Administratoreinstellungen – SAML-Authentifizierung

Auf der Seite SAML im Abschnitt Authentication (Authentifizierung) des Menüs Admin können Sie Looker so konfigurieren, dass Nutzer mithilfe der Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie dort eine Anleitung zum Verknüpfen von SAML-Gruppen mit Looker-Rollen und -Berechtigungen.

SAML- und Identitätsanbieter

Unternehmen nutzen verschiedene Identitätsanbieter (Identity Provider, IdPs) für die Abstimmung mit SAML, z. B. Okta oder OneLogin. Die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit denen überein, die von Ihrem IdP verwendet werden. Wenn Sie während der Einrichtung weitere Informationen benötigen, wenden Sie sich an Ihr internes SAML- oder Authentifizierungsteam oder an den Looker-Support.

Looker geht davon aus, dass SAML-Anfragen und -Assertions komprimiert werden. Achten Sie daher darauf, dass Ihr IdP entsprechend konfiguriert ist. Anfragen von Looker an den IdP sind nicht signiert.

Looker unterstützt die vom Identitätsanbieter initiierte Anmeldung.

Einige Einrichtungsschritte müssen auf der Website des IdP abgeschlossen werden.

Okta bietet eine Looker-App – die empfohlene Methode für die gemeinsame Konfiguration von Looker und Okta.

Looker bei Ihrem Identitätsanbieter einrichten

Der SAML-IdP benötigt die URL der Looker-Instanz, an die der SAML-IdP SAML-Assertions senden soll. Bei Ihrem IdP kann diese URL unter anderem „Post-Back-URL“, „Empfänger“ oder „Ziel“ heißen.

Die anzugebenden Informationen sind die URL, unter der Sie normalerweise über den Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs ist es außerdem erforderlich, dass Sie nach der URL der Instanz :9999 einfügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Informationen

Beachten Sie die folgenden Fakten:

  • Für Looker ist SAML 2.0 erforderlich.
  • Deaktivieren Sie die SAML-Authentifizierung nicht, während Sie über SAML bei Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls kann es passieren, dass Sie die App nicht mehr nutzen können.
  • Looker kann vorhandene Konten mithilfe von E-Mail-Adressen aus aktuellen E-Mail- und Passwortkonfigurationen oder von Google Auth, LDAP oder OIDC zu SAML migrieren. Sie können während der Einrichtung konfigurieren, wie bestehende Konten migriert werden.

Erste Schritte

Rufen Sie im Bereich Admin von Looker die Seite SAML Authentication (SAML-Authentifizierung) auf, um die folgenden Konfigurationsoptionen zu sehen. Beachten Sie, dass Änderungen an den Konfigurationsoptionen erst wirksam werden, wenn Sie die Einstellungen unten auf der Seite testen und speichern.

Einstellungen für die SAML-Authentifizierung

Looker benötigt die IdP-URL, den IdP-Aussteller und das IdP-Zertifikat zur Authentifizierung Ihres IdP.

Ihr IdP kann während des Konfigurationsprozesses für Looker auf der Seite des IdP ein XML-Dokument mit IdP-Metadaten anbieten. Diese Datei enthält alle Informationen, die im Abschnitt SAML Auth Settings (SAML-Authentifizierungseinstellungen) angefordert werden. Wenn Sie diese Datei haben, laden Sie sie in das Feld IdP Metadata (IdP-Metadaten) hoch. Dadurch werden die Pflichtfelder in diesem Abschnitt ausgefüllt. Alternativ können Sie die Pflichtfelder aus der Ausgabe ausfüllen, die Sie während der IdP-seitigen Konfiguration erhalten haben. Sie müssen die Felder beim Hochladen der XML-Datei nicht ausfüllen.

  • IdP-Metadaten (optional): Fügen Sie entweder die öffentliche URL des XML-Dokuments ein, das die IdP-Informationen enthält, oder fügen Sie den vollständigen Text des Dokuments hier ein. Looker parst diese Datei, um die erforderlichen Felder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen die Informationen zur IdP-Authentifizierung in die Felder IdP-URL, IdP-Aussteller und IdP-Zertifikat ein.

  • IdP URL (URL des Identitätsanbieters): Die URL, über die Looker Nutzer authentifiziert. Dies wird in Okta als Weiterleitungs-URL bezeichnet.

  • IdP Issuer (Aussteller des Identitätsanbieters): Die eindeutige ID des IdP. Dies wird in Okta als „External Key“ (Externer Schlüssel) bezeichnet.

  • IdP Certificate (Zertifikat des Identitätsanbieters): Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten prüfen kann.

Zusammengenommen kann Looker anhand dieser drei Felder bestätigen, dass eine Reihe signierter SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

  • SP Entity/IdP Audience: Dieses Feld ist für Looker nicht erforderlich, wird jedoch von vielen IdPs benötigt. Wenn Sie in dieses Feld einen Wert eingeben, wird er in Autorisierungsanfragen als Entity ID von Looker an Ihren IdP gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten mit diesem Wert als Audience. Wenn Ihr IdP einen Audience-Wert erfordert, geben Sie diesen String hier ein.
  • Zulässige Taktverschiebung: Die zulässige Anzahl von Sekunden der Zeitverschiebung (die Differenz der Zeitstempel zwischen IdP und Looker). Dieser Wert ist normalerweise der Standardwert 0, aber einige IdPs benötigen möglicherweise zusätzlichen Spielraum für erfolgreiche Anmeldungen.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, der die entsprechenden Informationen für jedes Feld enthält. Durch die Eingabe der SAML-Attributnamen wird Looker mitgeteilt, wie diese Felder zugeordnet werden sollen und wie die Daten bei der Anmeldung extrahiert werden sollen. Bei Looker geht es nicht speziell darum, wie diese Informationen aufgebaut sind. Es ist nur wichtig, dass die Art und Weise, wie Sie sie in Looker eingeben, mit der Definition der Attribute in Ihrem IdP übereinstimmt. Looker bietet Standardvorschläge zum Erstellen dieser Eingaben.

Standardattribute

Sie müssen diese Standardattribute angeben:

  • E-Mail-Attr.: Der Attributname, den Ihr IdP für die E-Mail-Adressen der Nutzer verwendet.

  • FName Attr: Der Attributname, den Ihr IdP für die Vornamen des Nutzers verwendet.

  • LName Attr: Der Attributname, den Ihr IdP für den Nachnamen des Nutzers verwendet.

SAML-Attribute mit Looker-Nutzerattributen koppeln

Optional können Sie die Daten in Ihren SAML-Attributen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie SAML beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So koppeln Sie SAML-Attribute mit den entsprechenden Looker-Nutzerattributen:

  1. Geben Sie den Namen des SAML-Attributs in das Feld SAML-Attribut und den Namen des Looker-Nutzerattributs, mit dem Sie es verknüpfen möchten, im Feld Looker-Nutzerattribute ein.
  2. Klicken Sie das Kästchen Erforderlich an, wenn ein SAML-Attributwert erforderlich sein soll, damit sich ein Nutzer anmelden kann.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie haben die Möglichkeit, dass Looker Gruppen erstellen kann, die Ihre extern verwalteten SAML-Gruppen spiegeln, und Nutzern dann anhand ihrer gespiegelten SAML-Gruppen Looker-Rollen zuweisen. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Wenn Sie SAML-Gruppen spiegeln, können Sie Ihr extern definiertes SAML-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. Auf diese Weise können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie die Option SAML-Gruppen spiegeln aktivieren, erstellt Looker eine Looker-Gruppe für jede SAML-Gruppe, die in das System eingeführt wird. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und -rollen

Der Schalter SAML-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden auch nicht neu angewendet, wenn sie nach der ersten Anmeldung des Nutzers von den Nutzern entfernt werden.

Wenn Sie die Spiegel-SAML-Gruppen später aktivieren, werden diese Standardeinstellungen für Nutzer bei ihrer nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt Spiegeln von SAML-Gruppen zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder werden nicht mehr zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.

Spiegeln von SAML-Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter SAML-Gruppen spiegeln. Looker zeigt diese Einstellungen an:

Group Finder Strategy (Strategie für Gruppensuche): Wählen Sie je nach IdP das System aus, das der IdP zum Zuweisen von Gruppen verwendet.

  • Fast alle IdPs verwenden zum Zuweisen von Gruppen einen einzigen Attributwert, wie in dieser SAML-Beispiel-Assertion gezeigt: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als Werte einzelner Attribute aus.

  • Einige IdPs verwenden ein separates Attribut für jede Gruppe und benötigen dann ein zweites Attribut, um festzustellen, ob ein Nutzer Mitglied einer Gruppe ist. Unten sehen Sie ein Beispiel für eine SAML-Assertion, die dieses System zeigt: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Groups as individual properties with Mitgliedschaft value (Gruppen als individuelle Attribute mit Mitgliedschaftswert) aus.

Gruppenattribut: Looker zeigt dieses Feld an, wenn die Strategie für Gruppensuche auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Groups-Attributs ein, das vom IdP verwendet wird.

Gruppenmitgliedswert: Looker zeigt dieses Feld an, wenn die Strategie für Gruppensuche auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Bevorzugter Gruppenname/Rollen/SAML-Gruppen-ID: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen sind:

  1. Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID (SAML-Gruppen-ID) ein. Geben Sie für Okta-Nutzer den Namen der Okta-Gruppe als SAML-Gruppen-ID ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

  2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

  4. Klicken Sie auf +, um weitere Felder hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern der Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, aber die Gruppe selbst bleibt intakt. Beispielsweise können Sie den benutzerdefinierten Namen einer Gruppe ändern. Dadurch würde die Gruppe zwar auf der Looker-Seite Gruppen angezeigt, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die SAML-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten, aber Mitglieder der Gruppe werden basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen UD-Datei in der SAML-Gruppe sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal bei Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter SAML-Gruppen spiegeln aktiviert haben, werden in Looker diese Einstellungen angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und Benutzern haben, die aus SAML gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppe und Nutzerkonfiguration genau Ihrer SAML-Konfiguration entsprechen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren keine Mitgliedschaften gespiegelter Gruppen ändern und Nutzern nur über SAML-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration, Sie können aber zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder SAML-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder für Instanzen, für die zuvor keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzern keine Looker-Rollen direkt zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn SAML-Nutzer die Mitgliedschaft in nativen (nicht gespiegelten) Looker-Gruppen zulassen, können sie ihre Rollen sowohl von gespiegelten SAML-Gruppen als auch von nativen Looker-Gruppen übernehmen. Alle SAML-Nutzer, denen Rollen zuvor direkt zugewiesen waren, werden bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren Looker-Rollen direkt SAML-Nutzern zuweisen, als wären sie nativ in Looker konfiguriert.

Direkte Mitgliedschaft in Nicht-SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzer nicht direkt nativen Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder nativer Looker-Gruppen sein dürfen, können SAML-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle SAML-Nutzer, die zuvor nativen Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt nativen Looker-Gruppen hinzufügen.

Rollenübernahme von Nicht-SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder gespiegelter SAML-Gruppen keine Rollen von nativen Looker-Gruppen übernehmen. Alle SAML-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer nativen Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Authentifizierung erfordert Rolle: Wenn diese Option aktiviert ist, müssen SAML-Nutzer eine Rolle haben. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht bei Looker anmelden.

Ist diese Option deaktiviert, können sich SAML-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen wurde. Ein Nutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen oder Aktionen ausführen, sich aber bei Looker anmelden.

Spiegel-SAML-Gruppen deaktivieren

Wenn Sie Ihre SAML-Gruppen nicht mehr in Looker spiegeln möchten, deaktivieren Sie die Option SAML-Gruppen spiegeln. Alle leeren Spiegel-SAML-Gruppen werden gelöscht.

Spiegel-SAML-Gruppen sind weiterhin für das Content-Management und die Rollenerstellung verfügbar. Nutzer können jedoch keinen gespiegelten SAML-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

Looker-Anmeldungen mit E-Mail-Adresse und Passwort sind für normale Nutzer immer deaktiviert, wenn SAML Auth aktiviert ist. Mit dieser Option können Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email eine alternative E-Mail-basierte Anmeldung mit /login/email verwenden.

Das Aktivieren dieser Option ist als Ausweichlösung bei der Einrichtung von SAML Auth nützlich, falls Probleme mit der SAML-Konfiguration später auftreten oder wenn Sie Nutzer unterstützen möchten, die kein Konto in Ihrem SAML-Verzeichnis haben.

Geben Sie die Methode an, die zum Zusammenführen von SAML-Nutzern mit einem Looker-Konto verwendet wird

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, mit der eine erstmalige SAML-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

  • Looker-E-Mail-Adresse und -Passwort (nicht für Looker (Google Cloud Core) verfügbar)
  • Google
  • LDAP (nicht verfügbar für Looker (Google Cloud Core))
  • OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker sucht nach Nutzern aus den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit der E-Mail-Adresse und dem Passwort von Looker erstellt, dann LDAP aktiviert und möchten nun SAML verwenden. Looker führt zuerst nach E‐Mail-Adresse/Passwort und dann nach LDAP zusammen.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, wird über diese Option eine Verbindung zu seinem bestehenden Konto hergestellt, indem das Konto mit der entsprechenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer noch kein Konto vorhanden ist, wird ein neues Konto erstellt.

Nutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen

Wenn Sie Looker (Google Cloud Core) und SAML verwenden, funktioniert die Zusammenführung wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der beiden folgenden Bedingungen erfüllt ist:

  1. Bedingung 1: Nutzer authentifizieren sich bei Looker (Google Cloud Core) mit ihren Google-Identitäten über das SAML-Protokoll.

  2. Bedingung 2: Bevor Sie die Zusammenführungsoption auswählen, müssen Sie die folgenden zwei Schritte ausgeführt haben:

Wenn Ihre Instanz eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen mit nicht verfügbar.

Bei der Zusammenführung sucht Looker (Google Cloud Core) nach Nutzerdatensätzen mit derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um Ihre Einstellungen zu testen. Bei den Tests wird eine Weiterleitung an den Server vorgenommen und ein Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:

  • Gibt an, ob Looker mit dem Server kommunizieren und Daten validieren konnte.
  • Die Namen, die Looker vom Server erhält. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
  • Ein Trace, das zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace zur Fehlerbehebung, wenn die Informationen falsch sind. Wenn Sie zusätzliche Informationen benötigen, können Sie die XML-Server-Rohdatei lesen.

Tipps:

  • Sie können diesen Test jederzeit durchführen, auch wenn SAML nur teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
  • Für den Test werden die auf der Seite SAML-Authentifizierung eingegebenen Einstellungen verwendet, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test wirkt sich nicht auf die Einstellungen auf dieser Seite aus und ändert diese auch nicht.
  • Während des Tests übergibt Looker Informationen mithilfe des SAML-Parameters RelayState an den Identitätsanbieter. Der IdP sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden wurden, klicken Sie das Kästchen Ich habe die obige Konfiguration bestätigt und möchte die globale Anwendung aktivieren an und klicken Sie zum Speichern auf Einstellungen aktualisieren.

Anmeldeverhalten der Nutzer

Wenn ein Nutzer versucht, sich über SAML in einer Looker-Instanz anzumelden, wird in Looker die Seite Anmelden geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Das ist das Standardverhalten, wenn der Nutzer noch keine aktive Looker-Sitzung hat.

Wenn Sie möchten, dass sich Ihre Nutzer direkt bei Ihrer Looker-Instanz anmelden, nachdem sie von Ihrem IdP authentifiziert wurden, und Sie möchten, dass die Seite Anmelden umgeht, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Wenn Sie Looker (Original) verwenden, muss die Funktion Anmeldeseite umgehen von Looker aktiviert werden. Wenn Sie Ihre Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an einen Google Cloud-Vertriebsexperten oder stellen Sie eine Supportanfrage. Wenn Sie Looker (Google Cloud Core) verwenden, ist die Option Anmeldeseite umgehen automatisch verfügbar, wenn SAML als primäre Authentifizierungsmethode verwendet wird. Sie ist standardmäßig deaktiviert.

Wenn die Option Anmeldeseite umgehen aktiviert ist, sieht die Anmeldesequenz der Nutzer so aus:

  1. Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen, z. B. instance_name.looker.com.

  2. Looker ermittelt, ob für den Nutzer bereits eine aktive Sitzung aktiviert ist. Looker verwendet dazu das Cookie AUTH-MECHANISM-COOKIE, um die Autorisierungsmethode zu identifizieren, die der Nutzer in der letzten Sitzung verwendet hat. Der Wert ist immer einer der folgenden Werte: saml, ldap, oidc, google oder email.

  3. Wenn für den Nutzer eine aktive Sitzung aktiviert ist, wird er zur angeforderten URL weitergeleitet.

  4. Wenn der Nutzer keine aktive Sitzung aktiviert hat, wird er zum IdP weitergeleitet. Der Nutzer wird vom IdP authentifiziert, wenn er sich erfolgreich beim IdP anmeldet. Looker authentifiziert den Nutzer dann, wenn der IdP den Nutzer mit Informationen zurück zu Looker sendet, die anzeigen, dass der Nutzer beim IdP authentifiziert ist.

  5. Wenn die Authentifizierung beim IdP erfolgreich war, validiert Looker die SAML-Assertions, akzeptiert die Authentifizierung, aktualisiert die Nutzerinformationen und leitet den Nutzer an die angeforderte URL weiter. Dabei wird die Seite Log-in umgangen.

  6. Wenn sich der Nutzer nicht beim IdP anmelden kann oder vom IdP nicht zur Verwendung von Looker autorisiert wurde, bleibt er je nach IdP entweder auf der Website des IdP oder wird zur Log-in-Seite von Looker weitergeleitet.

Limit für SAML-Antwort überschritten

Wenn Nutzer bei der Authentifizierung Fehlermeldungen erhalten, die darauf hinweisen, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximal zulässige Größe der SAML-Antwort erhöhen.

Bei von Looker gehosteten Instanzen öffnen Sie eine Supportanfrage, um die maximale Größe der SAML-Antwort zu aktualisieren.

Bei vom Kunden gehosteten Looker-Instanzen können Sie mit der Umgebungsvariablen MAX_SAML_RESPONSE_BYTESIZE die maximale Größe der SAML-Antwort in Byte festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale Größe der SAML-Antwort beträgt 250.000 Byte.