Reichen Sie Ihren Hack bald für den Looker Hackathon 2025 [Public Sector Edition] ein. Gewinnen Sie einen echten Preis für den besten Hack und zeigen Sie, was Sie mit Daten alles anstellen können. Weitere Informationen finden Sie in den FAQs und offiziellen Regeln.

Diese Seite wurde von der Cloud Translation API übersetzt.

Administratoreinstellungen – SAML-Authentifizierung

Auf der Seite SAML im Bereich Authentifizierung des Menüs Administrator können Sie Looker so konfigurieren, dass Nutzer mithilfe von Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie hier eine Anleitung zum Verknüpfen von SAML-Gruppen mit Looker-Rollen und -Berechtigungen.

Voraussetzungen

Die Seite SAML wird in Looker im Abschnitt Authentifizierung des Menüs Admin nur angezeigt, wenn die folgenden Bedingungen erfüllt sind:

Sie haben die Administratorrolle.
Ihre Looker-Instanz ist für die Verwendung von SAML aktiviert.

Wenn diese Bedingungen erfüllt sind und Sie die Seite SAML nicht sehen, stellen Sie eine Supportanfrage, um SAML für Ihre Instanz zu aktivieren.

SAML und Identitätsanbieter

Unternehmen verwenden verschiedene Identitätsanbieter (IdPs) zur Koordination mit SAML (z. B. Okta oder OneLogin). Die Begriffe, die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendet werden, stimmen möglicherweise nicht direkt mit denen Ihres Identitätsanbieters überein. Wenn Sie während der Einrichtung Fragen haben, wenden Sie sich an Ihr internes SAML- oder Authentifizierungsteam oder an den Looker-Support.

Looker geht davon aus, dass SAML-Anfragen und -Assertions komprimiert werden. Achten Sie darauf, dass Ihr IdP entsprechend konfiguriert ist. Looker-Anfragen an den IdP werden nicht signiert.

Looker unterstützt die vom IdP initiierte Anmeldung.

Ein Teil der Einrichtung muss auf der Website des Identitätsanbieters erfolgen.

Okta bietet eine Looker-App, die die empfohlene Methode zum Konfigurieren von Looker und Okta ist.

Looker in Ihrem Identitätsanbieter einrichten

Ihr SAML-IdP benötigt die Looker-Instanz-URL, an die der SAML-IdP SAML-Assertions senden soll. Bei Ihrem IdP kann das Feld unter anderem „Postback-URL“, „Empfänger“ oder „Ziel“ heißen.

Geben Sie die URL ein, über die Sie normalerweise mit dem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs müssen Sie nach der Instanz-URL auch :9999 hinzufügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Informationen

Beachten Sie Folgendes:

Für Looker ist SAML 2.0 erforderlich.
Deaktivieren Sie die SAML-Authentifizierung nicht, während Sie über SAML in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich selbst aus der App aussperren.
Looker kann vorhandene Konten zu SAML migrieren. Dazu werden E‑Mail-Adressen verwendet, die entweder aus aktuellen E‑Mail- und Passworteinrichtungen oder aus Google Auth, LDAP oder OIDC stammen. Sie können im Einrichtungsprozess konfigurieren, wie vorhandene Konten migriert werden.

Erste Schritte

Rufen Sie in Looker im Bereich Admin die Seite SAML Authentication (SAML-Authentifizierung) auf, um die folgenden Konfigurationsoptionen zu sehen. Änderungen an Konfigurationsoptionen werden erst wirksam, wenn Sie Ihre Einstellungen unten auf der Seite testen und speichern.

SAML-Authentifizierungseinstellungen

Für die Authentifizierung Ihres IdP sind die IdP-URL, der IdP-Aussteller und das IdP-Zertifikat erforderlich.

Ihr IdP bietet möglicherweise ein XML-Dokument mit IdP-Metadaten während der Konfiguration von Looker auf der IdP-Seite an. Diese Datei enthält alle Informationen, die im Abschnitt SAML Auth Settings (SAML-Authentifizierungseinstellungen) angefordert werden. Wenn Sie diese Datei haben, können Sie sie in das Feld IdP Metadata (IdP-Metadaten) hochladen. Dadurch werden die erforderlichen Felder in diesem Abschnitt ausgefüllt. Alternativ können Sie die erforderlichen Felder mit den Ausgaben ausfüllen, die Sie bei der Konfiguration auf IdP-Seite erhalten haben. Wenn Sie die XML-Datei hochladen, müssen Sie die Felder nicht ausfüllen.

IdP Metadata (Optional) (IdP-Metadaten, optional): Fügen Sie entweder die öffentliche URL des XML-Dokuments mit den IdP-Informationen oder den gesamten Text des Dokuments hier ein. Looker parst diese Datei, um die erforderlichen Felder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen die Authentifizierungsinformationen Ihres IdP in die Felder IdP URL (IdP-URL), IdP Issuer (IdP-Aussteller) und IdP Certificate (IdP-Zertifikat) ein.

IdP-URL: Die URL, die Looker verwendet, um Nutzer zu authentifizieren. In Okta wird dies als Weiterleitungs-URL bezeichnet.
IdP Issuer (Aussteller des Identitätsanbieters): Die eindeutige Kennung des Identitätsanbieters. In Okta wird dies als „External Key“ bezeichnet.
IdP-Zertifikat: Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten verifizieren kann.

Mithilfe dieser drei Felder kann Looker bestätigen, dass eine Reihe signierter SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

SP-Entität/IdP-Zielgruppe: Dieses Feld ist für Looker nicht erforderlich, aber viele IdPs benötigen es. Wenn Sie einen Wert in dieses Feld eingeben, wird dieser Wert als Entity ID von Looker in Autorisierungsanfragen an Ihren Identitätsanbieter gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten, bei denen dieser Wert als Audience angegeben ist. Wenn Ihr IdP einen Audience-Wert erfordert, geben Sie den String hier ein.

Zulässige Zeitabweichung: Die Anzahl der Sekunden der Zeitabweichung (die Differenz zwischen den Zeitstempeln des IdP und von Looker), die zulässig ist. Dieser Wert ist in der Regel der Standardwert 0. Einige IdPs erfordern jedoch möglicherweise einen größeren Spielraum für erfolgreiche Anmeldungen.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, der die entsprechenden Informationen für jedes Feld enthält. Wenn Sie die Namen der SAML-Attribute eingeben, wird Looker mitgeteilt, wie diese Felder zugeordnet und ihre Informationen bei der Anmeldung extrahiert werden sollen. Looker ist nicht besonders anspruchsvoll, was die Struktur dieser Informationen angeht. Es ist nur wichtig, dass die Art und Weise, wie Sie sie in Looker eingeben, mit der Art und Weise übereinstimmt, wie die Attribute in Ihrem Identitätsanbieter definiert sind. Looker bietet Standardsuggestionen für die Erstellung dieser Eingaben.

Standardattribute

Sie müssen die folgenden Standardattribute angeben:

Email Attr (E-Mail-Attribut): Der Attributname, den Ihr IdP für E-Mail-Adressen von Nutzern verwendet.
FName Attr: Der Attributname, den Ihr IdP für die Vornamen der Nutzer verwendet.
LName Attr: Der Attributname, den Ihr IdP für die Nachnamen der Nutzer verwendet.

SAML-Attribute mit Looker-Nutzerattributen verknüpfen

Sie können die Daten in Ihren SAML-Attributen optional verwenden, um Werte in Nutzerattributen in Looker automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise SAML so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen kombinieren, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu gestalten.

So ordnen Sie SAML-Attribute den entsprechenden Looker-Nutzerattributen zu:

Geben Sie im Feld SAML Attribute den Namen des SAML-Attributs und im Feld Looker User Attributes den Namen des Looker-Nutzerattributs ein, das Sie damit verknüpfen möchten.
Klicken Sie auf Erforderlich, wenn ein SAML-Attributwert erforderlich sein soll, damit sich ein Nutzer anmelden kann.
Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie haben die Möglichkeit, dass Looker Gruppen erstellt, die Ihre extern verwalteten SAML-Gruppen widerspiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten SAML-Gruppen zuweist. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Durch das Spiegeln von SAML-Gruppen können Sie Ihr extern definiertes SAML-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. So können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software-as-a-Service) wie Looker an einem Ort verwalten.

Wenn Sie SAML-Gruppen spiegeln aktivieren, erstellt Looker für jede SAML-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können im Abschnitt Admin von Looker auf der Seite Gruppen aufgerufen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und ‑rollen

Der Schalter SAML-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, die Sie neuen Looker-Nutzern zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung der Nutzer entfernt werden.

Wenn Sie später die Spiegelung von SAML-Gruppen aktivieren, werden diese Standardeinstellungen beim nächsten Login der Nutzer entfernt und durch Rollen ersetzt, die im Abschnitt SAML-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration der gespiegelten Gruppen ersetzt.

SAML-Gruppen spiegeln

Wenn Sie eine Looker (Google Cloud Core)-Instanz verwenden, empfehlen wir, die Gruppenspiegelung nur für die primäre Authentifizierungsmethode zu aktivieren und nicht für die OAuth-Sicherheitsauthentifizierung. Wenn Sie die Gruppenspiegelung sowohl für die primäre als auch für die sekundäre Authentifizierungsmethode aktivieren, gilt Folgendes:

Wenn ein Nutzer Identitäten zusammengeführt hat, wird beim Spiegeln von Gruppen die primäre Authentifizierungsmethode verwendet, unabhängig davon, welche Authentifizierungsmethode tatsächlich für die Anmeldung verwendet wurde.
Wenn ein Nutzer keine zusammengeführten Identitäten hat, wird bei der Gruppenspiegelung die Authentifizierungsmethode verwendet, mit der er sich angemeldet hat.

Spiegelung von Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter SAML-Gruppen spiegeln. In Looker werden diese Einstellungen angezeigt:

Group Finder Strategy (Strategie für die Gruppensuche): Wählen Sie das System aus, das der IdP zum Zuweisen von Gruppen verwendet. Das hängt von Ihrem IdP ab.

Fast alle IdPs verwenden einen einzelnen Attributwert, um Gruppen zuzuweisen, wie in dieser Beispiel-SAML-Assertion zu sehen ist: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als Werte einzelner Attribute aus.
Einige IdPs verwenden für jede Gruppe ein separates Attribut und erfordern dann ein zweites Attribut, um festzustellen, ob ein Nutzer Mitglied einer Gruppe ist. Ein Beispiel für eine SAML-Assertion, die diesem System folgt: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als einzelne Attribute mit Mitgliedschaftswert aus.

Attribut „Gruppen“: Dieses Feld wird in Looker angezeigt, wenn die Strategie für die Gruppensuche auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Gruppenattributs ein, das vom IdP verwendet wird.

Gruppenmitgliedswert: Dieses Feld wird in Looker angezeigt, wenn die Strategie für die Gruppensuche auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Bevorzugter Gruppenname/Bevorzugte Rollen/SAML-Gruppen-ID: Mit dieser Gruppe von Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen werden:

Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID (SAML-Gruppen-ID) ein. Geben Sie für Okta-Nutzer den Okta-Gruppennamen als SAML-Gruppen-ID ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.
Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dies ist der Name, der im Bereich Admin von Looker auf der Seite Gruppen angezeigt wird.
Wählen Sie im Feld rechts neben Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.
Klicken Sie auf +, um weitere Feldgruppen hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie könnten beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch ändert sich die Darstellung der Gruppe auf der Seite Gruppen in Looker, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die SAML-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen SAML-Gruppen-ID sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter SAML-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Bereich wird festgelegt, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und ‑Nutzern haben, die aus SAML gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppen- und Nutzerkonfiguration genau mit Ihrer SAML-Konfiguration übereinstimmt, aktivieren Sie diese Optionen. Wenn die ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaften in gespiegelten Gruppen nicht ändern und Nutzern nur über gespiegelte SAML-Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration wider. Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder SAML-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder Instanzen, für die noch keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzern keine Looker-Rollen direkt zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn SAML-Nutzer Mitgliedschaften in integrierten (nicht gespiegelten) Looker-Gruppen haben dürfen, können sie ihre Rollen weiterhin sowohl von gespiegelten SAML-Gruppen als auch von integrierten Looker-Gruppen erben. Allen SAML-Nutzern, denen zuvor Rollen direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entzogen.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzern Looker-Rollen direkt zuweisen, als wären sie direkt in Looker konfiguriert.

Direkte Mitgliedschaft in Nicht-SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, behalten SAML-Nutzer möglicherweise die Mitgliedschaft in allen übergeordneten Looker-Gruppen bei. Alle SAML-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Übernahme von Rollen aus nicht von SAML verwalteten Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten SAML-Gruppen keine Rollen aus integrierten Looker-Gruppen übernehmen. Alle SAML-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth Requires Role (Rolle für die Authentifizierung erforderlich): Wenn diese Option aktiviert ist, muss SAML-Nutzern eine Rolle zugewiesen sein. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich SAML-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Ein Nutzer ohne zugewiesene Rolle kann keine Daten sehen und keine Aktionen in Looker ausführen, sich aber in Looker anmelden.

SAML-Gruppen für Spiegelung deaktivieren

Wenn Sie die Spiegelung Ihrer SAML-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter SAML-Gruppen spiegeln. Wenn Sie den Schalter deaktivieren, führt das zu folgendem Verhalten:

Alle SAML-Spiegelgruppen ohne Nutzer werden sofort gelöscht.
Alle SAML-Spiegelgruppen, die Nutzer enthalten, werden als verwaist markiert. Wenn sich innerhalb von 31 Tagen keine Nutzer dieser Gruppe anmelden, wird die Gruppe gelöscht. Nutzer können nicht mehr zu verwaisten SAML-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

Die Looker-Anmeldung per E‑Mail-Adresse und Passwort ist für normale Nutzer immer deaktiviert, wenn die SAML-Authentifizierung aktiviert ist. Mit dieser Option können Sie eine alternative E‑Mail-basierte Anmeldung über /login/email für Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email erlauben.

Diese Option ist als Fallback bei der Einrichtung der SAML-Authentifizierung nützlich, wenn später Probleme mit der SAML-Konfiguration auftreten oder wenn Sie Nutzer unterstützen müssen, die keine Konten in Ihrem SAML-Verzeichnis haben.

Methode zum Zusammenführen von SAML-Nutzern in einem Looker-Konto angeben

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, die zum Zusammenführen einer erstmaligen SAML-Anmeldung mit einem bestehenden Nutzerkonto verwendet werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

Looker-E‑Mail-Adresse/-Passwort (nicht für Looker (Google Cloud Core) verfügbar)
Google
LDAP (nicht für Looker (Google Cloud Core) verfügbar)
OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. Looker sucht Nutzer in den aufgeführten Systemen in der angegebenen Reihenfolge. Angenommen, Sie haben einige Nutzer mit Looker-E-Mail-Adresse und ‑Passwort erstellt, dann LDAP aktiviert und möchten nun SAML verwenden. Looker würde zuerst nach E‑Mail-Adresse und Passwort und dann nach LDAP zusammenführen.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verknüpft. Dazu wird das Konto mit einer übereinstimmenden E-Mail-Adresse gesucht. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzer zusammenführen, wenn Looker (Google Cloud Core) verwendet wird

Wenn Sie Looker (Google Cloud Core) und SAML verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Das ist jedoch nur möglich, wenn eine der beiden folgenden Bedingungen erfüllt ist:

Bedingung 1: Nutzer authentifizieren sich in Looker (Google Cloud Core) mit ihren Google-Identitäten über das SAML-Protokoll.
Bedingung 2: Bevor Sie die Option zum Zusammenführen auswählen, haben Sie die folgenden beiden Schritte ausgeführt:
- Identitäten föderierter Nutzer in Google Cloud mit Cloud Identity
- Richten Sie die OAuth-Authentifizierung als Backup-Authentifizierungsmethode für die Verbundnutzer ein.

Wenn Ihre Instanz eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen mit nicht verfügbar.

Beim Zusammenführen sucht Looker (Google Cloud Core) nach Nutzerdatensätzen mit genau derselben E‑Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um Ihre Einstellungen zu testen. Bei Tests wird eine Weiterleitung zum Server durchgeführt und ein Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:

Ob Looker mit dem Server kommunizieren und die Validierung durchführen konnte.
Die Namen, die Looker vom Server abruft. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
Ein Trace, der zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace, um Fehler zu beheben, wenn die Informationen falsch sind. Wenn Sie zusätzliche Informationen benötigen, können Sie die XML-Serverdatei im Rohformat lesen.

Tipps:

Sie können diesen Test jederzeit ausführen, auch wenn SAML teilweise konfiguriert ist. Das Ausführen eines Tests kann bei der Konfiguration hilfreich sein, um zu sehen, welche Parameter konfiguriert werden müssen.
Für den Test werden die Einstellungen verwendet, die auf der Seite SAML-Authentifizierung eingegeben wurden, auch wenn sie nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.
Während des Tests übergibt Looker Informationen an den IdP über den SAML-Parameter RelayState. Der IdP sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden sind, setzen Sie ein Häkchen bei I have confirmed the configuration above and want to enable applying it globally (Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden) und klicken Sie auf Update Settings (Einstellungen aktualisieren), um die Änderungen zu speichern.

Verhalten bei der Nutzeranmeldung

Wenn ein Nutzer versucht, sich mit SAML in einer Looker-Instanz anzumelden, wird die Seite Anmelden in Looker geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Das ist das Standardverhalten, wenn der Nutzer noch keine aktive Looker-Sitzung hat.

Wenn sich Ihre Nutzer nach der Authentifizierung durch Ihren IdP direkt in Ihrer Looker-Instanz anmelden und die Seite Anmelden umgehen sollen, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Wenn Sie Looker (Original) verwenden, muss die Funktion Anmeldeseite umgehen von Looker aktiviert werden. Wenn Sie Ihre Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an einen Google Cloud Vertriebsspezialisten oder erstellen Sie eine Supportanfrage. Wenn Sie Looker (Google Cloud Core) verwenden, ist die Option Anmeldeseite umgehen automatisch verfügbar, wenn SAML als primäre Authentifizierungsmethode verwendet wird. Sie ist standardmäßig deaktiviert.

Wenn Anmeldeseite umgehen aktiviert ist, sieht die Nutzeranmeldung so aus:

Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen (z. B. instance_name.looker.com).
Looker ermittelt, ob der Nutzer bereits eine aktive Sitzung hat. Dazu verwendet Looker das Cookie AUTH-MECHANISM-COOKIE, um die Autorisierungsmethode zu identifizieren, die der Nutzer in seiner letzten Sitzung verwendet hat. Der Wert ist immer einer der folgenden: saml, ldap, oidc, google oder email.
Wenn der Nutzer eine aktive Sitzung hat, wird er zur angeforderten URL weitergeleitet.
Wenn der Nutzer keine aktive Sitzung hat, wird er zum IdP weitergeleitet. Der IdP authentifiziert den Nutzer, wenn er sich erfolgreich beim IdP anmeldet. Looker authentifiziert den Nutzer dann, wenn der IdP den Nutzer mit Informationen, die darauf hinweisen, dass der Nutzer beim IdP authentifiziert ist, an Looker zurücksendet.
Wenn die Authentifizierung beim IdP erfolgreich war, werden die SAML-Assertions in Looker validiert. Die Authentifizierung wird akzeptiert, die Nutzerinformationen werden aktualisiert und der Nutzer wird an die angeforderte URL weitergeleitet. Die Seite Anmelden wird dabei umgangen.
Wenn sich der Nutzer nicht beim IdP anmelden kann oder vom IdP nicht autorisiert ist, Looker zu verwenden, bleibt er je nach IdP entweder auf der Website des IdP oder wird zur Looker-Seite Anmelden weitergeleitet.

SAML-Antwort überschreitet das Limit

Wenn Nutzer, die sich authentifizieren möchten, Fehlermeldungen erhalten, die darauf hinweisen, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximal zulässige SAML-Antwortgröße erhöhen.

Bei von Looker gehosteten Instanzen stellen Sie eine Supportanfrage, um die maximale SAML-Antwortgröße zu aktualisieren.

Bei von Kunden gehosteten Looker-Instanzen können Sie die maximale Größe der SAML-Antwort in Byte mit der Umgebungsvariable MAX_SAML_RESPONSE_BYTESIZE festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale SAML-Antwortgröße ist 250.000 Byte.