Esta é a documentação do Looker. Para conferir a documentação do Looker Studio, acesse https://support.google.com/looker-studio.

Esta página foi traduzida pela API Cloud Translation.

Configurações do administrador - autenticação SAML

A página SAML na seção Authentication do menu Admin permite configurar o Looker para autenticar usuários usando a Linguagem de marcação para autorização de segurança (SAML). Esta página descreve esse processo e inclui instruções para vincular grupos SAML a papéis e permissões do Looker.

Provedores de identidade e SAML

As empresas usam diferentes provedores de identidade (IdPs) para se coordenarem com o SAML (por exemplo, Okta ou OneLogin). Os termos usados nas instruções de configuração a seguir e na UI talvez não correspondam diretamente aos usados pelo IdP. Para esclarecimentos durante a configuração, entre em contato com a equipe interna de SAML ou de autenticação ou com o suporte do Looker.

O Looker pressupõe que as solicitações e declarações SAML serão compactadas. Verifique se o IdP está configurado dessa forma. As solicitações do Looker ao IdP não são assinadas.

O Looker oferece suporte ao login iniciado pelo IdP.

Parte do processo de configuração precisa ser concluída no site do IdP.

O Okta oferece um app Looker, que é a forma recomendada de configurar o Looker e o Okta juntos.

Configurar o Looker no provedor de identidade

O IdP SAML precisa do URL da instância do Looker em que o IdP SAML precisa POSTAR as declarações SAML. No seu IdP, esse nome pode ser "URL de postagem de retorno", "Destinatário" ou "Destino", entre outros nomes.

A informação a ser fornecida é o URL em que você normalmente acessa a instância do Looker usando o navegador, seguido de /samlcallback. Por exemplo: none https://instance_name.looker.com/samlcallback

https://looker.mycompany.com/samlcallback

Alguns IdPs também exigem que você adicione :9999 após o URL da instância. Exemplo:

https://instance_name.looker.com:9999/samlcallback

Informações úteis

Lembre-se dos seguintes fatos:

O Looker requer o SAML 2.0.
Não desative a autenticação SAML enquanto estiver conectado ao Looker usando SAML, a menos que você tenha configurado um login de conta alternativo. Caso contrário, você pode ficar sem acesso ao app.
O Looker pode migrar contas para o SAML usando endereços de e-mail das configurações atuais de e-mail e senha ou do Google Auth, LDAP ou OIDC. No processo de configuração, você pode definir como as contas são migradas.

Como começar

Acesse a página Autenticação SAML na seção Administrador do Looker para conferir as opções de configuração a seguir. As alterações nas opções de configuração não têm efeito até que você teste e salve as configurações na parte inferior da página.

Configurações de autenticação SAML

O Looker exige o URL do IdP, o emissor do IdP e o certificado do IdP para autenticar seu IdP.

Seu IdP pode oferecer um documento XML de metadados do IdP durante o processo de configuração do Looker no IdP. Esse arquivo contém todas as informações solicitadas na seção Configurações de autenticação SAML. Se você tiver esse arquivo, faça upload dele no campo IdP Metadata, que preencherá os campos obrigatórios nesta seção. Como alternativa, preencha os campos obrigatórios na resposta recebida durante a configuração do IdP. Não é necessário preencher os campos se você fizer upload do arquivo XML.

IdP Metadata (opcional): cole o URL público do documento XML que contém as informações do IdP ou cole o texto do documento inteiro aqui. O Looker analisará esse arquivo para preencher os campos obrigatórios.

Se você não fez upload ou colou um documento XML de metadados do IdP, digite as informações de autenticação do IdP nos campos URL do IdP, Emissor do IdP e Certificado do IdP.

IdP URL: o URL em que o Looker vai autenticar os usuários. No Okta, isso é chamado de URL de redirecionamento.
IdP Emissor: o identificador exclusivo do IdP. No Okta, isso é chamado de "chave externa".
Certificado IdP: a chave pública para permitir que o Looker verifique a assinatura das respostas do IdP.

Juntos, esses três campos permitem que o Looker confirme que um conjunto de declarações SAML assinadas veio de um IdP confiável.

SP Entity/IdP Audience: esse campo não é exigido pelo Looker, mas muitos IdPs exigem esse campo. Se você inserir um valor nesse campo, ele vai ser enviado ao IdP como o Entity ID do Looker nas solicitações de autorização. Nesse caso, o Looker só vai aceitar respostas de autorização que tenham esse valor como Audience. Se o IdP exigir um valor Audience, insira essa string aqui.

Deslocamento de relógio permitido: o número de segundos de deslocamento do relógio (a diferença entre os carimbos de data/hora entre o IdP e o Looker) permitido. Esse valor geralmente é o padrão 0, mas alguns IdPs podem exigir mais tolerância para logins bem-sucedidos.

Configurações de atributos do usuário

Nos campos a seguir, especifique o nome do atributo na configuração SAML do IdP que contenha as informações correspondentes de cada campo. Inserir os nomes dos atributos SAML informa ao Looker como mapear esses campos e extrair as informações no momento do login. O Looker não se preocupa com a forma como essas informações são construídas. O importante é que a maneira como você as insere no Looker corresponde à maneira como os atributos são definidos no seu IdP. O Looker oferece sugestões padrão sobre como criar essas entradas.

Atributos padrão

Você precisará especificar estes atributos padrão:

Atributo de e-mail: o nome do atributo que seu IdP usa para endereços de e-mail de usuários.
FName Attr: o nome do atributo que seu IdP usa para nomes de usuários.
LName Attr: o nome do atributo que seu IdP usa como sobrenomes de usuários.

Parear atributos SAML com atributos de usuário do Looker

Você também pode usar os dados nos atributos SAML para preencher automaticamente os valores nos atributos de usuário do Looker quando alguém fizer login. Por exemplo, se você tiver configurado o SAML para fazer conexões específicas do usuário com seu banco de dados, poderá parear os atributos SAML com os do Looker para tornar as conexões de banco de dados específicas do usuário no Looker.

Para parear os atributos SAML aos atributos de usuário correspondentes do Looker, faça o seguinte:

Digite o nome do atributo SAML no campo Atributo SAML e o nome do atributo de usuário do Looker com que você quer pareá-lo no campo Atributos de usuário do Looker.
Marque Obrigatório se você quiser exigir um valor de atributo SAML para permitir que os usuários façam login.
Clique em + e repita essas etapas para adicionar mais pares de atributos.

Grupos e funções

O Looker pode criar grupos que espelhem seus grupos SAML gerenciados externamente e, em seguida, atribuir papéis do Looker aos usuários com base nos grupos SAML espelhados. Quando você muda a associação ao grupo do SAML, elas são propagadas automaticamente para a configuração do grupo do Looker.

Com o espelhamento de grupos SAML, você pode usar seu diretório SAML definido externamente para gerenciar grupos e usuários do Looker. Com isso, é possível gerenciar a associação ao grupo de várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Mirror SAML Groups, o Looker criará um grupo do Looker para cada grupo SAML introduzido no sistema. Esses grupos do Looker podem ser acessados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir papéis aos participantes, definir controles de acesso ao conteúdo e atribuir atributos de usuário.

Papéis e grupos padrão

A opção Espelhar grupos SAML fica desativada por padrão. Nesse caso, você pode definir um grupo padrão para novos usuários SAML. Nos campos Novos grupos de usuários e Novas funções do usuário, insira os nomes dos grupos ou funções do Looker a que você quer atribuir novos usuários ao fazer login pela primeira vez:

Esses grupos e funções são aplicados aos novos usuários no login inicial. Os grupos e as funções não são aplicados a usuários preexistentes nem reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar os grupos SAML espelhados, esses padrões serão removidos dos usuários no próximo login e substituídos pelas funções atribuídas na seção Grupos SAML espelhados. Essas opções padrão não vão estar mais disponíveis nem atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.

Como ativar grupos SAML espelhados

Se você quiser espelhar seus grupos SAML no Looker, ative a opção Espelhar grupos SAML. O Looker mostra estas configurações:

Group Finder Strategy: selecione o sistema que o IdP usa para atribuir grupos, dependendo do IdP.

Quase todos os IdPs usam um único valor de atributo para atribuir grupos, conforme mostrado neste exemplo de declaração SAML: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como valores de atributos únicos.
Alguns IdPs usam um atributo separado para cada grupo e exigem um segundo atributo para determinar se um usuário é membro de um grupo. Confira abaixo um exemplo de declaração SAML que mostra esse sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como atributos individuais com valor de assinatura.

Atributo de grupos: o Looker mostra esse campo quando a Estratégia do localizador de grupos está definida como Grupos como valores de atributo único. Digite o nome do Atributo de grupos usado pelo IdP.

Valor do participante do grupo: o Looker mostra esse campo quando a Estratégia do localizador de grupos está definida como Grupos como atributos individuais com valor de associação. Insira o valor que indica que um usuário é membro de um grupo.

Nome do grupo preferencial/funções/ID do grupo SAML: com esse conjunto de campos, é possível atribuir um nome de grupo personalizado e um ou mais papéis ao grupo SAML correspondente no Looker:

Digite o ID do grupo SAML no campo ID de grupo SAML. Para usuários do Okta, digite o nome do grupo do Okta como o ID do grupo SAML. Os usuários do SAML incluídos no grupo serão adicionados ao grupo espelhado no Looker.
Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.
No campo à direita de Nome personalizado, selecione um ou mais papéis do Looker que serão atribuídos a cada usuário no grupo.
Clique em + para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um grupo, clique no X ao lado do conjunto de campos desse grupo.

Ao editar um grupo espelhado que foi configurado anteriormente nesta tela, a configuração do grupo será alterada, mas o grupo em si permanecerá intacto. Por exemplo, é possível mudar o nome personalizado de um grupo, o que muda a forma como o grupo aparece na página Grupos do Looker, mas não as funções atribuídas nem os participantes do grupo. A alteração do ID do grupo SAML mantém o nome e as funções do grupo, mas os membros são reatribuídos com base nos usuários que são participantes do grupo SAML externo que tem o novo UD do grupo SAML.

As edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo na próxima vez que eles fizerem login no Looker.

Gerenciamento avançado de funções

Se você tiver ativado a opção Espelhar grupos SAML, o Looker vai mostrar essas configurações. As opções desta seção determinam quanta flexibilidade os administradores do Looker têm ao configurar grupos e usuários do Looker que foram espelhados do SAML.

Por exemplo, se você quiser que o grupo do Looker e a configuração de usuários correspondam exatamente à configuração SAML, ative essas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar associações a grupos espelhados e só podem atribuir papéis aos usuários usando grupos espelhados SAML.

Se você quiser ter mais flexibilidade para personalizar seus grupos no Looker, desative essas opções. Os grupos do Looker ainda espelham sua configuração do SAML, mas você pode fazer outros gerenciamentos de usuários e grupos no Looker, como adicionar usuários do SAML a grupos específicos do Looker ou atribuir funções do Looker diretamente a usuários do SAML.

Para novas instâncias do Looker ou que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.

Para instâncias atuais do Looker que têm grupos espelhados configurados, essas opções estão ativadas por padrão.

A seção Gerenciamento avançado de funções contém estas opções:

Impedir que usuários individuais do SAML recebam funções diretas: ativar esta opção impede que os administradores do Looker atribuam funções do Looker diretamente aos usuários do SAML. Os usuários do SAML só receberão funções por meio da associação a grupos. Se os usuários do SAML tiverem permissão para participar de grupos integrados do Looker (não espelhados), eles ainda poderão herdar os papéis de grupos SAML espelhados e integrados. Todos os usuários do SAML com funções atribuídas anteriormente terão essas funções removidas no próximo login.

Se essa opção estiver desativada, os administradores do Looker vão poder atribuir papéis do Looker diretamente aos usuários do SAML, como se eles tivessem sido configurados diretamente no Looker.

Impedir a associação direta em grupos que não são SAML: ativar essa opção impede que os administradores do Looker adicionem usuários do SAML diretamente aos grupos integrados do Looker. Se os grupos SAML espelhados tiverem permissão para fazer parte de grupos integrados do Looker, os usuários do SAML poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários do SAML atribuídos a grupos integrados do Looker serão removidos deles no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do SAML diretamente aos grupos integrados do Looker.

Impedir herança de papéis de grupos que não sejam SAML: ativar essa opção impede que membros de grupos SAML espelhados herdem papéis de grupos integrados do Looker. Os usuários do SAML que herdaram funções de um grupo pai do Looker vão perder esses papéis no próximo login.

Se essa opção estiver desativada, os grupos SAML espelhados ou os usuários do SAML adicionados como participantes de um grupo integrado do Looker vão herdar os papéis atribuídos ao grupo pai do Looker.

A autenticação exige o papel: se esta opção estiver ativada, os usuários do SAML precisarão ter um papel atribuído. Os usuários do SAML sem uma função atribuída não vão conseguir fazer login no Looker.

Se essa opção estiver desativada, os usuários do SAML poderão se autenticar no Looker mesmo que não tenham um papel atribuído. Usuários sem funções atribuídas não podem acessar dados nem realizar ações no Looker, mas podem fazer login na plataforma.

Como desativar grupos SAML espelhados

Se não quiser mais espelhar seus grupos SAML no Looker, desative a opção Espelhar grupos SAML. Todos os grupos SAML espelhados vazios serão excluídos.

Os grupos SAML espelhados não vazios vão continuar disponíveis para uso no gerenciamento de conteúdo e na criação de funções. No entanto, não é possível adicionar ou remover usuários de grupos SAML espelhados.

Opções de migração

Login alternativo para administradores e usuários especificados

Os logins com e-mail e senha do Looker são sempre desativados para usuários comuns quando o SAML Auth está ativado. Esta opção permite o login alternativo com base em e-mail usando o /login/email para administradores e usuários específicos com a permissão login_special_email.

Ativar essa opção é útil como substituto durante a configuração do SAML Auth caso ocorram problemas de configuração SAML mais tarde ou caso você precise oferecer suporte a alguns usuários que não têm contas no seu diretório SAML.

Especificar o método usado para mesclar usuários do SAML com uma conta do Looker

No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um primeiro login SAML a uma conta de usuário existente. Você pode mesclar usuários dos seguintes sistemas:

E-mail/senha do Looker (não disponível para o Looker (Google Cloud Core))
Google
LDAP (não disponível para o Looker (Google Cloud Core))
OIDC

Se você tiver mais de um sistema, poderá especificar mais de um sistema para mesclar nesse campo. O Looker pesquisa usuários nos sistemas listados na ordem em que são especificados. Por exemplo, suponha que você criou alguns usuários com o e-mail e a senha do Looker, ativou o LDAP e agora quer usar o SAML. Primeiro o Looker seria mesclado por e-mail e senha e depois por LDAP.

Quando um usuário fizer login pela primeira vez usando SAML, essa opção o conectará à conta atual, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova conta será criada.

Como mesclar usuários ao usar o Looker (Google Cloud Core)

Ao usar o Looker (Google Cloud Core) e o SAML, a mesclagem funciona conforme descrito na seção anterior. No entanto, isso só será possível se uma das duas condições a seguir for atendida:

Condição 1: os usuários estão fazendo a autenticação no Looker (Google Cloud Core) usando as identidades do Google pelo protocolo SAML.
Condição 2: antes de selecionar a opção de mesclagem, você precisa concluir estas duas etapas:
- Identidades de usuários federados no Google Cloud usando o Cloud Identity
- Configure a autenticação OAuth como o método de autenticação alternativo usando os usuários federados.

Se a instância não atender a uma dessas duas condições, a opção Mesclar usuários usando não estará disponível.

Ao fazer a mesclagem, o Looker (Google Cloud Core) vai pesquisar registros de usuários que tenham exatamente o mesmo endereço de e-mail.

Testar a autenticação do usuário

Clique no botão Testar para testar suas configurações. Os testes serão redirecionados para o servidor e uma guia do navegador será aberta. A guia vai mostrar:

Se o Looker conseguiu se comunicar com o servidor e fazer a validação.
Os nomes que o Looker recebe do servidor. Você precisa validar se o servidor retorna os resultados adequados.
Um rastro para mostrar como as informações foram encontradas. Use o rastro para resolver problemas se as informações estiverem incorretas. Se você precisar de mais informações, leia o arquivo do servidor XML bruto.

Dicas:

Você pode executar este teste a qualquer momento, mesmo que o SAML esteja parcialmente configurado. A execução de um teste pode ser útil durante a configuração para saber quais parâmetros precisam ser configurados.
O teste usa as configurações inseridas na página Autenticação SAML, mesmo que elas não tenham sido salvas. O teste não vai afetar nem mudar as configurações da página.
Durante o teste, o Looker transmite informações ao IdP usando o parâmetro RelayState do SAML. O IdP precisa retornar esse valor de RelayState ao Looker sem modificações.

Salvar e aplicar configurações

Quando terminar de inserir as informações e todos os testes estiverem aprovados, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.

Comportamento de login do usuário

Quando um usuário tenta fazer login em uma instância do Looker usando SAML, o Looker abre a página de login. O usuário precisa clicar no botão Authenticate para iniciar a autenticação por SAML.

Esse é o comportamento padrão quando o usuário ainda não tem uma sessão ativa do Looker.

Se você quiser que os usuários façam login diretamente na sua instância do Looker após a autenticação pelo IdP e ignorem a página Login, ative Ignorar página de login em Comportamento de login.

Se você estiver usando o Looker (original), o recurso Ignorar página de login precisará ser ativado pelo Looker. Para atualizar sua licença desse recurso, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte. No Looker (Google Cloud Core), a opção Ignorar página de login vai ficar disponível automaticamente se o SAML for usado como método de autenticação principal. O padrão é desativado.

Quando a opção Ignorar página de login está ativada, a sequência de login do usuário é a seguinte:

O usuário tenta se conectar a um URL do Looker (por exemplo, instance_name.looker.com).
O Looker determina se o usuário já tem uma sessão ativa ativada. Para isso, o Looker usa o cookie AUTH-MECHANISM-COOKIE para identificar o método de autorização utilizado pelo usuário na última sessão. O valor é sempre um destes: saml, ldap, oidc, google ou email.
Se o usuário tiver uma sessão ativa ativada, ele será direcionado para o URL solicitado.
Se o usuário não tiver uma sessão ativa ativada, ele será redirecionado para o IdP. O IdP autentica o usuário quando ele faz login no IdP. O Looker autentica o usuário quando o IdP o envia de volta ao Looker com informações indicando que ele está autenticado com o IdP.
Se a autenticação no IdP for bem-sucedida, o Looker validará as declarações SAML, aceitará a autenticação, atualizará as informações do usuário e encaminhará o usuário para o URL solicitado, ignorando a página de login.
Se o usuário não conseguir fazer login no IdP ou não tiver autorização para usar o Looker, dependendo do IdP, ele vai permanecer no site do IdP ou ser redirecionado para a página de login do Looker.

Resposta SAML acima do limite

Se os usuários que estão tentando fazer a autenticação estiverem recebendo erros que indicam que a resposta SAML excedeu o tamanho máximo, aumente o tamanho máximo de resposta SAML permitido.

No caso de instâncias hospedadas pelo Looker, abra uma solicitação de suporte para atualizar o tamanho máximo da resposta SAML.

Para instâncias do Looker hospedadas pelo cliente, defina o tamanho máximo da resposta SAML em bytes com a variável de ambiente MAX_SAML_RESPONSE_BYTESIZE. Exemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

O padrão para o tamanho máximo da resposta SAML é 250.000 bytes.