As empresas usam diferentes fornecedores do OpenID Connect (OPs) para coordenar com o OpenID Connect (por exemplo, Okta ou OneLogin). Os termos usados nas seguintes instruções de configuração e na IU do Looker podem não corresponder diretamente aos usados pelo seu OP.
A página OpenID Connect na secção Autenticação do menu Administração permite-lhe configurar o Looker para autenticar utilizadores através do protocolo OpenID Connect. Esta página descreve esse processo e inclui instruções para associar grupos do OpenID Connect a funções e autorizações do Looker.
Requisitos
O Looker apresenta a página OpenID Connect na secção Autenticação do menu Admin apenas se forem cumpridas as seguintes condições:
- Tem a função de administrador.
- A sua instância do Looker está ativada para usar o OpenID Connect.
Se estas condições forem cumpridas e não vir a página OpenID Connect, abra um pedido de apoio técnico para ativar o OpenID Connect na sua instância.
Considerações de planeamento
- Considere usar a opção Início de sessão alternativo para utilizadores especificados para permitir que os administradores do Looker acedam ao Looker sem o OpenID Connect.
- Não desative a autenticação OpenID Connect enquanto tiver sessão iniciada no Looker através do OpenID Connect, a menos que tenha configurado um início de sessão alternativo na conta. Caso contrário, pode perder o acesso à app.
- O Looker pode migrar contas existentes para o OpenID Connect através de endereços de email provenientes de configurações atuais de email e palavra-passe, LDAP, SAML ou Google Auth. Pode configurar esta opção no processo de configuração.
- O Looker só suporta a autenticação OpenID Connect através do fluxo de código de autorização do OpenID Connect. Outros fluxos de código não são suportados.
- A especificação OpenID Connect inclui um mecanismo de descoberta opcional. O Looker não suporta este mecanismo. Por isso, tem de fornecer URLs explícitos na secção Definições de autorização do OpenID Connect, conforme descrito no artigo Configurar definições de autorização do OpenID Connect.
Configurar o OpenID Connect
Para configurar a ligação entre o Looker e o OpenID Connect, execute as seguintes tarefas:
- Faculte o URL do Looker ao seu fornecedor OpenID Connect (OP).
- Obtenha as informações necessárias junto do seu OP.
Configurar o Looker na sua OP
O seu fornecedor OpenID Connect (OP) precisa do URL da sua instância do Looker. O seu OP pode chamar a isto o URI de redirecionamento ou o URI de redirecionamento de início de sessão, entre outros nomes. No Website do OP, indique ao OP o URL onde acede normalmente à sua instância do Looker num navegador, seguido de /openidconnect. Por exemplo, https://instance_name.looker.com/openidconnect.
A receber informações do seu OP
Para configurar o Looker para a autenticação OpenID Connect, precisa das seguintes informações do seu OP:
- Um identificador de cliente e um segredo do cliente. Normalmente, estes são fornecidos pelo OP no respetivo Website quando configura o URI de redirecionamento.
- Durante o processo de autenticação do OpenID Connect, o Looker estabelece ligação a três pontos finais diferentes: um ponto final de autenticação, um ponto final de token de ID e um ponto final de informações do utilizador. Precisa dos URLs que a sua OP usa para cada um destes pontos finais.
- Cada OP fornece informações do utilizador em conjuntos denominados âmbitos. Tem de saber os nomes dos âmbitos que o seu OP usa. O OpenID Connect requer o âmbito
openid, mas o seu OP vai provavelmente incluir outros âmbitos, comoemail,profileegroups. - No OpenID Connect, os atributos que armazenam dados do utilizador são denominados afirmações. Tem de saber que reivindicações o OP transmite ao Looker para fornecer as informações do utilizador que quer na sua instância do Looker. O Looker requer reivindicações que contenham informações de email e nome, mas se tiver outros atributos do utilizador, como fuso horário ou departamento, o Looker também tem de identificar que reivindicações contêm essas informações. As reivindicações podem ser incluídas na resposta do ponto final de informações do utilizador ou do ponto final do token de ID. O Looker pode mapear as reivindicações devolvidas por qualquer um dos pontos finais para atributos do utilizador do Looker.
Muitos OPs fornecem informações sobre a configuração do OpenID Connect sob a forma de um documento de descoberta, o que lhe permite reunir algumas ou todas as informações de que precisa para configurar o Looker para o OpenID Connect. Se não tiver acesso a um documento de descoberta, tem de obter as informações necessárias junto do seu OP ou equipa de autenticação interna.
A secção seguinte é de um exemplo de um documento de descoberta:
{
"issuer": "https://accounts.google.com",
"authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
"token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
"userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
"revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
"jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
"response_types_supported": [
"code",
"token",
"id_token",
"code token"
"code id_token",
"token id_token",
"code token id_token",
"none"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"scopes_supported": [
"openid",
"email",
"profile"
],
"token_endpoint_auth_methods_supported": [
"client_secret_post",
"client_secret_basic"
],
"claims_supported": [
"aud",
"email",
"email_verified",
"exp",
"family_name",
"given_name",
"iat",
"iss",
"locale",
"name",
"picture",
"sub"
],
Configurar definições de autenticação do OpenID Connect
Use as informações de configuração que obteve do documento de descoberta do OP, do OP ou da sua equipa de autenticação interna para introduzir as definições de associação nos seguintes campos:
Identificador: o identificador do cliente exclusivo da sua instância do Looker. Esta informação deve ser fornecida pelo seu OP.
Segredo: a chave secreta do cliente exclusiva da sua instância do Looker. Esta informação deve ser fornecida pelo seu OP.
Emissor: o URL seguro que identifica o seu OP.
Público-alvo: um identificador que indica ao seu OP quem é o cliente. Muitas vezes, é igual ao valor do Identificador, mas pode ser um valor diferente.
URL de autorização: o URL do OP onde a sequência de autenticação começa. Muitas vezes denominado authorization_endpoint num documento de descoberta.
URL do token: o URL onde o Looker obtém um token OAuth depois de o Looker ter sido autorizado. Muitas vezes denominado token_endpoint num documento de descoberta.
URL das informações do utilizador: o URL onde o Looker vai obter informações detalhadas do utilizador. Muitas vezes denominado userinfo_endpoint num documento de descoberta.
Âmbitos: uma lista separada por vírgulas de âmbitos usados pelo OP para fornecer informações do utilizador ao Looker. Tem de incluir o âmbito openid e todos os âmbitos que incluam as informações necessárias para o Looker, incluindo endereços de email, nomes de utilizadores e quaisquer atributos de utilizador configurados na sua instância do Looker.
Configurar definições de atributos do utilizador
Nesta secção, vai mapear as reivindicações do OP para os atributos do utilizador do Looker.
Na secção Definições de atributos do utilizador, introduza o nome da reivindicação do OP que contém as informações correspondentes para cada campo. Isto indica ao Looker como mapear essas reivindicações para as informações do utilizador do Looker no momento do início de sessão. O Looker não é específico sobre a forma como as reivindicações são construídas. O importante é que as informações de reivindicação introduzidas aqui correspondam à forma como as reivindicações são definidas na sua OP.
Reivindicações padrão
O Looker requer o nome de utilizador e as informações de email para a autenticação do utilizador. Introduza as informações da reivindicação correspondentes do OP nesta secção:
Reivindicação de email: a reivindicação que o OP usa para endereços de email de utilizadores, como email.
Reivindicação do nome próprio: a reivindicação que o OP usa para os nomes próprios dos utilizadores, como given_name.
Reivindicação do apelido: a reivindicação que o OP usa para os apelidos dos utilizadores, como family_name.
Tenha em atenção que algumas OPs usam uma única reivindicação para nomes, em vez de separar o nome próprio e o apelido. Se for este o caso com o seu OP, introduza a reivindicação que armazena nomes nos campos Reivindicação de nome próprio e Reivindicação de apelido. Para cada utilizador, o Looker usa o conteúdo até ao primeiro espaço como o nome próprio e tudo o que se segue como o apelido.
Associações de atributos
Opcionalmente, pode usar os dados nas suas reivindicações do OpenID Connect para preencher automaticamente os valores nos atributos do utilizador do Looker quando um utilizador inicia sessão. Por exemplo, se tiver configurado o OpenID Connect para fazer ligações específicas do utilizador à sua base de dados, pode sincronizar as suas reivindicações do OpenID Connect com os atributos do utilizador do Looker para tornar as ligações à base de dados específicas do utilizador no Looker.
Para sincronizar as reivindicações com os atributos do utilizador do Looker correspondentes:
- Introduza a reivindicação conforme identificada pelo seu OP no campo Reivindicação e o atributo de utilizador do Looker com o qual quer sincronizá-lo no campo Atributos de utilizador do Looker.
- Selecione Obrigatório se quiser bloquear o início de sessão por qualquer conta de utilizador que não tenha um valor nesse campo de reivindicação.
- Clique em + e repita estes passos para adicionar mais pares de reivindicações e atributos.
Tenha em atenção que algumas OPs podem ter reivindicações "aninhadas". Por exemplo:
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
No exemplo anterior, a reivindicação locality está aninhada na reivindicação address. Para reivindicações aninhadas, especifique as reivindicações principais e aninhadas, separadas por um caráter de barra ( / ). Para configurar o Looker para a reivindicação locality no exemplo, introduziria address/locality.
Grupos e funções
Tem a opção de o Looker criar grupos que refletem os seus grupos OpenID Connect geridos externamente e, em seguida, atribuir funções do Looker aos utilizadores com base nos respetivos grupos OpenID Connect refletidos. Quando faz alterações à sua associação ao grupo OpenID Connect, essas alterações são propagadas automaticamente para a configuração do grupo do Looker
A replicação de grupos do OpenID Connect permite-lhe usar o seu diretório do OpenID Connect definido externamente para gerir grupos e utilizadores do Looker. Isto, por sua vez, permite-lhe gerir a sua associação a grupos para várias ferramentas de software como serviço (SaaS), como o Looker, num único local.
Se ativar a opção Refletir grupos do OpenID Connect, o Looker cria um grupo do Looker para cada grupo do OpenID Connect introduzido no sistema. Pode ver esses grupos do Looker na página Grupos da secção Administração do Looker. Os grupos podem ser usados para atribuir funções aos membros do grupo, definir controlos de acesso ao conteúdo e atribuir atributos do utilizador.
Grupos e funções predefinidos
Por predefinição, o interruptor Refletir grupos OpenID Connect está desativado. Neste caso, pode definir um grupo predefinido para novos utilizadores do OpenID Connect. Nos campos Novos grupos de utilizadores e Novas funções de utilizadores, introduza os nomes de quaisquer grupos ou funções do Looker aos quais quer atribuir novos utilizadores do Looker quando iniciarem sessão no Looker pela primeira vez:
Estes grupos e funções são aplicados aos novos utilizadores no respetivo início de sessão inicial. Não são aplicadas a utilizadores pré-existentes e não são reaplicadas se forem removidas dos utilizadores após o início de sessão inicial.
Ativar grupos OpenID Connect espelhados
Se estiver a usar uma instância do Looker (Google Cloud core), recomendamos que ative a sincronização de grupos apenas para o método de autenticação principal e não ative a sincronização de grupos para a autenticação OAuth de cópia de segurança. Se ativar a sincronização de grupos para os métodos de autenticação principal e secundário, ocorrem os seguintes comportamentos:
- Se um utilizador tiver identidades unidas, a sincronização de grupos vai corresponder ao método de autenticação principal, independentemente do método de autenticação real usado para iniciar sessão.
- Se um utilizador não tiver identidades unidas, a sincronização de grupos vai corresponder ao método de autenticação usado para iniciar sessão.
Passos para ativar grupos espelhados
Para espelhar os seus grupos do OpenID Connect no Looker, ative o interrutor Espelhar grupos do OpenID Connect:
Grupos de reivindicações: introduza a reivindicação que o seu OP usa para armazenar nomes de grupos. O Looker cria um grupo do Looker para cada grupo do OpenID Connect introduzido no sistema pela reivindicação de grupos. Pode ver esses grupos do Looker na página Grupos da secção Administração do Looker. Os grupos podem ser usados para definir controlos de acesso ao conteúdo e atribuir atributos do utilizador.
Nome do grupo preferencial / funções / nome do grupo do OpenID Connect: este conjunto de campos permite-lhe atribuir um nome de grupo personalizado e uma ou mais funções que são atribuídas ao grupo do OpenID Connect correspondente no Looker:
Introduza o nome do grupo OpenID Connect no campo Nome do grupo OpenID Connect. Os utilizadores do OpenID Connect incluídos no grupo do OpenID Connect são adicionados ao grupo espelhado no Looker.
Introduza um nome personalizado para o grupo duplicado no campo Nome personalizado. Este é o nome que é apresentado na página Grupos da secção Administração do Looker.
No campo à direita do campo Nome personalizado, selecione uma ou mais funções do Looker que vão ser atribuídas a cada utilizador no grupo.
Clique em
+para adicionar conjuntos de campos adicionais para configurar grupos espelhados adicionais. Se tiver vários grupos configurados e quiser remover a configuração de um grupo, clique emXjunto ao conjunto de campos desse grupo.
Se editar um grupo espelhado que foi configurado anteriormente neste ecrã, a configuração do grupo é alterada, mas o próprio grupo permanece intacto. Por exemplo, pode alterar o nome personalizado de um grupo, o que alteraria a forma como o grupo aparece na página Grupos do Looker, mas não alteraria as funções atribuídas nem os membros do grupo. A alteração do ID do grupo do OpenID Connect manteria o nome e as funções do grupo, mas os membros do grupo seriam reatribuídos com base nos utilizadores que são membros do grupo do OpenID Connect externo que tem o novo ID do grupo do OpenID Connect.
Se eliminar um grupo nesta página, esse grupo deixa de ser replicado no Looker e os respetivos membros deixam de ter as funções no Looker atribuídas através desse grupo.
Todas as edições feitas a um grupo espelhado são aplicadas aos utilizadores desse grupo quando iniciarem sessão no Looker da próxima vez.
Gestão avançada de funções
Se ativou o comutador Refletir grupos OpenID Connect, o Looker apresenta estas definições. As opções nesta secção determinam a flexibilidade que os administradores do Looker têm ao configurar grupos e utilizadores do Looker que foram espelhados a partir do OpenID Connect.
Por exemplo, se quiser que a configuração do grupo e do utilizador do Looker corresponda rigorosamente à configuração do OpenID Connect, ative estas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a associação de grupos espelhados e só podem atribuir funções a utilizadores através de grupos espelhados do OpenID Connect.
Se quiser ter mais flexibilidade para personalizar ainda mais os seus grupos no Looker, desative estas opções. Os seus grupos do Looker continuam a refletir a sua configuração do OpenID Connect, mas pode fazer a gestão adicional de grupos e utilizadores no Looker, como adicionar utilizadores do OpenID Connect a grupos específicos do Looker ou atribuir funções do Looker diretamente a utilizadores do OpenID Connect.
Para novas instâncias do Looker ou instâncias que não tenham grupos espelhados configurados anteriormente, estas opções estão desativadas por predefinição.
Para instâncias do Looker existentes que tenham configurado grupos espelhados, estas opções estão ativadas por predefinição.
A secção Gestão avançada de funções contém estas opções:
Impedir que utilizadores individuais do OpenID Connect recebam funções diretas: a ativação desta opção impede que os administradores do Looker atribuam funções do Looker diretamente a utilizadores do OpenID Connect. Os utilizadores do OpenID Connect só recebem funções através das respetivas associações a grupos. Se os utilizadores do OpenID Connect tiverem autorização para serem membros de grupos do Looker incorporados (não sincronizados), podem continuar a herdar as respetivas funções de grupos do OpenID Connect sincronizados e de grupos do Looker incorporados. As funções atribuídas diretamente aos utilizadores do OpenID Connect são removidas no próximo início de sessão.
Se esta opção estiver desativada, os administradores do Looker podem atribuir funções do Looker diretamente aos utilizadores do OpenID Connect como se fossem utilizadores configurados diretamente no Looker.
Impedir a adesão direta a grupos não OpenID Connect: a ativação desta opção impede que os administradores do Looker adicionem utilizadores do OpenID Connect diretamente a grupos incorporados do Looker. Se os grupos OpenID Connect sincronizados forem autorizados a ser membros de grupos Looker incorporados, os utilizadores do OpenID Connect podem manter a associação a quaisquer grupos Looker principais. Todos os utilizadores do OpenID Connect que foram atribuídos anteriormente a grupos incorporados do Looker são removidos desses grupos no próximo início de sessão.
Se esta opção estiver desativada, os administradores do Looker podem adicionar utilizadores do OpenID Connect diretamente a grupos do Looker incorporados.
Impedir a herança de funções de grupos não OpenID Connect: a ativação desta opção impede que os membros de grupos OpenID Connect espelhados herdem funções de grupos Looker incorporados. Todos os utilizadores do OpenID Connect que herdaram anteriormente funções de um grupo principal do Looker perdem essas funções no próximo início de sessão.
Se esta opção estiver desativada, os grupos OpenID Connect espelhados ou os utilizadores OpenID Connect adicionados como membros de um grupo Looker integrado herdam as funções atribuídas ao grupo Looker principal.
A autenticação requer função: se esta opção estiver ativada, os utilizadores do OpenID Connect têm de ter uma função atribuída. Os utilizadores do OpenID Connect que não tenham uma função atribuída não vão poder iniciar sessão no Looker.
Se esta opção estiver desativada, os utilizadores do OpenID Connect podem autenticar-se no Looker, mesmo que não tenham nenhuma função atribuída. Um utilizador sem uma função atribuída não pode ver dados nem realizar ações no Looker, mas pode iniciar sessão no Looker.
Desativar grupos OpenID Connect espelhados
Se quiser parar de espelhar os seus grupos do OpenID Connect no Looker, desative o interruptor Espelhar grupos do OpenID Connect. A desativação do interruptor resulta no seguinte comportamento:
- Qualquer grupo OpenID Connect espelhado sem utilizadores é eliminado imediatamente.
- Qualquer grupo OpenID Connect espelhado que não contenha utilizadores é marcado como órfão. Se nenhum utilizador deste grupo iniciar sessão no prazo de 31 dias, o grupo é eliminado. Já não é possível adicionar nem remover utilizadores de grupos OpenID Connect órfãos.
Configurar opções de migração
Conforme explicado nesta secção, o Looker recomenda que ative o Início de sessão alternativo e forneça uma estratégia de união para os utilizadores existentes.
Início de sessão alternativo para utilizadores especificados
Os inícios de sessão com email e palavra-passe do Looker estão sempre desativados para utilizadores normais quando a autenticação OpenID Connect está ativada. A opção Início de sessão alternativo para utilizadores especificados permite o início de sessão alternativo baseado em email através do /login/email para administradores e utilizadores especificados com a autorização login_special_email.
A ativação desta opção é útil como alternativa durante a configuração do OpenID Connect, caso ocorram problemas de configuração do OpenID Connect mais tarde ou se precisar de oferecer suporte a alguns utilizadores que não tenham contas no seu diretório do OpenID Connect.
Especifique o método usado para unir utilizadores do OpenID Connect a uma conta do Looker
No campo Unir utilizadores através de, especifique o método a usar para unir um início de sessão do Open ID Connect pela primeira vez a uma conta de utilizador existente. Pode unir utilizadores dos seguintes sistemas:
- Email/palavra-passe do Looker (não disponível para o Looker [Google Cloud Core])
- LDAP (não disponível para o Looker [Google Cloud Core])
- SAML
Se tiver vários sistemas de autenticação implementados, pode especificar mais do que um sistema para unir neste campo. O Looker procura utilizadores nos sistemas indicados pela ordem em que são especificados. Por exemplo, suponha que criou alguns utilizadores com o email/palavra-passe do Looker, ativou o LDAP e agora quer usar o OpenID Connect. No exemplo anterior, o Looker faria a união por email e palavra-passe primeiro e, em seguida, por LDAP.
Quando um utilizador inicia sessão pela primeira vez com o OpenID Connect, esta opção associa o utilizador à respetiva conta existente encontrando a conta com um endereço de email correspondente. Se não existir uma conta para o utilizador, é criada uma nova conta de utilizador.
Unir utilizadores quando usa o Looker (Google Cloud Core)
Quando usa o Looker (Google Cloud core) e o OpenID Connect, a união funciona conforme descrito na secção anterior. No entanto, só é possível quando se cumpre uma das duas condições seguintes:
- Condição 1: os utilizadores estão a autenticar-se no Looker (essencial para o Google Cloud) através das respetivas identidades Google através do protocolo OpenID Connect.
Condição 2: antes de selecionar a opção de união, concluiu os dois passos seguintes:
- As identidades dos utilizadores federados no Google Cloud usando o Cloud ID.
- Configure a autenticação OAuth como o método de autenticação alternativo através dos utilizadores federados.
Se a configuração não cumprir uma destas duas condições, a opção Unir utilizadores através de fica indisponível.
Quando faz a união, o Looker procura registos de utilizadores que partilham exatamente o mesmo endereço de email.
Testar a autenticação de utilizadores
Ao especificar esta configuração, clique no botão Testar para testar a configuração do OpenID Connect.
Os testes são redirecionados para os pontos finais e abrem um novo separador do navegador. O separador apresenta:
- Se o Looker conseguiu comunicar com os vários pontos finais e validar
- Um rastreio da resposta do ponto final de autenticação
- As informações do utilizador que o Looker recebe do ponto final de informações do utilizador
- Versões descodificadas e não processadas do token de ID recebido
Pode usar este teste para verificar se as informações recebidas dos vários pontos finais estão corretas e para resolver quaisquer erros.
Sugestões:
- Pode executar este teste em qualquer altura, mesmo que o OpenID Connect esteja parcialmente configurado. A execução de um teste pode ser útil durante a configuração para ver que parâmetros precisam de configuração.
- O teste usa as definições introduzidas na página Autenticação OpenID Connect, mesmo que essas definições não tenham sido guardadas. O teste não afeta nem altera nenhuma das definições nessa página.
Guardar e aplicar definições
Quando terminar de introduzir as suas informações e todos os testes forem aprovados, selecione Confirmei a configuração acima e quero ativá-la globalmente e clique em Atualizar definições para guardar.