Impostazioni amministrazione - Autenticazione SAML

La pagina SAML nella sezione Autenticazione del menu Amministrazione ti consente di configurare Looker in modo che autentichi gli utenti utilizzando Security Assertion Markup Language (SAML). Questa pagina descrive la procedura e include istruzioni per collegare i gruppi SAML ai ruoli e alle autorizzazioni di Looker.

SAML e provider di identità

Le aziende utilizzano provider di identità (IdP) diversi per coordinarsi con SAML (ad esempio, Okta o OneLogin). I termini utilizzati nelle seguenti istruzioni di configurazione e nell'interfaccia utente potrebbero non corrispondere direttamente a quelli utilizzati dal tuo IdP. Per chiarimenti durante la configurazione, contatta il team interno di autenticazione o SAML oppure rivolgiti all'assistenza di Looker.

Looker presuppone che le richieste e le asserzioni SAML vengano compresse. Assicurati che l'IdP sia configurato in questo modo. Le richieste di Looker all'IdP non sono firmate.

Looker supporta l'accesso avviato dall'IdP.

Parte della procedura di configurazione deve essere completata sul sito web dell'IDP.

Okta offre un'app Looker, che è il modo consigliato per configurare insieme Looker e Okta.

Configurazione di Looker sul provider di identità

L'IdP SAML avrà bisogno dell'URL istanza Looker a cui deve inviare le asserzioni SAML tramite POST. Nell'IdP, questo potrebbe essere chiamato "URL post Back" "Destinatario" o "Destinazione" tra gli altri nomi.

Le informazioni da fornire sono l'URL da cui in genere accedi all'istanza di Looker utilizzando il browser, seguito da /samlcallback. Ad esempio: none https://instance_name.looker.com/samlcallback

o

https://looker.mycompany.com/samlcallback

Alcuni IdP richiedono anche di aggiungere :9999 dopo l'URL dell'istanza. Ad esempio:

https://instance_name.looker.com:9999/samlcallback

Aspetti da tenere presenti

Tieni presente i seguenti aspetti:

  • Looker richiede SAML 2.0.
  • Non disattivare l'autenticazione SAML dopo aver eseguito l'accesso a Looker tramite SAML, a meno che tu non abbia configurato un accesso all'account alternativo. In caso contrario, potresti non riuscire più ad accedere all'app.
  • Looker può eseguire la migrazione degli account esistenti a SAML utilizzando indirizzi email provenienti dalle configurazioni attuali di email e password o da Google Auth, LDAP o OIDC. Durante la procedura di configurazione, potrai configurare la modalità di migrazione degli account esistenti.

Per iniziare

Vai alla pagina SAML Authentication (Autenticazione SAML) nella sezione Admin (Amministrazione) di Looker per visualizzare le seguenti opzioni di configurazione. Tieni presente che le modifiche alle opzioni di configurazione non vengono applicate finché non testi e salvi le impostazioni nella parte inferiore della pagina.

Impostazioni di autenticazione SAML

Per autenticare l'IdP, Looker richiede l'URL dell'IdP, l'emittente dell'IdP e il certificato dell'IdP.

Il tuo IdP potrebbe offrire un documento XML di metadati IdP durante la procedura di configurazione di Looker sul lato IdP. Questo file contiene tutte le informazioni richieste nella sezione Impostazioni di autenticazione SAML. Se hai questo file, puoi caricarlo nel campo Metadati IdP, che completerà i campi obbligatori di questa sezione. In alternativa, puoi compilare i campi obbligatori dall'output ottenuto durante la configurazione lato IdP. Non è necessario compilare i campi se carichi il file XML.

  • Metadati IdP (facoltativo): incolla qui l'URL pubblico del documento XML contenente le informazioni sull'IdP oppure il testo del documento nella sua interezza. Looker analizzerà il file per compilare i campi obbligatori.

Se non hai caricato o incollato un documento XML dei metadati IdP, inserisci le informazioni di autenticazione dell'IdP nei campi URL IdP, Emittente IdP e Certificato IdP.

  • IdP URL (URL IdP): l'URL a cui Looker eseguirà l'autenticazione degli utenti. In Okta è chiamato URL di reindirizzamento.

  • IdP Issuer (Emittente IdP): l'identificatore univoco dell'IdP. Questa operazione è chiamata "Chiave esterna" a Okta.

  • Certificato IdP: la chiave pubblica che consente a Looker di verificare la firma delle risposte dell'IdP.

Insieme, questi tre campi consentono a Looker di verificare che un insieme di asserzioni SAML firmate provenga effettivamente da un IdP attendibile.

  • SP Entity/IdP Audience: questo campo non è richiesto da Looker, ma molti IdP lo richiedono. Se inserisci un valore in questo campo, questo valore verrà inviato al tuo IdP come Entity ID di Looker nelle richieste di autorizzazione. In questo caso, Looker accetterà solo le risposte di autorizzazione che hanno questo valore come Audience. Se l'IdP richiede un valore Audience, inserisci la stringa qui.
  • Deviazione dell'orologio consentita: il numero di secondi di deviazione dell'orologio (la differenza nei timestamp tra l'IDP e Looker) consentita. In genere, questo valore è 0 per impostazione predefinita, ma alcune IdP potrebbero richiedere un margine di manovra maggiore per gli accessi riusciti.

Impostazioni degli attributi utente

Nei campi seguenti, specifica il nome dell'attributo nella configurazione SAML del tuo IdP che contiene le informazioni corrispondenti per ogni campo. L'inserimento dei nomi degli attributi SAML indica a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso. Looker non è particolarmente esigente in merito alla modalità di creazione di queste informazioni, ma è importante che il modo in cui le inserisci in Looker corrisponda al modo in cui gli attributi sono definiti nel tuo IdP. Looker fornisce suggerimenti predefiniti su come creare questi input.

Attributi standard

Dovrai specificare i seguenti attributi standard:

  • Email Attr: il nome dell'attributo utilizzato dall'IdP per gli indirizzi email degli utenti.

  • Attr. nome: il nome dell'attributo utilizzato dall'IdP per i nomi degli utenti.

  • LName Attr: il nome dell'attributo utilizzato dall'IdP per i cognomi degli utenti.

Associazione degli attributi SAML con gli attributi utente di Looker

Facoltativamente, puoi utilizzare i dati negli attributi SAML per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato SAML per effettuare connessioni specifiche per l'utente al tuo database, puoi accoppiare i tuoi attributi SAML con quelli di Looker per rendere le connessioni al database specifiche per l'utente in Looker.

Per accoppiare gli attributi SAML agli attributi utente di Looker corrispondenti:

  1. Inserisci il nome dell'attributo SAML nel campo SAML Attribute (Attributo SAML) e il nome dell'attributo utente di Looker con cui vuoi accoppiarlo nel campo Looker User Attributes (Attributi utente di Looker).
  2. Seleziona Required (Obbligatorio) se vuoi richiedere un valore dell'attributo SAML per consentire a un utente di accedere.
  3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Gruppi e ruoli

Puoi consentire a Looker di creare gruppi che eseguono il mirroring dei gruppi SAML gestiti esternamente e poi assegnare i ruoli di Looker agli utenti in base ai gruppi SAML sottoposti a mirroring. Quando apporti modifiche all'appartenenza al gruppo SAML, queste vengono propagate automaticamente alla configurazione del gruppo di Looker.

Il mirroring dei gruppi SAML ti consente di utilizzare la directory SAML definita esternamente per gestire i gruppi e gli utenti di Looker. Questo, a sua volta, ti consente di gestire la tua iscrizione ai gruppi per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi Esegui il mirroring dei gruppi SAML, Looker creerà un gruppo Looker per ogni gruppo SAML introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare i controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Copia i gruppi SAML è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti SAML. Nei campi Nuovi gruppi di utenti e Nuovi ruoli utente, inserisci i nomi di eventuali gruppi o ruoli di Looker a cui vuoi assegnare i nuovi utenti di Looker al primo accesso a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. I gruppi e i ruoli non vengono applicati agli utenti esistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro primo accesso.

Se in un secondo momento attivi i gruppi SAML mirror, questi valori predefiniti verranno rimossi per gli utenti al successivo accesso e sostituiti dai ruoli assegnati nella sezione Gruppi SAML mirror. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi sottoposti a mirroring.

Abilitazione dei gruppi SAML di mirroring

Se scegli di eseguire il mirroring dei gruppi SAML all'interno di Looker, attiva l'opzione Mirroring gruppi SAML. Looker mostra le seguenti impostazioni:

Strategia di ricerca di gruppi: seleziona il sistema utilizzato dall'IdP per assegnare i gruppi, che dipende dall'IdP.

  • Quasi tutti gli IdP utilizzano un singolo valore di attributo per assegnare gruppi, come mostrato in questa asserzione SAML di esempio: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come valori di singoli attributi.

  • Alcune IdP utilizzano un attributo separato per ogni gruppo e richiedono un secondo attributo per determinare se un utente è membro di un gruppo. Di seguito è riportata un'affermazione SAML di esempio che mostra questo sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come singoli attributi con valore di appartenenza.

Attributo gruppi: Looker mostra questo campo quando la Strategia di ricerca dei gruppi è impostata su Gruppi come valori di un singolo attributo. Inserisci il nome dell'attributo gruppi utilizzato dall'IdP.

Valore membro del gruppo: Looker mostra questo campo quando la Strategia di ricerca dei gruppi è impostata su Gruppi come singoli attributi con valore di appartenenza. Inserisci il valore che indica che un utente fa parte di un gruppo.

Nome gruppo preferito/Ruoli/ID gruppo SAML: questo insieme di campi ti consente di assegnare un nome gruppo personalizzato e uno o più ruoli assegnati al gruppo SAML corrispondente in Looker:

  1. Inserisci l'ID gruppo SAML nel campo ID gruppo SAML. Per gli utenti Okta, inserisci il nome del gruppo Okta come ID gruppo SAML. Gli utenti SAML inclusi nel gruppo SAML verranno aggiunti al gruppo con mirroring in Looker.

  2. Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Groups (Gruppi) della sezione Admin (Amministrazione) di Looker.

  3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli di Looker che verranno assegnati a ogni utente del gruppo.

  4. Fai clic su + per aggiungere altri insiemi di campi per configurare altri gruppi con mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic sulla X accanto al relativo insieme di campi.

Se modifichi un gruppo sottoposto a mirroring configurato in precedenza in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà invariato. Ad esempio, puoi modificare il nome personalizzato di un gruppo, in modo da cambiare la sua visualizzazione nella pagina Gruppi di Looker, ma non i ruoli assegnati e i membri del gruppo. Se modifichi l'ID gruppo SAML, il nome e i ruoli del gruppo vengono mantenuti, ma i membri del gruppo vengono riassegnati in base agli utenti che fanno parte del gruppo SAML esterno con il nuovo UD gruppo SAML.

Qualsiasi modifica apportata a un gruppo sottoposto a mirroring verrà applicata agli utenti di quel gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Copia gruppi SAML, Looker mostra queste impostazioni. Le opzioni in questa sezione determinano il livello di flessibilità a disposizione degli amministratori di Looker durante la configurazione dei gruppi e degli utenti di Looker di cui è stato eseguito il mirroring da SAML.

Ad esempio, se vuoi che il gruppo di Looker e la configurazione utente corrispondano rigorosamente alla configurazione SAML, attiva queste opzioni. Quando sono abilitate tutte e tre le prime opzioni, gli amministratori di Looker non possono modificare l'appartenenza ai gruppi di mirroring e possono assegnare i ruoli agli utenti solo tramite i gruppi di mirroring SAML.

Se vuoi avere maggiore flessibilità nella personalizzazione dei gruppi in Looker, disattiva queste opzioni. I gruppi Looker continueranno a eseguire il mirroring della configurazione SAML, ma potrai eseguire un'ulteriore gestione di gruppi e utenti all'interno di Looker, ad esempio aggiungere utenti SAML a gruppi specifici di Looker o assegnare ruoli di Looker direttamente agli utenti SAML.

Per le nuove istanze di Looker o per le istanze che non hanno gruppi con mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze Looker esistenti che hanno configurato gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti SAML di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti SAML. Gli utenti SAML riceveranno i ruoli solo tramite le iscrizioni ai gruppi. Se agli utenti SAML è consentita l'iscrizione a gruppi Looker integrati (non sottoposti a mirroring), possono comunque ereditare i propri ruoli sia dai gruppi SAML sottoposti a mirroring sia dai gruppi Looker integrati. Tutti gli utenti SAML a cui erano stati assegnati direttamente dei ruoli verranno rimossi all'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare i ruoli di Looker direttamente agli utenti SAML come se fossero configurati direttamente in Looker.

Impedisci l'appartenenza diretta ai gruppi non SAML: l'attivazione di questa opzione impedisce agli amministratori di Looker di aggiungere utenti SAML direttamente ai gruppi di Looker integrati. Se i gruppi SAML sottoposti a mirroring sono autorizzati a essere membri di gruppi Looker integrati, gli utenti SAML possono mantenere l'iscrizione a qualsiasi gruppo Looker principale. Tutti gli utenti SAML assegnati in precedenza a gruppi Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti SAML direttamente ai gruppi Looker integrati.

Impedisci l'ereditarietà dei ruoli da gruppi non SAML: se attivi questa opzione, impedisci ai membri dei gruppi SAML sottoposti a mirroring di ereditare ruoli dai gruppi Looker integrati. Tutti gli utenti SAML che in precedenza hanno ereditato ruoli da un gruppo Looker padre perderanno questi ruoli all'accesso successivo.

Se questa opzione non è attiva, i gruppi SAML o gli utenti SAML sottoposti a mirroring aggiunti come membri di un gruppo Looker integrato erediteranno i ruoli assegnati al gruppo Looker principale.

L'autenticazione richiede un ruolo: se questa opzione è attiva, agli utenti SAML deve essere assegnato un ruolo. Gli utenti SAML a cui non è stato assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti SAML possono eseguire l'autenticazione su Looker anche se non hanno ruoli assegnati. Un utente senza un ruolo assegnato non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Disattivazione dei gruppi SAML mirror

Se vuoi interrompere il mirroring dei gruppi SAML in Looker, disattiva l'opzione Esegui il mirroring dei gruppi SAML. Tutti i gruppi SAML di mirroring vuoti verranno eliminati.

I gruppi SAML speculari non vuoti rimarranno disponibili per l'utilizzo nella gestione dei contenuti e nella creazione di ruoli. Tuttavia, non è possibile aggiungere o rimuovere utenti dai gruppi SAML mirror.

Opzioni di migrazione

Accesso alternativo per gli amministratori e gli utenti specificati

Gli accessi tramite email e password di Looker sono sempre disabilitati per gli utenti normali quando è abilitata l'autenticazione SAML. Questa opzione consente l'accesso alternativo basato su email utilizzando /login/email per gli amministratori e per gli utenti specificati con l'autorizzazione login_special_email.

L'attivazione di questa opzione è utile come opzione di riserva durante la configurazione dell'autenticazione SAML se in un secondo momento si verificano problemi di configurazione SAML o se devi supportare alcuni utenti che non hanno account nella tua directory SAML.

Specifica il metodo utilizzato per unire gli utenti SAML a un account Looker

Nel campo Unisci gli utenti utilizzando, specifica il metodo da utilizzare per unire il primo accesso SAML a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:

  • Indirizzo email/password di Looker (non disponibile per Looker (Google Cloud core))
  • Google
  • LDAP (non disponibile per Looker (Google Cloud core))
  • OIDC

Se hai configurato più sistemi, puoi specificare più di un sistema in base al quale eseguire l'unione in questo campo. Looker cercherà gli utenti dei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, supponiamo che tu abbia creato alcuni utenti utilizzando l'email e la password di Looker, poi hai attivato LDAP e ora vuoi utilizzare SAML. Looker verrebbe eseguito prima tramite email e password e poi tramite LDAP.

Quando un utente accede per la prima volta tramite SAML, questa opzione connette l'utente al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Unisci gli utenti quando utilizzi Looker (Google Cloud core)

Quando utilizzi Looker (Google Cloud core) e SAML, l'unione funziona come descritto nella sezione precedente. Tuttavia, è possibile solo se viene soddisfatta una delle due condizioni seguenti:

  1. Condizione 1: gli utenti si autenticano in Looker (Google Cloud core) utilizzando le proprie identità Google mediante il protocollo SAML.
  2. Condizione 2 Prima di selezionare l'opzione di unione, devi completare i seguenti due passaggi:

Se la tua istanza non soddisfa una di queste due condizioni, l'opzione Unisci gli utenti che utilizzano non sarà disponibile.

Durante l'unione, Looker (componente principale di Google Cloud) cercherà i record utente che condividono lo stesso indirizzo email.

Testare l'autenticazione utente

Fai clic sul pulsante Test per testare le impostazioni. I test reindirizzeranno al server e apriranno una scheda del browser. Nella scheda vengono visualizzati:

  • Indica se Looker è riuscito a comunicare con il server e a eseguire la convalida.
  • I nomi che Looker riceve dal server. Devi verificare che il server restituisca i risultati corretti.
  • Una traccia per mostrare come sono state trovate le informazioni. Usa la traccia per risolvere i problemi se le informazioni non sono corrette. Per ulteriori informazioni, puoi leggere il file XML non elaborato del server.

Suggerimenti:

  • Puoi eseguire questo test in qualsiasi momento, anche se SAML è parzialmente configurato. Eseguire un test può essere utile durante la configurazione per vedere quali parametri devono essere configurati.
  • Il test utilizza le impostazioni inserite nella pagina Autenticazione SAML, anche se non sono state salvate. Il test non influirà né modificherà le impostazioni della pagina.
  • Durante il test, Looker passa le informazioni all'IdP utilizzando il parametro SAML RelayState. L'IdP deve restituire questo valore RelayState a Looker senza modifiche.

Salva e applica impostazioni

Dopo aver inserito le informazioni e aver superato tutti i test, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione globale della configurazione e fai clic su Aggiorna impostazioni per salvare.

Comportamento di accesso utente

Quando un utente tenta di accedere a un'istanza Looker utilizzando SAML, viene visualizzata la pagina Accedi. L'utente deve fare clic sul pulsante Autentica per avviare l'autenticazione tramite SAML.

Questo è il comportamento predefinito se l'utente non ha già una sessione Looker attiva.

Se vuoi che gli utenti accedano direttamente alla tua istanza di Looker dopo che l'IdP li ha autenticati e ignorino la pagina Accedi, attiva Ignora pagina di accesso in Comportamento di accesso.

Se utilizzi Looker (originale), la funzionalità Ignora pagina di accesso deve essere attivata da Looker. Per aggiornare la licenza per questa funzionalità, contatta un esperto delle vendite di Google Cloud o apri una richiesta di assistenza. Se utilizzi Looker (Google Cloud core), l'opzione Ignora pagina di accesso è disponibile automaticamente se SAML è utilizzato come metodo di autenticazione principale e, per impostazione predefinita, è disabilitata.

Quando l'opzione Ignora pagina di accesso è attiva, la sequenza di accesso dell'utente è la seguente:

  1. L'utente tenta di connettersi a un URL di Looker (ad esempio, instance_name.looker.com).

  2. Looker determina se l'utente ha già attivato una sessione attiva. A tal fine, Looker utilizza il cookie AUTH-MECHANISM-COOKIE per identificare il metodo di autorizzazione utilizzato dall'utente nell'ultima sessione. Il valore è sempre uno dei seguenti: saml, ldap, oidc, google o email.

  3. Se l'utente ha attivato una sessione attiva, viene indirizzato all'URL richiesto.

  4. Se l'utente non ha una sessione attiva, viene reindirizzato all'IdP. L'IdP autentica l'utente quando accede all'IdP. Looker autentica quindi l'utente quando l'IdP lo rimanda a Looker con informazioni che indicano che l'utente è autenticato con l'IdP.

  5. Se l'autenticazione presso l'IdP ha avuto esito positivo, Looker convalida le asserzioni SAML, accetta l'autenticazione, aggiorna le informazioni dell'utente e inoltra l'utente all'URL richiesto, bypassando la pagina di accesso.

  6. Se l'utente non riesce ad accedere all'IdP o se non è autorizzato dall'IdP a utilizzare Looker, a seconda dell'IdP, rimarrà sul sito dell'IdP o verrà reindirizzato alla pagina Accedi di Looker.

Risposta SAML che supera il limite

Se gli utenti che tentano di autenticarsi ricevono errori che indicano che la risposta SAML ha superato la dimensione massima, puoi aumentare la dimensione massima consentita della risposta SAML.

Per le istanze ospitate da Looker, apri una richiesta di assistenza per aggiornare la dimensione massima della risposta SAML.

Per le istanze di Looker ospitate dal cliente, puoi impostare le dimensioni massime della risposta SAML in numero di byte con la variabile di ambiente MAX_SAML_RESPONSE_BYTESIZE. Ad esempio:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Il valore predefinito per le dimensioni massime della risposta SAML è 250.000 byte.