Configurações de administrador: autenticação SAML

A página SAML na seção Authentication do menu Admin permite configurar o Looker para autenticar usuários usando a Linguagem de marcação para autorização de segurança (SAML). Esta página descreve esse processo e inclui instruções para vincular grupos SAML a papéis e permissões do Looker.

SAML e provedores de identidade

As empresas usam diferentes provedores de identidade (IdPs) para se coordenar com o SAML (por exemplo, Okta ou OneLogin). Os termos usados nas instruções de configuração a seguir e na interface podem não corresponder diretamente aos usados pelo IdP. Para esclarecimentos durante a configuração, entre em contato com a equipe interna de SAML ou de autenticação ou com o suporte do Looker.

O Looker presume que as solicitações e declarações SAML serão compactadas. verifique se o IdP está configurado dessa forma. As solicitações do Looker para o provedor de identidade não são assinadas.

O Looker oferece suporte a logins iniciados pelo IdP.

Parte do processo de configuração precisa ser concluída no site do IdP.

O Okta oferece um app Looker, que é a forma recomendada de configurar o Looker e o Okta juntos.

Configurar o Looker no provedor de identidade

O IdP SAML precisa do URL da instância do Looker em que o IdP SAML precisa POSTAR as declarações SAML. No seu IdP, ele pode ser chamado de "URL de postagem de retorno". "Destinatário", ou "Destino", entre outros nomes.

As informações a serem fornecidas são o URL em que você normalmente acessa a instância do Looker usando o navegador, seguido por /samlcallback. Por exemplo: none https://instance_name.looker.com/samlcallback

ou

https://looker.mycompany.com/samlcallback

Alguns IdPs também exigem que você adicione :9999 após o URL da instância. Exemplo:

https://instance_name.looker.com:9999/samlcallback

Informações úteis

Lembre-se dos seguintes fatos:

  • O Looker requer o SAML 2.0.
  • Não desative a autenticação SAML enquanto sua conta estiver conectada ao Looker usando SAML, a menos que você tenha configurado um login de conta alternativo. Caso contrário, você pode ficar sem acesso ao app.
  • O Looker pode migrar contas atuais para o SAML usando endereços de e-mail que vêm de configurações de e-mail e senha atuais ou do Google Auth, LDAP ou OIDC. Você poderá configurar como as contas atuais são migradas no processo de configuração.

Primeiros passos

Acesse a página Autenticação SAML na seção Administrador do Looker para conferir as opções de configuração a seguir. As alterações nas opções de configuração não terão efeito até que você teste e salve as configurações na parte inferior da página.

Configurações de autenticação SAML

O Looker exige o URL do IdP, o emissor do IdP e o certificado do IdP para autenticar seu IdP.

O IdP pode oferecer um documento XML de metadados do IdP durante o processo de configuração do Looker no IdP. Esse arquivo contém todas as informações solicitadas na seção Configurações de autenticação SAML. Se você tiver esse arquivo, faça o upload dele no campo Metadados do IdP, que vai preencher os campos obrigatórios nesta seção. Como alternativa, preencha os campos obrigatórios com base na saída gerada durante a configuração do IdP. Não é necessário preencher os campos se você fizer upload do arquivo XML.

  • IdP Metadata (opcional): Cole o URL público do documento XML que contém as informações do IdP ou cole o texto do documento inteiro aqui. O Looker vai analisar esse arquivo para preencher os campos obrigatórios.

Se você não fez upload ou colou um documento XML de metadados do IdP, digite as informações de autenticação do IdP nos campos URL do IdP, Emissor do IdP e Certificado do IdP.

  • URL do IdP: o URL para onde o Looker vai para autenticar usuários. No Okta, isso é chamado de URL de redirecionamento.

  • IdP Emissor: o identificador exclusivo do IdP. Isso é chamado de "chave externa" no Okta.

  • Certificado do IdP: a chave pública para permitir que o Looker verifique a assinatura das respostas do IdP.

Juntos, esses três campos permitem que o Looker confirme que um conjunto de declarações SAML assinadas veio de um IdP confiável.

  • SP Entity/IdP Audience: esse campo não é exigido pelo Looker, mas muitos IdPs exigem esse campo. Se você inserir um valor nesse campo, ele vai ser enviado ao IdP como o Entity ID do Looker nas solicitações de autorização. Nesse caso, o Looker só vai aceitar respostas de autorização que tenham esse valor como Audience. Se o IdP exigir um valor Audience, insira essa string aqui.
  • Deslocamento de relógio permitido: o número de segundos de deslocamento do relógio (a diferença entre os carimbos de data/hora entre o IdP e o Looker) permitido. Esse valor geralmente é o padrão 0, mas alguns IdPs podem exigir mais tolerância para logins bem-sucedidos.

Configurações de atributos do usuário

Nos campos a seguir, especifique o nome do atributo na configuração SAML do IdP que contém as informações correspondentes para cada campo. Ao inserir os nomes dos atributos SAML, o Looker vai saber como mapear esses campos e extrair as informações deles no momento do login. O Looker não tem preferências sobre como essas informações são construídas. O importante é que a forma como você as insere no Looker corresponda à forma como os atributos são definidos no IdP. O Looker oferece sugestões padrão sobre como criar essas entradas.

Atributos padrão

Você precisa especificar estes atributos padrão:

  • Atributo de e-mail: o nome de atributo que seu IdP usa para endereços de e-mail de usuários.

  • FName Attr: o nome do atributo que seu IdP usa para nomes de usuários.

  • Atributo sobrenome: o nome do atributo que o IdP usa para os sobrenomes dos usuários.

Como vincular atributos SAML aos atributos do usuário do Looker

Você pode usar os dados nos atributos SAML para preencher automaticamente os valores nos atributos de usuário do Looker quando alguém fizer login. Por exemplo, se você tiver configurado o SAML para fazer conexões específicas com seu banco de dados, poderá parear os atributos SAML com os do Looker para tornar as conexões de banco de dados específicas do usuário no Looker.

Para vincular atributos SAML aos atributos de usuário do Looker correspondentes:

  1. Digite o nome do atributo SAML no campo Atributo SAML e o nome do atributo do usuário do Looker que você quer vincular no campo Atributos do usuário do Looker.
  2. Marque Obrigatório se você quiser exigir um valor de atributo SAML para permitir que um usuário faça login.
  3. Clique em + e repita essas etapas para adicionar mais pares de atributos.

Grupos e funções

O Looker pode criar grupos que espelhem seus grupos SAML gerenciados externamente e, em seguida, atribuir papéis do Looker aos usuários com base nos grupos SAML espelhados. Quando você muda a associação ao grupo do SAML, elas são propagadas automaticamente para a configuração do grupo do Looker.

O espelhamento de grupos SAML permite que você use seu diretório SAML definido externamente para gerenciar grupos e usuários do Looker. Com isso, é possível gerenciar a associação ao grupo de várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Mirror SAML Groups, o Looker vai criar um grupo para cada grupo SAML introduzido no sistema. Esses grupos do Looker podem ser acessados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir papéis aos participantes, definir controles de acesso ao conteúdo e atribuir atributos de usuário.

Grupos e funções padrão

A opção Espelhar grupos SAML fica desativada por padrão. Nesse caso, você pode definir um grupo padrão para novos usuários do SAML. Nos campos Novos grupos de usuários e Novas funções do usuário, insira os nomes dos grupos ou funções do Looker a que você quer atribuir novos usuários do Looker quando eles fizerem login no Looker pela primeira vez:

Esses grupos e funções são aplicados aos novos usuários no primeiro login. Os grupos e as funções não são aplicados a usuários já existentes e não são reutilizados se forem removidos dos usuários após o login inicial.

Se você ativar os grupos SAML espelhados, esses padrões serão removidos dos usuários no próximo login e substituídos pelos papéis atribuídos na seção Grupos SAML espelhados. Essas opções padrão não vão estar mais disponíveis nem atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.

Como ativar grupos SAML espelhados

Se você quiser espelhar seus grupos SAML no Looker, ative a opção Espelhar grupos SAML. O Looker mostra estas configurações:

Group Finder Strategy: selecione o sistema que o IdP usa para atribuir grupos, dependendo do IdP.

  • Quase todos os IdPs usam um único valor de atributo para atribuir grupos, conforme mostrado neste exemplo de declaração SAML: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como valores de atributos únicos.

  • Alguns IdPs usam um atributo separado para cada grupo e exigem um segundo atributo para determinar se um usuário é membro de um grupo. Confira um exemplo de declaração SAML que mostra esse sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como atributos individuais com valor de associação.

Atributo "Groups": o Looker exibe esse campo quando a estratégia do Localizador de grupos está definida como Grupos como valores de um único atributo. Digite o nome do Atributo de grupos usado pelo IdP.

Valor do participante do grupo: o Looker mostra esse campo quando a Estratégia do localizador de grupos está definida como Grupos como atributos individuais com valor de associação. Insira o valor que indica que um usuário é membro de um grupo.

Nome/funções/ID de grupo SAML do grupo preferido: esse conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo SAML correspondente no Looker:

  1. Digite o ID do grupo SAML no campo ID de grupo SAML. Para usuários do Okta, digite o nome do grupo do Okta como o ID do grupo SAML. Os usuários SAML incluídos no grupo SAML serão adicionados ao grupo espelhado no Looker.

  2. Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.

  3. No campo à direita de Nome personalizado, selecione um ou mais papéis do Looker que serão atribuídos a cada usuário no grupo.

  4. Clique em + para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um deles, clique em X ao lado do conjunto de campos do grupo.

Ao editar um grupo espelhado que foi configurado anteriormente nesta tela, a configuração do grupo será alterada, mas o grupo em si permanecerá intacto. Por exemplo, é possível mudar o nome personalizado de um grupo, o que muda a forma como o grupo aparece na página Grupos do Looker, mas não as funções atribuídas nem os participantes do grupo. A alteração do ID do grupo SAML mantém o nome e as funções do grupo, mas os membros são reatribuídos com base nos usuários que são participantes do grupo SAML externo que tem o novo UD do grupo SAML.

Todas as edições feitas em um grupo espelhado serão aplicadas aos usuários dele na próxima vez que fizerem login no Looker.

Gerenciamento avançado de funções

Se você tiver ativado a opção Mirror SAML Groups, o Looker vai mostrar essas configurações. As opções nesta seção determinam a flexibilidade dos administradores do Looker ao configurar grupos e usuários do Looker espelhados do SAML.

Por exemplo, se você quiser que a configuração do grupo e do usuário do Looker corresponda exatamente à configuração do SAML, ative essas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar associações a grupos espelhados e só podem atribuir papéis aos usuários usando grupos espelhados SAML.

Se você quiser ter mais flexibilidade para personalizar seus grupos no Looker, desative essas opções. Seus grupos do Looker ainda vão refletir sua configuração SAML, mas você poderá fazer mais gerenciamento de grupos e usuários no Looker, como adicionar usuários SAML a grupos específicos do Looker ou atribuir funções do Looker diretamente a usuários SAML.

Para novas instâncias do Looker ou que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.

Para instâncias atuais do Looker que têm grupos espelhados configurados, essas opções estão ativadas por padrão.

A seção Gerenciamento avançado de função contém estas opções:

Impedir que usuários individuais do SAML recebam funções diretas: ativar essa opção impede que os administradores do Looker atribuam funções do Looker diretamente aos usuários do SAML. Os usuários do SAML só recebem funções por meio de associações a grupos. Se os usuários SAML tiverem permissão para fazer parte de grupos do Looker integrados (não espelhados), eles ainda poderão herdar as funções dos grupos SAML espelhados e dos grupos do Looker integrados. Os papéis atribuídos diretamente a usuários SAML serão removidos na próxima vez que eles fizerem login.

Se essa opção estiver desativada, os administradores do Looker vão poder atribuir papéis do Looker diretamente aos usuários do SAML, como se eles tivessem sido configurados diretamente no Looker.

Impedir a associação direta em grupos que não são SAML: ao ativar essa opção, os administradores do Looker não podem adicionar usuários SAML diretamente a grupos integrados do Looker. Se os grupos SAML espelhados puderem ser membros de grupos do Looker integrados, os usuários SAML poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários SAML que foram atribuídos anteriormente a grupos integrados do Looker serão removidos desses grupos no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do SAML diretamente aos grupos integrados do Looker.

Impedir a herança de função de grupos que não são SAML: ao ativar essa opção, os membros de grupos SAML espelhados não herdam funções de grupos integrados do Looker. Os usuários do SAML que herdaram funções de um grupo pai do Looker vão perder esses papéis no próximo login.

Se esta opção estiver desativada, os grupos SAML espelhados ou os usuários do SAML adicionados como participantes de um grupo integrado do Looker vão herdar os papéis atribuídos ao grupo pai do Looker.

Autenticação exige função: se essa opção estiver ativada, os usuários SAML precisarão ter uma função atribuída. Os usuários SAML que não tiverem um papel atribuído não poderão fazer login no Looker.

Se essa opção estiver desativada, os usuários do SAML poderão se autenticar no Looker mesmo que não tenham um papel atribuído. Usuários sem funções atribuídas não podem acessar dados nem realizar ações no Looker, mas podem fazer login na plataforma.

Como desativar grupos SAML espelhados

Se não quiser mais espelhar seus grupos SAML no Looker, desative a opção Espelhar grupos SAML. Todos os grupos SAML de espelho vazios serão excluídos.

Os grupos SAML espelhados não vazios vão continuar disponíveis para uso no gerenciamento de conteúdo e na criação de funções. No entanto, não é possível adicionar ou remover usuários de grupos SAML espelhados.

Opções de migração

Login alternativo para administradores e usuários específicos

Os logins com e-mail e senha do Looker são sempre desativados para usuários comuns quando o SAML Auth está ativado. Esta opção permite o login alternativo com base em e-mail usando o /login/email para administradores e usuários específicos com a permissão login_special_email.

Ativar essa opção é útil como alternativa durante a configuração da autenticação SAML caso ocorram problemas de configuração do SAML mais tarde ou se você precisar oferecer suporte a alguns usuários que não têm contas no seu diretório SAML.

Especificar o método usado para mesclar usuários SAML a uma conta do Looker

No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um primeiro login SAML a uma conta de usuário existente. É possível mesclar usuários dos seguintes sistemas:

  • E-mail/senha do Looker (não disponível para o Looker (Google Cloud Core))
  • Google
  • LDAP (não disponível para o Looker (Google Cloud Core))
  • OIDC

Se você tiver mais de um sistema, poderá especificar mais de um sistema para mesclar nesse campo. O Looker vai procurar usuários nos sistemas listados na ordem especificada. Por exemplo, suponha que você tenha criado alguns usuários usando o e-mail e a senha do Looker, ativado o LDAP e agora queira usar o SAML. Primeiro, o Looker seria mesclado por e-mail e senha e depois por LDAP.

Quando um usuário fizer login pela primeira vez usando SAML, essa opção o conectará à conta atual, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova conta será criada.

Como mesclar usuários ao usar o Looker (Google Cloud Core)

Quando você usa o Looker (núcleo do Google Cloud) e o SAML, a mesclagem funciona conforme descrito na seção anterior. No entanto, isso só é possível se uma das duas condições a seguir for atendida:

  1. Condição 1: os usuários estão fazendo a autenticação no Looker (núcleo do Google Cloud) usando as identidades do Google pelo protocolo SAML.

  2. Condição 2 Antes de selecionar a opção de mesclagem, você concluiu as duas etapas a seguir:

Se a instância não atender a uma dessas duas condições, a opção Mesclar usuários usando não estará disponível.

Ao mesclar, o Looker (Google Cloud Core) vai procurar registros de usuários que compartilham o mesmo endereço de e-mail.

Testar a autenticação do usuário

Clique no botão Testar para testar suas configurações. Os testes serão redirecionados para o servidor e uma guia do navegador será aberta. A guia vai mostrar:

  • Se o Looker conseguiu se comunicar com o servidor e fazer a validação.
  • Os nomes que o Looker recebe do servidor. Você precisa validar se o servidor retorna os resultados adequados.
  • Um trace para mostrar como as informações foram encontradas. Use o rastro para resolver problemas se as informações estiverem incorretas. Se você precisar de mais informações, leia o arquivo do servidor XML bruto.

Dicas:

  • Você pode executar esse teste a qualquer momento, mesmo que o SAML esteja parcialmente configurado. Executar um teste pode ser útil durante a configuração para saber quais parâmetros precisam ser configurados.
  • O teste usa as configurações inseridas na página Autenticação SAML, mesmo que elas não tenham sido salvas. O teste não vai afetar nem mudar as configurações da página.
  • Durante o teste, o Looker transmite informações ao IdP usando o parâmetro RelayState do SAML. O IdP precisa retornar esse valor RelayState ao Looker sem modificações.

Salvar e aplicar configurações

Quando terminar de inserir as informações e todos os testes estiverem aprovados, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.

Comportamento de login do usuário

Quando um usuário tenta fazer login em uma instância do Looker usando SAML, o Looker abre a página Log In. O usuário precisa clicar no botão Authenticate para iniciar a autenticação pelo SAML.

Esse é o comportamento padrão se o usuário ainda não tiver uma sessão ativa do Looker.

Se você quiser que os usuários façam login diretamente na sua instância do Looker depois que o IdP os autenticar e ignorar a página Fazer login, ative a opção Ignorar a página de login em Comportamento de login.

Se você estiver usando o Looker (original), o recurso Ignorar página de login precisa ser ativado pelo Looker. Para atualizar sua licença para esse recurso, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte. No Looker (Google Cloud Core), a opção Ignorar página de login vai ficar disponível automaticamente se o SAML for usado como método de autenticação principal. O padrão é desativado.

Quando a opção Ignorar página de login estiver ativada, a sequência de login do usuário será a seguinte:

  1. O usuário tenta se conectar a um URL do Looker (por exemplo, instance_name.looker.com).

  2. O Looker determina se o usuário já tem uma sessão ativa. Para isso, o Looker usa o cookie AUTH-MECHANISM-COOKIE para identificar o método de autorização usado pelo usuário na última sessão. O valor é sempre um destes: saml, ldap, oidc, google ou email.

  3. Se o usuário tiver uma sessão ativa ativada, ele será direcionado para o URL solicitado.

  4. Se o usuário não tiver uma sessão ativa ativada, ele será redirecionado para o IdP. O IdP autentica o usuário quando ele faz login no IdP. O Looker autentica o usuário quando o IdP o envia de volta ao Looker com informações indicando que ele está autenticado com o IdP.

  5. Se a autenticação no IdP for bem-sucedida, o Looker validará as declarações SAML, aceitará a autenticação, atualizará as informações do usuário e encaminhará o usuário para o URL solicitado, ignorando a página de login.

  6. Se o usuário não conseguir fazer login no IdP ou se não tiver autorização do IdP para usar o Looker, dependendo do IdP, ele vai permanecer no site do IdP ou será redirecionado para a página Fazer login do Looker.

A resposta SAML excede o limite

Se os usuários que estão tentando fazer a autenticação estiverem recebendo erros que indicam que a resposta SAML excedeu o tamanho máximo, aumente o tamanho máximo de resposta SAML permitido.

Para instâncias hospedadas pelo Looker, abra uma solicitação de suporte para atualizar o tamanho máximo da resposta SAML.

Para instâncias do Looker hospedadas pelo cliente, defina o tamanho máximo da resposta SAML em bytes com a variável de ambiente MAX_SAML_RESPONSE_BYTESIZE. Exemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

O tamanho máximo padrão da resposta SAML é de 250.000 bytes.