Administratoreinstellungen – SAML-Authentifizierung

Im Abschnitt Authentifizierung des Menüs Admin können Sie Looker auf der Seite SAML so konfigurieren, dass Nutzer mithilfe der Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie erhalten Anweisungen zum Verknüpfen von SAML-Gruppen mit Looker-Rollen und -Berechtigungen.

SAML und Identitätsanbieter

Unternehmen verwenden unterschiedliche Identitätsanbieter (Identity Providers, IdPs) zur Koordination mit SAML, z. B. Okta oder OneLogin. Die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit den von Ihrem IdP verwendeten Begriffen überein. Wenn Sie während der Einrichtung Fragen haben, wenden Sie sich an Ihr internes SAML- oder Authentifizierungsteam oder an den Looker-Support.

Looker geht davon aus, dass SAML-Anfragen und ‐Assertions komprimiert sind. Achten Sie darauf, dass Ihr IdP entsprechend konfiguriert ist. Lookers Anfragen an den IdP sind nicht signiert.

Looker unterstützt die vom IdP initiierte Anmeldung.

Ein Teil der Einrichtung muss auf der Website des IdP abgeschlossen werden.

Okta bietet eine Looker-App an, die wir empfehlen, um Looker und Okta zusammen zu konfigurieren.

Looker bei Ihrem Identitätsanbieter einrichten

Ihr SAML-IdP benötigt die URL der Looker-Instanz, an die der SAML-IdP SAML-Assertions senden soll. Bei Ihrem IdP kann dieser Name unter anderem als „Post-Back-URL“, „Empfänger“ oder „Ziel“ bezeichnet werden.

Dazu müssen Sie die URL angeben, unter der Sie normalerweise über den Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs müssen Sie außerdem der Instanz-URL :9999 hinzufügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Informationen

Beachten Sie dabei Folgendes:

  • Für Looker ist SAML 2.0 erforderlich.
  • Deaktivieren Sie die SAML-Authentifizierung nur dann, wenn Sie über SAML bei Looker angemeldet sind, es sei denn, Sie haben ein alternatives Konto eingerichtet. Andernfalls könntest du die App für dich sperren.
  • Looker kann vorhandene Konten mithilfe von E-Mail-Adressen, die entweder aus aktuellen E-Mail- und Passworteinstellungen oder von Google Auth, LDAP oder OIDC stammen, zu SAML migrieren. Während der Einrichtung können Sie festlegen, wie bestehende Konten migriert werden.

Erste Schritte

Gehen Sie im Looker-Bereich Admin zur Seite SAML Authentication (SAML-Authentifizierung), um die folgenden Konfigurationsoptionen zu sehen. Beachten Sie, dass Änderungen an den Konfigurationsoptionen erst wirksam werden, wenn Sie die Einstellungen unten auf der Seite testen und speichern.

Einstellungen für die SAML-Authentifizierung

Looker benötigt die IdP-URL, den IdP-Aussteller und das IdP-Zertifikat, um Ihren IdP zu authentifizieren.

Ihr IdP kann während des Konfigurationsprozesses für Looker auf der IdP-Seite ein IdP-Metadaten-XML-Dokument anbieten. Diese Datei enthält alle im Abschnitt SAML Auth Settings (SAML-Authentifizierungseinstellungen) angeforderten Informationen. Wenn Sie diese Datei haben, können Sie sie in das Feld IdP Metadata (IdP-Metadaten) hochladen. Dadurch werden die Pflichtfelder in diesem Abschnitt ausgefüllt. Alternativ können Sie die Pflichtfelder aus der Ausgabe ausfüllen, die Sie während der IdP-seitigen Konfiguration erhalten haben. Du musst die Felder nicht ausfüllen, wenn du die XML-Datei hochlädst.

  • IdP Metadata (optional): Sie können die öffentliche URL des XML-Dokuments mit den IdP-Informationen einfügen oder den gesamten Text des Dokuments hier einfügen. Looker parst diese Datei, um die erforderlichen Felder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen Ihre IdP-Authentifizierungsinformationen in die Felder IdP-URL, IdP-Aussteller und IdP-Zertifikat ein.

  • IdP-URL: Die URL, unter der Looker Nutzer authentifiziert. Sie wird in Okta als Weiterleitungs-URL bezeichnet.

  • IdP Issuer (Aussteller des Identitätsanbieters): die eindeutige Kennung des Identitätsanbieters Dies wird in Okta als „External Key“ (Externer Schlüssel) bezeichnet.

  • IdP-Zertifikat: Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten prüfen kann.

Insgesamt lässt Looker anhand dieser drei Felder bestätigen, dass eine Reihe signierter SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

  • SP Entity/IdP Audience: Dieses Feld ist für Looker nicht erforderlich, aber viele IdPs benötigen es. Wenn Sie einen Wert in dieses Feld eingeben, wird er in Autorisierungsanfragen als Entity ID von Looker an Ihren IdP gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten, die diesen Wert als Audience haben. Wenn Ihr IdP einen Audience-Wert erfordert, geben Sie diesen String hier ein.
  • Zulässige Uhrabweichung: Die zulässige Anzahl von Sekunden der Zeitverschiebung (die Differenz der Zeitstempel zwischen dem IdP und Looker). Dieser Wert ist normalerweise der Standardwert 0, aber einige IdPs erfordern möglicherweise mehr Spielraum für erfolgreiche Anmeldungen.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, die die entsprechenden Informationen für jedes Feld enthält. Durch die Eingabe der SAML-Attributnamen wird Looker mitgeteilt, wie diese Felder zugeordnet und ihre Informationen zum Zeitpunkt der Anmeldung extrahiert werden sollen. Bei Looker geht es nicht um die Art und Weise, wie diese Informationen aufgebaut sind. Es ist nur wichtig, dass die Art und Weise, wie Sie sie in Looker eingeben, der Art und Weise entspricht, wie die Attribute in Ihrem IdP definiert sind. Looker bietet Standardvorschläge zum Erstellen dieser Eingaben.

Standardattribute

Sie müssen die folgenden Standardattribute angeben:

  • Email Attr (E-Mail-Adresse): Der Attributname, den Ihr IdP für die E-Mail-Adressen von Nutzern verwendet.

  • FName Attr: Der Attributname, den Ihr IdP für die Vornamen der Nutzer verwendet.

  • LName Attr (LName-Zuordnung): Der Attributname, den Ihr IdP für die Nachnamen der Nutzer verwendet.

SAML-Attribute mit Looker-Benutzerattributen koppeln

Optional können Sie die Daten in Ihren SAML-Attributen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie SAML beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen kombinieren, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So koppeln Sie SAML-Attribute mit entsprechenden Looker-Benutzerattributen:

  1. Geben Sie den Namen des SAML-Attributs in das Feld SAML Attribute und den Namen des Looker-Nutzerattributs, mit dem Sie es koppeln möchten, in das Feld Looker-Nutzerattribute ein.
  2. Klicken Sie Required (Erforderlich) an, wenn Sie einen SAML-Attributwert erzwingen möchten, damit sich ein Nutzer anmelden kann.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie haben die Möglichkeit, Gruppen zu erstellen, die Ihre extern verwalteten SAML-Gruppen spiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten SAML-Gruppen zuzuweisen. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese automatisch in die Looker-Gruppenkonfiguration übernommen.

Durch das Spiegeln von SAML-Gruppen können Sie Ihr extern definiertes SAML-Verzeichnis zur Verwaltung von Looker-Gruppen und -Nutzern verwenden. Dadurch können Sie wiederum Ihre Gruppenmitgliedschaft für verschiedene SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie Mirror SAML Groups (SAML-Gruppen spiegeln) aktivieren, erstellt Looker für jede SAML-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Mithilfe von Gruppen können Sie Gruppenmitgliedern Rollen zuweisen, Zugriffssteuerungen für Inhalte festlegen und Nutzerattribute zuweisen.

Standardgruppen und -rollen

Der Schalter Mirror SAML Groups (SAML-Gruppen spiegeln) ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neuen Looker-Nutzern bei der ersten Anmeldung in Looker zuweisen möchten:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und auch nicht noch einmal, wenn sie nach der ersten Anmeldung von Nutzern entfernt werden.

Wenn Sie die Spiegelungs-SAML-Gruppen später aktivieren, werden diese Standardeinstellungen für Nutzer bei ihrer nächsten Anmeldung entfernt und durch Rollen ersetzt, die im Abschnitt SAML-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.

Spiegel-SAML-Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter Mirror SAML Groups (SAML-Gruppen spiegeln). In Looker werden die folgenden Einstellungen angezeigt:

Group Finder Strategy (Gruppensuche): Wählen Sie das System aus, das der IdP zum Zuweisen von Gruppen verwendet. Das hängt von Ihrem IdP ab.

  • Fast alle IdPs verwenden für die Zuweisung von Gruppen einen einzelnen Attributwert, wie in dieser SAML-Beispiel-Assertion gezeigt: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als Werte einzelner Attribute aus.

  • Einige IdPs verwenden für jede Gruppe ein separates Attribut und benötigen dann ein zweites Attribut, um festzustellen, ob ein Nutzer Mitglied einer Gruppe ist. Unten sehen Sie ein Beispiel für eine SAML-Assertion, die dieses System veranschaulicht: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als einzelne Attribute mit Mitgliedschaftswert aus.

Gruppenattribut: In Looker wird dieses Feld angezeigt, wenn die Group Finder-Strategie auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Groups-Attributs ein, das vom IdP verwendet wird.

Wert des Gruppenmitglieds: Dieses Feld wird in Looker angezeigt, wenn die Gruppensuche-Strategie auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Preferred Gruppenname/Rollen/SAML-Gruppen-ID: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen sind:

  1. Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID (SAML-Gruppen-ID) ein. Geben Sie für Okta-Nutzer den Namen der Okta-Gruppe als SAML-Gruppen-ID ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

  2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

  4. Klicken Sie auf +, um weitere Felder hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch erhalten. Wenn Sie beispielsweise den benutzerdefinierten Namen einer Gruppe ändern, ändert sich dadurch die Darstellung der Gruppe auf der Looker-Seite Gruppen. Die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch bestehen. Durch das Ändern der SAML-Gruppen-ID werden der Gruppenname und die Rollen beibehalten, die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen SAML-Gruppen-UD sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter Mirror SAML Groups (SAML-Gruppen spiegeln) aktiviert haben, werden diese Einstellungen in Looker angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und Benutzern haben, die von SAML gespiegelt wurden.

Wenn beispielsweise die Looker-Gruppe und die Benutzerkonfiguration genau Ihrer SAML-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaften in gespiegelten Gruppen nicht ändern und Nutzern nur über SAML-Spiegelgruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung innerhalb von Looker durchführen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder SAML-Nutzern Looker-Rollen direkt zuweisen.

Bei neuen Looker-Instanzen oder bei Instanzen, die keine zuvor konfigurierten gespiegelten Gruppen haben, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Im Abschnitt Erweiterte Rollenverwaltung sind folgende Optionen verfügbar:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzern keine direkten Rollen zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaft. Wenn SAML-Nutzern die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen gestattet ist, können sie ihre Rollen sowohl von gespiegelten SAML-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Allen SAML-Nutzern, denen Rollen zuvor direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren Looker-Rollen direkt SAML-Nutzern zuweisen, so als wären sie direkt in Looker konfiguriert.

Direkte Mitgliedschaft in Nicht-SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können SAML-Nutzer die Mitgliedschaft in einer beliebigen übergeordneten Looker-Gruppe beibehalten. Alle SAML-Benutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Verhindern, dass Rollen von Nicht-SAML-Gruppen übernommen werden: Wenn Sie diese Option aktivieren, können Mitglieder in gespiegelten SAML-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. SAML-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, übernehmen gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth erfordert Rolle: Wenn diese Option aktiviert ist, muss SAML-Nutzern eine Rolle zugewiesen sein. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht bei Looker anmelden.

Wenn diese Option deaktiviert ist, können sich SAML-Nutzer auch dann bei Looker authentifizieren, wenn sie keine Rolle zugewiesen haben. Ein Benutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen und keine Aktionen ausführen, er kann sich jedoch in Looker anmelden.

Spiegel-SAML-Gruppen deaktivieren

Wenn Sie die Spiegelung Ihrer SAML-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter Mirror SAML Groups (SAML-Gruppen spiegeln). Leere gespiegelte SAML-Gruppen werden gelöscht.

Spiegel-SAML-Gruppen, die nicht leer sind, können weiterhin für die Content-Verwaltung und das Erstellen von Rollen verwendet werden. Es ist jedoch nicht möglich, Nutzer zu gespiegelten SAML-Gruppen hinzuzufügen oder daraus zu entfernen.

Migrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

Anmeldungen mit E-Mail-Adresse und Passwort für Looker sind für normale Nutzer immer deaktiviert, wenn SAML-Authentifizierung aktiviert ist. Diese Option ermöglicht Administratoren und bestimmten Nutzern mit der Berechtigung login_special_email eine alternative E-Mail-Anmeldung mit /login/email.

Das Aktivieren dieser Option ist als Fallback bei der Einrichtung der SAML-Authentifizierung nützlich, falls später Probleme mit der SAML-Konfiguration auftreten oder Sie Support für Nutzer benötigen, die keine Konten in Ihrem SAML-Verzeichnis haben.

Methode zum Zusammenführen von SAML-Nutzern mit einem Looker-Konto angeben

Geben Sie im Feld Merge Users Using die Methode an, die verwendet werden soll, um eine Erstanmeldung über SAML mit einem bestehenden Nutzerkonto zusammenzuführen. Sie können Nutzer aus den folgenden Systemen zusammenführen:

  • Looker-E-Mail-Adresse/-Passwort (nicht verfügbar für Looker (Google Cloud Core))
  • Google
  • LDAP (nicht verfügbar für Looker (Google Cloud Core))
  • OIDC

Wenn Sie mehrere Systeme eingerichtet haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker sucht nach Nutzern aus den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit der E-Mail-Adresse und dem Passwort von Looker erstellt, dann haben Sie LDAP aktiviert und möchten jetzt SAML verwenden. Looker würde zuerst anhand von E-Mail-Adresse und Passwort und dann mit LDAP zusammengeführt.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, wird mit dieser Option der Nutzer mit seinem bestehenden Konto verknüpft, indem das Konto mit einer entsprechenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues erstellt.

Benutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen

Wenn Sie Looker (Google Cloud Core) und SAML verwenden, erfolgt die Zusammenführung wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der beiden folgenden Bedingungen erfüllt ist:

  1. Bedingung 1: Nutzer authentifizieren sich mit ihrer Google-Identität über das SAML-Protokoll bei Looker (Google Cloud Core).

  2. Bedingung 2: Bevor Sie die Zusammenführungsoption ausgewählt haben, haben Sie die folgenden zwei Schritte ausgeführt:

Wenn Ihre Instanz eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen mit nicht verfügbar.

Bei der Zusammenführung sucht Looker (Google Cloud Core) nach Benutzerdatensätzen, die genau dieselbe E-Mail-Adresse haben.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um Ihre Einstellungen zu testen. Bei Tests wird eine Weiterleitung zum Server durchgeführt und ein Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:

  • Gibt an, ob Looker mit dem Server kommunizieren und validieren konnte.
  • Die Namen, die Looker vom Server erhält. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
  • Ein Trace, um zu zeigen, wie die Informationen gefunden wurden. Wenn die Informationen falsch sind, verwenden Sie den Trace zur Fehlerbehebung. Falls Sie weitere Informationen benötigen, können Sie die XML-Serverdatei im Rohformat lesen.

Tipps:

  • Sie können diesen Test jederzeit ausführen, auch wenn SAML nur teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
  • Für den Test werden die auf der Seite SAML Authentication (SAML-Authentifizierung) eingegebenen Einstellungen verwendet, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test wirkt sich nicht auf die Einstellungen auf dieser Seite aus.
  • Während des Tests leitet Looker Informationen über den SAML-Parameter RelayState an den IdP weiter. Der IdP sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Speichern und Einstellungen anwenden

Wenn Sie Ihre Informationen eingegeben haben und alle Tests bestanden wurden, aktivieren Sie die Option Ich habe die oben genannte Konfiguration bestätigt und möchte die globale Anwendung aktivieren. Klicken Sie dann zum Speichern auf Einstellungen aktualisieren.

Verhalten bei der Nutzeranmeldung

Wenn ein Nutzer versucht, sich über SAML in einer Looker-Instanz anzumelden, wird in Looker die Seite Anmelden geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Dies ist das Standardverhalten, wenn der Benutzer noch keine aktive Looker-Sitzung hat.

Wenn Sie möchten, dass sich Ihre Nutzer direkt in Ihrer Looker-Instanz anmelden können, nachdem sie vom IdP authentifiziert wurden, und damit die Seite Anmelden umgangen werden sollen, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Wenn Sie Looker (Original) verwenden, muss die Funktion Anmeldeseite umgehen von Looker aktiviert sein. Wenn Sie Ihre Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an einen Google Cloud-Vertriebsexperten oder stellen Sie eine Supportanfrage. Wenn Sie Looker (Google Cloud Core) verwenden, ist die Option Anmeldeseite umgehen automatisch verfügbar, wenn SAML als primäre Authentifizierungsmethode verwendet wird. Sie ist standardmäßig deaktiviert.

Wenn Anmeldeseite umgehen aktiviert ist, sieht der Nutzer bei der Anmeldung folgende Abfolge an:

  1. Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen, z. B. instance_name.looker.com.

  2. Looker ermittelt, ob für den Benutzer bereits eine aktive Sitzung aktiviert ist. Dazu verwendet Looker das Cookie AUTH-MECHANISM-COOKIE, um die vom Nutzer in der letzten Sitzung verwendete Autorisierungsmethode zu identifizieren. Der Wert ist immer einer der folgenden Werte: saml, ldap, oidc, google oder email.

  3. Wenn für den Nutzer eine aktive Sitzung aktiviert ist, wird er zur angeforderten URL weitergeleitet.

  4. Wenn der Nutzer keine aktive Sitzung aktiviert hat, wird er zum IdP weitergeleitet. Der IdP authentifiziert den Nutzer, wenn er sich erfolgreich beim IdP angemeldet hat. Looker authentifiziert den Nutzer dann, wenn der IdP den Nutzer mit Informationen zurück an Looker sendet, aus denen hervorgeht, dass er beim IdP authentifiziert ist.

  5. Wenn die Authentifizierung beim IdP erfolgreich war, validiert Looker die SAML-Assertions, akzeptiert die Authentifizierung, aktualisiert die Nutzerinformationen und leitet den Nutzer an die angeforderte URL weiter. Dabei wird die Seite Log In (Anmelden) umgangen.

  6. Wenn sich der Nutzer nicht beim IdP anmelden kann oder nicht vom IdP zur Verwendung von Looker autorisiert ist, verbleibt er je nach IdP entweder auf der Website des IdP oder wird zur Looker-Seite Log-in weitergeleitet.

SAML-Antwort überschreitet Limit

Wenn Nutzer bei der Authentifizierung Fehler erhalten, die darauf hinweisen, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximal zulässige Größe der SAML-Antwort erhöhen.

Öffnen Sie eine Supportanfrage für von Looker gehostete Instanzen, um die maximale SAML-Antwortgröße zu aktualisieren.

Für vom Kunden gehostete Looker-Instanzen können Sie die maximale Größe der SAML-Antwort in Byte mit der Umgebungsvariable MAX_SAML_RESPONSE_BYTESIZE festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale Größe von SAML-Antworten beträgt 250.000 Byte.