Paramètres d'administration – Authentification SAML

La page SAML de la section Authentification du menu Administration vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du langage SAML (Security Assertion Markup Language). Cette page décrit le processus et explique comment associer des groupes SAML à des rôles et autorisations Looker.

SAML et fournisseurs d'identité

Les entreprises utilisent différents fournisseurs d'identité (IdP) pour coordonner leur utilisation du protocole SAML (par exemple, Okta ou OneLogin). Les termes utilisés dans les instructions de configuration suivantes et dans l'interface utilisateur peuvent ne pas correspondre directement à ceux utilisés par votre IdP. Pour obtenir des précisions lors de la configuration, contactez votre équipe interne SAML ou l'équipe d'authentification, ou contactez l'assistance Looker.

Looker suppose que les requêtes et les assertions SAML seront compressées. Assurez-vous que votre IdP est configuré comme tel. Actuellement, les requêtes de Looker adressées à l'IdP ne sont pas signées.

Looker est compatible avec la connexion initiée par IdP.

Une partie du processus de configuration doit être effectuée sur le site Web du fournisseur d'identité.

Okta propose une application Looker, qui est recommandée pour configurer Looker et Okta ensemble.

Configurer Looker sur votre fournisseur d'identité

Votre IdP SAML aura besoin de l'URL de l'instance Looker à laquelle il doit envoyer les assertions SAML. Dans votre IdP, cette option peut être appelée "URL de publication", "Destinataire" ou "Destination", entre autres.

Les informations à fournir sont l'URL où vous accédez généralement à votre instance Looker depuis le navigateur, suivie de /samlcallback. Exemple : none https://instance_name.looker.com/samlcallback.

ou

https://looker.mycompany.com/samlcallback

Certains fournisseurs d'identité exigent également que vous ajoutiez :9999 après l'URL de l'instance. Exemple :

https://instance_name.looker.com:9999/samlcallback

Bon à savoir

Gardez à l'esprit les points suivants:

  • Looker nécessite SAML 2.0.
  • Ne désactivez pas l'authentification SAML lorsque vous êtes connecté à Looker via SAML, sauf si vous avez configuré un autre compte. Sinon, vous risquez de bloquer l'accès à l'application.
  • Looker peut migrer des comptes existants vers SAML à l'aide d'adresses e-mail provenant des configurations actuelles d'adresse e-mail et de mot de passe, ou de Google Auth, LDAP ou OIDC. Vous pourrez configurer le mode de migration des comptes existants au cours du processus de configuration.

Comment en profiter ?

Accédez à la page Authentification SAML dans la section Administration de Looker pour afficher les options de configuration suivantes. Notez que les modifications apportées aux options de configuration ne prennent effet que lorsque vous testez et enregistrez vos paramètres en bas de la page.

Paramètres d'authentification SAML

Looker requiert l'URL du fournisseur d'identité, l'émetteur de l'IdP et le certificat de l'IdP pour authentifier votre IdP.

Votre IdP peut fournir un document XML de métadonnées IdP pendant le processus de configuration de Looker du côté de l'IdP. Ce fichier contient toutes les informations demandées dans la section Paramètres d'authentification SAML. Si vous disposez de ce fichier, vous pouvez l'importer dans le champ IdP Metadata (Métadonnées IdP), qui remplira les champs obligatoires de cette section. Vous pouvez également remplir les champs obligatoires à partir du résultat obtenu lors de la configuration côté IdP. Vous n'avez pas besoin de remplir les champs si vous importez le fichier XML.

  • IdP Metadata (Optional) (Métadonnées IdP (facultatif)) : collez soit l'URL publique du document XML contenant les informations sur l'IdP, soit le texte du document intégralement ici. Looker analysera ce fichier pour renseigner les champs obligatoires.

Si vous n'avez pas importé ni collé de document XML de métadonnées IdP, saisissez plutôt vos informations d'authentification IdP dans les champs IdP URL (URL de l'IdP), IdP Issuer (Émetteur du fournisseur d'identité) et IdP Certificate (Certificat IdP).

  • IdP URL (URL de l'IdP) : URL vers laquelle Looker accédera pour authentifier les utilisateurs. C'est ce qu'on appelle l'URL de redirection dans Okta.

  • IdP Issuer (Émetteur du fournisseur d'identité) : identifiant unique de l'IdP. C'est ce qu'on appelle la "clé externe" dans Okta.

  • Certificat IdP: clé publique permettant à Looker de vérifier la signature des réponses du fournisseur d'identité.

Ensemble, ces trois champs permettent à Looker de confirmer qu'un ensemble d'assertions SAML signées provient bien d'un fournisseur d'identité de confiance.

  • SP Entity/IdP Audience (Audience de l'entité du fournisseur de services/de l'IdP) : ce champ n'est pas obligatoire dans Looker, mais de nombreux fournisseurs d'identité l'exigent. Si vous saisissez une valeur dans ce champ, elle sera envoyée à votre IdP en tant que Entity ID de Looker dans les requêtes d'autorisation. Dans ce cas, Looker n'accepte que les réponses d'autorisation dont la valeur correspond à Audience. Si votre IdP requiert une valeur Audience, saisissez cette chaîne ici.

Cette valeur est également utilisée comme champ "émetteur" dans les messages envoyés au fournisseur d'identité. Par conséquent, si votre IdP se plaint de recevoir un message sans "émetteur", vous devez renseigner ce champ. Vous pouvez utiliser n'importe quelle chaîne requise par votre IdP. Dans la plupart des cas, vous pouvez utiliser "Looker". Si ce champ est présent, votre IdP doit l'envoyer en tant que champ "audience" dans le message qu'il renvoie à Looker.

  • Dérive d'horloge autorisée: nombre de secondes de dérive d'horloge (différence d'horodatage entre l'IdP et Looker). Il s'agit généralement de la valeur par défaut 0, mais certains IdP peuvent nécessiter une marge supplémentaire pour que les connexions soient réussies.

Paramètres "Attributs utilisateur"

Dans les champs suivants, spécifiez le nom de l'attribut dans la configuration SAML de votre fournisseur d'identité, qui contient les informations correspondantes pour chaque champ. La saisie des noms d'attributs SAML indique à Looker comment mapper ces champs et extraire leurs informations au moment de la connexion. Looker ne fait pas particulièrement attention à la façon dont ces informations sont construites. Il est juste important que la façon dont vous les saisissez dans Looker corresponde à la façon dont les attributs sont définis dans votre IdP. Looker fournit des suggestions par défaut sur la façon de construire ces entrées.

Attributs standards

Vous devez spécifier les attributs standards suivants:

  • Email Attr (Attr adresse e-mail) : nom d'attribut utilisé par votre fournisseur d'identité pour les adresses e-mail des utilisateurs.

  • FName Attr: nom d'attribut utilisé par votre fournisseur d'identité pour les prénoms d'utilisateur.

  • LName Attr: nom d'attribut utilisé par votre fournisseur d'identité pour les noms de famille des utilisateurs.

Associer des attributs SAML aux attributs utilisateur Looker

Vous pouvez éventuellement utiliser les données de vos attributs SAML pour renseigner automatiquement les valeurs dans les attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré SAML pour établir des connexions spécifiques à l'utilisateur à votre base de données, vous pouvez associer vos attributs SAML à ceux de Looker pour rendre vos connexions à la base de données spécifiques à l'utilisateur dans Looker.

Pour associer des attributs SAML aux attributs utilisateur Looker correspondants:

  1. Saisissez le nom de l'attribut SAML dans le champ Attribut SAML et le nom de l'attribut utilisateur Looker auquel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
  2. Cochez la case Required si vous souhaitez exiger une valeur d'attribut SAML pour permettre à un utilisateur de se connecter.
  3. Cliquez sur +, puis répétez ces étapes pour ajouter d'autres paires d'attributs.

Groupes et rôles

Looker vous permet de créer des groupes qui dupliquent vos groupes SAML gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes SAML en miroir. Lorsque vous apportez des modifications à votre appartenance à un groupe SAML, ces modifications sont automatiquement appliquées à la configuration du groupe de Looker.

La mise en miroir de groupes SAML vous permet d'utiliser votre annuaire SAML défini en externe pour gérer les groupes et les utilisateurs Looker. Vous pouvez ainsi gérer votre appartenance à un groupe pour plusieurs outils Software as a Service (SaaS), tels que Looker, depuis un seul et même endroit.

Si vous activez l'option Dupliquer les groupes SAML, Looker crée un groupe Looker pour chaque groupe SAML introduit dans le système. Ces groupes Looker sont visibles sur la page Groupes de la section Administration de Looker. Les groupes permettent d'attribuer des rôles aux membres d'un groupe, de définir des contrôles d'accès au contenu et d'attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, l'option Dupliquer les groupes SAML est désactivée. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs SAML. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer de nouveaux utilisateurs Looker lors de leur première connexion à Looker:

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs dès leur première connexion. Les groupes et les rôles ne s'appliquent pas aux utilisateurs préexistants, et ils ne sont pas réappliqués s'ils sont supprimés après la connexion initiale de l'utilisateur.

Si vous activez ultérieurement la mise en miroir des groupes SAML, ces valeurs par défaut seront supprimées pour les utilisateurs à la prochaine connexion et remplacées par les rôles attribués dans la section Dupliquer les groupes SAML. Ces options par défaut ne seront plus disponibles ni attribuées. Elles seront entièrement remplacées par la configuration des groupes en miroir.

Activer la mise en miroir de groupes SAML

Si vous choisissez de dupliquer vos groupes SAML dans Looker, activez l'option Dupliquer les groupes SAML. Looker affiche les paramètres suivants:

Group Finder Strategy (Stratégie de l'outil de recherche de groupes) : sélectionnez le système utilisé par l'IdP pour attribuer des groupes.

  • Presque tous les fournisseurs d'identité utilisent une seule valeur d'attribut pour attribuer des groupes, comme illustré dans cet exemple d'assertion SAML : none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant que valeurs d'attributs uniques.

  • Certains fournisseurs d'identité utilisent un attribut distinct pour chaque groupe, puis exigent un second attribut pour déterminer si un utilisateur est membre d'un groupe. Voici un exemple d'assertion SAML illustrant ce système : none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant qu'attributs individuels avec une valeur d'appartenance.

Attribut de groupe: Looker affiche ce champ lorsque la stratégie de l'outil de recherche de groupes est définie sur Groupes en tant que valeurs d'un seul attribut. Saisissez le nom de l'attribut Groups utilisé par le fournisseur d'identité.

Group Member Value (Valeur de membre dans un groupe) : Looker affiche ce champ lorsque l'option Group Finder Strategy (Stratégie de l'outil de recherche de groupes) est définie sur Groups individuelles as individualattributes with member value. Saisissez la valeur qui indique qu'un utilisateur est membre d'un groupe.

Nom de groupe préféré/Rôles/ID de groupe SAML : cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé, ainsi qu'un ou plusieurs rôles attribués au groupe SAML correspondant dans Looker.

  1. Saisissez l'ID de groupe SAML dans le champ ID de groupe SAML. Les utilisateurs SAML inclus dans le groupe SAML seront ajoutés au groupe en miroir dans Looker.

  2. Saisissez un nom personnalisé pour le groupe en miroir dans le champ Nom personnalisé. C'est le nom qui s'affichera sur la page Groupes de la section Administration de Looker.

  3. Dans le champ à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

  4. Cliquez sur + pour ajouter d'autres ensembles de champs afin de configurer des groupes en miroir supplémentaires. Si plusieurs groupes sont configurés et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur le signe X à côté des champs du groupe concerné.

Si vous modifiez un groupe en miroir précédemment configuré dans cet écran, la configuration du groupe change, mais le groupe lui-même reste intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui modifie l'apparence du groupe sur la page Groupes de Looker, mais pas les rôles qui lui sont attribués ni les membres du groupe. La modification de l'ID de groupe SAML permet de conserver le nom et les rôles du groupe. En revanche, les membres du groupe seront réattribués en fonction des utilisateurs membres du groupe SAML externe auquel est associé le nouveau groupe d'utilisateurs SAML.

Toute modification apportée à un groupe en miroir sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé l'option Dupliquer les groupes SAML, Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lors de la configuration des groupes et des utilisateurs Looker ayant été mis en miroir à partir du protocole SAML.

Par exemple, si vous souhaitez que vos configurations utilisateur et groupe Looker correspondent exactement à votre configuration SAML, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier les appartenances aux groupes en miroir et ne peuvent attribuer des rôles aux utilisateurs que via des groupes en miroir SAML.

Si vous souhaitez avoir plus de flexibilité pour personnaliser vos groupes dans Looker, désactivez ces options. Vos groupes Looker refléteront toujours votre configuration SAML, mais vous pourrez effectuer d'autres opérations de gestion des groupes et des utilisateurs dans Looker, par exemple en ajoutant des utilisateurs SAML à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs SAML.

Pour les nouvelles instances Looker ou pour les instances pour lesquelles aucun groupe en miroir n'a été précédemment configuré, ces options sont désactivées par défaut.

Pour les instances Looker existantes pour lesquelles des groupes en miroir sont actuellement configurés, ces options sont activées par défaut.

Si vous activez des paramètres plus restrictifs, les utilisateurs perdront leur appartenance à un groupe ou les rôles attribués qui ont été configurés directement dans Looker. Cela se produit la prochaine fois que ces utilisateurs se connectent à Looker.

La section Gestion avancée des rôles contient les options suivantes:

Empêcher les utilisateurs SAML individuels de recevoir des rôles directs: l'activation de cette option empêche les administrateurs Looker d'attribuer des rôles Looker directement aux utilisateurs SAML. Les utilisateurs SAML recevront des rôles uniquement via leur appartenance à un groupe. Si les utilisateurs SAML sont autorisés à être membres de groupes Looker natifs (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois à partir de groupes SAML en miroir et de groupes Looker natifs. Les utilisateurs SAML auxquels des rôles étaient précédemment attribués en seront retirés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs SAML comme s'ils avaient été configurés de manière native dans Looker.

Empêcher l'appartenance directe aux groupes non SAML: l'activation de cette option empêche les administrateurs Looker d'ajouter directement des utilisateurs SAML aux groupes Looker natifs. Si les groupes SAML en miroir sont autorisés à être membres de groupes Looker natifs, les utilisateurs SAML peuvent conserver leur adhésion à n'importe quel groupe Looker parent. Tous les utilisateurs SAML précédemment affectés à des groupes Looker natifs seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs SAML directement aux groupes Looker natifs.

Empêcher l'héritage des rôles des groupes non SAML: l'activation de cette option empêche les membres de groupes SAML en miroir d'hériter des rôles des groupes Looker natifs. Les utilisateurs SAML qui ont précédemment hérité des rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes SAML en miroir ou les utilisateurs SAML ajoutés en tant que membres d'un groupe Looker natif héritent des rôles attribués au groupe Looker parent.

Authentification requise par un rôle: si cette option est activée, un rôle doit être attribué aux utilisateurs SAML. Les utilisateurs SAML auxquels aucun rôle n'a été attribué ne pourront pas du tout se connecter à Looker.

Si cette option est désactivée, les utilisateurs SAML peuvent s'authentifier auprès de Looker même si aucun rôle ne leur est attribué. Un utilisateur sans rôle attribué ne pourra consulter aucune donnée ni effectuer d'action dans Looker, mais il pourra s'y connecter.

Désactiver la mise en miroir de groupes SAML

Si vous souhaitez arrêter la duplication de vos groupes SAML dans Looker, désactivez l'option Dupliquer les groupes SAML. Tous les groupes SAML en miroir vides seront supprimés.

Les groupes SAML en miroir non vides resteront disponibles pour la gestion de contenu et la création de rôles. Toutefois, les utilisateurs ne peuvent pas être ajoutés à des groupes SAML miroir ni supprimés de ceux-ci.

Options de migration

Looker vous recommande de proposer une stratégie de fusion, comme expliqué dans cette section. Lorsque vous utilisez Looker (version initiale), Looker vous recommande également d'activer l'option Autre connexion.

Autre connexion pour les administrateurs et les utilisateurs spécifiés

Les connexions par adresse e-mail/mot de passe Looker sont toujours désactivées pour les utilisateurs standards lorsque l'authentification SAML est activée. Cette option autorise une autre connexion par adresse e-mail à l'aide de /login/email pour les administrateurs et pour les utilisateurs spécifiés disposant de l'autorisation login_special_email.

L'activation de cette option est utile comme solution de secours lors de la configuration de l'authentification SAML si des problèmes de configuration SAML se produisent plus tard, ou si vous devez aider certains utilisateurs qui n'ont pas de compte dans votre répertoire SAML.

Pour activer des connexions secondaires à l'aide de l'API Looker, consultez la page de documentation Activer l'option de connexion secondaire.

Spécifier la méthode à utiliser pour fusionner des utilisateurs SAML avec un compte Looker

Dans le champ Merge Users Using (Fusionner les utilisateurs à l'aide), spécifiez la méthode à utiliser pour fusionner une première connexion SAML avec un compte utilisateur existant. Vous pouvez fusionner des utilisateurs des systèmes suivants:

  • Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
  • Google
  • LDAP (non disponible pour Looker (Google Cloud Core))
  • OIDC

Si vous avez mis en place plusieurs systèmes, vous pouvez spécifier plusieurs systèmes de fusion dans ce champ. Looker recherchera les utilisateurs dans les systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs avec l'adresse e-mail/mot de passe Looker, puis que vous ayez activé LDAP et que vous souhaitiez maintenant utiliser SAML. Looker fusionne d'abord par adresse e-mail/mot de passe, puis par LDAP.

Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option le connecte à son compte existant en recherchant le compte avec l'adresse e-mail correspondante. Si aucun compte n'existe pour l'utilisateur, un nouveau compte est créé.

Fusionner des utilisateurs lors de l'utilisation de Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud Core) et SAML, la fusion s'effectue comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie:

  1. Condition 1: les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leur identité Google via le protocole SAML.

  2. Condition 2 Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes:

Si votre instance ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs avec n'est pas disponible.

Lors de la fusion, Looker recherche les enregistrements d'utilisateurs qui partagent exactement la même adresse e-mail.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester pour tester vos paramètres. Les tests sont redirigés vers le serveur et ouvrent un onglet du navigateur. L'onglet affiche les éléments suivants:

  • Indique si Looker a pu communiquer avec le serveur et effectuer la validation.
  • Les noms que Looker obtient du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
  • Trace indiquant comment les informations ont été trouvées. Si les informations sont incorrectes, utilisez la trace. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier XML brut.

Lisez attentivement les résultats du test, car certaines parties du test peuvent réussir même si d'autres échouent.

Conseils :

  • Vous pouvez exécuter ce test à tout moment, même si SAML est partiellement configuré. Il peut être utile d'exécuter un test lors de la configuration pour identifier les paramètres à configurer.
  • Le test utilise les paramètres définis sur la page Authentification SAML, même si ces paramètres n'ont pas été enregistrés. Le test n'aura aucune incidence sur les paramètres de cette page et ne les modifiera pas.
  • Lors du test, Looker transmet les informations à l'IdP à l'aide du paramètre SAML RelayState. L'IdP doit renvoyer cette valeur RelayState à Looker telle quelle.

Assurez-vous que tous les tests sont concluants avant de cliquer sur Mettre à jour les paramètres. L'enregistrement d'informations de configuration SAML incorrectes peut vous empêcher d'accéder à Looker et d'autres personnes.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que les tests sont concluants, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite activer son application globale, puis cliquez sur Mettre à jour les paramètres pour enregistrer.

Comportement de connexion des utilisateurs

Lorsqu'un utilisateur tente de se connecter à une instance Looker à l'aide de SAML, Looker ouvre la page Connexion. L'utilisateur doit cliquer sur le bouton Authentifier pour lancer l'authentification via SAML.

Il s'agit du comportement par défaut si l'utilisateur ne possède pas encore de session Looker active.

Si vous souhaitez que vos utilisateurs se connectent directement à votre instance Looker une fois que votre IdP les a authentifiés, et que vous souhaitez contourner la page Connexion, activez Contourner la page de connexion sous Comportement de connexion.

Si vous utilisez Looker (version d'origine), la fonctionnalité Ignorer la page de connexion doit être activée par Looker. Pour modifier votre licence pour cette fonctionnalité, contactez un spécialiste des ventes Google Cloud ou envoyez une demande d'assistance. Si vous utilisez Looker (Google Cloud Core), l'option Ignorer la page de connexion est disponible automatiquement si SAML est utilisé comme méthode d'authentification principale, et elle est désactivée par défaut.

Lorsque le paramètre Ignorer la page de connexion est activé, la séquence de connexion utilisateur est la suivante:

  1. L'utilisateur tente de se connecter à une URL Looker (par exemple, instance_name.looker.com).

  2. Looker détermine si une session active est déjà activée pour l'utilisateur. Pour ce faire, Looker utilise le cookie AUTH-MECHANISM-COOKIE afin d'identifier la méthode d'autorisation utilisée par l'utilisateur dans sa dernière session. La valeur est toujours l'une des suivantes: saml, ldap, oidc, google ou email.

  3. Si une session active est activée, l'utilisateur est redirigé vers l'URL demandée.

  4. Si aucune session active n'est activée, l'utilisateur est redirigé vers le fournisseur d'identité. Le fournisseur d'identité authentifie l'utilisateur lorsqu'il se connecte. Looker authentifie ensuite l'utilisateur lorsque le fournisseur d'identité le renvoie vers Looker avec des informations indiquant que l'utilisateur est authentifié auprès du fournisseur d'identité.

  5. Si l'authentification auprès du fournisseur d'identité a réussi, Looker valide les assertions SAML, accepte l'authentification, met à jour les informations utilisateur et redirige l'utilisateur vers l'URL demandée, en contournant la page de connexion.

  6. Si l'utilisateur ne parvient pas à se connecter à l'IdP ou s'il n'est pas autorisé par le IdP à utiliser Looker, il reste sur le site de l'IdP ou est redirigé vers la page de connexion de Looker.

La réponse SAML dépasse la limite

Si des utilisateurs qui tentent de s'authentifier reçoivent des erreurs indiquant que la réponse SAML a dépassé la taille maximale, vous pouvez augmenter la taille maximale autorisée pour la réponse SAML.

Pour les instances hébergées par Looker, envoyez une demande d'assistance afin de modifier la taille maximale des réponses SAML.

Pour les instances Looker hébergées par un client, vous pouvez définir la taille maximale de la réponse SAML en octets à l'aide de la variable d'environnement MAX_SAML_RESPONSE_BYTESIZE. Exemple :

export MAX_SAML_RESPONSE_BYTESIZE=500000

La taille maximale par défaut des réponses SAML est de 250 000 octets.