Paramètres d'administration – Authentification SAML

La page SAML de la section Authentification du menu Administration vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du protocole SAML (Security Assertion Markup Language). Cette page décrit ce processus et inclut des instructions pour associer des groupes SAML aux rôles et autorisations Looker.

Conditions requises

Looker n'affiche la page SAML dans la section Authentification du menu Administration que si les conditions suivantes sont remplies:

• Vous disposez du rôle Administrateur.
• Votre instance Looker est configurée pour utiliser SAML.

Si ces conditions sont remplies et que la page SAML ne s'affiche pas, déposez une demande d'assistance pour activer SAML sur votre instance.

SAML et fournisseurs d'identité

Les entreprises utilisent différents fournisseurs d'identité (IdP) pour se coordonner avec SAML (par exemple, Okta ou OneLogin). Les termes utilisés dans les instructions de configuration suivantes et dans l'UI peuvent ne pas correspondre directement à ceux utilisés par votre IdP. Pour obtenir des précisions lors de la configuration, contactez votre équipe SAML ou d'authentification interne, ou l'assistance Looker.

Looker suppose que les requêtes et les assertions SAML seront compressées. Assurez-vous que votre fournisseur d'identité est configuré en conséquence. Les requêtes de Looker à l'IDP ne sont pas signées.

Looker est compatible avec la connexion initiée par le fournisseur d'identité.

Une partie du processus de configuration doit être effectuée sur le site Web de l'IDP.

Okta propose une application Looker, qui est la méthode recommandée pour configurer Looker et Okta ensemble.

Configurer Looker sur votre fournisseur d'identité

Votre fournisseur d'identité SAML aura besoin de l'URL de l'instance Looker à laquelle il doit publier les assertions SAML. Dans votre IdP, il peut être appelé "URL de postback", "Destinataire" ou "Destination", entre autres.

Les informations à fournir sont l'URL à laquelle vous accédez généralement à votre instance Looker à l'aide du navigateur, suivie de /samlcallback. Exemple : none https://instance_name.looker.com/samlcallback.

ou

https://looker.mycompany.com/samlcallback

Certains fournisseurs d'identité exigent également que vous ajoutiez :9999 après l'URL de votre instance. Exemple :

https://instance_name.looker.com:9999/samlcallback

Informations importantes

Gardez à l'esprit les points suivants:

• Looker nécessite SAML 2.0.
• Ne désactivez pas l'authentification SAML lorsque vous êtes connecté à Looker via SAML, sauf si vous avez configuré une autre connexion de compte. Sinon, vous risqueriez de vous retrouver bloqué dans l'application.
• Looker peut migrer les comptes existants vers SAML à l'aide d'adresses e-mail provenant des configurations actuelles d'adresse e-mail et de mot de passe, ou de Google Auth, LDAP ou OIDC. Vous pourrez configurer la migration des comptes existants lors du processus de configuration.

Premiers pas

Accédez à la page Authentification SAML dans la section Administration de Looker pour afficher les options de configuration suivantes. Notez que les modifications apportées aux options de configuration ne prennent effet qu'une fois que vous avez testé et enregistré vos paramètres en bas de la page.

Paramètres d'authentification SAML

Looker a besoin de l'URL de l'IDP, de l'émetteur de l'IDP et du certificat de l'IDP pour authentifier votre IdP.

Votre IdP peut proposer un document XML de métadonnées IdP lors du processus de configuration de Looker du côté de l'IdP. Ce fichier contient toutes les informations demandées dans la section SAML Auth Settings (Paramètres d'authentification SAML). Si vous disposez de ce fichier, vous pouvez l'importer dans le champ Métadonnées de l'IDP. Les champs obligatoires de cette section seront alors renseignés. Vous pouvez également renseigner les champs requis à partir de la sortie obtenue lors de la configuration côté IdP. Vous n'avez pas besoin de remplir les champs si vous importez le fichier XML.

• Métadonnées IdP (facultatif) : collez ici l'URL publique du document XML contenant les informations sur l'IdP ou le texte complet du document. Looker analysera ce fichier pour renseigner les champs obligatoires.

Si vous n'avez pas importé ni collé de document XML de métadonnées IdP, saisissez plutôt les informations d'authentification de votre IdP dans les champs URL de l'IdP, Émetteur de l'IdP et Certificat de l'IdP.

• URL de l'IdP: URL vers laquelle Looker accède pour authentifier les utilisateurs. Dans Okta, il s'agit de l'URL de redirection.

• IdP Issuer (Émetteur IdP) : identifiant unique du fournisseur d'identité. Dans Okta, cette clé est appelée "clé externe".

• Certificat de l'IDP: clé publique permettant à Looker de vérifier la signature des réponses de l'IDP.

Ensemble, ces trois champs permettent à Looker de confirmer qu'un ensemble d'assertions SAML signées provient bien d'un fournisseur d'identité approuvé.

• Entité SP/Audience de l'IDP: ce champ n'est pas obligatoire pour Looker, mais de nombreux IdP l'exigent. Si vous saisissez une valeur dans ce champ, elle sera envoyée à votre IdP en tant que Entity ID de Looker dans les requêtes d'autorisation. Dans ce cas, Looker n'acceptera que les réponses d'autorisation dont la valeur est Audience. Si votre IdP nécessite une valeur Audience, saisissez cette chaîne ici.

• Dérive de l'horloge autorisée: nombre de secondes de dérive de l'horloge (différence entre les codes temporels de l'IDP et de Looker) autorisé. Cette valeur est généralement définie par défaut sur 0, mais certaines IdP peuvent nécessiter une marge de manœuvre supplémentaire pour les connexions réussies.

Paramètres des attributs utilisateur

Dans les champs suivants, spécifiez le nom de l'attribut dans la configuration SAML de votre IdP qui contient les informations correspondantes pour chaque champ. Saisissez les noms des attributs SAML pour indiquer à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion. Looker n'est pas particulièrement exigeant sur la façon dont ces informations sont structurées. Il est simplement important que la façon dont vous les saisissez dans Looker corresponde à la façon dont les attributs sont définis dans votre IdP. Looker fournit des suggestions par défaut sur la façon de créer ces entrées.

Attributs standards

Vous devez spécifier les attributs standards suivants:

• Email Attr (Attribut de l'adresse e-mail) : nom de l'attribut utilisé par votre IdP pour les adresses e-mail des utilisateurs.

• FName Attr: nom de l'attribut que votre IdP utilise pour les prénoms des utilisateurs.

• LName Attr: nom de l'attribut que votre IdP utilise pour les noms de famille des utilisateurs.

Associer des attributs SAML à des attributs utilisateur Looker

Vous pouvez éventuellement utiliser les données de vos attributs SAML pour renseigner automatiquement les valeurs des attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré SAML pour établir des connexions spécifiques à l'utilisateur à votre base de données, vous pouvez associer vos attributs SAML aux attributs utilisateur Looker pour rendre vos connexions à la base de données spécifiques à l'utilisateur dans Looker.

Pour associer des attributs SAML aux attributs utilisateur Looker correspondants:

1. Saisissez le nom de l'attribut SAML dans le champ SAML Attribute (Attribut SAML) et le nom de l'attribut utilisateur Looker auquel vous souhaitez l'associer dans le champ Looker User Attributes (Attributs utilisateur Looker).
2. Cochez Obligatoire si vous souhaitez exiger une valeur d'attribut SAML pour autoriser un utilisateur à se connecter.
3. Cliquez sur + et répétez ces étapes pour ajouter d'autres paires d'attributs.

Groupes et rôles

Vous pouvez demander à Looker de créer des groupes qui reflètent vos groupes SAML gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes SAML miroirs. Lorsque vous modifiez votre appartenance à un groupe SAML, ces modifications sont automatiquement propagées dans la configuration des groupes de Looker.

La mise en miroir des groupes SAML vous permet d'utiliser votre annuaire SAML défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à des groupes pour plusieurs outils SaaS (Software as a Service), tels que Looker, au même endroit.

Si vous activez Mirror SAML Groups (Refléter les groupes SAML), Looker crée un groupe Looker pour chaque groupe SAML introduit dans le système. Vous pouvez consulter ces groupes Looker sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres, de définir des contrôles d'accès aux contenus et d'attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, le bouton Mirror SAML Groups (Refléter les groupes SAML) est désactivé. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs SAML. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles d'utilisateurs, saisissez le nom des groupes ou des rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lorsqu'ils se connectent pour la première fois à Looker:

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne sont pas appliqués aux utilisateurs existants, et ils ne sont pas réappliqués s'ils sont supprimés après la connexion initiale des utilisateurs.

Si vous activez ultérieurement les groupes SAML miroir, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Miroir des groupes SAML. Ces options par défaut ne seront plus disponibles ni attribuées, et elles seront entièrement remplacées par la configuration des groupes miroirs.

Activer la mise en miroir des groupes SAML

Si vous choisissez de dupliquer vos groupes SAML dans Looker, activez l'option Dupliquer les groupes SAML. Looker affiche les paramètres suivants:

Stratégie de recherche de groupe: sélectionnez le système utilisé par l'IdP pour attribuer des groupes, en fonction de votre IdP.

• Presque tous les fournisseurs d'identité utilisent une seule valeur d'attribut pour attribuer des groupes, comme illustré dans cet exemple d'assertion SAML : none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant que valeurs d'attributs uniques.

• Certaines IdP utilisent un attribut distinct pour chaque groupe, puis nécessitent un deuxième attribut pour déterminer si un utilisateur est membre d'un groupe. Voici un exemple d'assertion SAML illustrant ce système : none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant qu'attributs individuels avec une valeur d'appartenance.

Attribut des groupes: Looker affiche ce champ lorsque la stratégie de recherche de groupes est définie sur Groupes en tant que valeurs d'un seul attribut. Saisissez le nom de l'attribut de groupe utilisé par l'IDP.

Valeur de membre du groupe: Looker affiche ce champ lorsque la stratégie de recherche de groupes est définie sur Groupes en tant qu'attributs individuels avec valeur d'appartenance. Saisissez la valeur qui indique qu'un utilisateur est membre d'un groupe.

Nom/Rôles/ID de groupe SAML préférés: cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles au groupe SAML correspondant dans Looker:

1. Saisissez l'ID de groupe SAML dans le champ SAML Group ID (ID de groupe SAML). Pour les utilisateurs Okta, saisissez le nom du groupe Okta comme ID de groupe SAML. Les utilisateurs SAML inclus dans le groupe SAML seront ajoutés au groupe dupliqué dans Looker.

2. Saisissez un nom personnalisé pour le groupe dupliqué dans le champ Nom personnalisé. Il s'agit du nom qui s'affichera sur la page Groupes de la section Administration de Looker.

3. Dans le champ à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

4. Cliquez sur + pour ajouter des ensembles de champs afin de configurer d'autres groupes miroirs. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X à côté de l'ensemble de champs de ce groupe.

Si vous modifiez un groupe miroir précédemment configuré dans cet écran, sa configuration changera, mais le groupe lui-même restera intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui changera son apparence sur la page Groupes de Looker, mais pas les rôles attribués ni les membres du groupe. Si vous modifiez l'ID de groupe SAML, le nom et les rôles du groupe resteront inchangés, mais les membres du groupe seront réaffectés en fonction des utilisateurs qui sont membres du groupe SAML externe associé au nouvel UD de groupe SAML.

Toutes les modifications apportées à un groupe dupliqué seront appliquées aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé le bouton Refléter les groupes SAML, Looker affiche ces paramètres. Les options de cette section déterminent le niveau de flexibilité des administrateurs Looker lors de la configuration des groupes Looker et des utilisateurs qui ont été mis en miroir à partir de SAML.

Par exemple, si vous souhaitez que la configuration de votre groupe Looker et de vos utilisateurs corresponde strictement à votre configuration SAML, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier l'appartenance aux groupes miroirs et ne peuvent attribuer des rôles aux utilisateurs que via des groupes miroirs SAML.

Si vous souhaitez avoir plus de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker continueront de refléter votre configuration SAML, mais vous pourrez gérer davantage de groupes et d'utilisateurs dans Looker, par exemple en ajoutant des utilisateurs SAML à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement à des utilisateurs SAML.

Pour les nouvelles instances Looker ou les instances qui ne disposent pas de groupes miroirs configurés précédemment, ces options sont désactivées par défaut.

Pour les instances Looker existantes qui ont configuré des groupes miroirs, ces options sont activées par défaut.

La section Gestion avancée des rôles contient les options suivantes:

Empêcher les utilisateurs SAML individuels de recevoir des rôles directs: si vous activez cette option, les administrateurs Looker ne pourront plus attribuer des rôles Looker directement aux utilisateurs SAML. Les utilisateurs SAML ne recevront des rôles que via les groupes dont ils sont membres. Si les utilisateurs SAML sont autorisés à faire partie de groupes Looker intégrés (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois des groupes SAML mis en miroir et des groupes Looker intégrés. Les rôles attribués directement aux utilisateurs SAML seront supprimés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs SAML comme s'ils étaient configurés directement dans Looker.

Empêcher l'appartenance directe à des groupes autres que SAML: si vous activez cette option, les administrateurs Looker ne pourront plus ajouter d'utilisateurs SAML directement à des groupes Looker intégrés. Si les groupes SAML en miroir sont autorisés à être membres de groupes Looker intégrés, les utilisateurs SAML peuvent conserver leur appartenance à tous les groupes Looker parents. Tous les utilisateurs SAML qui étaient auparavant attribués à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs SAML directement à des groupes Looker intégrés.

Empêcher l'héritage de rôles à partir de groupes non SAML: si vous activez cette option, les membres des groupes SAML clonés ne peuvent pas hériter de rôles à partir de groupes Looker intégrés. Tous les utilisateurs SAML qui héritaient auparavant de rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes SAML ou les utilisateurs SAML mis en miroir qui sont ajoutés en tant que membres d'un groupe Looker intégré hériteront des rôles attribués au groupe Looker parent.

Auth Requires Role (L'authentification nécessite un rôle) : si cette option est activée, un rôle doit être attribué aux utilisateurs SAML. Les utilisateurs SAML auxquels aucun rôle n'est attribué ne peuvent pas se connecter à Looker.

Si cette option est désactivée, les utilisateurs SAML peuvent s'authentifier auprès de Looker même s'ils ne sont pas associés à un rôle. Un utilisateur sans rôle attribué ne pourra voir aucune donnée ni effectuer aucune action dans Looker, mais pourra se connecter à Looker.

Désactiver les groupes SAML en miroir

Si vous ne souhaitez plus dupliquer vos groupes SAML dans Looker, désactivez l'option Dupliquer les groupes SAML. Tous les groupes SAML miroirs vides seront supprimés.

Les groupes SAML miroir non vides resteront disponibles pour la gestion de contenu et la création de rôles. Toutefois, vous ne pouvez pas ajouter ni supprimer d'utilisateurs à des groupes SAML miroirs.

Options de migration

Connexion alternative pour les administrateurs et les utilisateurs spécifiés

Les connexions par e-mail et mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque l'authentification SAML est activée. Cette option permet d'utiliser une autre adresse e-mail pour la connexion à l'aide de /login/email pour les administrateurs et les utilisateurs spécifiés disposant de l'autorisation login_special_email.

Activer cette option est utile en cas de problème de configuration SAML ultérieur ou si vous devez prendre en charge certains utilisateurs qui ne disposent pas de compte dans votre répertoire SAML.

Spécifier la méthode utilisée pour fusionner des utilisateurs SAML avec un compte Looker

Dans le champ Fusionner les utilisateurs à l'aide de, spécifiez la méthode à utiliser pour fusionner une première connexion SAML avec un compte utilisateur existant. Vous pouvez fusionner des utilisateurs à partir des systèmes suivants:

• Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
• Google
• LDAP (non disponible pour Looker (Google Cloud Core))
• OIDC

Si vous avez mis en place plusieurs systèmes, vous pouvez en spécifier plusieurs dans ce champ. Looker recherche les utilisateurs des systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs à l'aide de l'adresse e-mail et du mot de passe Looker, que vous ayez activé LDAP et que vous souhaitiez maintenant utiliser SAML. Looker fusionne d'abord par adresse e-mail et mot de passe, puis par LDAP.

Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option le connecte à son compte existant en recherchant le compte associé à une adresse e-mail correspondante. Si aucun compte utilisateur n'existe pour l'utilisateur, un compte utilisateur est créé.

Fusionner des utilisateurs lorsque vous utilisez Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud core) et SAML, la fusion fonctionne comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie:

1. Condition 1: Les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leurs identités Google via le protocole SAML.

2. Condition 2 Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes:

   • Identités des utilisateurs fédérés dans Google Cloud à l'aide de Cloud Identity
   • Configurez l'authentification OAuth comme méthode d'authentification de secours à l'aide des utilisateurs fédérés.

Si votre instance ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs à l'aide de n'est pas disponible.

Lors de la fusion, Looker (Google Cloud Core) recherche les enregistrements utilisateur qui partagent exactement la même adresse e-mail.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester pour tester vos paramètres. Les tests seront redirigés vers le serveur et ouvriront un nouvel onglet du navigateur. L'onglet affiche les éléments suivants:

• Indique si Looker a pu communiquer avec le serveur et le valider.
• Noms obtenus par Looker auprès du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
• Une trace pour montrer comment les informations ont été trouvées. Si les informations sont incorrectes, utilisez la trace pour résoudre le problème. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier serveur XML brut.

Conseils :

• Vous pouvez exécuter ce test à tout moment, même si SAML est partiellement configuré. L'exécution d'un test peut être utile lors de la configuration pour identifier les paramètres à configurer.
• Le test utilise les paramètres saisis sur la page Authentification SAML, même s'ils n'ont pas été enregistrés. Le test n'aura aucune incidence sur les paramètres de cette page.
• Lors du test, Looker transmet des informations au fournisseur d'identité à l'aide du paramètre SAML RelayState. L'IDP doit renvoyer cette valeur RelayState à Looker sans la modifier.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que tous les tests sont réussis, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement, puis cliquez sur Mettre à jour les paramètres pour enregistrer.

Comportement des utilisateurs lors de la connexion

Lorsqu'un utilisateur tente de se connecter à une instance Looker à l'aide de SAML, Looker ouvre la page Log In (Se connecter). L'utilisateur doit cliquer sur le bouton Authenticate (S'authentifier) pour lancer l'authentification via SAML.

Il s'agit du comportement par défaut si l'utilisateur n'a pas déjà de session Looker active.

Si vous souhaitez que vos utilisateurs se connectent directement à votre instance Looker après avoir été authentifiés par votre IdP et qu'ils contournent la page Log In (Se connecter), activez l'option Bypass Login Page (Ignorer la page de connexion) sous Login Behavior (Comportement de connexion).

Si vous utilisez Looker (Original), la fonctionnalité Ignorer la page de connexion doit être activée par Looker. Pour mettre à jour votre licence pour cette fonctionnalité, contactez un Google Cloud spécialiste commercial ou envoyez une demande d'assistance. Si vous utilisez Looker (Google Cloud Core), l'option Ignorer la page de connexion est disponible automatiquement si SAML est utilisé comme méthode d'authentification principale et est désactivée par défaut.

Lorsque l'option Ignorer la page de connexion est activée, la séquence de connexion de l'utilisateur est la suivante:

1. L'utilisateur tente de se connecter à une URL Looker (par exemple, instance_name.looker.com).

2. Looker détermine si l'utilisateur dispose déjà d'une session active activée. Pour ce faire, Looker utilise le cookie AUTH-MECHANISM-COOKIE pour identifier la méthode d'autorisation utilisée par l'utilisateur lors de sa dernière session. La valeur est toujours l'une des suivantes: saml, ldap, oidc, google ou email.

3. Si une session active est activée pour l'utilisateur, il est redirigé vers l'URL demandée.

4. Si aucune session active n'est activée pour l'utilisateur, il est redirigé vers l'IDP. Le fournisseur d'identité authentifie l'utilisateur lorsqu'il se connecte à celui-ci. Looker authentifie ensuite l'utilisateur lorsque le fournisseur d'identité le redirige vers Looker avec des informations indiquant qu'il est authentifié auprès du fournisseur d'identité.

5. Si l'authentification auprès du fournisseur d'identité a réussi, Looker valide les assertions SAML, accepte l'authentification, met à jour les informations utilisateur et redirige l'utilisateur vers l'URL demandée, en contournant la page Se connecter.

6. Si l'utilisateur ne parvient pas à se connecter au fournisseur d'identité ou s'il n'est pas autorisé par celui-ci à utiliser Looker, il restera sur le site du fournisseur d'identité ou sera redirigé vers la page Se connecter de Looker, selon le fournisseur d'identité.

Réponse SAML dépassant la limite

Si des utilisateurs qui tentent de s'authentifier reçoivent des erreurs indiquant que la réponse SAML a dépassé la taille maximale, vous pouvez augmenter la taille maximale autorisée.

Pour les instances hébergées par Looker, envoyez une demande d'assistance pour modifier la taille maximale de la réponse SAML.

Pour les instances Looker hébergées par le client, vous pouvez définir la taille maximale de la réponse SAML en nombre d'octets à l'aide de la variable d'environnement MAX_SAML_RESPONSE_BYTESIZE. Exemple :

export MAX_SAML_RESPONSE_BYTESIZE=500000

La taille maximale de la réponse SAML est de 250 000 octets par défaut.