Ten en cuenta que estás viendo la documentación de Looker. Para obtener la documentación de Looker Studio, visita https://support.google.com/looker-studio.

Se usó la API de Cloud Translation para traducir esta página.

Configuración del administrador: Autenticación de SAML

La página SAML en la sección Autenticación del menú Administrador te permite configurar Looker para autenticar usuarios mediante el Lenguaje de marcado para confirmación de seguridad (SAML). En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos de SAML a los roles y permisos de Looker.

Proveedores de identidad y SAML

Las empresas usan diferentes proveedores de identidad (IdP) para coordinar con SAML (por ejemplo, Okta o OneLogin). Es posible que los términos que se usan en las siguientes instrucciones de configuración y en la IU no coincidan directamente con los que usa tu IdP. Si necesitas aclaraciones durante la configuración, comunícate con tu equipo interno de SAML o de autenticación, o comunícate con el equipo de asistencia de Looker.

Looker supone que las solicitudes y aserciones de SAML se comprimen. Asegúrate de que tu IdP esté configurado como tal. Las solicitudes de Looker al IdP no están firmadas.

Looker admite el acceso iniciado por IdP.

Parte del proceso de configuración debe completarse en el sitio web del IdP.

Okta ofrece una app de Looker, que es la forma recomendada de configurar Looker y Okta en conjunto.

Configura Looker en tu proveedor de identidad

Tu IdP de SAML necesitará la URL de la instancia de Looker en la que el IdP de SAML debe publicar las aserciones de SAML. En tu IdP, podría llamarse "URL de notificación", "Destinatario" o "Destino", entre otros nombres.

La información que debes proporcionar es la URL con la que, por lo general, accedes a tu instancia de Looker mediante el navegador, seguida de /samlcallback. Por ejemplo: none https://instance_name.looker.com/samlcallback

https://looker.mycompany.com/samlcallback

Algunos IdP también requieren que agregues :9999 después de la URL de tu instancia. Por ejemplo:

https://instance_name.looker.com:9999/samlcallback

Qué debes saber

Ten en cuenta lo siguiente:

Looker requiere SAML 2.0.
No inhabilites la autenticación de SAML cuando accedas a Looker con SAML, a menos que tengas un acceso con una cuenta alternativa. De lo contrario, es posible que no puedas acceder a la app.
Looker puede migrar cuentas existentes a SAML con direcciones de correo electrónico que provienen de los parámetros de configuración actuales de correo electrónico y contraseña, o de Google Auth, OIDC o LDAP. Durante el proceso de configuración, podrás definir cómo se migran las cuentas existentes.

Primeros pasos

Navega a la página Autenticación de SAML en la sección Administrador de Looker para ver las siguientes opciones de configuración. Ten en cuenta que cualquier cambio en las opciones de configuración no se aplica hasta que pruebes y guardes tu configuración en la parte inferior de la página.

Configuración de autenticación SAML

Looker requiere la URL de IdP, el emisor de IdP y el certificado de IdP para autenticar tu IdP.

Tu IdP puede ofrecer un documento XML de metadatos del IdP durante el proceso de configuración para Looker en el lado del IdP. Este archivo contiene toda la información solicitada en la sección Configuración de autenticación de SAML. Si tienes este archivo, puedes subirlo en el campo IdP Metadata, que propagará los campos obligatorios en esta sección. Como alternativa, puedes completar los campos obligatorios del resultado obtenido durante la configuración del IdP. No es necesario que completes los campos si subes el archivo en formato XML.

Metadatos de IdP (opcional): Pega la URL pública del documento XML que contiene la información del IdP o pega el texto completo del documento aquí. Looker analizará ese archivo para propagar los campos obligatorios.

Si no subiste ni pegaste un documento XML de metadatos del IdP, ingresa la información de autenticación de tu IdP en los campos URL de IdP, Emisor de IdP y Certificado de IdP.

URL de IdP: Es la URL a la que se dirigirá Looker para autenticar a los usuarios. Esto se llama URL de redireccionamiento en Okta.
Emisor de IdP: Es el identificador único del IdP. Esto se llama “External Key” en Okta.
Certificado de IdP: Es la clave pública para permitir que Looker verifique la firma de las respuestas del IdP.

En conjunto, estos tres campos permiten que Looker confirme que un conjunto de aserciones de SAML firmadas realmente provino de un IdP de confianza.

Público de IdP o de la entidad SP: Este campo no es obligatorio para Looker, pero muchos IdP lo requerirán. Si ingresas un valor en este campo, se enviará a tu IdP como el Entity ID de Looker en las solicitudes de autorización. En ese caso, Looker solo aceptará respuestas de autorización que tengan este valor como Audience. Si tu IdP requiere un valor Audience, ingresa esa string aquí.

Desvío de reloj permitido: La cantidad de segundos de desviación del reloj (la diferencia en las marcas de tiempo entre el IdP y Looker) permitida. Este valor suele ser el valor predeterminado de 0, pero algunos IdP pueden requerir un margen adicional para accesos exitosos.

Configuración de los atributos de usuario

En los siguientes campos, especifica el nombre del atributo en la configuración de SAML de tu IdP que contenga la información correspondiente para cada campo. Ingresar los nombres de los atributos de SAML le indica a Looker cómo asignar esos campos y extraer su información al momento de acceder. Looker no aborda cómo se construye esta información, solo es importante que la forma en que la ingresas en Looker coincida con la forma en que se definen los atributos en tu IdP. Looker proporciona sugerencias predeterminadas sobre cómo crear esas entradas.

Atributos estándares

Debes especificar estos atributos estándar:

Atr de correo electrónico: Es el nombre de atributo que usa tu IdP para las direcciones de correo electrónico de los usuarios.
FName Attr: Es el nombre de atributo que usa tu IdP para los nombres de usuario.
LName Attr: Es el nombre de atributo que usa tu IdP para los apellidos de los usuarios.

Vincula atributos de SAML con atributos de usuario de Looker

De manera opcional, puedes usar los datos de tus atributos de SAML para propagar automáticamente los valores en los atributos de usuario de Looker cuando un usuario acceda. Por ejemplo, si configuraste SAML para realizar conexiones específicas de usuarios a tu base de datos, puedes vincular tus atributos de SAML con los de usuario de Looker para hacer que las conexiones de tu base de datos sean específicas del usuario en Looker.

Para vincular los atributos de SAML con los atributos de usuario de Looker correspondientes, sigue estos pasos:

Ingresa el nombre del atributo de SAML en el campo Atributo de SAML y el nombre del atributo de usuario de Looker con el que quieres vincularlo en el campo Atributos de usuario de Looker.
Marca Obligatorio si deseas solicitar un valor de atributo de SAML para permitir que un usuario acceda.
Haz clic en + y repite estos pasos para agregar más pares de atributos.

Grupos y roles

Looker puede crear grupos que dupliquen tus grupos de SAML administrados de forma externa y, luego, asignar roles de Looker a los usuarios según sus grupos de SAML duplicados. Cuando realizas cambios en la membresía de tu grupo de SAML, esos cambios se propagan automáticamente a la configuración del grupo de Looker.

La duplicación de grupos SAML te permite usar el directorio SAML definido de forma externa para administrar grupos y usuarios de Looker. Esto, a su vez, te permite administrar tu membresía de grupo para varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas la opción Duplicar grupos de SAML, Looker creará un grupo de Looker por cada grupo de SAML que se ingrese al sistema. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar roles a los miembros, configurar controles de acceso al contenido y asignar atributos del usuario.

Grupos y roles predeterminados

De forma predeterminada, el interruptor Duplicar grupos de SAML está desactivado. En este caso, puedes establecer un grupo predeterminado para los usuarios de SAML nuevos. En los campos Nuevos grupos de usuarios y Nuevos roles de usuario, ingresa los nombres de los grupos o roles de Looker a los que quieras asignar usuarios nuevos de Looker cuando acceden a Looker por primera vez:

Estos grupos y roles se aplican a los usuarios nuevos cuando acceden por primera vez. Los grupos y roles no se aplican a los usuarios preexistentes y no se vuelven a aplicar si se quitan de los usuarios después del acceso inicial de estos.

Si luego habilitas los grupos de SAML duplicados, esta configuración predeterminada se quitará para los usuarios la próxima vez que accedan y se reemplazará por los roles asignados en la sección Duplicar grupos de SAML. Estas opciones predeterminadas ya no estarán disponibles ni asignadas, y se reemplazarán por completo por la configuración de grupos duplicados.

Habilita grupos SAML duplicados

Si decides duplicar tus grupos de SAML en Looker, activa el interruptor Duplicar grupos de SAML. Looker muestra estos parámetros de configuración:

Estrategia de Group Finder: Selecciona el sistema que usa el IdP para asignar grupos, que depende de tu IdP.

Casi todos los IdP usan un solo valor de atributo para asignar grupos, como se muestra en esta aserción de SAML de muestra: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> En este caso, selecciona Grupos como valores de atributos únicos.
Algunos IdP usan un atributo independiente para cada grupo y, luego, requieren un segundo atributo para determinar si un usuario es miembro de un grupo. A continuación, se muestra un ejemplo de una aserción de SAML en la que se muestra este sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> En este caso, selecciona Groups as individual attributes with ownership value.

Atributo de grupos: Looker muestra este campo cuando la Estrategia de Buscador de grupos está configurada en Grupos como valores de un solo atributo. Ingresa el nombre del Atributo de grupos que usa el IdP.

Valor de miembro del grupo: Looker muestra este campo cuando la estrategia de Group Finder está configurada en Grupos como atributos individuales con valor de membresía. Ingresa el valor que indica que un usuario es miembro de un grupo.

Nombre de grupo preferido, roles/ID de grupo de SAML: Este conjunto de campos te permite asignar un nombre de grupo personalizado y uno o más roles asignados al grupo de SAML correspondiente en Looker:

Ingresa el ID del grupo de SAML en el campo ID del grupo de SAML. Para los usuarios de Okta, ingresa el nombre del grupo de Okta como el ID del grupo de SAML. Los usuarios de SAML incluidos en el grupo de SAML se agregarán al grupo duplicado en Looker.
Ingresa un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.
En el campo a la derecha del campo Nombre personalizado, selecciona uno o más roles de Looker que se asignarán a cada usuario del grupo.
Haz clic en + para agregar conjuntos de campos adicionales y configurar grupos duplicados adicionales. Si tienes varios grupos configurados y deseas quitar la configuración de un grupo, haz clic en la X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se configuró anteriormente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, podrías cambiar el nombre personalizado de un grupo, lo que cambiaría la forma en que aparece en la página Grupos de Looker, pero no cambiaría los roles asignados ni los miembros del grupo. Si cambias el ID del grupo de SAML, se mantendrán el nombre y los roles del grupo, pero los miembros se reasignarán en función de los usuarios que son miembros del grupo de SAML externo que tiene la nueva UD del grupo de SAML.

Cualquier modificación que se realice en un grupo duplicado se aplicará a los usuarios de ese grupo la próxima vez que accedan a Looker.

Administración de roles avanzada

Si habilitaste el interruptor Duplicar grupos de SAML, Looker mostrará estos parámetros de configuración. Las opciones de esta sección determinan cuánta flexibilidad tienen los administradores de Looker cuando configuran grupos de Looker y usuarios que se duplicaron desde SAML.

Por ejemplo, si quieres que tu grupo de Looker y la configuración de usuario coincidan estrictamente con la configuración de SAML, activa estas opciones. Cuando se habilitan las tres primeras opciones, los administradores de Looker no pueden modificar las membresías de grupos duplicados y solo pueden asignar roles a los usuarios a través de grupos duplicados de SAML.

Si quieres tener más flexibilidad para personalizar tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán replicando tu configuración de SAML, pero podrás realizar otras tareas de administración de grupos y usuarios en Looker, como agregar usuarios de SAML a grupos específicos de Looker o asignar roles de Looker directamente a usuarios de SAML.

En el caso de las instancias nuevas de Looker o en las que no tengan grupos duplicados configurados previamente, estas opciones están desactivadas de forma predeterminada.

En las instancias existentes de Looker que tienen grupos duplicados configurados, estas opciones están activadas de forma predeterminada.

La sección Administración avanzada de roles contiene estas opciones:

Impedir que usuarios individuales de SAML reciban roles directos: Si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de SAML. Los usuarios de SAML solo recibirán roles a través de sus membresías a grupos. Si se permite que los usuarios de SAML pertenezcan a grupos nativos de Looker (no duplicados), aún pueden heredar sus roles tanto de los grupos de SAML duplicados como de los grupos nativos de Looker. Se quitará de forma directa a todos los usuarios de SAML a los que se les hayan asignado roles anteriormente la próxima vez que accedan.

Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de SAML como si se hubieran configurado de forma nativa en Looker.

Impide la membresía directa en grupos que no son de SAML: Si activas esta opción, los administradores de Looker no podrán agregar usuarios de SAML directamente a grupos nativos de Looker. Si se permite que los grupos de SAML duplicados sean miembros de los grupos nativos de Looker, los usuarios de SAML pueden conservar la membresía en cualquier grupo superior de Looker. Todos los usuarios de SAML que anteriormente estaban asignados a grupos nativos de Looker se quitarán de esos grupos la próxima vez que accedan.

Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de SAML directamente a los grupos nativos de Looker.

Impedir la herencia de roles de grupos que no son de SAML: Si activas esta opción, los miembros de grupos SAML duplicados hereden roles de grupos nativos de Looker. Todos los usuarios de SAML que anteriormente heredaron roles de un grupo superior de Looker perderán esos roles la próxima vez que accedan.

Si esta opción está desactivada, los grupos de SAML duplicados o los usuarios de SAML que se agreguen como miembros de un grupo nativo de Looker heredarán los roles asignados al grupo superior de Looker.

La autenticación requiere un rol: Si esta opción está activada, los usuarios de SAML deben tener un rol asignado. Los usuarios de SAML que no tengan asignado un rol no podrán acceder a Looker.

Si esta opción está desactivada, los usuarios de SAML pueden autenticarse en Looker incluso si no tienen ningún rol asignado. Los usuarios que no tengan un rol asignado no podrán ver ningún dato ni realizar ninguna acción en Looker, pero podrán acceder a la plataforma.

Inhabilita los grupos de SAML duplicados

Si quieres dejar de duplicar tus grupos de SAML en Looker, desactiva el interruptor Duplicar grupos SAML. Se borrarán todos los grupos de SAML duplicados vacíos.

Los grupos SAML duplicados no vacíos permanecerán disponibles para su uso en la administración de contenido y la creación de roles. Sin embargo, no se pueden agregar ni quitar usuarios de grupos de SAML duplicados.

Opciones de migración

Acceso alternativo para administradores y usuarios específicos

Los accesos con correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando se habilita la autenticación de SAML. Esta opción permite el acceso alternativo basado en correos electrónicos a través de /login/email para los administradores y usuarios específicos con el permiso login_special_email.

Activar esta opción es útil como resguardo durante la configuración de la autenticación de SAML en caso de que ocurran problemas de configuración de SAML más adelante o si necesitas admitir algunos usuarios que no tienen cuentas en tu directorio de SAML.

Especifica el método que se usó para combinar usuarios de SAML con una cuenta de Looker

En el campo Combinar usuarios con, especifica el método que se usará para combinar el primer acceso de SAML con una cuenta de usuario existente. Puedes combinar usuarios de los siguientes sistemas:

Correo electrónico/contraseña de Looker (no disponible para Looker (Google Cloud Core))
Google
LDAP (no está disponible para Looker (Google Cloud Core))
OIDC

Si tienes más de un sistema implementado, puedes especificar más de un sistema para combinar en este campo. Looker buscará usuarios de los sistemas enumerados en el orden en que se especifiquen. Por ejemplo, supongamos que creaste algunos usuarios con el correo electrónico y la contraseña de Looker, luego habilitaste LDAP y ahora quieres usar SAML. Looker combinaría primero correo electrónico/contraseña y, luego, LDAP.

Cuando un usuario accede por primera vez a través de SAML, esta opción lo conecta con su cuenta existente. Para ello, se busca la cuenta que tiene una dirección de correo electrónico coincidente. Si no hay una cuenta existente para el usuario, se creará una nueva.

Combina usuarios cuando se usa Looker (Google Cloud Core)

Cuando usas Looker (Google Cloud Core) y SAML, la combinación funciona como se describió en la sección anterior. Sin embargo, solo es posible si se cumple una de las siguientes dos condiciones:

Condición 1: Los usuarios se autentican en Looker (Google Cloud Core) con sus identidades de Google mediante el protocolo SAML.
Condición 2 Antes de seleccionar la opción de combinación, completaste estos dos pasos:
- Identidades de usuarios federadas en Google Cloud con Cloud Identity
- Configura la autenticación OAuth como el método de autenticación de copia de seguridad con los usuarios federados.

Si tu instancia no cumple con una de estas dos condiciones, la opción Combinar usuarios con no estará disponible.

Cuando realices la combinación, Looker (Google Cloud Core) buscará registros de usuarios que compartan exactamente la misma dirección de correo electrónico.

Cómo probar la autenticación de usuarios

Haz clic en el botón Probar para probar la configuración. Las pruebas se redireccionarán al servidor y se abrirá una pestaña del navegador. En la pestaña, se mostrará lo siguiente:

Si Looker pudo comunicarse con el servidor y validarlo
Los nombres que Looker obtiene del servidor. Debes validar que el servidor muestre los resultados adecuados.
Un seguimiento que muestra cómo se encontró la información. Usa el registro para solucionar problemas si la información es incorrecta. Si necesitas información adicional, puedes leer el archivo sin procesar del servidor XML.

Sugerencias:

Puedes ejecutar esta prueba en cualquier momento, incluso si SAML se configuró de forma parcial. Ejecutar una prueba puede ser útil durante la configuración para ver qué parámetros necesitan configuración.
La prueba utiliza la configuración ingresada en la página Autenticación de SAML, incluso si esa configuración no se guardó. La prueba no afectará ni cambiará los parámetros de configuración de esa página.
Durante la prueba, Looker pasa información al IdP con el parámetro RelayState de SAML. El IdP debe mostrar este valor de RelayState a Looker sin modificar.

Guardar y aplicar configuración

Una vez que hayas terminado de ingresar la información y todas las pruebas se hayan aprobado, marca la casilla Confirmo la configuración anterior y quiero habilitar su aplicación global y haz clic en Actualizar configuración para guardar los cambios.

Comportamiento de acceso del usuario

Cuando un usuario intenta acceder a una instancia de Looker con SAML, Looker abre la página Acceso. El usuario debe hacer clic en el botón Autenticar para iniciar la autenticación mediante SAML.

Este es el comportamiento predeterminado si el usuario aún no tiene una sesión de Looker activa.

Si quieres que los usuarios accedan directamente a la instancia de Looker después de que el IdP los haya autenticado y omitan la página Acceder, activa Omitir la página de acceso en Comportamiento de acceso.

Si usas Looker (original), Looker debe habilitar la función Omitir página de acceso. Para actualizar tu licencia de esta función, comunícate con un especialista en ventas de Google Cloud o abre una solicitud de asistencia. Si usas Looker (Google Cloud Core), la opción Omitir página de acceso estará disponible automáticamente si se usa SAML como método de autenticación principal y está inhabilitada de forma predeterminada.

Cuando la opción Omitir página de acceso está habilitada, la secuencia de acceso del usuario es la siguiente:

El usuario intenta conectarse a una URL de Looker (por ejemplo, instance_name.looker.com).
Looker determina si el usuario ya tiene habilitada una sesión activa. Para ello, Looker usa la cookie AUTH-MECHANISM-COOKIE a fin de identificar el método de autorización que usó el usuario en su última sesión. El valor siempre es uno de los siguientes: saml, ldap, oidc, google o email.
Si el usuario tiene habilitada una sesión activa, se lo dirige a la URL solicitada.
Si el usuario no tiene una sesión activa habilitada, se lo redirecciona al IdP. El IdP autentica al usuario cuando accede correctamente al IdP. Luego, Looker autentica al usuario cuando el IdP lo envía de vuelta a Looker con información que indica que se autenticó con el IdP.
Si la autenticación en el IdP se realizó correctamente, Looker valida las aserciones de SAML, acepta la autenticación, actualiza la información del usuario y lo reenvía a la URL solicitada sin pasar por la página de acceso.
Si el usuario no puede acceder al IdP o si no está autorizado por el IdP para usar Looker, según el IdP, permanecerá en el sitio del IdP o se lo redireccionará a la página de acceso de Looker.

Se excede el límite de la respuesta de SAML

Si los usuarios que intentan autenticarse reciben errores que indican que la respuesta de SAML superó el tamaño máximo permitido, puedes aumentar el tamaño máximo permitido de las respuestas de SAML.

En el caso de las instancias alojadas en Looker, abre una solicitud de asistencia para actualizar el tamaño máximo de respuesta de SAML.

Para las instancias de Looker alojadas por el cliente, puedes establecer el tamaño máximo de respuesta de SAML en cantidad de bytes con la variable de entorno MAX_SAML_RESPONSE_BYTESIZE. Por ejemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

El tamaño máximo predeterminado de la respuesta SAML es de 250,000 bytes.