Impostazioni amministratore - Autenticazione SAML

La pagina SAML nella sezione Authentication (Autenticazione) del menu Admin (Amministrazione) consente di configurare Looker per l'autenticazione degli utenti mediante SAML (Security Assertion Markup Language). Questa pagina descrive il processo e include le istruzioni per collegare i gruppi SAML a ruoli e autorizzazioni di Looker.

SAML e provider di identità

Le aziende utilizzano diversi provider di identità (IdP) per coordinarsi con SAML (ad esempio Okta o OneLogin). I termini utilizzati nelle seguenti istruzioni di configurazione e nella UI potrebbero non corrispondere direttamente a quelli utilizzati dal tuo IdP. Per chiarimenti durante la configurazione, contatta il team SAML o di autenticazione interno oppure rivolgiti all'assistenza di Looker.

Looker presuppone che le richieste e le asserzioni SAML siano compresse. Assicurati che l'IdP sia configurato come tale. Le richieste di Looker all'IdP non sono firmate.

Looker supporta l'accesso avviato dall'IdP.

Alcune procedure di configurazione devono essere completate sul sito web dell'IdP.

Okta offre un'app Looker, che è il modo consigliato per configurare Looker e Okta insieme.

Configurazione di Looker sul tuo provider di identità

L'IdP SAML avrà bisogno dell'URL dell'istanza Looker in cui l'IdP SAML deve PUBBLICARE le asserzioni SAML. Nel tuo IdP, questo potrebbe essere chiamato "URL postback", "Destinatario" o "Destinazione", tra gli altri nomi.

Le informazioni da fornire sono l'URL da cui in genere accedi all'istanza di Looker utilizzando il browser, seguito da /samlcallback. Ad esempio: none https://instance_name.looker.com/samlcallback

o

https://looker.mycompany.com/samlcallback

Alcuni IdP richiedono anche di aggiungere :9999 dopo l'URL dell'istanza. Ad esempio:

https://instance_name.looker.com:9999/samlcallback

Aspetti da tenere presenti

Tieni presente quanto segue:

  • Looker richiede SAML 2.0.
  • Non disattivare l'autenticazione SAML dopo aver eseguito l'accesso a Looker tramite SAML, a meno che tu non abbia configurato un accesso all'account alternativo. In caso contrario, potresti bloccare l'accesso all'app.
  • Looker può eseguire la migrazione degli account esistenti a SAML utilizzando indirizzi email provenienti dalle configurazioni correnti di email e password oppure da Google Auth, LDAP oppure OIDC. Potrai configurare la modalità di migrazione degli account esistenti durante il processo di configurazione.

Per iniziare

Vai alla pagina SAML Authentication (Autenticazione SAML) nella sezione Admin (Amministrazione) di Looker per visualizzare le opzioni di configurazione seguenti. Tieni presente che eventuali modifiche alle opzioni di configurazione hanno effetto solo dopo aver testato e salvato le impostazioni in fondo alla pagina.

Impostazioni di autenticazione SAML

Per autenticare l'IdP, Looker richiede l'URL IdP, l'Emittente IdP e il Certificato IdP.

L'IdP può offrire un documento XML di metadati IdP durante il processo di configurazione per Looker sul lato IdP. Questo file contiene tutte le informazioni richieste nella sezione Impostazioni di autenticazione SAML. Se hai questo file, puoi caricarlo nel campo Metadati IdP, che compilerà i campi obbligatori in questa sezione. In alternativa, puoi compilare i campi obbligatori dall'output ottenuto durante la configurazione lato IdP. Se carichi il file XML, non devi compilare i campi.

  • (Facoltativo) Metadati IdP: incolla l'URL pubblico del documento XML che contiene le informazioni sull'IdP o incolla il testo completo del documento qui. Looker analizzerà il file per compilare i campi obbligatori.

Se non hai caricato o incollato un documento XML dei metadati IdP, inserisci le informazioni di autenticazione dell'IdP nei campi URL IdP, Emittente IdP e Certificato IdP.

  • IdP URL (URL IdP): l'URL in cui Looker andrà ad autenticare gli utenti. In Okta si chiama URL di reindirizzamento.

  • IdP Issuer (Emittente IdP): l'identificatore univoco dell'IdP. Si chiama "Chiave esterna" in Okta.

  • IdP Certificate (Certificato IdP): la chiave pubblica per consentire a Looker di verificare la firma delle risposte dell'IdP.

Complessivamente, questi tre campi consentono a Looker di confermare che un insieme di asserzioni SAML firmate proviene effettivamente da un IdP attendibile.

  • SP Entità/IdP Audience: questo campo non è obbligatorio per Looker, ma è richiesto da molti IdP. Se inserisci un valore in questo campo, questo viene inviato all'IdP come Entity ID di Looker nelle richieste di autorizzazione. In questo caso, Looker accetterà solo le risposte di autorizzazione che hanno questo valore come Audience. Se l'IdP richiede un valore Audience, inserisci la stringa qui.
  • Deviazione orologi consentita: il numero di secondi di deviazione orologio consentiti (la differenza nei timestamp tra l'IdP e Looker). Il valore predefinito è 0, ma alcuni IdP potrebbero richiedere un margine extra per eseguire accessi riusciti.

Impostazioni degli attributi utente

Nei campi seguenti, specifica il nome dell'attributo nella configurazione SAML dell'IdP, contenente le informazioni corrispondenti per ciascun campo. Se inserisci i nomi degli attributi SAML, indichi a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso. Looker non è particolare riguardo a come vengono create queste informazioni, è solo importante che il modo in cui le inserisci in Looker corrisponda al modo in cui gli attributi sono definiti nell'IdP. Looker fornisce suggerimenti predefiniti su come creare questi input.

Attributi standard

Dovrai specificare i seguenti attributi standard:

  • Attr email: il nome dell'attributo utilizzato dall'IdP per gli indirizzi email degli utenti.

  • FName Attr: il nome dell'attributo utilizzato dall'IdP per i nomi degli utenti.

  • LName Attr: il nome dell'attributo utilizzato dall'IdP per i cognomi degli utenti.

Accoppiamento degli attributi SAML con gli attributi utente di Looker

Facoltativamente, puoi utilizzare i dati negli attributi SAML per inserire automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato SAML per creare connessioni specifiche per l'utente al tuo database, puoi accoppiare gli attributi SAML con gli attributi utente di Looker per rendere le tue connessioni al database specifiche per l'utente in Looker.

Per accoppiare gli attributi SAML agli attributi utente di Looker corrispondenti:

  1. Inserisci il nome dell'attributo SAML nel campo Attributo SAML e, nel campo Attributi utente Looker, per associarlo al nome dell'attributo utente Looker vuoi associarlo.
  2. Seleziona Obbligatorio se vuoi richiedere un valore di attributo SAML per consentire a un utente di accedere.
  3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Gruppi e ruoli

Puoi consentire a Looker di creare gruppi che eseguono il mirroring dei gruppi SAML gestiti esternamente per poi assegnare i ruoli Looker agli utenti in base ai gruppi SAML con mirroring. Quando apporti modifiche all'appartenenza ai gruppi SAML, queste vengono automaticamente propagate alla configurazione dei gruppi di Looker.

Il mirroring dei gruppi SAML consente di utilizzare la directory SAML definita esternamente per gestire i gruppi e gli utenti di Looker. Questo, a sua volta, ti consente di gestire in un'unica posizione l'appartenenza al gruppo per più strumenti Software as a Service (SaaS), come Looker.

Se attivi Esegui il mirroring dei gruppi SAML, Looker creerà un gruppo Looker per ogni gruppo SAML introdotto nel sistema. Questi gruppi Looker possono essere visualizzati nella pagina Groups della sezione Admin (Amministrazione) di Looker. I gruppi possono essere utilizzati per assegnare i ruoli ai membri, impostare i controlli di accesso ai contenuti e assegnare gli attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Esegui il mirroring dei gruppi SAML è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti SAML. Nei campi Nuovi gruppi di utenti e Nuovi ruoli utente, inserisci i nomi dei gruppi o dei ruoli Looker a cui vuoi assegnare i nuovi utenti Looker quando accedono per la prima volta a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. I gruppi e i ruoli non vengono applicati agli utenti preesistenti e non vengono applicati nuovamente se vengono rimossi dagli utenti dopo il primo accesso.

Se in un secondo momento abiliti il mirroring dei gruppi SAML, queste impostazioni predefinite verranno rimosse per gli utenti all'accesso successivo e sostituite dai ruoli assegnati nella sezione Esegui il mirroring dei gruppi SAML. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi con mirroring.

Attivazione dei gruppi SAML di mirroring

Se scegli di eseguire il mirroring dei gruppi SAML all'interno di Looker, attiva l'opzione Esegui il mirroring dei gruppi SAML. Looker mostra queste impostazioni:

Strategia di ricerca gruppi: seleziona il sistema utilizzato dall'IdP per assegnare i gruppi, che dipende dall'IdP.

  • Quasi tutti gli IdP utilizzano un singolo valore di attributo per assegnare gruppi, come mostrato in questa asserzione SAML di esempio: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come valori di singoli attributi.

  • Alcuni IdP utilizzano un attributo separato per ciascun gruppo e richiedono un secondo attributo per determinare se un utente è membro di un gruppo. Di seguito è riportata un'asserzione SAML di esempio che mostra questo sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come singoli attributi con valore di appartenenza.

Attributo di gruppi: Looker visualizza questo campo quando Strategia di ricerca gruppi è impostata su Gruppi come valori di un singolo attributo. Inserisci il nome dell'attributo Groups utilizzato dall'IdP.

Valore membro del gruppo: Looker mostra questo campo quando Strategia Strumento di ricerca gruppi è impostata su Gruppi come attributi individuali con valore di appartenenza. Inserisci il valore che indica che un utente è membro di un gruppo.

Nome/ruoli/ID gruppo SAML preferito: questo insieme di campi consente di assegnare un nome di gruppo personalizzato e uno o più ruoli assegnati al gruppo SAML corrispondente in Looker:

  1. Inserisci l'ID gruppo SAML nel campo SAML Group ID (ID gruppo SAML). Per gli utenti Okta, inserisci il nome del gruppo Okta come ID gruppo SAML. Gli utenti SAML inclusi nel gruppo SAML verranno aggiunti al gruppo con mirroring in Looker.

  2. Inserisci un nome personalizzato per il gruppo con mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Groups della sezione Admin (Amministrazione) di Looker.

  3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli Looker che verranno assegnati a ciascun utente del gruppo.

  4. Fai clic su + per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic sulla X accanto all'insieme di campi del gruppo.

Se modifichi un gruppo con mirroring configurato in precedenza in questa schermata, la configurazione del gruppo cambierà, ma il gruppo rimarrà invariato. Ad esempio, puoi modificare il nome personalizzato di un gruppo, cambiando il modo in cui il gruppo viene visualizzato nella pagina Groups (Gruppi) di Looker, senza modificare i ruoli e i membri del gruppo assegnati. La modifica dell'ID gruppo SAML consente di mantenere il nome e i ruoli del gruppo, ma i membri del gruppo verranno riassegnati in base agli utenti che sono membri del gruppo SAML esterno a cui è associata la nuova funzione definita dall'utente del gruppo SAML.

Eventuali modifiche apportate a un gruppo sottoposto a mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Esegui il mirroring dei gruppi SAML, Looker visualizza queste impostazioni. Le opzioni di questa sezione determinano il livello di flessibilità a disposizione degli amministratori di Looker durante la configurazione dei gruppi e degli utenti di Looker, di cui è stato eseguito il mirroring da SAML.

Ad esempio, se vuoi che il gruppo e la configurazione utente di Looker corrispondano rigorosamente alla configurazione SAML, attiva queste opzioni. Quando tutte le prime tre opzioni sono abilitate, gli amministratori di Looker non possono modificare le iscrizioni ai gruppi con mirroring e possono assegnare ruoli agli utenti solo tramite gruppi con mirroring SAML.

Se vuoi avere maggiore flessibilità per personalizzare i tuoi gruppi all'interno di Looker, disattiva queste opzioni. I tuoi gruppi Looker continueranno a eseguire il mirroring della configurazione SAML, ma potrai eseguire ulteriori operazioni di gestione dei gruppi e degli utenti all'interno di Looker, ad esempio aggiungendo utenti SAML a gruppi specifici o assegnando ruoli Looker direttamente agli utenti SAML.

Per le nuove istanze Looker o per le istanze che non dispongono di gruppi con mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze di Looker esistenti in cui sono configurati gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti SAML di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli Looker direttamente agli utenti SAML. Gli utenti SAML riceveranno ruoli solo tramite le loro iscrizioni ai gruppi. Se agli utenti SAML è consentita l'appartenenza a gruppi Looker integrati (senza mirroring), possono comunque ereditare i propri ruoli sia dai gruppi SAML con mirroring sia dai gruppi Looker integrati. Tutti gli utenti SAML a cui erano stati assegnati direttamente ruoli verranno rimossi all'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare i ruoli Looker direttamente agli utenti SAML come se fossero stati configurati direttamente in Looker.

Impedisci l'iscrizione diretta a gruppi non SAML: se attivi questa opzione, gli amministratori di Looker non possono aggiungere utenti SAML direttamente ai gruppi Looker integrati. Se i gruppi SAML con mirroring possono essere membri di gruppi Looker integrati, gli utenti SAML possono mantenere l'appartenenza ai gruppi Looker padre. Tutti gli utenti SAML assegnati in precedenza a gruppi Looker integrati verranno rimossi da questi gruppi all'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti SAML direttamente ai gruppi Looker integrati.

Impedisci l'ereditarietà dei ruoli dai gruppi non SAML: se attivi questa opzione, impedisci ai membri dei gruppi SAML con mirroring di ereditare i ruoli dai gruppi Looker integrati. Tutti gli utenti SAML che in precedenza ereditavano i ruoli da un gruppo Looker padre perderanno questi ruoli all'accesso successivo.

Se questa opzione è disattivata, i gruppi SAML con mirroring o gli utenti SAML aggiunti come membri di un gruppo Looker integrato erediteranno i ruoli assegnati al gruppo Looker principale.

Autorizzazione richiesta ruolo: se questa opzione è attiva, agli utenti SAML deve essere assegnato un ruolo. Gli utenti SAML a cui non è stato assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti SAML possono eseguire l'autenticazione su Looker anche se non hanno alcun ruolo assegnato. Un utente a cui non è assegnato un ruolo non potrà visualizzare i dati o eseguire alcuna azione in Looker, ma potrà accedere a Looker.

Disattivazione dei gruppi SAML di mirroring

Se vuoi interrompere il mirroring dei gruppi SAML in Looker, disattiva l'opzione Esegui il mirroring dei gruppi SAML. Verranno eliminati i gruppi SAML con mirroring vuoto.

I gruppi SAML con mirroring non vuoto rimarranno disponibili per la gestione dei contenuti e la creazione di ruoli. Tuttavia, non è possibile aggiungere o rimuovere utenti dai gruppi SAML di mirroring.

Opzioni di migrazione

Accesso alternativo per gli amministratori e gli utenti specificati

Gli accessi via email e password di Looker sono sempre disabilitati per gli utenti normali quando l'autenticazione SAML è abilitata. Questa opzione consente l'accesso alternativo basato su email utilizzando /login/email per gli amministratori e per utenti specifici con l'autorizzazione login_special_email.

L'attivazione di questa opzione è utile come opzione di riserva durante la configurazione dell'autenticazione SAML, nel caso in cui si verifichino problemi in seguito a questa configurazione o se hai bisogno di supportare alcuni utenti che non hanno un account nella directory SAML.

Specifica il metodo utilizzato per unire gli utenti SAML a un account Looker

Nel campo Unisci utenti utilizzando, specifica il metodo da utilizzare per unire il primo accesso SAML a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:

  • Email/password di Looker (non disponibile per Looker (Google Cloud core))
  • Google
  • LDAP (non disponibile per Looker (Google Cloud core))
  • OIDC

Se disponi di più sistemi, puoi specificare più sistemi in cui eseguire l'unione in questo campo. Looker cercherà gli utenti nei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, supponi di aver creato alcuni utenti utilizzando l'email e la password di Looker, di aver abilitato LDAP e di voler utilizzare SAML. Looker esegue prima l'unione via email e password e poi tramite LDAP.

Quando un utente accede per la prima volta tramite SAML, questa opzione lo connette al proprio account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Unione degli utenti quando si utilizza Looker (Google Cloud core)

Quando utilizzi Looker (Google Cloud core) e SAML, l'unione funziona come descritto nella sezione precedente. Tuttavia, è possibile solo se viene soddisfatta una delle due condizioni seguenti:

  1. Condizione 1: gli utenti si autenticano in Looker (Google Cloud core) utilizzando le proprie identità Google tramite il protocollo SAML.

  2. Condizione 2 Prima di selezionare l'opzione di unione, hai completato i due passaggi seguenti:

Se l'istanza non soddisfa una di queste due condizioni, l'opzione Unisci utenti utilizzando non sarà disponibile.

Durante l'unione, Looker (Google Cloud core) cercherà record degli utenti che condividono lo stesso indirizzo email.

Testare l'autenticazione utente

Fai clic sul pulsante Test per testare le impostazioni. I test verranno reindirizzati al server e apriranno una scheda del browser. Nella scheda vengono visualizzati:

  • Indica se Looker è riuscito a comunicare con il server ed eseguire la convalida.
  • I nomi che Looker riceve dal server. Devi verificare che il server restituisca i risultati corretti.
  • Una traccia per mostrare come sono state trovate le informazioni. Utilizza la traccia per risolvere i problemi se le informazioni non sono corrette. Se hai bisogno di ulteriori informazioni, puoi leggere il file non elaborato del server XML.

Suggerimenti:

  • Puoi eseguire questo test in qualsiasi momento, anche se SAML è parzialmente configurato. Eseguire un test può essere utile durante la configurazione per capire quali parametri devono essere configurati.
  • Il test utilizza le impostazioni inserite nella pagina Autenticazione SAML, anche se non sono state salvate. Il test non influirà o modificherà nessuna delle impostazioni di quella pagina.
  • Durante il test, Looker passa le informazioni all'IdP utilizzando il parametro SAML RelayState. L'IdP deve restituire questo valore RelayState a Looker non modificato.

Salva e applica impostazioni

Dopo aver inserito le informazioni e aver superato tutti i test, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione globale e fai clic su Aggiorna impostazioni per salvare.

Comportamento di accesso utente

Quando un utente tenta di accedere a un'istanza di Looker utilizzando SAML, Looker apre la pagina Accedi. L'utente deve fare clic sul pulsante Autentica per avviare l'autenticazione tramite SAML.

Questo è il comportamento predefinito se l'utente non ha già una sessione Looker attiva.

Se vuoi che gli utenti accedano direttamente all'istanza di Looker dopo che l'IdP li ha autenticati e che ignorino la pagina Accesso, attiva Ignora pagina di accesso in Comportamento di accesso.

Se utilizzi Looker (Original), la funzionalità Ignora pagina di accesso deve essere attivata da Looker. Per aggiornare la licenza per questa funzionalità, contatta un esperto delle vendite di Google Cloud o invia una richiesta di assistenza. Se utilizzi Looker (Google Cloud core), l'opzione Ignora pagina di accesso è disponibile automaticamente se viene utilizzato SAML come metodo di autenticazione principale e, per impostazione predefinita, è disabilitata.

Quando l'opzione Ignora pagina di accesso è abilitata, la sequenza di accesso dell'utente è la seguente:

  1. L'utente tenta di connettersi a un URL di Looker (ad esempio instance_name.looker.com).

  2. Looker determina se per l'utente è già abilitata una sessione attiva. Per farlo, Looker utilizza il cookie AUTH-MECHANISM-COOKIE per identificare il metodo di autorizzazione usato dall'utente nell'ultima sessione. Il valore è sempre uno dei seguenti: saml, ldap, oidc, google o email.

  3. Se per l'utente è abilitata una sessione attiva, viene indirizzato all'URL richiesto.

  4. Se l'utente non ha una sessione attiva abilitata, viene reindirizzato all'IdP. L'IdP autentica l'utente quando accede all'IdP. Looker autentica quindi l'utente quando l'IdP lo rimanda a Looker con informazioni che indicano che l'utente è autenticato con l'IdP.

  5. Se l'autenticazione all'IdP ha esito positivo, Looker convalida le asserzioni SAML, accetta l'autenticazione, aggiorna le informazioni utente e inoltra l'utente all'URL richiesto, bypassando la pagina Accedi.

  6. Se l'utente non riesce ad accedere all'IdP o se non è autorizzato dall'IdP a utilizzare Looker, a seconda dell'IdP rimarrà sul sito dell'IdP o verrà reindirizzato alla pagina Accesso di Looker.

La risposta SAML supera il limite

Se gli utenti che tentano di autenticarsi ricevono errori che indicano che la risposta SAML ha superato le dimensioni massime consentite, puoi aumentare la dimensione massima consentita per le risposte SAML.

Per le istanze ospitate da Looker, apri una richiesta di assistenza per aggiornare la dimensione massima delle risposte SAML.

Per le istanze Looker ospitate dal cliente, puoi impostare la dimensione massima della risposta SAML in numero di byte con la variabile di ambiente MAX_SAML_RESPONSE_BYTESIZE. Ad esempio:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Il valore predefinito per la dimensione massima della risposta SAML è 250.000 byte.