Setelan admin - Autentikasi SAML

Halaman SAML di bagian Authentication pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna menggunakan Security Assertion Markup Language (SAML). Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup SAML ke peran dan izin Looker.

SAML dan penyedia identitas

Perusahaan menggunakan berbagai penyedia identitas (IdP) untuk berkoordinasi dengan SAML (misalnya, Okta atau OneLogin). Istilah yang digunakan dalam petunjuk penyiapan berikut dan di UI mungkin tidak sama persis dengan istilah yang digunakan oleh IdP Anda. Untuk mendapatkan klarifikasi selama penyiapan, hubungi tim SAML atau autentikasi internal Anda, atau hubungi Dukungan Looker.

Looker mengasumsikan bahwa permintaan dan pernyataan SAML akan dikompresi; pastikan IdP Anda dikonfigurasi seperti itu. Permintaan Looker ke IdP tidak ditandatangani.

Looker mendukung login yang dimulai IdP.

Beberapa proses penyiapan harus diselesaikan di situs IdP.

Okta menawarkan aplikasi Looker, yang merupakan cara yang direkomendasikan untuk mengonfigurasi Looker dan Okta secara bersamaan.

Menyiapkan Looker di penyedia identitas Anda

IdP SAML Anda akan memerlukan URL instance Looker tempat IdP SAML harus memposting pernyataan SAML. Di IdP Anda, kolom ini mungkin disebut "Post Back URL", "Recipient", atau "Destination", di antara nama lainnya.

Informasi yang harus diberikan adalah URL tempat Anda biasanya mengakses instance Looker menggunakan browser, diikuti dengan /samlcallback. Contoh: none https://instance_name.looker.com/samlcallback

atau

https://looker.mycompany.com/samlcallback

Beberapa IdP juga mengharuskan Anda menambahkan :9999 setelah URL instance. Contoh:

https://instance_name.looker.com:9999/samlcallback

Hal untuk diketahui

Perhatikan fakta berikut:

  • Looker memerlukan SAML 2.0.
  • Jangan nonaktifkan autentikasi SAML saat Anda login ke Looker melalui SAML, kecuali jika Anda telah menyiapkan login akun alternatif. Jika tidak, Anda dapat kehilangan akses ke aplikasi.
  • Looker dapat memigrasikan akun yang ada ke SAML menggunakan alamat email yang berasal dari penyiapan email dan sandi saat ini atau dari Google Auth, LDAP, atau OIDC. Anda dapat mengonfigurasi cara migrasi akun yang ada dalam proses penyiapan.

Memulai

Buka halaman SAML Authentication di bagian Admin di Looker untuk melihat opsi konfigurasi berikut. Perhatikan bahwa perubahan pada opsi konfigurasi tidak akan diterapkan hingga Anda menguji dan menyimpan setelan di bagian bawah halaman.

Setelan autentikasi SAML

Looker memerlukan URL IdP, Penerbit IdP, dan Sertifikat IdP untuk mengautentikasi IdP Anda.

IdP Anda mungkin menawarkan dokumen XML metadata IdP selama proses konfigurasi untuk Looker di sisi IdP. File ini berisi semua informasi yang diminta di bagian SAML Auth Settings. Jika memiliki file ini, Anda dapat menguploadnya di kolom Metadata IdP, yang akan mengisi kolom yang diperlukan di bagian ini. Atau, Anda dapat mengisi kolom yang diperlukan dari output yang diperoleh selama konfigurasi sisi IdP. Anda tidak perlu mengisi kolom jika mengupload file XML.

  • Metadata IdP (Opsional): Tempel URL publik dokumen XML yang berisi informasi IdP, atau tempel teks dokumen secara keseluruhan di sini. Looker akan mengurai file tersebut untuk mengisi kolom yang wajib diisi.

Jika Anda tidak mengupload atau menempelkan dokumen XML metadata IdP, masukkan informasi autentikasi IdP Anda di kolom IdP URL, IdP Issuer, dan IdP Certificate.

  • URL IdP: URL tempat Looker akan diarahkan untuk mengautentikasi pengguna. Ini disebut URL Alihan di Okta.

  • IdP Issuer: ID unik IdP. Ini disebut "Kunci Eksternal" di Okta.

  • IdP Certificate: Kunci publik untuk memungkinkan Looker memverifikasi tanda tangan respons IdP.

Ketiga kolom ini memungkinkan Looker mengonfirmasi bahwa kumpulan pernyataan SAML yang ditandatangani benar-benar berasal dari IdP tepercaya.

  • SP Entity/IdP Audience: Kolom ini tidak diwajibkan oleh Looker, tetapi banyak IdP akan mewajibkan kolom ini. Jika Anda memasukkan nilai di kolom ini, nilai tersebut akan dikirim ke IdP sebagai Entity ID Looker dalam permintaan otorisasi. Dalam hal ini, Looker hanya akan menerima respons otorisasi yang memiliki nilai ini sebagai Audience. Jika IdP Anda memerlukan nilai Audience, masukkan string tersebut di sini.
  • Clock Drift yang Diizinkan: Jumlah detik clock drift (perbedaan stempel waktu antara IdP dan Looker) yang diizinkan. Nilai ini biasanya akan menjadi default 0, tetapi beberapa IdP mungkin memerlukan kelonggaran tambahan untuk login yang berhasil.

Setelan atribut pengguna

Di kolom berikut, tentukan nama atribut dalam konfigurasi SAML IdP Anda yang berisi informasi yang sesuai untuk setiap kolom. Memasukkan nama atribut SAML akan memberi tahu Looker cara memetakan kolom tersebut dan mengekstrak informasinya pada waktu login. Looker tidak terlalu memperhatikan cara informasi ini dibuat, yang penting adalah cara Anda memasukkannya ke Looker cocok dengan cara atribut ditentukan di IdP Anda. Looker memberikan saran default tentang cara membuat input tersebut.

Atribut standar

Anda harus menentukan atribut standar berikut:

  • Email Attr: Nama atribut yang digunakan IdP Anda untuk alamat email pengguna.

  • FName Attr: Nama atribut yang digunakan IdP Anda untuk nama depan pengguna.

  • LName Attr: Nama atribut yang digunakan IdP Anda untuk nama belakang pengguna.

Menyambungkan atribut SAML dengan atribut pengguna Looker

Anda dapat menggunakan data dalam atribut SAML secara opsional untuk mengisi nilai di atribut pengguna Looker secara otomatis saat pengguna login. Misalnya, jika telah mengonfigurasi SAML untuk membuat koneksi khusus pengguna ke database, Anda dapat menyambungkan atribut SAML dengan atribut pengguna Looker untuk membuat koneksi database khusus pengguna di Looker.

Untuk menyambungkan atribut SAML dengan atribut pengguna Looker yang sesuai:

  1. Masukkan nama atribut SAML di kolom SAML Attribute dan nama atribut pengguna Looker yang ingin Anda pasangkan di kolom Looker User Attributes.
  2. Centang Wajib jika Anda ingin mewajibkan nilai atribut SAML untuk mengizinkan pengguna login.
  3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan atribut lainnya.

Grup dan peran

Anda memiliki opsi untuk membuat grup yang mencerminkan grup SAML yang dikelola secara eksternal, lalu menetapkan peran Looker kepada pengguna berdasarkan grup SAML yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup SAML, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker.

Mencerminkan grup SAML memungkinkan Anda menggunakan direktori SAML yang ditentukan secara eksternal untuk mengelola grup dan pengguna Looker. Dengan demikian, Anda dapat mengelola langganan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Mirror SAML Groups, Looker akan membuat satu grup Looker untuk setiap grup SAML yang diperkenalkan ke sistem. Grup Looker tersebut dapat dilihat di halaman Grup di bagian Admin di Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menetapkan kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror SAML Groups nonaktif. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna SAML baru. Di kolom Grup Pengguna Baru dan Peran Pengguna Baru, masukkan nama grup atau peran Looker yang ingin Anda tetapkan kepada pengguna Looker baru saat mereka pertama kali login ke Looker:

Grup dan peran ini diterapkan ke pengguna baru saat login pertama kali. Grup dan peran tidak diterapkan ke pengguna yang sudah ada, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal pengguna.

Jika Anda nanti mengaktifkan grup SAML mirror, default ini akan dihapus untuk pengguna saat login berikutnya dan diganti dengan peran yang ditetapkan di bagian Grup SAML Mirror. Opsi default ini tidak akan lagi tersedia atau ditetapkan, dan akan sepenuhnya diganti oleh konfigurasi grup yang dicerminkan.

Mengaktifkan grup SAML duplikat

Jika Anda memilih untuk mencerminkan grup SAML dalam Looker, aktifkan tombol Mirror SAML Groups. Looker menampilkan setelan berikut:

Group Finder Strategy: Pilih sistem yang digunakan IdP untuk menetapkan grup, yang bergantung pada IdP Anda.

  • Hampir semua IdP menggunakan satu nilai atribut untuk menetapkan grup, seperti yang ditunjukkan dalam contoh pernyataan SAML ini: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dalam hal ini, pilih Grup sebagai nilai atribut tunggal.

  • Beberapa IdP menggunakan atribut terpisah untuk setiap grup, lalu mewajibkan atribut kedua untuk menentukan apakah pengguna adalah anggota grup. Contoh pernyataan SAML yang menunjukkan sistem ini adalah sebagai berikut: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dalam hal ini, pilih Grup sebagai atribut individu dengan nilai keanggotaan.

Atribut Grup: Looker menampilkan kolom ini jika Group Finder Strategy ditetapkan ke Groups as values of single attribute. Masukkan nama Atribut Grup yang digunakan oleh IdP.

Nilai Anggota Grup: Looker menampilkan kolom ini jika Strategi Pencari Grup ditetapkan ke Grup sebagai atribut individual dengan nilai keanggotaan. Masukkan nilai yang menunjukkan bahwa pengguna adalah anggota grup.

Nama Grup/Peran/ID Grup SAML yang Diinginkan: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup SAML yang sesuai di Looker:

  1. Masukkan ID grup SAML di kolom SAML Group ID. Untuk pengguna Okta, masukkan nama grup Okta sebagai ID grup SAML. Pengguna SAML yang disertakan dalam grup SAML akan ditambahkan ke grup yang dicerminkan dalam Looker.

  2. Masukkan nama kustom untuk grup yang dicerminkan di kolom Nama Kustom. Ini adalah nama yang akan ditampilkan di halaman Grup di bagian Admin Looker.

  3. Di kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

  4. Klik + untuk menambahkan kumpulan kolom tambahan guna mengonfigurasi grup yang dicerminkan tambahan. Jika Anda memiliki beberapa grup yang dikonfigurasi dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup yang dicerminkan yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Mengubah ID Grup SAML akan mempertahankan nama dan peran grup, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup SAML eksternal yang memiliki UD grup SAML baru.

Setiap hasil edit yang dilakukan pada grup yang dicerminkan akan diterapkan kepada pengguna grup tersebut saat mereka login ke Looker lagi.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Mirror SAML Groups, Looker akan menampilkan setelan ini. Opsi di bagian ini menentukan seberapa fleksibel admin Looker saat mengonfigurasi grup dan pengguna Looker yang telah dicerminkan dari SAML.

Misalnya, jika Anda ingin konfigurasi pengguna dan grup Looker Anda benar-benar cocok dengan konfigurasi SAML, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang dicerminkan dan hanya dapat menetapkan peran kepada pengguna melalui grup yang dicerminkan SAML.

Jika Anda ingin memiliki fleksibilitas lebih untuk menyesuaikan grup dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi SAML, tetapi Anda dapat melakukan pengelolaan grup dan pengguna tambahan dalam Looker, seperti menambahkan pengguna SAML ke grup khusus Looker atau menetapkan peran Looker langsung kepada pengguna SAML.

Untuk instance Looker baru, atau untuk instance yang tidak memiliki grup yang dicerminkan yang telah dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang ada yang telah mengonfigurasi grup yang dicerminkan, opsi ini diaktifkan secara default.

Bagian Advanced Role Management berisi opsi berikut:

Prevent Individual SAML Users from Receiving Direct Roles: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker langsung kepada pengguna SAML. Pengguna SAML hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna SAML diizinkan keanggotaan di grup Looker bawaan (tidak dicerminkan), mereka tetap dapat mewarisi peran dari grup SAML yang dicerminkan dan dari grup Looker bawaan. Setiap pengguna SAML yang sebelumnya diberi peran secara langsung akan memiliki peran tersebut dihapus saat mereka login lagi.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker langsung kepada pengguna SAML seolah-olah peran tersebut dikonfigurasi langsung di Looker.

Cegah Keanggotaan Langsung di Grup non-SAML: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna SAML secara langsung ke grup Looker bawaan. Jika grup SAML yang dicerminkan diizinkan menjadi anggota grup Looker bawaan, pengguna SAML dapat mempertahankan keanggotaan di grup Looker induk. Semua pengguna SAML yang sebelumnya ditetapkan ke grup Looker bawaan akan dihapus dari grup tersebut saat mereka login lagi.

Jika opsi ini dinonaktifkan, admin Looker dapat menambahkan pengguna SAML langsung ke grup Looker bawaan.

Prevent Role Inheritance from non-SAML Groups: Mengaktifkan opsi ini akan mencegah anggota grup SAML yang dicerminkan mewarisi peran dari grup Looker bawaan. Semua pengguna SAML yang sebelumnya mewarisi peran dari grup induk Looker akan kehilangan peran tersebut saat login berikutnya.

Jika opsi ini nonaktif, grup SAML yang dicerminkan atau pengguna SAML yang ditambahkan sebagai anggota grup Looker bawaan akan mewarisi peran yang ditetapkan ke grup Looker induk.

Auth Requires Role: Jika opsi ini diaktifkan, pengguna SAML harus memiliki peran yang ditetapkan. Pengguna SAML yang tidak memiliki peran yang ditetapkan tidak akan dapat login ke Looker sama sekali.

Jika opsi ini nonaktif, pengguna SAML dapat melakukan autentikasi ke Looker meskipun mereka tidak memiliki peran yang ditetapkan. Pengguna tanpa peran yang ditetapkan tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi mereka akan dapat login ke Looker.

Menonaktifkan grup SAML duplikat

Jika Anda ingin berhenti mencerminkan grup SAML dalam Looker, nonaktifkan tombol Mirror SAML Groups. Semua grup SAML mirror kosong akan dihapus.

Grup SAML mirror yang tidak kosong akan tetap tersedia untuk digunakan dalam pengelolaan konten dan pembuatan peran. Namun, pengguna tidak dapat ditambahkan ke atau dihapus dari grup SAML mirror.

Opsi migrasi

Login alternatif untuk admin dan pengguna tertentu

Login email dan sandi Looker selalu dinonaktifkan untuk pengguna reguler saat Autentikasi SAML diaktifkan. Opsi ini memungkinkan login berbasis email alternatif menggunakan /login/email untuk admin dan pengguna tertentu dengan izin login_special_email.

Mengaktifkan opsi ini berguna sebagai pengganti selama penyiapan Autentikasi SAML jika masalah konfigurasi SAML terjadi nanti, atau jika Anda perlu mendukung beberapa pengguna yang tidak memiliki akun di direktori SAML Anda.

Menentukan metode yang digunakan untuk menggabungkan pengguna SAML ke akun Looker

Di kolom Gabungkan Pengguna Menggunakan, tentukan metode yang akan digunakan untuk menggabungkan login SAML pertama kali ke akun pengguna yang ada. Anda dapat menggabungkan pengguna dari sistem berikut:

  • Email/Sandi Looker (tidak tersedia untuk Looker (Google Cloud core))
  • Google
  • LDAP (tidak tersedia untuk Looker (Google Cloud core))
  • OIDC

Jika memiliki lebih dari satu sistem, Anda dapat menentukan lebih dari satu sistem untuk digabungkan di kolom ini. Looker akan mencari pengguna dari sistem yang tercantum sesuai urutan yang ditentukan. Misalnya, Anda membuat beberapa pengguna menggunakan email dan sandi Looker, lalu mengaktifkan LDAP, dan sekarang Anda ingin menggunakan SAML. Looker akan menggabungkan berdasarkan email dan sandi terlebih dahulu, lalu LDAP.

Saat pengguna login untuk pertama kalinya melalui SAML, opsi ini akan menghubungkan pengguna ke akun yang sudah ada dengan menemukan akun yang memiliki alamat email yang cocok. Jika tidak ada akun untuk pengguna, akun pengguna baru akan dibuat.

Menyambungkan pengguna saat menggunakan Looker (Google Cloud core)

Saat Anda menggunakan Looker (inti Google Cloud) dan SAML, penggabungan akan berfungsi seperti yang dijelaskan di bagian sebelumnya. Namun, hal ini hanya dapat dilakukan jika salah satu dari dua kondisi berikut terpenuhi:

  1. Kondisi 1: Pengguna melakukan autentikasi ke Looker (Google Cloud core) menggunakan identitas Google mereka melalui protokol SAML.
  2. Kondisi 2 Sebelum memilih opsi penggabungan, Anda telah menyelesaikan dua langkah berikut:

Jika instance Anda tidak memenuhi salah satu dari dua kondisi ini, opsi Gabungkan Pengguna Menggunakan tidak akan tersedia.

Saat menggabungkan, Looker (Google Cloud core) akan menelusuri data pengguna yang memiliki alamat email yang sama persis.

Menguji autentikasi pengguna

Klik tombol Uji untuk menguji setelan Anda. Pengujian akan dialihkan ke server dan akan membuka tab browser. Tab ini menampilkan:

  • Apakah Looker dapat berkomunikasi dengan server dan memvalidasi.
  • Nama yang diperoleh Looker dari server. Anda perlu memvalidasi bahwa server menampilkan hasil yang tepat.
  • Trace untuk menunjukkan cara info ditemukan. Gunakan rekaman aktivitas untuk memecahkan masalah jika informasinya salah. Jika memerlukan informasi tambahan, Anda dapat membaca file server XML mentah.

Tips:

  • Anda dapat menjalankan pengujian ini kapan saja, meskipun SAML dikonfigurasi sebagian. Menjalankan pengujian dapat membantu selama konfigurasi untuk melihat parameter mana yang memerlukan konfigurasi.
  • Pengujian menggunakan setelan yang dimasukkan di halaman SAML Authentication, meskipun setelan tersebut belum disimpan. Pengujian ini tidak akan memengaruhi atau mengubah setelan apa pun di halaman tersebut.
  • Selama pengujian, Looker meneruskan informasi ke IdP menggunakan parameter RelayState SAML. IdP harus menampilkan nilai RelayState ini ke Looker tanpa diubah.

Menyimpan dan menerapkan setelan

Setelah Anda selesai memasukkan informasi, dan semua pengujian lulus, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global, lalu klik Update Settings untuk menyimpan.

Perilaku login pengguna

Saat pengguna mencoba login ke instance Looker menggunakan SAML, Looker akan membuka halaman Login. Pengguna harus mengklik tombol Authenticate untuk memulai autentikasi melalui SAML.

Ini adalah perilaku default jika pengguna belum memiliki sesi Looker yang aktif.

Jika Anda ingin pengguna login langsung ke instance Looker setelah IdP mengautentikasi mereka, dan mengabaikan halaman Login, aktifkan Abaikan Halaman Login di bagian Perilaku Login.

Jika Anda menggunakan Looker (Asli), fitur Bypass Login Page harus diaktifkan oleh Looker. Untuk memperbarui lisensi Anda untuk fitur ini, hubungi spesialis penjualan Google Cloud atau buka permintaan dukungan. Jika Anda menggunakan Looker (Google Cloud core), opsi Bypass Login Page akan tersedia secara otomatis jika SAML digunakan sebagai metode autentikasi utama, dan dinonaktifkan secara default.

Jika Lewati Halaman Login diaktifkan, urutan login pengguna adalah sebagai berikut:

  1. Pengguna mencoba terhubung ke URL Looker (misalnya, instance_name.looker.com).

  2. Looker menentukan apakah pengguna sudah mengaktifkan sesi aktif. Untuk melakukannya, Looker menggunakan cookie AUTH-MECHANISM-COOKIE untuk mengidentifikasi metode otorisasi yang digunakan oleh pengguna dalam sesi terakhirnya. Nilainya selalu salah satu dari berikut: saml, ldap, oidc, google, atau email.

  3. Jika pengguna mengaktifkan sesi aktif, pengguna akan diarahkan ke URL yang diminta.

  4. Jika pengguna tidak mengaktifkan sesi aktif, mereka akan dialihkan ke IdP. IdP mengautentikasi pengguna saat mereka berhasil login ke IdP. Looker kemudian mengautentikasi pengguna saat IdP mengirim pengguna kembali ke Looker dengan informasi yang menunjukkan bahwa pengguna diautentikasi dengan IdP.

  5. Jika autentikasi di IdP berhasil, Looker akan memvalidasi pernyataan SAML, menerima autentikasi, memperbarui informasi pengguna, dan meneruskan pengguna ke URL yang diminta, dengan mengabaikan halaman Login.

  6. Jika pengguna tidak dapat login ke IdP, atau jika mereka tidak diberi otorisasi oleh IdP untuk menggunakan Looker, maka bergantung pada IdP, mereka akan tetap berada di situs IdP, atau dialihkan ke halaman Login Looker.

Respons SAML melebihi batas

Jika pengguna yang mencoba mengautentikasi menerima error yang menunjukkan bahwa respons SAML telah melebihi ukuran maksimum, Anda dapat meningkatkan ukuran respons SAML maksimum yang diizinkan.

Untuk instance yang dihosting Looker, buka permintaan dukungan untuk memperbarui ukuran respons SAML maksimum.

Untuk instance Looker yang dihosting pelanggan, Anda dapat menetapkan ukuran respons SAML maksimum dalam jumlah byte dengan variabel lingkungan MAX_SAML_RESPONSE_BYTESIZE. Contoh:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Ukuran respons SAML maksimum default adalah 250.000 byte.