Tieni presente che stai visualizzando la documentazione di Looker. Per la documentazione di Looker Studio, visita https://support.google.com/looker-studio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Impostazioni amministrazione - Autenticazione SAML

La pagina SAML nella sezione Autenticazione del menu Amministrazione ti consente di configurare Looker in modo che autentichi gli utenti utilizzando Security Assertion Markup Language (SAML). Questa pagina descrive la procedura e include le istruzioni per collegare i gruppi SAML ai ruoli e alle autorizzazioni di Looker.

Requisiti

Looker mostra la pagina SAML nella sezione Autenticazione del menu Amministrazione solo se si verificano le seguenti condizioni:

Devi disporre del ruolo Amministratore.
L'istanza di Looker è configurata per l'utilizzo di SAML.

Se queste condizioni sono soddisfatte e non vedi la pagina SAML, apri una richiesta di assistenza per attivare SAML nella tua istanza.

SAML e provider di identità

Le aziende utilizzano diversi provider di identità (IdP) per coordinarsi con SAML (ad esempio Okta o OneLogin). I termini utilizzati nelle seguenti istruzioni di configurazione e nell'interfaccia utente potrebbero non corrispondere direttamente a quelli utilizzati dal tuo IdP. Per chiarimenti durante la configurazione, contatta il team interno di autenticazione o SAML oppure rivolgiti all'assistenza di Looker.

Looker presuppone che le richieste e le asserzioni SAML vengano compresse. Assicurati che l'IdP sia configurato in questo modo. Le richieste di Looker all'IdP non sono firmate.

Looker supporta l'accesso avviato dall'IdP.

Parte della procedura di configurazione deve essere completata sul sito web dell'IDP.

Okta offre un'app Looker, che è il modo consigliato per configurare insieme Looker e Okta.

Configurare Looker sul tuo provider di identità

L'IdP SAML avrà bisogno dell'URL istanza Looker a cui deve inviare le asserzioni SAML tramite POST. Nel tuo IdP, questo valore potrebbe essere chiamato "URL postback", "Destinatario" o "Destinazione", tra gli altri.

Le informazioni da fornire sono l'URL a cui accedi normalmente all'istanza Looker utilizzando il browser, seguito da /samlcallback. Ad esempio: none https://instance_name.looker.com/samlcallback

https://looker.mycompany.com/samlcallback

Alcuni IdP richiedono inoltre di aggiungere :9999 dopo l'URL dell'istanza. Ad esempio:

https://instance_name.looker.com:9999/samlcallback

Aspetti da tenere presenti

Tieni presente quanto segue:

Looker richiede SAML 2.0.
Non disattivare l'autenticazione SAML mentre hai eseguito l'accesso a Looker tramite SAML, a meno che non sia configurato un accesso all'account alternativo. In caso contrario, potresti non riuscire più ad accedere all'app.
Looker può eseguire la migrazione degli account esistenti a SAML utilizzando gli indirizzi email provenienti dalle configurazioni attuali di email e password o da Google Auth, LDAP o OIDC. Durante la procedura di configurazione potrai configurare il modo in cui viene eseguita la migrazione degli account esistenti.

Per iniziare

Vai alla pagina Autenticazione SAML nella sezione Amministrazione di Looker per visualizzare le seguenti opzioni di configurazione. Tieni presente che le modifiche alle opzioni di configurazione non vengono applicate finché non testi e salvi le impostazioni nella parte inferiore della pagina.

Impostazioni di autenticazione SAML

Per autenticare l'IdP, Looker richiede l'URL IdP, l'emittente IdP e il certificato IdP.

Il tuo IdP potrebbe offrire un documento XML di metadati IdP durante la procedura di configurazione di Looker sul lato IdP. Questo file contiene tutte le informazioni richieste nella sezione Impostazioni di autenticazione SAML. Se hai questo file, puoi caricarlo nel campo Metadati IdP, che comporterà la compilazione dei campi obbligatori in questa sezione. In alternativa, puoi compilare i campi obbligatori dall'output ottenuto durante la configurazione lato IdP. Non è necessario compilare i campi se carichi il file XML.

Metadati IdP (facoltativo): incolla qui l'URL pubblico del documento XML contenente le informazioni sull'IdP o il testo del documento nella sua interezza. Looker analizzerà il file per compilare i campi obbligatori.

Se non hai caricato o incollato un documento XML dei metadati IdP, inserisci le informazioni di autenticazione dell'IdP nei campi URL IdP, Emittente IdP e Certificato IdP.

URL IdP: l'URL a cui si recherà Looker per autenticare gli utenti. In Okta è chiamato URL di reindirizzamento.
IdP Issuer (Emittente IdP): l'identificatore univoco dell'IdP. In Okta si chiama "Chiave esterna".
IdP Certificate (Certificato IdP): la chiave pubblica che consente a Looker di verificare la firma delle risposte dell'IdP.

Insieme, questi tre campi consentono a Looker di verificare che un insieme di asserzioni SAML firmate provenga effettivamente da un IdP attendibile.

Segmento di pubblico entità SP/IdP: questo campo non è obbligatorio per Looker, ma molti IdP lo richiedono. Se inserisci un valore in questo campo, questo verrà inviato all'IDP come Entity ID di Looker nelle richieste di autorizzazione. In questo caso, Looker accetterà solo le risposte di autorizzazione che hanno questo valore come Audience. Se l'IdP richiede un valore Audience, inserisci la stringa qui.

Deviazione dell'orologio consentita: il numero di secondi di deviazione dell'orologio (la differenza nei timestamp tra l'IDP e Looker) consentita. In genere, questo valore è 0 per impostazione predefinita, ma alcune IdP potrebbero richiedere un margine di manovra maggiore per gli accessi riusciti.

Impostazioni degli attributi utente

Nei campi seguenti, specifica il nome dell'attributo nella configurazione SAML del tuo IdP che contiene le informazioni corrispondenti per ogni campo. L'inserimento dei nomi degli attributi SAML indica a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso. Looker non è particolarmente esigente in merito alla modalità di creazione di queste informazioni, ma è importante che il modo in cui le inserisci in Looker corrisponda al modo in cui gli attributi sono definiti nel tuo IdP. Looker fornisce suggerimenti predefiniti su come creare questi input.

Attributi standard

Dovrai specificare questi attributi standard:

Email Attr: il nome dell'attributo utilizzato dall'IdP per gli indirizzi email degli utenti.
Attr. nome: il nome dell'attributo utilizzato dall'IdP per i nomi degli utenti.
Attr. Cognome: il nome dell'attributo utilizzato dall'IdP per i cognomi degli utenti.

Accoppiamento degli attributi SAML con gli attributi utente di Looker

Se vuoi, puoi utilizzare i dati negli attributi SAML per compilare automaticamente i valori negli attributi utente di Looker quando un utente accede. Ad esempio, se hai configurato SAML per effettuare connessioni specifiche per utente al tuo database, puoi accoppiare gli attributi SAML con gli attributi utente di Looker per rendere le connessioni al database specifiche per utente in Looker.

Per accoppiare gli attributi SAML agli attributi utente di Looker corrispondenti:

Inserisci il nome dell'attributo SAML nel campo Attributo SAML e il nome dell'attributo utente di Looker con cui vuoi accoppiarlo nel campo Attributi utente di Looker.
Seleziona Obbligatorio se vuoi richiedere un valore dell'attributo SAML per consentire a un utente di accedere.
Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Gruppi e ruoli

Hai la possibilità di consentire a Looker di creare gruppi che rispecchiano i gruppi SAML gestiti esternamente e poi di assegnare i ruoli di Looker agli utenti in base ai gruppi SAML specchiati. Quando apporti modifiche all'appartenenza al gruppo SAML, queste vengono propagate automaticamente alla configurazione del gruppo di Looker.

Il mirroring dei gruppi SAML ti consente di utilizzare la directory SAML definita esternamente per gestire i gruppi e gli utenti di Looker. In questo modo, puoi gestire l'appartenenza al gruppo per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi Crea un gruppo Looker per ogni gruppo SAML, Looker creerà un gruppo Looker per ogni gruppo SAML introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Copia i gruppi SAML è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti SAML. Nei campi Nuovi gruppi di utenti e Nuovi ruoli utente, inserisci i nomi di eventuali gruppi o ruoli di Looker a cui vuoi assegnare i nuovi utenti di Looker al primo accesso a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al loro primo accesso. I gruppi e i ruoli non vengono applicati agli utenti esistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro primo accesso.

Se in un secondo momento attivi i gruppi SAML mirror, questi valori predefiniti verranno rimossi per gli utenti al successivo accesso e sostituiti dai ruoli assegnati nella sezione Gruppi SAML mirror. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno completamente sostituite dalla configurazione dei gruppi con mirroring.

Attivazione dei gruppi SAML mirror

Se scegli di eseguire il mirroring dei gruppi SAML in Looker, attiva l'opzione Esegui il mirroring dei gruppi SAML. Looker mostra le seguenti impostazioni:

Strategia di ricerca dei gruppi: seleziona il sistema utilizzato dall'IdP per assegnare i gruppi, che dipende dall'IdP.

Quasi tutti gli IdP utilizzano un singolo valore dell'attributo per assegnare i gruppi, come mostrato in questa asserzione SAML di esempio: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come valori di singoli attributi.
Alcune IdP utilizzano un attributo separato per ogni gruppo e richiedono un secondo attributo per determinare se un utente è membro di un gruppo. Di seguito è riportata un'affermazione SAML di esempio che mostra questo sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come singoli attributi con valore di appartenenza.

Attributo gruppi: Looker mostra questo campo quando la Strategia di ricerca dei gruppi è impostata su Gruppi come valori di un singolo attributo. Inserisci il nome dell'attributo Gruppi utilizzato dall'IDP.

Valore membro del gruppo: Looker mostra questo campo quando la Strategia di ricerca dei gruppi è impostata su Gruppi come singoli attributi con valore di appartenenza. Inserisci il valore che indica che un utente è membro di un gruppo.

Nome gruppo preferito/Ruoli/ID gruppo SAML: questo insieme di campi ti consente di assegnare un nome gruppo personalizzato e uno o più ruoli assegnati al gruppo SAML corrispondente in Looker:

Inserisci l'ID gruppo SAML nel campo SAML Group ID (ID gruppo SAML). Per gli utenti Okta, inserisci il nome del gruppo Okta come ID gruppo SAML. Gli utenti SAML inclusi nel gruppo SAML verranno aggiunti al gruppo sottoposto a mirroring in Looker.
Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Gruppi della sezione Amministrazione di Looker.
Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli di Looker che verranno assegnati a ogni utente del gruppo.
Fai clic su + per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione di un gruppo, fai clic su X accanto all'insieme di campi del gruppo.

Se modifichi un gruppo sottoposto a mirroring configurato in precedenza in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà invariato. Ad esempio, puoi modificare il nome personalizzato di un gruppo, in modo da cambiare la sua visualizzazione nella pagina Gruppi di Looker, ma non i ruoli assegnati e i membri del gruppo. Se modifichi l'ID gruppo SAML, il nome e i ruoli del gruppo rimarranno invariati, ma i membri del gruppo verranno riassegnati in base agli utenti che fanno parte del gruppo SAML esterno con il nuovo UD gruppo SAML.

Eventuali modifiche apportate a un gruppo sottoposto a mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Copia gruppi SAML, Looker mostra queste impostazioni. Le opzioni in questa sezione determinano il grado di flessibilità degli amministratori di Looker durante la configurazione dei gruppi e degli utenti di Looker che sono stati sottoposti a mirroring da SAML.

Ad esempio, se vuoi che la configurazione del gruppo e dell'utente di Looker corrisponda esattamente alla configurazione SAML, attiva queste opzioni. Quando sono abilitate tutte e tre le prime opzioni, gli amministratori di Looker non possono modificare l'appartenenza ai gruppi con mirroring e possono assegnare i ruoli agli utenti solo tramite i gruppi con mirroring SAML.

Se vuoi avere una maggiore flessibilità per personalizzare i gruppi in Looker, disattiva queste opzioni. I gruppi di Looker continueranno a rispecchiare la configurazione SAML, ma potrai gestire ulteriormente i gruppi e gli utenti all'interno di Looker, ad esempio aggiungere utenti SAML a gruppi specifici di Looker o assegnare ruoli di Looker direttamente agli utenti SAML.

Per le nuove istanze Looker o per quelle che non hanno gruppi con mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze Looker esistenti che hanno configurato gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione dei ruoli avanzata contiene le seguenti opzioni:

Impedisci ai singoli utenti SAML di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti SAML. Gli utenti SAML riceveranno i ruoli solo tramite le iscrizioni ai gruppi. Se agli utenti SAML è consentito l'accesso ai gruppi di Looker integrati (non sottoposti a mirroring), possono comunque ereditare i loro ruoli sia dai gruppi SAML sottoposti a mirroring sia dai gruppi di Looker integrati. A tutti gli utenti SAML a cui sono stati assegnati direttamente i ruoli verranno rimossi i ruoli al successivo accesso.

Se questa opzione non è attiva, gli amministratori di Looker possono assegnare i ruoli di Looker direttamente agli utenti SAML come se fossero configurati direttamente in Looker.

Impedisci l'appartenenza diretta ai gruppi non SAML: l'attivazione di questa opzione impedisce agli amministratori di Looker di aggiungere utenti SAML direttamente ai gruppi di Looker integrati. Se i gruppi SAML sottoposti a mirroring sono autorizzati a essere membri di gruppi Looker integrati, gli utenti SAML possono mantenere l'appartenenza a qualsiasi gruppo Looker principale. Tutti gli utenti SAML precedentemente assegnati ai gruppi di Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione non è attiva, gli amministratori di Looker possono aggiungere utenti SAML direttamente ai gruppi di Looker integrati.

Impedisci l'ereditarietà dei ruoli dai gruppi non SAML: l'attivazione di questa opzione impedisce ai membri dei gruppi SAML sottoposti a mirroring di ereditare i ruoli dai gruppi di Looker integrati. Tutti gli utenti SAML che in precedenza avevano ereditato i ruoli da un gruppo Looker principale perderanno questi ruoli al successivo accesso.

Se questa opzione non è attiva, i gruppi SAML o gli utenti SAML sottoposti a mirroring aggiunti come membri di un gruppo Looker integrato erediteranno i ruoli assegnati al gruppo Looker principale.

Auth Requires Role (L'autenticazione richiede un ruolo): se questa opzione è attiva, agli utenti SAML deve essere assegnato un ruolo. Gli utenti SAML a cui non è stato assegnato un ruolo non potranno accedere a Looker.

Se questa opzione non è attiva, gli utenti SAML possono autenticarsi in Looker anche se non hanno un ruolo assegnato. Un utente senza un ruolo assegnato non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Disattivazione dei gruppi SAML mirror

Se vuoi interrompere il mirroring dei gruppi SAML in Looker, disattiva l'opzione Esegui il mirroring dei gruppi SAML. Tutti i gruppi SAML mirror vuoti verranno eliminati.

I gruppi SAML mirror non vuoti rimarranno disponibili per l'utilizzo nella gestione dei contenuti e nella creazione dei ruoli. Tuttavia, non è possibile aggiungere o rimuovere utenti dai gruppi SAML mirror.

Opzioni di migrazione

Accesso alternativo per amministratori e utenti specificati

Gli accessi con email e password di Looker sono sempre disattivati per gli utenti normali quando l'autenticazione SAML è attivata. Questa opzione consente l'accesso alternativo basato su email utilizzando /login/email per gli amministratori e per utenti specifici con l'autorizzazione login_special_email.

L'attivazione di questa opzione è utile come opzione di riserva durante la configurazione dell'autenticazione SAML se in un secondo momento si verificano problemi di configurazione SAML o se devi supportare alcuni utenti che non hanno account nella tua directory SAML.

Specifica il metodo utilizzato per unire gli utenti SAML a un account Looker

Nel campo Unisci gli utenti utilizzando, specifica il metodo da utilizzare per unire un primo accesso SAML a un account utente esistente. Puoi unire gli utenti dei seguenti sistemi:

Indirizzo email/password di Looker (non disponibile per Looker (Google Cloud core))
Google
LDAP (non disponibile per Looker (Google Cloud core))
OIDC

Se hai più di un sistema, puoi specificare più di un sistema per l'unione in questo campo. Looker cercherà gli utenti dei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, supponiamo che tu abbia creato alcuni utenti utilizzando l'email e la password di Looker, poi hai attivato LDAP e ora vuoi utilizzare SAML. Looker eseguirà l'unione prima in base all'email e alla password e poi in base a LDAP.

Quando un utente accede per la prima volta tramite SAML, questa opzione lo collega al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Unisci gli utenti quando utilizzi Looker (Google Cloud core)

Quando utilizzi Looker (Google Cloud core) e SAML, l'unione funziona come descritto nella sezione precedente. Tuttavia, è possibile solo se è soddisfatta una delle due seguenti condizioni:

Condizione 1: gli utenti si autenticano in Looker (Google Cloud core) utilizzando le proprie identità Google tramite il protocollo SAML.
Condizione 2 Prima di selezionare l'opzione di unione, devi aver completato i seguenti due passaggi:
- Le identità degli utenti federati in Google Cloud utilizzando Cloud Identity
- Configura l'autenticazione OAuth come metodo di autenticazione di riserva utilizzando gli utenti federati.

Se la tua istanza non soddisfa una di queste due condizioni, l'opzione Unisci gli utenti che utilizzano non sarà disponibile.

Durante l'unione, Looker (Google Cloud core) cercherà i record utente che condividono lo stesso indirizzo email.

Testare l'autenticazione utente

Fai clic sul pulsante Test per testare le impostazioni. I test reindirizzeranno al server e apriranno una scheda del browser. Nella scheda vengono visualizzati:

Indica se Looker è stato in grado di comunicare con il server e di eseguire la convalida.
I nomi che Looker riceve dal server. Devi verificare che il server restituisca i risultati corretti.
Una traccia per mostrare come sono state trovate le informazioni. Utilizza la traccia per risolvere i problemi se le informazioni non sono corrette. Se hai bisogno di ulteriori informazioni, puoi leggere il file del server XML non elaborato.

Suggerimenti:

Puoi eseguire questo test in qualsiasi momento, anche se SAML è configurato parzialmente. L'esecuzione di un test può essere utile durante la configurazione per vedere quali parametri devono essere configurati.
Il test utilizza le impostazioni inserite nella pagina Autenticazione SAML, anche se non sono state salvate. Il test non influirà né modificherà le impostazioni della pagina.
Durante il test, Looker passa le informazioni all'IdP utilizzando il parametro SAML RelayState. L'IdP deve restituire questo valore RelayState a Looker senza modifiche.

Salva e applica le impostazioni

Una volta inserite le informazioni e superati tutti i test, seleziona Ho verificato la configurazione precedente e voglio attivarne l'applicazione a livello globale e fai clic su Aggiorna impostazioni per salvare.

Comportamento di accesso degli utenti

Quando un utente tenta di accedere a un'istanza Looker utilizzando SAML, viene visualizzata la pagina Accedi. L'utente deve fare clic sul pulsante Autentica per avviare l'autenticazione tramite SAML.

Questo è il comportamento predefinito se l'utente non ha già una sessione Looker attiva.

Se vuoi che gli utenti accedano direttamente alla tua istanza di Looker dopo che l'IdP li ha autenticati e ignorino la pagina Accedi, attiva Ignora pagina di accesso in Comportamento di accesso.

Se utilizzi Looker (versione originale), la funzionalità Ignora pagina di accesso deve essere attivata da Looker. Per aggiornare la licenza per questa funzionalità, contatta un esperto di vendita o apri una richiesta di assistenza. Se utilizzi Looker (Google Cloud core), l'opzione Ignora pagina di accesso è disponibile automaticamente se SAML viene utilizzato come metodo di autenticazione principale e per impostazione predefinita è disabilitata.

Quando l'opzione Ignora pagina di accesso è attiva, la sequenza di accesso dell'utente è la seguente:

L'utente tenta di connettersi a un URL di Looker (ad esempio instance_name.looker.com).
Looker determina se l'utente ha già attivato una sessione attiva. A tal fine, Looker utilizza il cookie AUTH-MECHANISM-COOKIE per identificare il metodo di autorizzazione utilizzato dall'utente nell'ultima sessione. Il valore è sempre uno dei seguenti: saml, ldap, oidc, google o email.
Se l'utente ha una sessione attiva, viene indirizzato all'URL richiesto.
Se l'utente non ha una sessione attiva, viene reindirizzato all'IdP. L'IdP autentica l'utente quando accede correttamente all'IdP. Looker autentica quindi l'utente quando l'IdP lo reindirizza a Looker con le informazioni che indicano che l'utente è autenticato con l'IdP.
Se l'autenticazione presso l'IdP è andata a buon fine, Looker convalida le asserzioni SAML, accetta l'autenticazione, aggiorna le informazioni dell'utente e inoltra l'utente all'URL richiesto, bypassando la pagina Accedi.
Se l'utente non riesce ad accedere all'IdP o se non è autorizzato dall'IdP a utilizzare Looker, a seconda dell'IdP, rimarrà sul sito dell'IdP o verrà reindirizzato alla pagina Accedi di Looker.

Risposta SAML che supera il limite

Se gli utenti che tentano di autenticarsi ricevono errori che indicano che la risposta SAML ha superato le dimensioni massime, puoi aumentare le dimensioni massime consentite della risposta SAML.

Per le istanze ospitate da Looker, apri una richiesta di assistenza per aggiornare le dimensioni massime della risposta SAML.

Per le istanze di Looker ospitate dal cliente, puoi impostare le dimensioni massime della risposta SAML in numero di byte con la variabile di ambiente MAX_SAML_RESPONSE_BYTESIZE. Ad esempio:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Il valore predefinito per le dimensioni massime della risposta SAML è 250.000 byte.