Setelan admin - Autentikasi SAML

Halaman SAML di bagian Authentication pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna menggunakan Security Assertion Markup Language (SAML). Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup SAML ke peran dan izin Looker.

Persyaratan

Looker menampilkan halaman SAML di bagian Authentication pada menu Admin hanya jika kondisi berikut terpenuhi:

• Anda memiliki peran Admin.
• Instance Looker Anda diaktifkan untuk menggunakan SAML.

Jika kondisi ini terpenuhi, dan Anda tidak melihat halaman SAML, buka permintaan dukungan untuk mengaktifkan SAML di instance Anda.

SAML dan penyedia identitas

Perusahaan menggunakan penyedia identitas (IdP) yang berbeda untuk berkoordinasi dengan SAML (misalnya, Okta atau OneLogin). Istilah yang digunakan dalam petunjuk penyiapan berikut dan di UI mungkin tidak sama persis dengan yang digunakan oleh IdP Anda. Untuk mendapatkan klarifikasi selama penyiapan, hubungi tim SAML atau autentikasi internal Anda, atau hubungi Dukungan Looker.

Looker mengasumsikan bahwa permintaan dan pernyataan SAML akan dikompresi; pastikan IdP Anda dikonfigurasi seperti itu. Permintaan Looker ke IdP tidak ditandatangani.

Looker mendukung login yang dimulai IdP.

Beberapa proses penyiapan harus diselesaikan di situs IdP.

Okta menawarkan aplikasi Looker, yang merupakan cara yang direkomendasikan untuk mengonfigurasi Looker dan Okta secara bersamaan.

Menyiapkan Looker di penyedia identitas Anda

IdP SAML Anda akan memerlukan URL instance Looker tempat IdP SAML harus memposting pernyataan SAML. Di IdP Anda, ini mungkin disebut "Post Back URL", "Penerima", atau "Tujuan", di antara nama lainnya.

Informasi yang harus diberikan adalah URL tempat Anda biasanya mengakses instance Looker menggunakan browser, diikuti dengan /samlcallback. Contoh: none https://instance_name.looker.com/samlcallback

atau

https://looker.mycompany.com/samlcallback

Beberapa IdP juga mengharuskan Anda menambahkan :9999 setelah URL instance Anda. Contoh:

https://instance_name.looker.com:9999/samlcallback

Hal untuk diketahui

Perhatikan fakta berikut:

• Looker memerlukan SAML 2.0.
• Jangan menonaktifkan autentikasi SAML saat Anda login ke Looker melalui SAML, kecuali jika Anda telah menyiapkan login akun alternatif. Jika tidak, Anda dapat kehilangan akses ke aplikasi.
• Looker dapat memigrasikan akun yang ada ke SAML menggunakan alamat email yang berasal dari penyiapan email dan sandi saat ini atau dari Google Auth, LDAP, atau OIDC. Anda dapat mengonfigurasi cara migrasi akun yang ada dalam proses penyiapan.

Memulai

Buka halaman SAML Authentication di bagian Admin Looker untuk melihat opsi konfigurasi berikut. Perhatikan bahwa perubahan apa pun pada opsi konfigurasi tidak akan diterapkan hingga Anda menguji dan menyimpan setelan di bagian bawah halaman.

Setelan autentikasi SAML

Looker memerlukan URL IdP, Penerbit IdP, dan Sertifikat IdP untuk mengautentikasi IdP Anda.

IdP Anda dapat menawarkan dokumen XML metadata IdP selama proses konfigurasi Looker di sisi IdP. File ini berisi semua informasi yang diminta di bagian SAML Auth Settings. Jika Anda memiliki file ini, Anda dapat menguploadnya di kolom Metadata IdP, yang akan mengisi kolom yang diperlukan di bagian ini. Atau, Anda dapat mengisi kolom yang diperlukan dari output yang diperoleh selama konfigurasi sisi IdP. Anda tidak perlu mengisi kolom jika mengupload file XML.

• Metadata IdP (Opsional): Tempel URL publik dokumen XML yang berisi informasi IdP, atau tempel seluruh teks dokumen di sini. Looker akan mem-parsing file tersebut untuk mengisi kolom yang wajib diisi.

Jika Anda tidak mengupload atau menempelkan dokumen XML metadata IdP, masukkan informasi autentikasi IdP Anda di kolom URL IdP, Penerbit IdP, dan Sertifikat IdP.

• URL IdP: URL tempat Looker akan membuka untuk mengautentikasi pengguna. URL ini disebut Redirect URL di Okta.

• IdP Issuer: ID unik IdP. Hal ini disebut "External Key" di Okta.

• Sertifikat IdP: Kunci publik agar Looker dapat memverifikasi tanda tangan respons IdP.

Ketiga kolom ini memungkinkan Looker mengonfirmasi bahwa serangkaian pernyataan SAML bertanda tangan benar-benar berasal dari IdP tepercaya.

• Entitas SP/Audiens IdP: Kolom ini tidak diperlukan oleh Looker, tetapi banyak IdP yang akan mewajibkan kolom ini. Jika Anda memasukkan nilai di kolom ini, nilai tersebut akan dikirim ke IdP Anda sebagai Entity ID Looker dalam permintaan otorisasi. Dalam hal ini, Looker hanya akan menerima respons otorisasi yang memiliki nilai ini sebagai Audience. Jika IdP Anda memerlukan nilai Audience, masukkan string tersebut di sini.

• Penyimpangan Jam yang Diizinkan: Jumlah detik penyimpangan jam (perbedaan stempel waktu antara IdP dan Looker) yang diizinkan. Nilai ini biasanya adalah default 0, tetapi beberapa IdP mungkin memerlukan kelonggaran tambahan agar login berhasil.

Setelan atribut pengguna

Di kolom berikut, tentukan nama atribut dalam konfigurasi SAML IdP yang berisi informasi yang sesuai untuk setiap kolom. Memasukkan nama atribut SAML memberi tahu Looker cara memetakan kolom tersebut dan mengekstrak informasinya saat waktu login. Looker tidak mempermasalahkan cara informasi ini dibuat, yang penting adalah cara Anda memasukkannya ke Looker harus sesuai dengan cara atribut ditentukan di IdP Anda. Looker memberikan saran default tentang cara membuat input tersebut.

Atribut standar

Anda harus menentukan atribut standar berikut:

• Email Attr: Nama atribut yang digunakan IdP Anda untuk alamat email pengguna.

• FName Attr: Nama atribut yang digunakan IdP Anda untuk nama depan pengguna.

• LName Attr: Nama atribut yang digunakan IdP Anda untuk nama belakang pengguna.

Menyandingkan atribut SAML dengan atribut pengguna Looker

Anda dapat secara opsional menggunakan data di atribut SAML untuk mengisi nilai secara otomatis di atribut pengguna Looker saat pengguna login. Misalnya, jika Anda telah mengonfigurasi SAML untuk membuat koneksi khusus pengguna ke database, Anda dapat menyandingkan atribut SAML dengan atribut pengguna Looker untuk membuat koneksi database khusus pengguna di Looker.

Untuk menyambungkan atribut SAML dengan atribut pengguna Looker yang sesuai:

1. Masukkan nama atribut SAML di kolom SAML Attribute dan nama atribut pengguna Looker yang ingin Anda pasangkan di kolom Looker User Attributes.
2. Centang Wajib jika Anda ingin mewajibkan nilai atribut SAML agar pengguna dapat login.
3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan atribut lainnya.

Grup dan peran

Anda memiliki opsi agar Looker membuat grup yang mencerminkan grup SAML yang dikelola secara eksternal, lalu menetapkan peran Looker kepada pengguna berdasarkan grup SAML yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup SAML, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker.

Dengan mencerminkan grup SAML, Anda dapat menggunakan direktori SAML yang ditentukan secara eksternal untuk mengelola grup dan pengguna Looker. Dengan demikian, Anda dapat mengelola keanggotaan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Mirror SAML Groups, Looker akan membuat satu grup Looker untuk setiap grup SAML yang dimasukkan ke dalam sistem. Grup Looker tersebut dapat dilihat di halaman Grup di bagian Admin Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menyetel kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror SAML Groups dinonaktifkan. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna SAML baru. Di kolom Grup Pengguna Baru dan Peran Pengguna Baru, masukkan nama grup atau peran Looker yang ingin Anda tetapkan kepada pengguna Looker baru saat mereka pertama kali login ke Looker:

Grup dan peran ini diterapkan kepada pengguna baru saat login awal mereka. Grup dan peran tidak diterapkan kepada pengguna yang sudah ada, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal pengguna.

Jika Anda mengaktifkan pencerminan grup SAML nanti, setelan default ini akan dihapus untuk pengguna saat login berikutnya dan digantikan oleh peran yang ditetapkan di bagian Cerminkan Grup SAML. Opsi default ini tidak akan lagi tersedia atau ditetapkan, dan akan sepenuhnya digantikan oleh konfigurasi grup yang dicerminkan.

Mengaktifkan grup SAML mirror

Jika Anda menggunakan instance Looker (Google Cloud core), sebaiknya aktifkan pencerminan grup hanya untuk metode autentikasi utama dan jangan aktifkan pencerminan grup untuk autentikasi OAuth cadangan. Jika Anda mengaktifkan pencerminan grup untuk metode autentikasi primer dan sekunder, perilaku berikut akan terjadi:

• Jika pengguna telah menggabungkan identitas, pencerminan grup akan mencocokkan metode autentikasi utama, terlepas dari metode autentikasi sebenarnya yang digunakan untuk login.
• Jika pengguna tidak memiliki identitas gabungan, pencerminan grup akan mencocokkan metode autentikasi yang digunakan untuk login.

Langkah-langkah untuk mengaktifkan grup yang dicerminkan

Jika Anda memilih untuk mencerminkan grup SAML dalam Looker, aktifkan tombol Cerminkan Grup SAML. Looker menampilkan setelan berikut:

Strategi Pencari Grup: Pilih sistem yang digunakan IdP untuk menetapkan grup, yang bergantung pada IdP Anda.

• Hampir semua IdP menggunakan satu nilai atribut untuk menetapkan grup, seperti yang ditunjukkan dalam pernyataan SAML contoh ini: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dalam hal ini, pilih Grup sebagai nilai atribut tunggal.

• Beberapa IdP menggunakan atribut terpisah untuk setiap grup, lalu memerlukan atribut kedua untuk menentukan apakah pengguna adalah anggota grup. Contoh pernyataan SAML yang menunjukkan sistem ini adalah sebagai berikut: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dalam hal ini, pilih Grup sebagai atribut individual dengan nilai keanggotaan.

Atribut Grup: Looker menampilkan kolom ini saat Strategi Pencari Grup disetel ke Grup sebagai nilai atribut tunggal. Masukkan nama Atribut Grup yang digunakan oleh IdP.

Nilai Anggota Grup: Looker menampilkan kolom ini saat Strategi Pencari Grup disetel ke Grup sebagai atribut individual dengan nilai keanggotaan. Masukkan nilai yang menunjukkan bahwa pengguna adalah anggota grup.

Nama Grup/Peran/ID Grup SAML yang Disukai: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup SAML yang sesuai di Looker:

1. Masukkan ID grup SAML di kolom SAML Group ID. Untuk pengguna Okta, masukkan nama grup Okta sebagai ID grup SAML. Pengguna SAML yang disertakan dalam grup SAML akan ditambahkan ke grup yang dicerminkan dalam Looker.

2. Masukkan nama kustom untuk grup yang dicerminkan di kolom Nama Kustom. Ini adalah nama yang akan ditampilkan di halaman Grup di bagian Admin Looker.

3. Di kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

4. Klik + untuk menambahkan set kolom tambahan guna mengonfigurasi grup yang dicerminkan tambahan. Jika Anda telah mengonfigurasi beberapa grup dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup yang dicerminkan yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Mengubah ID Grup SAML akan mempertahankan nama dan peran grup, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup SAML eksternal yang memiliki ID grup SAML baru.

Setiap pengeditan yang dilakukan pada grup yang dicerminkan akan diterapkan kepada pengguna grup tersebut saat mereka login ke Looker berikutnya.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Mirror SAML Groups, Looker akan menampilkan setelan ini. Opsi di bagian ini menentukan fleksibilitas yang dimiliki admin Looker saat mengonfigurasi grup dan pengguna Looker yang telah dicerminkan dari SAML.

Misalnya, jika Anda ingin konfigurasi grup dan pengguna Looker Anda cocok dengan konfigurasi SAML Anda, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang dicerminkan dan hanya dapat menetapkan peran kepada pengguna melalui grup yang dicerminkan SAML.

Jika Anda ingin memiliki fleksibilitas lebih untuk menyesuaikan grup dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi SAML, tetapi Anda akan dapat melakukan pengelolaan grup dan pengguna tambahan dalam Looker, seperti menambahkan pengguna SAML ke grup khusus Looker atau menetapkan peran Looker langsung kepada pengguna SAML.

Untuk instance Looker baru, atau untuk instance yang tidak memiliki grup yang dicerminkan yang dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang sudah ada dan telah mengonfigurasi grup yang dicerminkan, opsi ini aktif secara default.

Bagian Pengelolaan Peran Lanjutan berisi opsi berikut:

Mencegah Pengguna SAML Perorangan Menerima Peran Langsung: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker langsung kepada pengguna SAML. Pengguna SAML hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna SAML diizinkan menjadi anggota grup Looker bawaan (tidak dicerminkan), mereka tetap dapat mewarisi perannya dari grup SAML yang dicerminkan dan dari grup Looker bawaan. Semua pengguna SAML yang sebelumnya diberi peran secara langsung akan dihapus perannya saat mereka login berikutnya.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker secara langsung kepada pengguna SAML seolah-olah peran tersebut dikonfigurasi langsung di Looker.

Cegah Keanggotaan Langsung di Grup non-SAML: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna SAML secara langsung ke grup Looker bawaan. Jika grup SAML yang dicerminkan diizinkan menjadi anggota grup Looker bawaan, pengguna SAML dapat mempertahankan keanggotaan di grup Looker induk mana pun. Semua pengguna SAML yang sebelumnya ditetapkan ke grup Looker bawaan akan dihapus dari grup tersebut saat mereka login berikutnya.

Jika opsi ini nonaktif, admin Looker dapat menambahkan pengguna SAML langsung ke grup Looker bawaan.

Mencegah Pewarisan Peran dari Grup non-SAML: Mengaktifkan opsi ini akan mencegah anggota grup SAML yang dicerminkan mewarisi peran dari grup Looker bawaan. Semua pengguna SAML yang sebelumnya mewarisi peran dari grup Looker induk akan kehilangan peran tersebut saat mereka login berikutnya.

Jika opsi ini nonaktif, grup SAML yang dicerminkan atau pengguna SAML yang ditambahkan sebagai anggota grup Looker bawaan akan mewarisi peran yang ditetapkan ke grup Looker induk.

Auth Requires Role: Jika opsi ini aktif, pengguna SAML harus memiliki peran yang ditetapkan. Semua pengguna SAML yang tidak memiliki peran yang ditetapkan tidak akan dapat login ke Looker.

Jika opsi ini nonaktif, pengguna SAML dapat melakukan autentikasi ke Looker meskipun mereka tidak memiliki peran yang ditetapkan. Pengguna yang tidak diberi peran tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi mereka akan dapat login ke Looker.

Menonaktifkan grup SAML cermin

Jika Anda ingin berhenti mencerminkan grup SAML dalam Looker, nonaktifkan tombol Mirror SAML Groups. Menonaktifkan tombol akan menghasilkan perilaku berikut:

• Grup SAML duplikat tanpa pengguna akan langsung dihapus.
• Grup SAML cermin yang tidak berisi pengguna ditandai sebagai tidak memiliki induk. Jika tidak ada pengguna grup ini yang login dalam waktu 31 hari, grup akan dihapus. Pengguna tidak lagi dapat ditambahkan ke atau dihapus dari grup SAML yang tidak memiliki pemilik.

Opsi migrasi

Login alternatif untuk admin dan pengguna tertentu

Login email dan sandi Looker selalu dinonaktifkan untuk pengguna biasa saat Autentikasi SAML diaktifkan. Opsi ini memungkinkan login berbasis email alternatif menggunakan /login/email untuk admin dan untuk pengguna tertentu dengan izin login_special_email.

Mengaktifkan opsi ini berguna sebagai penggantian selama penyiapan Autentikasi SAML jika masalah konfigurasi SAML terjadi nanti, atau jika Anda perlu mendukung beberapa pengguna yang tidak memiliki akun di direktori SAML Anda.

Tentukan metode yang digunakan untuk menggabungkan pengguna SAML ke akun Looker

Di kolom Gabungkan Pengguna Menggunakan, tentukan metode yang akan digunakan untuk menggabungkan login SAML pertama kali ke akun pengguna yang ada. Anda dapat menggabungkan pengguna dari sistem berikut:

• Email/Sandi Looker (tidak tersedia untuk Looker (Google Cloud core))
• Google
• LDAP (tidak tersedia untuk Looker (Google Cloud core))
• OIDC

Jika Anda memiliki lebih dari satu sistem, Anda dapat menentukan lebih dari satu sistem untuk digabungkan di kolom ini. Looker akan mencari pengguna dari sistem yang tercantum dalam urutan yang ditentukan. Misalnya, Anda membuat beberapa pengguna menggunakan email dan sandi Looker, lalu mengaktifkan LDAP, dan sekarang Anda ingin menggunakan SAML. Looker akan menggabungkan berdasarkan email dan sandi terlebih dahulu, lalu LDAP.

Saat pengguna login untuk pertama kalinya melalui SAML, opsi ini akan menghubungkan pengguna ke akun yang sudah ada dengan menemukan akun yang memiliki alamat email yang cocok. Jika tidak ada akun yang sudah ada untuk pengguna, akun pengguna baru akan dibuat.

Menggabungkan pengguna saat menggunakan Looker (Google Cloud core)

Saat Anda menggunakan Looker (inti Google Cloud) dan SAML, penggabungan berfungsi seperti yang dijelaskan di bagian sebelumnya. Namun, hal ini hanya dapat dilakukan jika salah satu dari dua kondisi berikut terpenuhi:

1. Kondisi 1: Pengguna melakukan autentikasi ke Looker (Google Cloud core) menggunakan identitas Google mereka melalui protokol SAML.

2. Kondisi 2: Sebelum memilih opsi penggabungan, Anda telah menyelesaikan dua langkah berikut:

   • Identitas pengguna gabungan di Google Cloud menggunakan Cloud Identity
   • Siapkan autentikasi OAuth sebagai metode autentikasi cadangan menggunakan pengguna gabungan.

Jika instance Anda tidak memenuhi salah satu dari dua kondisi ini, opsi Gabungkan Pengguna Menggunakan tidak akan tersedia.

Saat menggabungkan, Looker (Google Cloud core) akan menelusuri catatan pengguna yang memiliki alamat email yang sama persis.

Menguji autentikasi pengguna

Klik tombol Uji untuk menguji setelan Anda. Pengujian akan dialihkan ke server dan akan membuka tab browser. Tab ini menampilkan:

• Apakah Looker dapat berkomunikasi dengan server dan melakukan validasi.
• Nama yang didapatkan Looker dari server. Anda perlu memvalidasi bahwa server menampilkan hasil yang tepat.
• Trace untuk menunjukkan cara info ditemukan. Gunakan rekaman aktivitas untuk memecahkan masalah jika informasinya salah. Jika memerlukan informasi tambahan, Anda dapat membaca file server XML mentah.

Tips:

• Anda dapat menjalankan pengujian ini kapan saja, meskipun SAML dikonfigurasi sebagian. Menjalankan pengujian dapat membantu selama konfigurasi untuk melihat parameter mana yang perlu dikonfigurasi.
• Pengujian ini menggunakan setelan yang dimasukkan di halaman Autentikasi SAML, meskipun setelan tersebut belum disimpan. Pengujian tidak akan memengaruhi atau mengubah setelan apa pun di halaman tersebut.
• Selama pengujian, Looker meneruskan informasi ke IdP menggunakan parameter SAML RelayState. IdP harus menampilkan nilai RelayState ini ke Looker tanpa diubah.

Simpan dan terapkan setelan

Setelah Anda selesai memasukkan informasi, dan semua pengujian berhasil, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global, lalu klik Perbarui Setelan untuk menyimpan.

Perilaku login pengguna

Saat pengguna mencoba login ke instance Looker menggunakan SAML, Looker akan membuka halaman Log In. Pengguna harus mengklik tombol Authenticate untuk memulai autentikasi melalui SAML.

Ini adalah perilaku default jika pengguna belum memiliki sesi Looker yang aktif.

Jika Anda ingin pengguna login langsung ke instance Looker setelah IdP mengautentikasi mereka, dan melewati halaman Login, aktifkan Lewati Halaman Login di bagian Perilaku Login.

Jika Anda menggunakan Looker (Original), fitur Bypass Login Page harus diaktifkan oleh Looker. Untuk memperbarui lisensi Anda untuk fitur ini, hubungi Google Cloud spesialis penjualan atau buka permintaan dukungan. Jika Anda menggunakan Looker (Google Cloud core), opsi Lewati Halaman Login akan tersedia secara otomatis jika SAML digunakan sebagai metode autentikasi utama, dan secara default dinonaktifkan.

Jika Lewati Halaman Login diaktifkan, urutan login pengguna adalah sebagai berikut:

1. Pengguna mencoba terhubung ke URL Looker (misalnya, instance_name.looker.com).

2. Looker menentukan apakah pengguna sudah mengaktifkan sesi aktif. Untuk melakukannya, Looker menggunakan cookie AUTH-MECHANISM-COOKIE untuk mengidentifikasi metode otorisasi yang digunakan oleh pengguna dalam sesi terakhirnya. Nilainya selalu salah satu dari berikut: saml, ldap, oidc, google, atau email.

3. Jika pengguna mengaktifkan sesi aktif, pengguna akan diarahkan ke URL yang diminta.

4. Jika pengguna tidak mengaktifkan sesi aktif, mereka akan dialihkan ke IdP. IdP mengautentikasi pengguna saat mereka berhasil login ke IdP. Kemudian, Looker akan mengautentikasi pengguna saat IdP mengirim pengguna kembali ke Looker dengan informasi yang menunjukkan bahwa pengguna diautentikasi dengan IdP.

5. Jika autentikasi di IdP berhasil, Looker akan memvalidasi pernyataan SAML, menerima autentikasi, memperbarui informasi pengguna, dan meneruskan pengguna ke URL yang diminta, dengan melewati halaman Log In.

6. Jika pengguna tidak dapat login ke IdP, atau jika mereka tidak diizinkan oleh IdP untuk menggunakan Looker, maka bergantung pada IdP, mereka akan tetap berada di situs IdP, atau dialihkan ke halaman Login Looker.

Respons SAML melebihi batas

Jika pengguna yang mencoba melakukan autentikasi menerima error yang menunjukkan bahwa respons SAML telah melampaui ukuran maksimum, Anda dapat meningkatkan ukuran respons SAML maksimum yang diizinkan.

Untuk instance yang dihosting Looker, buka permintaan dukungan untuk memperbarui ukuran respons SAML maksimum.

Untuk instance Looker yang dihosting pelanggan, Anda dapat menetapkan ukuran respons SAML maksimum dalam jumlah byte dengan variabel lingkungan MAX_SAML_RESPONSE_BYTESIZE. Contoh:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Default untuk ukuran respons SAML maksimum adalah 250.000 byte.