Setelan admin - Autentikasi SAML

Halaman SAML di bagian Authentication pada menu Admin memungkinkan Anda mengonfigurasi Looker untuk mengautentikasi pengguna menggunakan Security Assertion Markup Language (SAML). Halaman ini menjelaskan proses tersebut dan menyertakan petunjuk untuk menautkan grup SAML ke peran dan izin Looker.

SAML dan penyedia identitas

Perusahaan menggunakan penyedia identitas (IdP) yang berbeda untuk berkoordinasi dengan SAML (misalnya, Okta atau OneLogin). Istilah yang digunakan dalam petunjuk penyiapan berikut dan di UI mungkin tidak langsung cocok dengan yang digunakan oleh IdP Anda. Untuk mendapatkan klarifikasi selama penyiapan, hubungi tim autentikasi atau SAML internal Anda, atau hubungi Dukungan Looker.

Looker mengasumsikan bahwa permintaan dan pernyataan SAML akan dikompresi; pastikan IdP Anda dikonfigurasi sebagaimana mestinya. Saat ini, permintaan Looker ke IdP tidak ditandatangani.

Looker mendukung login yang dimulai dengan IdP.

Beberapa proses penyiapan harus diselesaikan di situs IdP.

Okta menawarkan aplikasi Looker, yang merupakan cara yang direkomendasikan untuk mengonfigurasi Looker dan Okta secara bersamaan.

Menyiapkan Looker di penyedia identitas Anda

IdP SAML Anda memerlukan URL instance Looker tempat IdP SAML harus POSTING pernyataan SAML. Di IdP Anda, kolom ini mungkin bernama "URL Postingan Kembali", "Penerima", atau "Tujuan", di antara nama lainnya.

Informasi yang akan diberikan adalah URL tempat Anda biasanya mengakses instance Looker menggunakan browser, yang diikuti dengan /samlcallback. Contoh: none https://instance_name.looker.com/samlcallback

atau

https://looker.mycompany.com/samlcallback

Beberapa IdP juga mewajibkan Anda menambahkan :9999 setelah URL instance. Contoh:

https://instance_name.looker.com:9999/samlcallback

Hal untuk diketahui

Ingat fakta berikut:

  • Looker memerlukan SAML 2.0.
  • Jangan menonaktifkan autentikasi SAML saat Anda login ke Looker melalui SAML, kecuali jika Anda telah menyiapkan login akun alternatif. Jika tidak, Anda dapat kehilangan akses ke aplikasi.
  • Looker dapat memigrasikan akun yang ada ke SAML dengan menggunakan alamat email yang berasal dari penyiapan email dan sandi saat ini atau dari Google Auth, LDAP, atau OIDC. Anda akan dapat mengonfigurasi cara akun yang ada dimigrasikan dalam proses penyiapan.

Memulai

Buka halaman SAML Authentication di bagian Admin Looker untuk melihat opsi konfigurasi berikut. Perhatikan bahwa perubahan apa pun pada opsi konfigurasi tidak akan diterapkan hingga Anda menguji dan menyimpan setelan di bagian bawah halaman.

Setelan autentikasi SAML

Looker memerlukan URL IdP, Penerbit IdP, dan IdP Certificate untuk mengautentikasi IdP.

IdP Anda dapat menawarkan dokumen XML metadata IdP selama proses konfigurasi untuk Looker di sisi IdP. File ini berisi semua informasi yang diminta di bagian Setelan Autentikasi SAML. Jika memiliki file ini, Anda dapat menguploadnya di kolom IdP Metadata, yang akan mengisi kolom wajib diisi di bagian ini. Atau, Anda dapat mengisi kolom wajib diisi dari output yang diperoleh selama konfigurasi sisi IdP. Anda tidak perlu mengisi kolom jika mengupload file XML.

  • IdP Metadata (Opsional): Tempel URL publik dokumen XML yang berisi informasi IdP, atau tempel teks dokumen secara keseluruhan di sini. Looker akan mengurai file tersebut untuk mengisi kolom yang wajib diisi.

Jika Anda tidak mengupload atau menempelkan dokumen XML metadata IdP, masukkan informasi autentikasi IdP Anda di kolom IdP URL, IdP Penerbit, dan IdP Certificate.

  • URL IdP: URL tempat Looker akan diarahkan untuk mengautentikasi pengguna. Ini disebut URL Pengalihan di Okta.

  • IdP Penerbit: ID unik IdP. Kunci ini disebut "Kunci Eksternal" di Okta.

  • IdP Certificate: Kunci publik untuk mengizinkan Looker memverifikasi tanda tangan respons IdP.

Secara keseluruhan, ketiga kolom ini memungkinkan Looker mengonfirmasi bahwa serangkaian pernyataan SAML yang ditandatangani benar-benar berasal dari IdP tepercaya.

  • Audiens SP Entity/IdP: Kolom ini tidak diperlukan oleh Looker, tetapi banyak IdP yang memerlukan kolom ini. Jika Anda memasukkan nilai di kolom ini, nilai tersebut akan dikirim ke IdP sebagai Entity ID Looker dalam permintaan otorisasi. Dalam hal ini, Looker hanya akan menerima respons otorisasi yang memiliki nilai ini sebagai Audience. Jika IdP Anda memerlukan nilai Audience, masukkan string tersebut di sini.

Nilai ini juga digunakan sebagai kolom "penerbit" dalam pesan yang dikirim ke IdP. Jadi, jika IdP Anda mengeluhkan bahwa IdP Anda menerima pesan tanpa "penerbit", Anda harus mengisinya. Anda dapat menggunakan string apa pun yang mungkin diperlukan oleh IdP Anda. Dalam sebagian besar kasus, Anda dapat menggunakan "Looker". Jika kolom ini ada, IdP Anda harus mengirimkannya sebagai kolom "audiens" dalam pesan yang dikirimkan kembali ke Looker.

  • Pergeseran Jam yang Diizinkan: Jumlah detik penyimpangan jam (perbedaan stempel waktu antara IdP dan Looker) yang diizinkan. Nilai ini biasanya akan bernilai default 0, tetapi beberapa IdP mungkin memerlukan kelonggaran tambahan agar login berhasil.

Setelan atribut pengguna

Di kolom berikut, tentukan nama atribut dalam konfigurasi SAML IdP yang berisi informasi yang sesuai untuk setiap kolom. Memasukkan nama atribut SAML akan memberi tahu Looker cara memetakan kolom tersebut dan mengekstrak informasinya saat login. Looker tidak memiliki metode khusus terkait cara informasi ini dibuat, tetapi cara Anda memasukkannya ke Looker sesuai dengan cara atribut ditetapkan di IdP Anda. Looker memberikan saran default tentang cara membuat input tersebut.

Atribut standar

Anda harus menentukan atribut standar berikut:

  • Atribut Email: Nama atribut yang digunakan IdP untuk alamat email pengguna.

  • FName Attr: Nama atribut yang digunakan IdP untuk nama depan pengguna.

  • LName Attr: Nama atribut yang digunakan IdP untuk nama belakang pengguna.

Menyambungkan atribut SAML dengan atribut pengguna Looker

Secara opsional, Anda dapat menggunakan data dalam atribut SAML untuk mengisi nilai secara otomatis di atribut pengguna Looker saat pengguna login. Misalnya, jika telah mengonfigurasi SAML untuk membuat koneksi khusus pengguna ke database, Anda dapat menyambungkan atribut SAML dengan atribut pengguna Looker untuk membuat koneksi database bersifat spesifik per pengguna di Looker.

Untuk menyambungkan atribut SAML dengan atribut pengguna Looker yang sesuai:

  1. Masukkan nama atribut SAML di kolom SAML Attribute dan nama atribut pengguna Looker yang ingin disambungkan di kolom Atribut Pengguna Looker.
  2. Centang Required jika Anda ingin mewajibkan nilai atribut SAML untuk mengizinkan pengguna login.
  3. Klik + dan ulangi langkah-langkah ini untuk menambahkan pasangan atribut lainnya.

Grup dan peran

Anda memiliki opsi bagi Looker untuk membuat grup yang menduplikasi grup SAML yang dikelola secara eksternal, lalu menetapkan peran Looker kepada pengguna berdasarkan grup SAML yang dicerminkan. Saat Anda membuat perubahan pada keanggotaan grup SAML, perubahan tersebut akan otomatis diterapkan ke konfigurasi grup Looker.

Dengan mencerminkan grup SAML, Anda dapat menggunakan direktori SAML yang ditentukan secara eksternal untuk mengelola pengguna dan grup Looker. Dengan demikian, Anda dapat mengelola keanggotaan grup untuk beberapa alat software as a service (SaaS), seperti Looker, di satu tempat.

Jika Anda mengaktifkan Duplikasikan Grup SAML, Looker akan membuat satu grup Looker untuk setiap grup SAML yang diperkenalkan ke sistem. Grup Looker tersebut dapat dilihat di halaman Grup pada bagian Admin Looker. Grup dapat digunakan untuk menetapkan peran kepada anggota grup, menetapkan kontrol akses konten, dan menetapkan atribut pengguna.

Grup dan peran default

Secara default, tombol Mirror SAML Groups nonaktif. Dalam hal ini, Anda dapat menetapkan grup default untuk pengguna SAML baru. Di kolom Grup Pengguna Baru dan Peran Pengguna Baru, masukkan nama grup atau peran Looker yang ingin Anda tetapkan pengguna Looker barunya saat mereka pertama kali login ke Looker:

Grup dan peran ini diterapkan ke pengguna baru saat mereka login pertama kali. Grup dan peran tidak berlaku untuk pengguna yang sudah ada sebelumnya, dan tidak diterapkan kembali jika dihapus dari pengguna setelah login awal pengguna.

Jika nanti Anda mengaktifkan grup SAML duplikat, setelan default ini akan dihapus untuk pengguna saat login berikutnya dan digantikan dengan peran yang ditetapkan di bagian Grup SAML Cermin. Opsi default ini tidak akan tersedia atau ditetapkan lagi, dan akan digantikan sepenuhnya oleh konfigurasi grup yang dicerminkan.

Mengaktifkan grup SAML pencerminan

Jika Anda memilih untuk mencerminkan grup SAML dalam Looker, aktifkan tombol Cerminkan Grup SAML. Looker menampilkan setelan berikut:

Group Finder Strategy: Pilih sistem yang digunakan IdP untuk menetapkan grup, yang bergantung pada IdP Anda.

  • Hampir semua IdP menggunakan satu nilai atribut untuk menetapkan grup, seperti yang ditunjukkan dalam contoh pernyataan SAML ini: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dalam kasus ini, pilih Grup sebagai nilai atribut tunggal.

  • Beberapa IdP menggunakan atribut terpisah untuk setiap grup, lalu memerlukan atribut kedua untuk menentukan apakah pengguna adalah anggota grup atau tidak. Berikut adalah contoh pernyataan SAML yang menampilkan sistem ini: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dalam hal ini, pilih Grup sebagai atribut individual dengan nilai keanggotaan.

Atribut Grup: Looker menampilkan kolom ini jika Strategi Pencari Grup disetel ke Grup sebagai nilai atribut tunggal. Masukkan nama Atribut Grup yang digunakan oleh IdP.

Nilai Anggota Grup: Looker menampilkan kolom ini saat Strategi Pencari Grup ditetapkan ke Grup sebagai atribut individual dengan nilai keanggotaan. Masukkan nilai yang menunjukkan bahwa pengguna adalah anggota grup.

Pilihan Nama Grup/Peran/ID Grup SAML: Kumpulan kolom ini memungkinkan Anda menetapkan nama grup kustom dan satu atau beberapa peran yang ditetapkan ke grup SAML yang sesuai di Looker:

  1. Masukkan ID grup SAML di kolom SAML Group ID. Pengguna SAML yang disertakan dalam grup SAML akan ditambahkan ke grup yang diduplikasi dalam Looker.

  2. Masukkan nama kustom untuk grup yang diduplikasi di kolom Nama Kustom. Nama ini akan ditampilkan di halaman Grup di bagian Admin Looker.

  3. Pada kolom di sebelah kanan kolom Nama Kustom, pilih satu atau beberapa peran Looker yang akan ditetapkan kepada setiap pengguna dalam grup.

  4. Klik + untuk menambahkan kumpulan kolom tambahan guna mengonfigurasi grup duplikasi tambahan. Jika Anda memiliki beberapa grup yang dikonfigurasi dan ingin menghapus konfigurasi untuk grup, klik X di samping kumpulan kolom grup tersebut.

Jika Anda mengedit grup duplikat yang sebelumnya dikonfigurasi di layar ini, konfigurasi grup akan berubah, tetapi grup itu sendiri akan tetap utuh. Misalnya, Anda dapat mengubah nama kustom grup, yang akan mengubah tampilan grup di halaman Grup Looker, tetapi tidak akan mengubah peran dan anggota grup yang ditetapkan. Jika ID Grup SAML diubah, nama dan peran grup akan dipertahankan, tetapi anggota grup akan ditetapkan ulang berdasarkan pengguna yang merupakan anggota grup SAML eksternal yang memiliki grup SAML baru UD.

Setiap pengeditan yang dilakukan pada grup yang diduplikasi akan diterapkan ke pengguna grup tersebut saat mereka login kembali ke Looker.

Pengelolaan peran lanjutan

Jika Anda telah mengaktifkan tombol Grup SAML Cermin, Looker akan menampilkan setelan tersebut. Opsi di bagian ini menentukan seberapa besar fleksibilitas yang dimiliki admin Looker saat mengonfigurasi grup Looker dan pengguna yang telah diduplikasi dari SAML.

Misalnya, jika Anda ingin grup Looker dan konfigurasi pengguna sama persis dengan konfigurasi SAML, aktifkan opsi ini. Jika ketiga opsi pertama diaktifkan, admin Looker tidak dapat mengubah keanggotaan grup yang diduplikasi dan hanya dapat menetapkan peran kepada pengguna melalui grup yang diduplikasi SAML.

Jika Anda ingin lebih fleksibel dalam menyesuaikan grup dalam Looker, nonaktifkan opsi ini. Grup Looker Anda akan tetap mencerminkan konfigurasi SAML, tetapi Anda dapat melakukan pengelolaan pengguna dan grup tambahan dalam Looker, seperti menambahkan pengguna SAML ke grup khusus Looker atau menetapkan peran Looker langsung kepada pengguna SAML.

Untuk instance Looker baru, atau untuk instance yang tidak memiliki grup duplikasi yang dikonfigurasi sebelumnya, opsi ini dinonaktifkan secara default.

Untuk instance Looker yang ada dan saat ini telah mengonfigurasi grup duplikat, opsi ini diaktifkan secara default.

Mengaktifkan setelan yang lebih ketat akan menyebabkan pengguna kehilangan keanggotaan grup atau peran yang ditetapkan yang dikonfigurasi di Looker secara langsung. Hal ini terjadi saat pengguna tersebut login ke Looker lagi.

Bagian Pengelolaan Peran Lanjutan berisi opsi berikut:

Cegah Pengguna SAML Individu Menerima Peran Langsung: Mengaktifkan opsi ini akan mencegah admin Looker menetapkan peran Looker secara langsung kepada pengguna SAML. Pengguna SAML hanya akan menerima peran melalui keanggotaan grup mereka. Jika pengguna SAML diizinkan keanggotaan di grup Looker native (tidak diduplikasi), mereka masih dapat mewarisi perannya dari grup SAML yang diduplikasi dan dari grup Looker native. Setiap pengguna SAML yang sebelumnya diberi peran secara langsung akan dihapus peran tersebut saat mereka login lagi.

Jika opsi ini nonaktif, admin Looker dapat menetapkan peran Looker secara langsung ke pengguna SAML seolah-olah mereka dikonfigurasi secara native di Looker.

Cegah Keanggotaan Langsung di Grup non-SAML: Mengaktifkan opsi ini akan mencegah admin Looker menambahkan pengguna SAML langsung ke grup Looker native. Jika grup SAML yang diduplikasi diizinkan untuk menjadi anggota grup Looker native, pengguna SAML dapat mempertahankan keanggotaan di grup Looker induk mana pun. Setiap pengguna SAML yang sebelumnya ditetapkan ke grup Looker native akan dihapus dari grup tersebut saat login kembali.

Jika opsi ini nonaktif, admin Looker dapat menambahkan pengguna SAML langsung ke grup Looker native.

Cegah Pewarisan Peran dari Grup non-SAML: Mengaktifkan opsi ini akan mencegah anggota grup SAML yang dicerminkan mewarisi peran dari grup Looker native. Setiap pengguna SAML yang sebelumnya mewarisi peran dari grup Looker induk akan kehilangan peran tersebut saat mereka login kembali.

Jika opsi ini nonaktif, grup SAML yang dicerminkan atau pengguna SAML yang ditambahkan sebagai anggota grup Looker native akan mewarisi peran yang ditetapkan ke grup Looker induk.

Auth Memerlukan Peran: Jika opsi ini diaktifkan, pengguna SAML harus diberi peran. Setiap pengguna SAML yang tidak diberi peran tidak akan dapat login ke Looker sama sekali.

Jika opsi ini nonaktif, pengguna SAML dapat melakukan autentikasi ke Looker meskipun tidak ada peran yang ditetapkan. Pengguna tanpa peran yang ditetapkan tidak akan dapat melihat data atau melakukan tindakan apa pun di Looker, tetapi dapat login ke Looker.

Menonaktifkan grup SAML pencerminan

Jika Anda ingin berhenti menduplikasi grup SAML dalam Looker, nonaktifkan tombol Mirror SAML Groups. Semua grup SAML cermin kosong akan dihapus.

Grup SAML cermin yang tidak kosong akan tetap tersedia untuk digunakan dalam pengelolaan konten dan pembuatan peran. Namun, pengguna tidak dapat ditambahkan ke atau dihapus dari grup SAML duplikasi.

Opsi migrasi

Looker merekomendasikan agar Anda menyediakan strategi penggabungan seperti yang dijelaskan di bagian ini. Jika Anda menggunakan Looker (asli), Looker juga merekomendasikan agar Anda mengaktifkan Login Alternatif.

Login alternatif untuk admin dan pengguna tertentu

Login email/sandi Looker selalu dinonaktifkan untuk pengguna reguler saat Auth SAML diaktifkan. Opsi ini memungkinkan login berbasis email alternatif menggunakan /login/email untuk admin dan untuk pengguna tertentu dengan izin login_special_email.

Mengaktifkan opsi ini berguna sebagai penggantian selama penyiapan SAML Auth jika masalah konfigurasi SAML terjadi nanti, atau jika Anda perlu mendukung beberapa pengguna yang tidak memiliki akun di direktori SAML.

Untuk mengaktifkan login alternatif menggunakan Looker API, lihat halaman dokumentasi Mengaktifkan opsi login alternatif.

Tentukan metode yang digunakan untuk menggabungkan pengguna SAML ke akun Looker

Di kolom Merge Users Using, tentukan metode yang akan digunakan untuk menggabungkan login SAML pertama kali dengan akun pengguna yang ada. Anda dapat menggabungkan pengguna dari sistem berikut:

  • Email/Sandi Looker (tidak tersedia untuk Looker (inti Google Cloud))
  • Google
  • LDAP (tidak tersedia untuk Looker (Google Cloud core))
  • OIDC

Jika menggunakan lebih dari satu sistem, Anda dapat menentukan lebih dari satu sistem untuk digabungkan dalam kolom ini. Looker akan mencari pengguna dari sistem yang tercantum sesuai urutan yang ditentukan. Misalnya, Anda telah membuat beberapa pengguna menggunakan email/sandi Looker, lalu mengaktifkan LDAP, dan kini ingin menggunakan SAML. Looker akan menggabungkan email/sandi terlebih dahulu, lalu LDAP.

Saat pengguna login untuk pertama kalinya melalui SAML, opsi ini akan menghubungkan pengguna ke akun yang ada dengan cara mencari akun tersebut yang memiliki alamat email yang cocok. Jika tidak ada akun untuk pengguna, akun pengguna baru akan dibuat.

Menggabungkan pengguna saat menggunakan Looker (Google Cloud core)

Jika Anda menggunakan Looker (Google Cloud core) dan SAML, penggabungan akan berfungsi seperti yang dijelaskan di bagian sebelumnya. Namun, hal ini hanya dapat dilakukan jika salah satu dari dua kondisi berikut terpenuhi:

  1. Kondisi 1: Pengguna melakukan autentikasi ke Looker (inti Google Cloud) menggunakan identitas Google mereka melalui protokol SAML.

  2. Ketentuan 2 Sebelum memilih opsi penggabungan, Anda telah menyelesaikan dua langkah berikut:

Jika instance Anda tidak memenuhi salah satu dari dua kondisi ini, opsi Gabungkan Pengguna Menggunakan tidak akan tersedia.

Saat digabungkan, Looker akan menelusuri data pengguna yang memiliki alamat email yang sama persis.

Menguji autentikasi pengguna

Klik tombol Test untuk menguji setelan Anda. Pengujian akan dialihkan ke server dan tab browser akan terbuka. Tab ini menampilkan:

  • Apakah Looker dapat berkomunikasi dengan server dan melakukan validasi.
  • Nama-nama yang didapatkan Looker dari server. Anda harus memvalidasi bahwa server menampilkan hasil yang benar.
  • Rekaman aktivitas untuk menunjukkan cara info ditemukan. Gunakan rekaman aktivitas untuk memecahkan masalah jika informasinya salah. Jika memerlukan informasi tambahan, Anda dapat membaca file server XML mentah.

Baca hasil pengujian dengan cermat, karena beberapa bagian pengujian bisa berhasil meskipun ada bagian lainnya yang gagal.

Tips:

  • Anda dapat menjalankan pengujian ini kapan saja, meskipun SAML dikonfigurasi sebagian. Menjalankan pengujian dapat membantu selama konfigurasi untuk melihat parameter mana yang memerlukan konfigurasi.
  • Pengujian menggunakan setelan yang dimasukkan pada halaman Autentikasi SAML, meskipun setelan tersebut belum disimpan. Pengujian ini tidak akan memengaruhi atau mengubah setelan apa pun pada halaman tersebut.
  • Selama pengujian, Looker meneruskan informasi ke IdP menggunakan parameter RelayState SAML. IdP harus menampilkan nilai RelayState ini ke Looker tanpa diubah.

Pastikan untuk memastikan bahwa semua pengujian berhasil sebelum mengklik Update Settings. Menyimpan informasi konfigurasi SAML yang salah dapat mengunci diri Anda dan orang lain dari Looker.

Simpan dan terapkan setelan

Setelah selesai memasukkan informasi, dan semua pengujian berhasil, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapan secara global, lalu klik Perbarui Setelan untuk menyimpan.

Perilaku login pengguna

Saat pengguna mencoba login ke instance Looker menggunakan SAML, Looker akan terbuka ke halaman Log In. Pengguna harus mengklik tombol Autentikasi untuk memulai autentikasi melalui SAML.

Ini adalah perilaku default jika pengguna belum memiliki sesi Looker yang aktif.

Jika Anda ingin pengguna login langsung ke instance Looker setelah IdP mengautentikasi mereka, dan mengabaikan halaman Login, aktifkan Abaikan Halaman Login di bagian Perilaku Login.

Jika Anda menggunakan Looker (asli), fitur Abaikan Halaman Login harus diaktifkan oleh Looker. Guna memperbarui lisensi Anda untuk fitur ini, hubungi spesialis penjualan Google Cloud atau buka permintaan dukungan. Jika Anda menggunakan Looker (Google Cloud core), opsi Abaikan Halaman Login tersedia secara otomatis jika SAML digunakan sebagai metode autentikasi utama, dan setelan defaultnya adalah dinonaktifkan.

Saat Abaikan Halaman Login diaktifkan, urutan login pengguna adalah sebagai berikut:

  1. Pengguna mencoba terhubung ke URL Looker (misalnya, instance_name.looker.com).

  2. Looker menentukan apakah pengguna sudah mengaktifkan sesi aktif. Untuk melakukannya, Looker menggunakan cookie AUTH-MECHANISM-COOKIE guna mengidentifikasi metode otorisasi yang digunakan oleh pengguna di sesi terakhir mereka. Nilainya selalu berupa salah satu dari berikut: saml, ldap, oidc, google, atau email.

  3. Jika pengguna mengaktifkan sesi aktif, pengguna akan diarahkan ke URL yang diminta.

  4. Jika pengguna tidak mengaktifkan sesi aktif, mereka akan dialihkan ke IdP. IdP mengautentikasi pengguna saat mereka berhasil login ke IdP. Looker kemudian mengautentikasi pengguna saat IdP mengirim pengguna kembali ke Looker dengan informasi yang menunjukkan bahwa pengguna telah diautentikasi dengan IdP.

  5. Jika autentikasi di IdP berhasil, Looker akan memvalidasi pernyataan SAML, menerima autentikasi, memperbarui informasi pengguna, dan meneruskan pengguna ke URL yang diminta, mengabaikan halaman Login.

  6. Jika pengguna tidak dapat login ke IdP, atau jika mereka tidak diberi otorisasi oleh IdP untuk menggunakan Looker, bergantung pada IdP, pengguna akan tetap berada di situs IdP, atau dialihkan ke halaman Log In Looker.

Respons SAML melebihi batas

Jika pengguna yang mencoba mengautentikasi menerima error yang menunjukkan bahwa respons SAML telah melampaui ukuran maksimum, Anda dapat meningkatkan ukuran respons SAML maksimum yang diizinkan.

Untuk instance yang dihosting Looker, buka permintaan dukungan untuk memperbarui ukuran respons SAML maksimum.

Untuk instance Looker yang dihosting pelanggan, Anda dapat menetapkan ukuran respons SAML maksimum dalam jumlah byte dengan variabel lingkungan MAX_SAML_RESPONSE_BYTESIZE. Contoh:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Default untuk ukuran respons SAML maksimum adalah 250.000 byte.