관리자 설정 - SAML 인증

관리 메뉴의 인증 섹션에 있는 SAML 페이지를 사용하면 보안 보장 마크업 언어(SAML)로 사용자를 인증하도록 Looker를 구성할 수 있습니다. 이 페이지에서는 이 프로세스에 대해 설명하고 SAML 그룹을 Looker 역할 및 권한에 연결하는 방법을 안내합니다.

SAML 및 ID 공급업체

회사는 다양한 ID 공급업체(IdP)를 사용하여 SAML(예: Okta 또는 OneLogin)을 조정합니다. 다음 설정 안내 및 UI에 사용되는 용어는 IdP에서 사용하는 용어와 직접 일치하지 않을 수도 있습니다. 설정 중에 추가 설명이 필요하면 내부 SAML 또는 인증팀에 문의하거나 Looker 지원팀에 문의하세요.

Looker는 SAML 요청 및 어설션이 압축된다고 가정합니다. 따라서 IdP가 올바르게 구성되어 있는지 확인하세요. Looker의 IdP 요청은 서명되지 않습니다.

Looker는 IdP에서 시작하는 로그인을 지원합니다.

일부 설정 프로세스는 IdP 웹사이트에서 완료해야 합니다.

Okta는 Looker 앱을 제공하며, 이는 Looker와 Okta를 함께 구성하는 데 권장되는 방법입니다.

ID 공급업체에서 Looker 설정

SAML IdP에는 SAML IdP가 SAML 어설션을 POST해야 하는 Looker 인스턴스 URL이 필요합니다. IdP에서는 이를 '포스트백 URL', '수신자' 또는 '대상'이라고 할 수 있습니다.

제공되는 정보는 일반적으로 브라우저를 사용하여 Looker 인스턴스에 액세스하며 그 뒤에 /samlcallback이 오는 URL입니다. 예를 들면 none https://instance_name.looker.com/samlcallback입니다.

또는

https://looker.mycompany.com/samlcallback

일부 IdP는 인스턴스 URL 뒤에 :9999를 추가해야 합니다. 예를 들면 다음과 같습니다.

https://instance_name.looker.com:9999/samlcallback

알아두어야 할 사항

다음 사항에 유의하세요.

  • Looker에는 SAML 2.0이 필요합니다.
  • 대체 계정 로그인을 설정하지 않았다면 SAML을 통해 Looker에 로그인한 상태에서 SAML 인증을 사용 중지하지 마세요. 그러지 않으면 앱에 액세스할 수 없게 됩니다.
  • Looker는 현재 이메일/비밀번호 설정 또는 Google 인증/LDAP/OIDC에서 가져온 이메일 주소를 사용하여 기존 계정을 SAML로 이전할 수 있습니다. 설정 과정에서 기존 계정을 이전하는 방식을 구성할 수 있습니다.

시작하기

Looker의 관리 섹션에 있는 SAML 인증 페이지로 이동하여 다음 구성 옵션을 확인합니다. 구성 옵션의 변경사항은 페이지 하단에서 설정을 테스트하고 저장하기 전까지는 적용되지 않습니다.

SAML 인증 설정

Looker에서 IdP를 인증하려면 IdP URL, IdP 발급기관, IdP 인증서가 필요합니다.

IdP는 IdP 측에서 Looker를 구성하는 동안 IdP 메타데이터 XML 문서를 제공할 수 있습니다. 이 파일에는 SAML 인증 설정 섹션에서 요청한 모든 정보가 들어 있습니다. 이 파일이 있는 경우 IdP 메타데이터 필드에 업로드하여 이 섹션의 필수 필드를 채울 수 있습니다. 또는 IdP 측 구성 중에 가져온 출력에서 필수 필드를 작성할 수도 있습니다. XML 파일을 업로드하는 경우 필드를 작성할 필요가 없습니다.

  • IdP 메타데이터(선택사항): IdP 정보가 포함된 XML 문서의 공개 URL을 붙여넣거나 문서의 텍스트 전체를 여기에 붙여넣습니다. Looker에서 이 파일을 파싱하여 필수 필드를 채웁니다.

IdP 메타데이터 XML 문서를 업로드하거나 붙여넣지 않은 경우 IdP URL, IdP 발급기관, IdP 인증서 필드에 IdP 인증 정보를 대신 입력합니다.

  • IdP URL: Looker가 사용자를 인증할 때 사용할 URL입니다. Okta에서는 이를 리디렉션 URL이라고 합니다.

  • IdP 발급기관: IdP의 고유 식별자입니다. Okta에서는 이를 '외부 키'라고 합니다.

  • IdP 인증서: Looker에서 IdP 응답의 서명을 확인할 수 있게 해주는 공개 키입니다.

이 세 가지 필드를 함께 사용하면 Looker에서 서명된 SAML 어설션이 실제로 신뢰할 수 있는 IdP에서 제공되었는지 확인할 수 있습니다.

  • SP 엔티티/IdP 잠재고객: 이 필드는 Looker에서 필수는 아니지만 많은 IdP에서 필요합니다. 이 필드에 값을 입력하면 해당 값이 승인 요청에서 Looker의 Entity ID로 IdP로 전송됩니다. 이 경우 Looker는 이 값이 Audience인 승인 응답만 허용합니다. IdP에 Audience 값이 필요한 경우 여기에 해당 문자열을 입력합니다.
  • 허용된 클록 드리프트: 허용된 클록 드리프트(IdP와 Looker 간의 타임스탬프 차이) 수입니다. 이 값은 일반적으로 기본값 0이지만, 일부 IdP의 경우 로그인에 필요한 여유 시간이 필요할 수 있습니다.

사용자 속성 설정

다음 필드에 각 필드에 해당하는 정보가 포함된 IdP의 SAML 구성에 있는 속성 이름을 지정합니다. SAML 속성 이름을 입력하면 Looker에서 이러한 필드를 매핑하고 로그인 시 정보를 추출하는 방법을 알려줍니다. Looker는 이 정보의 생성 방법에 대해 자세히 다루지 않으며 Looker에 정보를 입력하는 방식이 IdP에서 속성이 정의되는 방식과 일치하는 것이 중요합니다. Looker는 이러한 입력을 구성하는 방법에 대한 기본 제안을 제공합니다.

표준 속성

다음과 같은 표준 속성을 지정해야 합니다.

  • 이메일 속성: IdP가 사용자 이메일 주소에 사용하는 속성 이름입니다.

  • 이름 속성: IdP가 사용자 이름에 사용하는 속성 이름입니다.

  • 성 속성: IdP가 사용자의 성에 사용하는 속성 이름입니다.

SAML 속성을 Looker 사용자 속성과 페어링

필요한 경우 SAML 속성의 데이터를 사용하여 사용자가 로그인할 때 Looker 사용자 속성의 값을 자동으로 채울 수 있습니다. 예를 들어 데이터베이스에 사용자별 연결을 수행하도록 SAML을 구성한 경우 SAML 속성을 Looker 사용자 속성과 페어링하여 Looker에서 데이터베이스 연결을 사용자별로 수행할 수 있습니다.

SAML 속성을 해당 Looker 사용자 속성과 페어링하려면 다음 안내를 따르세요.

  1. SAML 속성 필드에 SAML 속성의 이름을 입력하고 Looker 사용자 속성 필드에 페어링할 Looker 사용자 속성의 이름을 입력합니다.
  2. 사용자 로그인을 허용하는 데 SAML 속성 값이 필요하면 필수를 선택합니다.
  3. +를 클릭하고 이 단계를 반복하여 속성 쌍을 더 추가합니다.

그룹 및 역할

Looker에서 외부에서 관리되는 SAML 그룹을 미러링하는 그룹을 만든 후 미러링된 SAML 그룹을 기반으로 사용자에게 Looker 역할을 할당할 수 있습니다. SAML 그룹 멤버십을 변경하면 해당 변경사항이 Looker의 그룹 구성에 자동으로 반영됩니다.

SAML 그룹을 미러링하면 외부에서 정의된 SAML 디렉터리를 사용하여 Looker 그룹과 사용자를 관리할 수 있습니다. 그러면 이를 통해 Looker와 같은 여러 서비스형 소프트웨어(SaaS) 도구에 대해 그룹 멤버십을 하나의 장소에서 관리할 수 있습니다.

SAML 그룹 미러링을 사용 설정하면 Looker에서 시스템에 도입되는 모든 SAML 그룹에 대해 하나의 Looker 그룹을 만듭니다. 이러한 Looker 그룹은 Looker 관리 섹션의 그룹 페이지에서 확인할 수 있습니다. 그룹은 그룹 멤버에 역할을 할당하고, 콘텐츠 액세스 제어를 설정하고, 사용자 속성을 할당하는 데 사용될 수 있습니다.

기본 그룹 및 역할

SAML 그룹 미러링 스위치는 기본적으로 사용 중지되어 있습니다. 이 경우 새로운 SAML 사용자를 위한 기본 그룹을 설정할 수 있습니다. 새 사용자 그룹새 사용자 역할 필드에서 새 Looker 사용자가 Looker에 처음 로그인할 때 이러한 사용자에게 할당하려는 모든 Looker 그룹 또는 역할의 이름을 입력합니다.

이러한 그룹 및 역할은 새 사용자가 처음 로그인할 때 적용됩니다. 기존 사용자에게는 그룹 및 역할이 적용되지 않으며, 사용자가 처음 로그인한 후 사용자에게서 제거되었더라도 다시 적용되지 않습니다.

나중에 SAML 그룹 미러링을 사용 설정하면 다음 로그인 시 사용자의 기본값이 삭제되고 SAML 그룹 미러링 섹션에 할당된 역할로 대체됩니다. 이러한 기본 옵션은 더 이상 제공되거나 할당되지 않으며, 미러링된 그룹 구성으로 완전히 대체됩니다.

SAML 그룹 미러링 사용 설정

Looker 내에서 SAML 그룹을 미러링하려면 SAML 그룹 미러링 스위치를 사용 설정합니다. Looker에 다음 설정이 표시됩니다.

그룹 찾기 전략: IdP에 따라 그룹을 할당하는 데 사용하는 시스템을 선택합니다.

  • 이 샘플 SAML 어설션에 표시된 대로 거의 모든 IdP에서 단일 속성 값을 사용하여 그룹을 할당합니다. none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> 이 경우에는 그룹을 단일 속성 값으로 선택합니다.

  • 일부 IdP에서는 그룹마다 별도의 속성을 사용한 다음 사용자가 그룹의 구성원인지 확인하기 위해 두 번째 속성을 요구합니다. 다음은 이 시스템을 보여주는 샘플 SAML 어설션입니다. none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> 이 경우에는 그룹을 멤버십 값이 있는 개별 속성으로 선택합니다.

그룹 속성: 그룹 찾기 전략그룹을 단일 속성 값으로 설정하면 Looker에서 이 필드를 표시합니다. IdP에서 사용하는 그룹 속성의 이름을 입력합니다.

그룹 구성원 값: 그룹 찾기 전략그룹을 멤버십 값이 있는 개별 속성으로 설정하면 Looker에서 이 필드를 표시합니다. 사용자가 그룹의 구성원임을 나타내는 값을 입력합니다.

기본 그룹 이름/역할/SAML 그룹 ID: 이 필드 세트를 사용하여 커스텀 그룹 이름과 Looker에서 해당 SAML 그룹에 할당되는 하나 이상의 역할을 할당할 수 있습니다.

  1. SAML 그룹 ID 필드에 SAML 그룹 ID를 입력합니다. Okta 사용자의 경우 Okta 그룹 이름을 SAML 그룹 ID로 입력합니다. SAML 그룹에 포함된 SAML 사용자는 Looker 내의 미러링된 그룹에 추가됩니다.

  2. 커스텀 이름 필드에 미러링된 그룹의 커스텀 이름을 입력합니다. 이 이름은 Looker 관리 섹션의 그룹 페이지에 표시되는 이름입니다.

  3. 커스텀 이름 필드 오른쪽 필드에서 그룹의 각 사용자에게 할당되는 하나 이상의 Looker 역할을 선택합니다.

  4. 추가 미러링된 그룹을 구성하기 이해 추가 필드 집합을 추가하려면 +를 클릭합니다. 구성된 그룹이 여러 개 있고 한 그룹의 구성을 삭제하려면 해당 그룹의 필드 집합 옆에 있는 X를 클릭합니다.

이 화면에서 이전에 구성한 미러링된 그룹을 수정하면 그룹 구성이 변경되지만 그룹 자체는 그대로 유지됩니다. 예를 들어 그룹의 커스텀 이름을 변경하면 Looker의 그룹 페이지에서 그룹이 표시되는 방식이 변경되지만 할당된 역할 및 그룹 구성원은 변경되지 않습니다. SAML 그룹 ID를 변경하면 그룹 이름과 역할이 유지되지만 새 SAML 그룹 UD가 있는 외부 SAML 그룹의 구성원인 사용자에 따라 그룹의 구성원이 다시 할당됩니다.

미러링된 그룹에 수행된 모든 수정 사항은 다음에 Looker에 로그인할 때 해당 그룹의 사용자에게 할당됩니다.

고급 역할 관리

SAML 그룹 미러링 스위치를 사용 설정하면 Looker에 이러한 설정이 표시됩니다. 이 섹션의 옵션에 따라 Looker 관리자가 SAML에서 미러링된 사용자 및 Looker 그룹을 구성할 때 유연성이 결정됩니다.

예를 들어 Looker 그룹 및 사용자 구성이 SAML 구성과 엄격하게 일치하도록 하려면 이 옵션을 사용 설정합니다. 처음 세 가지 옵션을 모두 사용 설정하면 Looker 관리자가 미러링된 그룹 멤버십을 수정할 수 없으며 SAML 미러링 그룹을 통해서만 사용자에게 역할을 할당할 수 있습니다.

Looker 내에서 더 유연하게 그룹을 맞춤설정하려면 이 옵션을 사용 중지하세요. Looker 그룹이 SAML 구성을 계속 미러링하지만, Looker에서 SAML 사용자를 Looker 관련 그룹에 추가하거나 Looker 역할을 SAML 사용자에게 직접 할당하는 등 추가 그룹 및 사용자 관리를 수행할 수 있습니다.

새 Looker 인스턴스 또는 이전에 미러링된 그룹을 구성하지 않은 인스턴스의 경우 이 옵션은 기본적으로 해제되어 있습니다.

미러링된 그룹을 구성한 기존 Looker 인스턴스의 경우 이러한 옵션이 기본적으로 설정되어 있습니다.

고급 역할 관리 섹션에는 다음 옵션이 포함되어 있습니다.

개별 SAML 사용자가 직접 역할을 받지 못하도록 방지: 이 옵션을 설정하면 Looker 관리자가 SAML 사용자에게 직접 Looker 역할을 할당할 수 없습니다. SAML 사용자에게는 그룹 멤버십을 통해서만 역할이 부여됩니다. SAML 사용자가 미러링되지 않은 기본 제공 Looker 그룹에서 멤버십이 허용된 경우 사용자가 미러링된 SAML 그룹 및 기본 제공 Looker 그룹 모두에서 역할을 상속할 수 있습니다. 이전에 역할이 직접 할당된 SAML 사용자는 다음에 로그인할 때 역할이 삭제됩니다.

이 옵션을 해제하면 Looker 관리자가 Looker에서 직접 구성된 것처럼 SAML 사용자에게 직접 Looker 역할을 할당할 수 있습니다.

SAML 이외의 그룹에서 직접 멤버십 방지: 이 옵션을 설정하면 Looker 관리자가 SAML 사용자를 기본 제공 Looker 그룹에 직접 추가할 수 없습니다. 미러링된 SAML 그룹이 기본 제공 Looker 그룹의 구성원이 될 수 있으면 SAML 사용자가 모든 상위 Looker 그룹에서 멤버십을 유지할 수 있습니다. 이전에 기본 제공 Looker 그룹에 할당된 모든 SAML 사용자는 다음에 로그인할 때 이러한 그룹에서 삭제됩니다.

이 옵션을 해제하면 Looker 관리자가 기본 제공 Looker 그룹에 SAML 사용자를 직접 추가할 수 있습니다.

SAML 이외의 그룹에서 역할 상속 방지: 이 옵션을 설정하면 미러링된 SAML 그룹의 구성원이 기본 제공 Looker 그룹에서 역할을 상속하지 못합니다. 이전에 상위 Looker 그룹에서 역할을 상속받은 모든 SAML 사용자는 다음에 로그인할 때 해당 역할을 잃게 됩니다.

이 옵션을 해제하면 미러링된 SAML 그룹 또는 기본 제공 Looker 그룹의 구성원으로 추가된 SAML 사용자가 상위 Looker 그룹에 할당된 역할을 상속받습니다.

인증에 역할 필요: 이 옵션을 설정하면 SAML 사용자에게 역할이 할당되어 있어야 합니다. 역할이 할당되지 않은 SAML 사용자는 Looker에 전혀 로그인할 수 없습니다.

이 옵션을 해제하면 할당된 역할이 없더라도 SAML 사용자가 Looker에 인증할 수 있습니다. 역할이 할당되지 않은 사용자는 Looker에서 데이터를 보거나 작업을 수행할 수 없지만 Looker에 로그인할 수 있습니다.

SAML 그룹 미러링 사용 중지

Looker에서 SAML 그룹 미러링을 중지하려면 SAML 그룹 미러링 스위치를 사용 중지합니다. 비어 있는 미러링된 SAML 그룹이 모두 삭제됩니다.

비어 있지 않은 미러링된 SAML 그룹은 콘텐츠 관리 및 역할 생성에 계속 사용할 수 있습니다. 하지만 사용자를 미러링된 SAML 그룹에 추가하거나 삭제할 수는 없습니다.

이전 옵션

관리자 및 지정된 사용자를 위한 대체 로그인

SAML 인증이 사용 설정되어 있으면 일반 사용자에 대한 Looker 이메일 및 비밀번호 로그인은 항상 사용 중지됩니다. 이 옵션을 사용하면 관리자 및 login_special_email 권한이 있는 지정된 사용자에 대해 /login/email을 사용하는 대체 이메일 기반 로그인이 허용됩니다.

이 옵션을 사용 설정하면 나중에 SAML 구성 문제가 발생하거나 SAML 디렉터리에 계정이 없는 일부 사용자를 지원해야 하는 경우 SAML 인증 설정 중에 폴백으로 사용할 수 있습니다.

SAML 사용자를 Looker 계정에 병합할 때 사용하는 방법 지정

사용자 사용 병합 필드에서 첫 SAML 로그인을 기존 사용자 계정에 병합하는 데 사용할 방법을 지정합니다. 다음 시스템의 사용자를 병합할 수 있습니다.

  • Looker 이메일/비밀번호(Looker(Google Cloud 핵심 서비스)에서는 사용할 수 없음)
  • Google
  • LDAP (Looker(Google Cloud 핵심 서비스)에서는 사용할 수 없음)
  • OIDC

시스템이 둘 이상인 경우 이 필드에서 병합할 시스템을 두 개 이상 지정할 수 있습니다. Looker는 지정된 순서대로 나열된 시스템에서 사용자를 조회합니다. 예를 들어 Looker 이메일 및 비밀번호를 사용하여 일부 사용자를 만든 다음 LDAP를 사용 설정하고 SAML을 사용하려는 경우를 가정해 보겠습니다. Looker에서 이메일 및 비밀번호로 병합한 다음 LDAP로 병합합니다.

사용자가 SAML을 통해 처음 로그인하는 경우 이 옵션은 일치하는 이메일 주소로 계정을 찾아 사용자를 기존 계정에 연결합니다. 사용자의 기존 계정이 없으면 새 사용자 계정이 생성됩니다.

Looker(Google Cloud 핵심 서비스) 사용 시 사용자 병합

Looker(Google Cloud 핵심 서비스) 및 SAML을 사용하는 경우 이전 섹션에서 설명한 대로 병합이 작동합니다. 하지만 다음 두 조건 중 하나가 충족되는 경우에만 가능합니다.

  1. 조건 1: 사용자가 SAML 프로토콜을 통해 Google ID를 사용하여 Looker(Google Cloud 핵심 서비스)에 인증합니다.
  2. 조건 2 병합 옵션을 선택하기 전에 다음 두 단계를 완료합니다.

    • Cloud ID를 사용하는 Google Cloud의 제휴 사용자 ID
    • 제휴 사용자를 사용하여 백업 인증 방법에 OAuth 인증 설정

인스턴스가 이러한 두 조건 중 하나를 충족하지 않으면 사용자 사용 병합 옵션을 사용할 수 없습니다.

병합할 때 Looker(Google Cloud 핵심 서비스)는 정확히 동일한 이메일 주소를 공유하는 사용자 레코드를 검색합니다.

사용자 인증 테스트

테스트 버튼을 클릭하여 설정을 테스트합니다. 테스트가 서버로 리디렉션되고 브라우저 탭이 열립니다. 탭에 다음이 표시됩니다.

  • Looker가 서버와 통신하고 유효성을 검사할 수 있는지 여부
  • Looker가 서버에서 가져오는 이름. 서버가 적절한 결과를 반환하는지 확인해야 합니다.
  • 정보를 어떻게 찾았는지 보여주는 trace. 정보가 잘못된 경우 trace를 사용하여 문제를 해결합니다. 추가 정보가 필요하면 원시 XML 서버 파일을 읽을 수 있습니다.

도움말:

  • SAML이 부분적으로 구성된 경우에도 언제든지 이 테스트를 실행할 수 있습니다. 구성 중에 테스트를 실행하면 구성이 필요한 파라미터를 확인할 수 있습니다.
  • 테스트에서는 이러한 설정이 저장되지 않은 경우에도 SAML 인증 페이지에 입력된 설정을 사용합니다. 테스트는 해당 페이지의 설정에 영향을 주거나 설정을 변경하지 않습니다.
  • 테스트 중에 Looker가 SAML RelayState 파라미터를 사용하여 IdP에 정보를 전달합니다. IdP는 수정되지 않은 Looker로 이 RelayState 값을 반환해야 합니다.

설정 저장 후 적용

정보 입력을 마쳤고 테스트가 모두 통과하면 위 내용을 확인했으며 전역 적용을 사용 설정합니다.를 선택하고 설정 업데이트를 클릭하여 저장합니다.

사용자 로그인 동작

사용자가 SAML을 사용하여 Looker 인스턴스에 로그인하려는 경우 Looker에서 로그인 페이지를 엽니다. SAML을 통해 인증을 시작하려면 사용자가 인증 버튼을 클릭해야 합니다.

이는 사용자에게 아직 활성 Looker 세션이 없는 경우의 기본 동작입니다.

IdP에서 사용자를 인증한 후 사용자가 Looker 인스턴스에 직접 로그인하고 로그인 페이지를 우회하도록 하려면 로그인 동작에서 로그인 페이지 우회를 사용 설정합니다.

Looker(원본)를 사용하는 경우 Looker에서 로그인 페이지 우회 기능을 사용 설정해야 합니다. 이 기능의 라이선스를 업데이트하려면 Google Cloud 영업 전문가에게 문의하거나 지원 요청을 제출하세요. Looker(Google Cloud 핵심 서비스) 사용 시 SAML을 기본 인증 방법으로 사용하는 경우 로그인 페이지 우회 옵션을 자동으로 사용할 수 있으며 기본적으로 사용 중지됩니다.

로그인 페이지 우회를 사용 설정하면 사용자 로그인 순서는 다음과 같습니다.

  1. 사용자가 Looker URL(예: instance_name.looker.com)에 연결을 시도합니다.

  2. Looker에서 사용자에게 이미 사용 설정된 활성 세션이 있는지 확인합니다. 이를 위해 Looker는 AUTH-MECHANISM-COOKIE 쿠키를 사용하여 마지막 세션에서 사용자가 사용한 승인 방법을 식별합니다. 값은 항상 saml, ldap, oidc, google 또는 email 중 하나입니다.

  3. 사용자에게 사용 설정된 활성 세션이 있으면 요청된 URL로 이동합니다.

  4. 사용자에게 사용 설정된 활성 세션이 없으면 IdP로 리디렉션됩니다. IdP는 사용자가 IdP에 성공적으로 로그인할 때 사용자를 인증합니다. 그런 다음 사용자가 IdP로 인증되었음을 나타내는 정보와 함께 IdP가 사용자를 Looker로 다시 보내면 Looker에서 사용자를 인증합니다.

  5. IdP에서 인증에 성공하면 Looker는 로그인 페이지를 우회하여 SAML 어설션을 검증하고, 인증을 수락하고, 사용자 정보를 업데이트하고, 요청된 URL로 사용자를 전달합니다.

  6. 사용자가 IdP에 로그인할 수 없거나 IdP에서 Looker를 사용할 수 있도록 승인되지 않은 경우 IdP에 따라 IdP의 사이트에 남아 있거나 Looker 로그인 페이지로 리디렉션됩니다.

SAML 응답 한도 초과

인증하려는 사용자에게 SAML 응답이 최대 크기를 초과했음을 나타내는 오류가 표시되면 허용되는 최대 SAML 응답 크기를 늘릴 수 있습니다.

Looker에서 호스팅하는 인스턴스의 경우 최대 SAML 응답 크기를 업데이트하려면 지원 요청을 제출하세요.

고객이 호스팅하는 Looker 인스턴스의 경우 MAX_SAML_RESPONSE_BYTESIZE 환경 변수를 사용하여 최대 SAML 응답 크기를 바이트 수로 설정할 수 있습니다. 예를 들면 다음과 같습니다.

export MAX_SAML_RESPONSE_BYTESIZE=500000

최대 SAML 응답 크기의 기본값은 250,000바이트입니다.