributi utente, come fuso orario o reparto, Looker dovrà identificare anche le attestazioni che contengono queste informazioni. Le rivendicazioni possono essere incluse nella risposta dall'endpoint Informazioni utente o dall'endpoint del token ID. Looker può mappare le attestazioni restituite da entrambi gli endpoint agli attributi utente di Looker.
Molti OP forniscono informazioni sulla configurazione di OpenID Connect sotto forma di documento di rilevamento, consentendo di raccogliere alcune o tutte le informazioni necessarie per configurare Looker per OpenID Connect. Se non hai accesso a un documento di rilevamento, devi ottenere le informazioni necessarie dal tuo OP o dal team di autenticazione interno.
La sezione seguente è estratta da un esempio di documento di rilevamento:
{
"issuer": "https://accounts.google.com",
"authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
"token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
"userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
"revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
"jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
"response_types_supported": [
"code",
"token",
"id_token",
"code token"
"code id_token",
"token id_token",
"code token id_token",
"none"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"scopes_supported": [
"openid",
"email",
"profile"
],
"token_endpoint_auth_methods_supported": [
"client_secret_post",
"client_secret_basic"
],
"claims_supported": [
"aud",
"email",
"email_verified",
"exp",
"family_name",
"given_name",
"iat",
"iss",
"locale",
"name",
"picture",
"sub"
],
Configurazione delle impostazioni di autenticazione OpenID Connect
Utilizza le informazioni di configurazione ottenute dal documento di rilevamento del OP, del OP o del team di autenticazione interno per inserire le impostazioni di connessione nei seguenti campi:
Identificatore: l'identificatore del client univoco della tua istanza di Looker. Dovrebbe essere fornito dal tuo OP.
Secret: la chiave del client secret univoca per l'istanza di Looker. Dovrebbe essere fornito dal tuo OP.
Issuer (Emittente): l'URL protetto che identifica il tuo OP.
Pubblico: un identificatore che indica al tuo OP chi è il cliente. Spesso corrisponde al valore Identificatore, ma potrebbe essere un valore diverso.
URL di autorizzazione: l'URL dell'OP in cui inizia la sequenza di autenticazione. Spesso chiamato authorization_endpoint in un documento di rilevamento.
URL token: l'URL in cui Looker recupera un token OAuth dopo l'autorizzazione di Looker. Spesso chiamato token_endpoint in un documento di rilevamento.
URL info utente: l'URL in cui Looker recupererà informazioni dettagliate sull'utente. Spesso chiamato userinfo_endpoint in un documento di rilevamento.
Ambiti: un elenco separato da virgole di ambiti utilizzati dal PO per fornire informazioni sugli utenti a Looker. Devi includere l'ambito openid e tutti gli ambiti che includono le informazioni richieste da Looker, tra cui indirizzi email, nomi utente ed eventuali attributi utente configurati nella tua istanza Looker.
Configurazione delle impostazioni degli attributi utente
In questa sezione, mapperai le rivendicazioni del OP agli attributi utente di Looker.
Nella sezione Impostazioni attributi utente, inserisci il nome del reclamo del tuo OP che contiene le informazioni corrispondenti per ogni campo. Questo indica a Looker come mappare queste attestazioni alle informazioni utente di Looker al momento dell'accesso. Looker non è particolare riguardo a come vengono costruite le rivendicazioni, è solo importante che le informazioni sulle rivendicazioni inserite qui corrispondano al modo in cui le rivendicazioni sono definite nel tuo OP.
Rivendicazioni standard
Looker richiede il nome utente e le informazioni email per l'autenticazione degli utenti. Inserisci le informazioni sulla rivendicazione corrispondente del PO in questa sezione:
Rivendicazione email: la rivendicazione utilizzata dal tuo OP per gli indirizzi email degli utenti, ad esempio email.
Rivendicazione del nome: la rivendicazione utilizzata dal tuo OP per i nomi degli utenti, ad esempio given_name.
Rivendicazione del cognome: la rivendicazione utilizzata dal tuo OP per i cognomi degli utenti, ad esempio family_name.
Tieni presente che alcuni OP utilizzano un'unica rivendicazione per i nomi anziché separare nome e cognome. Se questo è il caso del tuo OP, inserisci la rivendicazione che memorizza i nomi in entrambi i campi Rivendicazione del nome e Rivendicazione del cognome. Per ogni utente, Looker utilizzerà i contenuti fino al primo spazio come Nome e tutto ciò che segue come Cognome.
Associazioni di attributi
Facoltativamente, puoi utilizzare i dati nelle attestazioni OpenID Connect per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato OpenID Connect per creare connessioni specifiche dell'utente al tuo database, puoi associare le attestazioni OpenID Connect agli attributi utente di Looker per rendere le connessioni al database specifiche per l'utente in Looker.
Per accoppiare le attestazioni agli attributi utente di Looker corrispondenti:
- Inserisci la rivendicazione come identificata dal tuo OP nel campo Claim (Rivendicazione) e l'attributo utente di Looker con cui vuoi accoppiarla nel campo User Attributes (Attributi utente Looker).
- Seleziona Obbligatorio se vuoi bloccare l'accesso da parte di qualsiasi account utente per cui manca un valore nel campo di rivendicazione.
- Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di rivendicazioni e attributi.
Tieni presente che alcuni OP possono avere rivendicazioni "nidificate". Ad esempio:
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
Nell'esempio precedente, la rivendicazione locality è nidificata all'interno della rivendicazione address. Per le rivendicazioni nidificate, specifica le rivendicazioni principali e nidificate, separate da una barra ( /). Per configurare Looker per la dichiarazione locality di cui sopra, devi inserire address/locality.
Gruppi e ruoli
Puoi consentire a Looker di creare gruppi che rispecchino i tuoi gruppi OpenID Connect gestiti esternamente, quindi assegnare i ruoli di Looker agli utenti in base ai loro gruppi OpenID Connect con mirroring. Le modifiche che apporti all'appartenenza al gruppo OpenID Connect vengono automaticamente propagate alla configurazione dei gruppi di Looker
Il mirroring dei gruppi OpenID Connect consente di utilizzare la directory OpenID Connect definita esternamente per gestire i gruppi e gli utenti di Looker. Questo, a sua volta, ti consente di gestire in un'unica posizione l'appartenenza al gruppo per più strumenti Software as a Service (SaaS), come Looker.
Se attivi Esegui il mirroring dei gruppi OpenID Connect, Looker creerà un gruppo Looker per ogni gruppo OpenID Connect introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare i ruoli ai membri dei gruppi, impostare i controlli di accesso ai contenuti e assegnare gli attributi utente.
Gruppi e ruoli predefiniti
Per impostazione predefinita, l'opzione Esegui il mirroring dei gruppi OpenID Connect è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti OpenID Connect. Nei campi Nuovi gruppi utenti e Nuovi ruoli utente, inserisci i nomi degli eventuali gruppi o ruoli Looker a cui vuoi assegnare nuovi utenti Looker quando accedono per la prima volta a Looker:
Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. Non vengono applicate agli utenti preesistenti e non vengono riapplicate se vengono rimossi dagli utenti dopo l'accesso iniziale.
Se in un secondo momento abiliti il mirroring dei gruppi OpenID Connect, queste impostazioni predefinite verranno rimosse per gli utenti all'accesso successivo e sostituite dai ruoli assegnati nella sezione Esegui il mirroring dei gruppi OpenID Connect. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi con mirroring.
Abilitazione del mirroring dei gruppi OpenID Connect
Per eseguire il mirroring dei tuoi gruppi OpenID Connect all'interno di Looker, attiva l'opzione Esegui il mirroring dei gruppi OpenID Connect:
Rivendicazione di Gruppi: inserisci l'affermazione che il tuo OP utilizza per archiviare i nomi dei gruppi. Looker creerà un gruppo Looker per ogni gruppo OpenID Connect introdotto nel sistema dalla dichiarazione Gruppi. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per impostare i controlli di accesso ai contenuti e assegnare gli attributi utente.
Nome gruppo preferito / Ruoli / Nome gruppo OpenID Connect: questo insieme di campi consente di assegnare un nome di gruppo personalizzato e uno o più ruoli assegnati al gruppo OpenID Connect corrispondente in Looker:
Inserisci il nome del gruppo OpenID Connect nel campo Nome gruppo OpenID Connect. Gli utenti OpenID Connect inclusi nel gruppo OpenID Connect verranno aggiunti al gruppo con mirroring in Looker.
Inserisci un nome personalizzato per il gruppo di cui è stato eseguito il mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Gruppi della sezione Amministratore di Looker.
Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli Looker che verranno assegnati a ciascun utente del gruppo.
Fai clic su
+per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic suXaccanto all'insieme di campi del gruppo.
Se modifichi un gruppo con mirroring precedentemente configurato in questa schermata, la configurazione del gruppo cambia, ma il gruppo rimane invariato. Ad esempio, potresti modificare il nome personalizzato di un gruppo, cambiando il modo in cui il gruppo viene visualizzato nella pagina Gruppi di Looker, ma senza modificare i ruoli e i membri del gruppo assegnati. La modifica dell'ID gruppo OpenID Connect comporta la conservazione del nome e dei ruoli del gruppo, ma i membri del gruppo vengono riassegnati in base agli utenti che sono membri del gruppo OpenID Connect esterno con il nuovo ID del gruppo OpenID Connect.
Se elimini un gruppo in questa pagina, il gruppo non sarà più incluso in Looker e ai suoi membri non saranno più assegnati i ruoli di Looker tramite quel gruppo.
Eventuali modifiche apportate a un gruppo con mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.
Gestione avanzata dei ruoli
Se hai attivato l'opzione Esegui il mirroring dei gruppi di connessione OpenID, Looker visualizza queste impostazioni. Le opzioni in questa sezione determinano il livello di flessibilità che gli amministratori di Looker hanno durante la configurazione dei gruppi e degli utenti Looker che sono stati sottoposti a mirroring da OpenID Connect.
Ad esempio, se vuoi che la configurazione utente e del gruppo Looker corrisponda rigorosamente alla configurazione OpenID Connect, attiva queste opzioni. Quando tutte le prime tre opzioni sono abilitate, gli amministratori di Looker non possono modificare l'appartenenza ai gruppi con mirroring e possono assegnare i ruoli agli utenti solo tramite gruppi con mirroring OpenID Connect.
Se vuoi avere una maggiore flessibilità per personalizzare ulteriormente i gruppi all'interno di Looker, disattiva queste opzioni. I tuoi gruppi Looker continueranno a rispecchiare la tua configurazione OpenID Connect, ma potrai eseguire altre operazioni di gestione dei gruppi e degli utenti all'interno di Looker, ad esempio aggiungendo utenti OpenID Connect a gruppi specifici di Looker o assegnando ruoli di Looker direttamente agli utenti OpenID Connect.
Per le nuove istanze di Looker o per le quali non sono stati configurati gruppi con mirroring precedentemente configurati, queste opzioni sono disattivate per impostazione predefinita.
Per le istanze di Looker esistenti in cui sono attualmente configurati gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.
Se attivi impostazioni più restrittive, gli utenti perderanno l'appartenenza ai gruppi o i ruoli assegnati direttamente configurati in Looker. Questo si verifica al successivo accesso a Looker.
La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:
Impedisci ai singoli utenti OpenID Connect di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti di OpenID Connect. Gli utenti OpenID Connect riceveranno i ruoli solo tramite le loro iscrizioni ai gruppi. Se agli utenti di OpenID Connect è consentita l'appartenenza a gruppi Looker nativi (non con mirroring), possono comunque ereditare i loro ruoli sia dai gruppi OpenID Connect con mirroring sia dai gruppi Looker nativi. All'accesso successivo, tutti gli utenti OpenID Connect a cui erano stati assegnati direttamente ruoli verranno rimossi all'accesso successivo.
Se questa opzione è disattivata, gli amministratori di Looker possono assegnare i ruoli di Looker direttamente agli utenti di OpenID Connect come se fossero utenti configurati in modo nativo in Looker.
Impedisci l'appartenenza diretta a gruppi Connect non OpenID: l'attivazione di questa opzione impedisce agli amministratori di Looker di aggiungere gli utenti OpenID Connect direttamente ai gruppi Looker nativi. Se i gruppi OpenID Connect con mirroring possono essere membri di gruppi Looker nativi, gli utenti OpenID Connect possono mantenere l'appartenenza a qualsiasi gruppo Looker padre. Tutti gli utenti OpenID Connect precedentemente assegnati a gruppi Looker nativi verranno rimossi da questi gruppi all'accesso successivo.
Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere gli utenti OpenID Connect direttamente ai gruppi Looker nativi.
Impedisci l'ereditarietà dei ruoli da gruppi Connect non OpenID: l'attivazione di questa opzione impedisce ai membri dei gruppi OpenID Connect con mirroring di ereditare i ruoli dai gruppi Looker nativi. Tutti gli utenti OpenID Connect che in precedenza ereditavano i ruoli da un gruppo Looker padre perderanno questi ruoli all'accesso successivo.
Se questa opzione è disattivata, i gruppi OpenID Connect con mirroring o gli utenti OpenID Connect aggiunti come membri di un gruppo Looker nativo erediteranno i ruoli assegnati al gruppo Looker principale.
L'autenticazione richiede il ruolo: se questa opzione è attiva, agli utenti di OpenID Connect deve essere assegnato un ruolo. Gli utenti OpenID Connect a cui non è stato assegnato un ruolo non potranno accedere a Looker.
Se questa opzione è disattivata, gli utenti di OpenID Connect possono eseguire l'autenticazione in Looker anche se non hanno alcun ruolo assegnato. Un utente a cui non è assegnato un ruolo non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.
Disattivazione dei gruppi OpenID Connect Mirror
Se vuoi interrompere il mirroring dei gruppi OpenID Connect all'interno di Looker, disattiva l'opzione Esegui il mirroring dei gruppi OpenID Connect. I gruppi OpenID Connect mirror vuoti verranno eliminati.
I gruppi OpenID Connect mirror non vuoti rimarranno disponibili per l'utilizzo nella gestione dei contenuti e nella creazione di ruoli. Tuttavia, gli utenti non possono essere aggiunti o rimossi dai gruppi OpenID Connect mirror.
Configurazione delle opzioni di migrazione
Come spiegato in questa sezione, Looker consiglia di abilitare Accesso alternativo e di fornire una strategia di unione per gli utenti esistenti.
Accesso alternativo per gli utenti specificati
Gli accessi a Looker tramite email/password sono sempre disabilitati per gli utenti normali quando l'autenticazione OpenID Connect è abilitata. L'opzione Accesso alternativo per gli utenti specificati consente l'accesso alternativo basato su email utilizzando /login/email per gli amministratori e per gli utenti specificati con l'autorizzazione login_special_email.
L'attivazione di questa opzione è utile come alternativa durante la configurazione di OpenID Connect, in cui i problemi di configurazione di OpenID Connect dovrebbero verificarsi in un secondo momento o se hai bisogno di supportare alcuni utenti che non hanno un account nella directory OpenID Connect.
Per abilitare gli accessi alternativi utilizzando l'API Looker, consulta la pagina della documentazione relativa all'attivazione dell'opzione di accesso alternativo.
Specifica il metodo utilizzato per unire gli utenti OpenID Connect a un account Looker
Nel campo Unisci utenti utilizzando, specifica il metodo da utilizzare per unire il primo accesso Open ID Connect a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:
- Email/password di Looker (non disponibile per Looker (Google Cloud core))
- LDAP (non disponibile per Looker (Google Cloud core))
- SAML
Se disponi di più sistemi di autenticazione, puoi specificare più sistemi da utilizzare per l'unione in questo campo. Looker cercherà gli utenti nei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, supponiamo che tu abbia creato alcuni utenti utilizzando l'indirizzo email o la password di Looker, quindi di aver abilitato LDAP e di voler utilizzare OpenID Connect. Nell'esempio precedente, Looker viene unito prima tramite email/password e poi LDAP.
Quando un utente accede per la prima volta con OpenID Connect, questa opzione consente all'utente di connettersi al suo account esistente individuandolo con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.
Unire gli utenti durante l'utilizzo di Looker (Google Cloud core)
Quando utilizzi Looker (Google Cloud core) e OpenID Connect, l'unione funziona come descritto nella sezione precedente. Tuttavia, è possibile solo se viene soddisfatta una delle due condizioni seguenti:
- Condizione 1: gli utenti si autenticano in Looker (Google Cloud core) utilizzando le proprie identità Google tramite il protocollo OpenID Connect.
Condizione 2: prima di selezionare l'opzione di unione, devi completare i seguenti due passaggi:
- Le identità degli utenti Federati in Google Cloud utilizzando Cloud Identity.
- Configura l'autenticazione OAuth come metodo di autenticazione di backup utilizzando gli utenti federati.
Se la configurazione non soddisfa una di queste due condizioni, l'opzione Unisci utenti utilizzando non sarà disponibile.
Durante l'unione, Looker cercherà record degli utenti che condividono lo stesso indirizzo email.
Test dell'autenticazione utente
Mentre specifichi questa configurazione, fai clic sul pulsante Test per testare la configurazione di OpenID Connect.
Leggi attentamente i risultati del test; alcune parti del test possono avere esito positivo anche se altre non superano.
I test eseguiranno il reindirizzamento agli endpoint e apriranno una nuova scheda del browser. Nella scheda sono visualizzati:
- Se Looker è stato in grado di comunicare con i vari endpoint ed eseguire la convalida
- Una traccia della risposta dell'endpoint di autenticazione
- Le informazioni utente che Looker riceve dall'endpoint delle informazioni utente
- Sia la versione decodificata che quella non elaborata del token ID hanno ricevuto
Puoi utilizzare questo test per verificare che le informazioni ricevute dai vari endpoint siano corrette e per correggere eventuali errori.
Suggerimenti:
- Puoi eseguire questo test in qualsiasi momento, anche se OpenID Connect è configurato parzialmente. L'esecuzione di un test può essere utile durante la configurazione per vedere quali parametri devono essere configurati.
- Il test utilizza le impostazioni inserite nella pagina Autenticazione OpenID Connect, anche se non sono state salvate. Il test non influirà o modificherà le impostazioni della pagina.
Salva e applica impostazioni
Innanzitutto, assicurati di testare la configurazione e leggi attentamente i risultati del test per verificare che tutte le parti del test siano andate a buon fine. Il salvataggio delle informazioni errate di configurazione di OpenID Connect potrebbe impedire a te e agli altri di accedere a Looker.
Dopo aver inserito le informazioni e aver superato tutti i test, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione globale e fai clic su Aggiorna impostazioni per salvare.