Tieni presente che stai visualizzando la documentazione di Looker. Per la documentazione di Looker Studio, visita https://support.google.com/looker-studio.

Questa pagina è stata tradotta dall'API Cloud Translation.

Impostazioni amministratore - Autenticazione SAML

La pagina SAML nella sezione Autenticazione del menu Amministrazione consente di configurare Looker per l'autenticazione degli utenti mediante SAML (Security Assertion Markup Language). Questa pagina descrive tale processo e include istruzioni per collegare i gruppi SAML a ruoli e autorizzazioni di Looker.

SAML e provider di identità

Le aziende utilizzano provider di identità (IdP) diversi per coordinarsi con SAML (ad esempio, Okta o OneLogin). I termini utilizzati nelle seguenti istruzioni di configurazione e nella UI potrebbero non corrispondere direttamente a quelli utilizzati dall'IdP. Per chiarimenti durante la configurazione, contatta il team SAML o l'autenticazione interno oppure rivolgiti all'assistenza Looker.

Looker presuppone che le richieste e le asserzioni SAML vengano compresse; assicurati che l'IdP sia configurato in questo modo. Le richieste di Looker all'IdP non sono firmate.

Looker supporta l'accesso avviato dall'IdP.

Una parte del processo di configurazione deve essere completata sul sito web dell'IdP.

Okta offre l'app Looker, che è il metodo consigliato per configurare Looker e Okta insieme.

Configurazione di Looker sul provider di identità

L'IdP SAML avrà bisogno dell'URL dell'istanza di Looker in cui l'IdP SAML deve POSTARE le asserzioni SAML. Nell'IdP, questo nome potrebbe essere, tra gli altri nomi,"URL postback", "Destinatario" o "Destinazione".

Le informazioni da fornire sono l'URL da cui in genere accedi all'istanza di Looker utilizzando il browser, seguito da /samlcallback. Ad esempio: none https://instance_name.looker.com/samlcallback

https://looker.mycompany.com/samlcallback

Alcuni IdP richiedono anche di aggiungere :9999 dopo l'URL dell'istanza. Ad esempio:

https://instance_name.looker.com:9999/samlcallback

Aspetti da tenere presenti

Tieni presente quanto segue:

Looker richiede SAML 2.0.
Non disabilitare l'autenticazione SAML dopo aver eseguito l'accesso a Looker tramite SAML, a meno che tu non abbia configurato un accesso all'account alternativo. In caso contrario, potresti non riuscire più ad accedere all'app.
Looker può eseguire la migrazione degli account esistenti a SAML utilizzando indirizzi email provenienti dalle attuali configurazioni di email e password o da Google Auth, LDAP o OIDC. Durante la procedura di configurazione, potrai configurare la modalità di migrazione degli account esistenti.

Per iniziare

Vai alla pagina SAML Authentication (Autenticazione SAML) nella sezione Admin (Amministrazione) di Looker per visualizzare le seguenti opzioni di configurazione. Tieni presente che eventuali modifiche alle opzioni di configurazione hanno effetto solo dopo aver verificato e salvato le impostazioni in fondo alla pagina.

Impostazioni di autenticazione SAML

Looker richiede l'URL IdP, l'emittente IdP e il certificato IdP per autenticare l'IdP.

L'IdP può offrire un documento XML dei metadati IdP durante il processo di configurazione per Looker sul lato IdP. Questo file contiene tutte le informazioni richieste nella sezione SAML Auth Settings (Impostazioni di autenticazione SAML). Se hai questo file, puoi caricarlo nel campo Metadati IdP, che completerà i campi obbligatori di questa sezione. In alternativa, puoi compilare i campi obbligatori dall'output ottenuto durante la configurazione lato IdP. Non è necessario compilare i campi se carichi il file XML.

Metadati IdP (facoltativo): incolla l'URL pubblico del documento XML che contiene le informazioni sull'IdP o incolla qui il testo completo del documento. Looker analizzerà il file per compilare i campi obbligatori.

Se non hai caricato o incollato un documento XML dei metadati IdP, inserisci le informazioni di autenticazione dell'IdP nei campi URL IdP, Emittente IdP e Certificato IdP.

IdP URL (URL IdP): l'URL a cui Looker eseguirà l'autenticazione degli utenti. Questo è chiamato URL di reindirizzamento in Okta.
IdP Issuer (Emittente IdP): l'identificatore univoco dell'IdP. Questa funzionalità è chiamata "Chiave esterna" in Okta.
IdP Certificate (Certificato IdP): la chiave pubblica per consentire a Looker di verificare la firma delle risposte dell'IdP.

Insieme, questi tre campi consentono a Looker di confermare che un insieme di asserzioni SAML firmate provenga effettivamente da un IdP attendibile.

SP Entity/IdP Audience: questo campo non è richiesto da Looker, ma molti IdP lo richiedono. Se inserisci un valore in questo campo, questo valore verrà inviato al tuo IdP come Entity ID di Looker nelle richieste di autorizzazione. In questo caso, Looker accetterà solo le risposte di autorizzazione che hanno questo valore come Audience. Se l'IdP richiede un valore Audience, inserisci la stringa qui.

Andatura orologio consentita: il numero di secondi di deviazione dell'orologio (la differenza nei timestamp tra l'IdP e Looker) consentiti. In genere questo valore è il valore predefinito di 0, ma alcuni IdP potrebbero richiedere un ulteriore margine per eseguire l'accesso correttamente.

Impostazioni degli attributi utente

Nei seguenti campi, specifica il nome dell'attributo nella configurazione SAML dell'IdP che contenga le informazioni corrispondenti per ogni campo. L'inserimento dei nomi degli attributi SAML indica a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso. Looker non è specifico per il modo in cui queste informazioni sono costruite, è solo importante che il modo in cui le inserisci in Looker corrisponda al modo in cui gli attributi sono definiti nel tuo IdP. Looker fornisce suggerimenti predefiniti su come creare questi input.

Attributi standard

Dovrai specificare i seguenti attributi standard:

Email Attr: il nome dell'attributo utilizzato dall'IdP per gli indirizzi email degli utenti.
Attr. FName: il nome dell'attributo utilizzato dall'IdP per i nomi utente.
LName Attr: il nome dell'attributo utilizzato dall'IdP per i cognomi degli utenti.

Accoppiamento degli attributi SAML con gli attributi utente di Looker

Facoltativamente, puoi utilizzare i dati negli attributi SAML per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato SAML per effettuare connessioni specifiche per l'utente al tuo database, puoi accoppiare i tuoi attributi SAML con quelli di Looker per rendere le connessioni al database specifiche per l'utente in Looker.

Per accoppiare gli attributi SAML con gli attributi utente di Looker corrispondenti:

Inserisci il nome dell'attributo SAML nel campo Attributo SAML e il nome dell'attributo utente Looker con cui vuoi accoppiarlo nel campo Attributi utente Looker.
Seleziona Obbligatorio se vuoi richiedere il valore di un attributo SAML per consentire a un utente di accedere.
Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Gruppi e ruoli

Puoi consentire a Looker di creare gruppi che eseguono il mirroring dei tuoi gruppi SAML gestiti esternamente e poi assegnare i ruoli di Looker agli utenti in base ai loro gruppi SAML sottoposti a mirroring. Le modifiche che apporti all'appartenenza al gruppo SAML vengono propagate automaticamente nella configurazione del gruppo di Looker.

Il mirroring dei gruppi SAML ti consente di utilizzare la directory SAML definita esternamente per gestire gruppi e utenti di Looker. Questo, a sua volta, ti consente di gestire la tua iscrizione ai gruppi per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi Esegui il mirroring dei gruppi SAML, Looker creerà un gruppo Looker per ogni gruppo SAML introdotto nel sistema. Questi gruppi di Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare i controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Esegui il mirroring dei gruppi SAML è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti SAML. Nei campi Nuovi gruppi utente e Nuovi ruoli utente, inserisci i nomi dei gruppi o dei ruoli Looker a cui vuoi assegnare nuovi utenti Looker al primo accesso a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al momento dell'accesso iniziale. I gruppi e i ruoli non vengono applicati agli utenti preesistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro accesso iniziale.

Se in un secondo momento attivi il mirroring dei gruppi SAML, queste impostazioni predefinite verranno rimosse per gli utenti all'accesso successivo e sostituite dai ruoli assegnati nella sezione Mirroring gruppi SAML. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi sottoposti a mirroring.

Abilitazione dei gruppi SAML di mirroring

Se scegli di eseguire il mirroring dei gruppi SAML all'interno di Looker, attiva l'opzione Mirroring gruppi SAML. Looker visualizza queste impostazioni:

Strategia di Ricerca gruppi: seleziona il sistema utilizzato dall'IdP per assegnare i gruppi, che dipende dall'IdP.

Quasi tutti gli IdP utilizzano un singolo valore di attributo per assegnare gruppi, come mostrato in questa asserzione SAML di esempio: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come valori di singoli attributi.
Alcuni IdP utilizzano un attributo separato per ogni gruppo e richiedono un secondo attributo per determinare se un utente fa parte di un gruppo. Di seguito è riportata un'asserzione SAML di esempio che mostra questo sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come singoli attributi con valore di appartenenza.

Groups Attribute (Attributo gruppi): Looker visualizza questo campo quando la Strategia Group Finder è impostata su Groups come valori di singolo attributo. Inserisci il nome dell'attributo gruppi utilizzato dall'IdP.

Valore membro gruppo: Looker visualizza questo campo quando la Strategia Group Finder è impostata su Gruppi come attributi individuali con valore di appartenenza. Inserisci il valore che indica che un utente fa parte di un gruppo.

Nome gruppo/Ruoli/ID gruppo SAML preferito: questo insieme di campi consente di assegnare un nome gruppo personalizzato e uno o più ruoli al gruppo SAML corrispondente in Looker.

Inserisci l'ID gruppo SAML nel campo ID gruppo SAML. Per gli utenti Okta, inserisci il nome del gruppo Okta come ID gruppo SAML. Gli utenti SAML inclusi nel gruppo SAML verranno aggiunti al gruppo con mirroring in Looker.
Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Groups (Gruppi) della sezione Admin (Amministrazione) di Looker.
Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli Looker che verranno assegnati a ciascun utente del gruppo.
Fai clic su + per aggiungere ulteriori insiemi di campi in modo da configurare altri gruppi sottoposti a mirroring. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic sulla X accanto al relativo insieme di campi.

Se modifichi un gruppo sottoposto a mirroring che era stato precedentemente configurato in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà intatto. Ad esempio, puoi modificare il nome personalizzato di un gruppo, il che cambia l'aspetto del gruppo nella pagina Gruppi di Looker, ma non i ruoli e i membri del gruppo assegnati. La modifica dell'ID gruppo SAML manterrebbe il nome e i ruoli del gruppo, ma i membri del gruppo verranno riassegnati in base agli utenti che sono membri del gruppo SAML esterno che utilizza il nuovo UD del gruppo SAML.

Qualsiasi modifica apportata a un gruppo sottoposto a mirroring verrà applicata agli utenti di quel gruppo all'accesso successivo a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Esegui il mirroring dei gruppi SAML, Looker visualizza queste impostazioni. Le opzioni in questa sezione determinano il livello di flessibilità a disposizione degli amministratori di Looker durante la configurazione dei gruppi e degli utenti di Looker di cui è stato eseguito il mirroring da SAML.

Ad esempio, se vuoi che il gruppo di Looker e la configurazione utente corrispondano rigorosamente alla configurazione SAML, attiva queste opzioni. Quando tutte le prime tre opzioni sono abilitate, gli amministratori di Looker non possono modificare le iscrizioni ai gruppi con mirroring e possono assegnare ruoli agli utenti solo tramite i gruppi sottoposti a mirroring SAML.

Se vuoi avere maggiore flessibilità nella personalizzazione dei gruppi in Looker, disattiva queste opzioni. I gruppi Looker continueranno a eseguire il mirroring della configurazione SAML, ma potrai eseguire un'ulteriore gestione di gruppi e utenti all'interno di Looker, ad esempio aggiungere utenti SAML a gruppi specifici di Looker o assegnare ruoli di Looker direttamente agli utenti SAML.

Per le nuove istanze di Looker o per le istanze che non hanno gruppi con mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze Looker esistenti in cui sono configurati gruppi con mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti SAML di ricevere ruoli diretti: l'attivazione di questa opzione impedisce agli amministratori di Looker di assegnare i ruoli di Looker direttamente agli utenti SAML. Gli utenti SAML riceveranno i ruoli solo tramite l'iscrizione ai gruppi. Se agli utenti SAML è consentita l'iscrizione a gruppi Looker integrati (non sottoposti a mirroring), possono comunque ereditare i propri ruoli sia dai gruppi SAML sottoposti a mirroring sia dai gruppi Looker integrati. Tutti gli utenti SAML a cui erano stati assegnati direttamente dei ruoli verranno rimossi all'accesso successivo.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare i ruoli di Looker direttamente agli utenti SAML come se fossero configurati direttamente in Looker.

Impedisci l'iscrizione diretta a gruppi non SAML: se attivi questa opzione, impedisci agli amministratori di Looker di aggiungere utenti SAML direttamente ai gruppi Looker integrati. Se i gruppi SAML sottoposti a mirroring possono essere membri di gruppi Looker integrati, gli utenti SAML possono mantenere l'appartenenza a qualsiasi gruppo Looker principale. Tutti gli utenti SAML assegnati in precedenza a gruppi Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti SAML direttamente ai gruppi Looker integrati.

Impedisci l'ereditarietà dei ruoli da gruppi non SAML: se attivi questa opzione, impedisci ai membri dei gruppi SAML sottoposti a mirroring di ereditare ruoli dai gruppi Looker integrati. Tutti gli utenti SAML che in precedenza hanno ereditato ruoli da un gruppo Looker padre perderanno questi ruoli all'accesso successivo.

Se questa opzione è disattivata, i gruppi SAML con mirroring o gli utenti SAML aggiunti come membri di un gruppo Looker integrato erediteranno i ruoli assegnati al gruppo Looker padre.

L'autenticazione richiede un ruolo: se questa opzione è attiva, agli utenti SAML deve essere assegnato un ruolo. Gli utenti SAML a cui non è assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti SAML possono eseguire l'autenticazione su Looker anche se non hanno ruoli assegnati. Un utente a cui non è stato assegnato un ruolo non potrà visualizzare dati o eseguire azioni in Looker, ma potrà accedere a Looker.

Disabilitazione dei gruppi SAML di mirroring

Se vuoi interrompere il mirroring dei gruppi SAML in Looker, disattiva l'opzione Esegui il mirroring dei gruppi SAML. Tutti i gruppi SAML di mirroring vuoti verranno eliminati.

I gruppi SAML speculari non vuoti rimarranno disponibili per l'utilizzo nella gestione dei contenuti e nella creazione di ruoli. Tuttavia, non è possibile aggiungere o rimuovere utenti dai gruppi SAML di mirroring.

Opzioni di migrazione

Accesso alternativo per gli amministratori e gli utenti specificati

Gli accessi tramite email e password di Looker sono sempre disabilitati per gli utenti normali quando è abilitata l'autenticazione SAML. Questa opzione consente l'accesso alternativo basato su email utilizzando /login/email per gli amministratori e per gli utenti specificati con l'autorizzazione login_special_email.

L'attivazione di questa opzione è utile come alternativa durante la configurazione dell'autenticazione SAML nel caso in cui si verifichino problemi di configurazione SAML in seguito o se devi fornire assistenza ad alcuni utenti che non dispongono di account nella directory SAML.

Specifica il metodo utilizzato per unire gli utenti SAML a un account Looker

Nel campo Unisci utenti con, specifica il metodo da utilizzare per unire il primo accesso SAML a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:

Email/password di Looker (non disponibile per Looker (Google Cloud core))
Google
LDAP (non disponibile per Looker (Google Cloud core))
OIDC

Se hai configurato più sistemi, puoi specificare più di un sistema in base al quale eseguire l'unione in questo campo. Looker cercherà gli utenti dai sistemi elencati nell'ordine in cui sono stati specificati. Ad esempio, supponiamo che tu abbia creato alcuni utenti utilizzando l'email e la password di Looker, quindi tu abbia attivato LDAP e ora voglia utilizzare SAML. Looker unisce prima gli indirizzi email e password e poi LDAP.

Quando un utente accede per la prima volta tramite SAML, questa opzione connette l'utente al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Unione degli utenti quando si utilizza Looker (Google Cloud core)

Quando utilizzi Looker (Google Cloud core) e SAML, l'unione funziona come descritto nella sezione precedente. Tuttavia, ciò è possibile solo se viene soddisfatta una delle due condizioni seguenti:

Condizione 1: gli utenti si autenticano in Looker (Google Cloud core) utilizzando le proprie identità Google mediante il protocollo SAML.
Condizione 2 Prima di selezionare l'opzione di unione, devi completare i seguenti due passaggi:
- Identità degli utenti federati in Google Cloud utilizzando Cloud Identity
- Imposta l'autenticazione OAuth come metodo di autenticazione di backup utilizzando gli utenti federati.

Se l'istanza non soddisfa una di queste due condizioni, l'opzione Unisci utenti utilizzando non sarà disponibile.

Durante l'unione, Looker (Google Cloud core) cercherà i record degli utenti che condividono esattamente lo stesso indirizzo email.

Testare l'autenticazione utente

Fai clic sul pulsante Test per provare le impostazioni. I test reindirizzano al server e aprono una scheda del browser. Nella scheda vengono visualizzati:

Indica se Looker è riuscito a comunicare con il server e a eseguire la convalida.
I nomi che Looker riceve dal server. Devi verificare che il server restituisca i risultati corretti.
Una traccia per mostrare come sono state trovate le informazioni. Usa la traccia per risolvere i problemi se le informazioni non sono corrette. Per ulteriori informazioni, puoi leggere il file XML non elaborato del server.

Suggerimenti:

Puoi eseguire questo test in qualsiasi momento, anche se SAML è parzialmente configurato. Eseguire un test può essere utile durante la configurazione per vedere quali parametri devono essere configurati.
Il test utilizza le impostazioni inserite nella pagina SAML Authentication (Autenticazione SAML), anche se queste impostazioni non sono state salvate. Il test non influisce né modifica le impostazioni in quella pagina.
Durante il test, Looker passa le informazioni all'IdP utilizzando il parametro SAML RelayState. L'IdP dovrebbe restituire questo valore RelayState a Looker senza modifiche.

Salva e applica impostazioni

Dopo aver inserito le informazioni e aver superato tutti i test, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione globale della configurazione e fai clic su Aggiorna impostazioni per salvare.

Comportamento di accesso utente

Quando un utente tenta di accedere a un'istanza di Looker utilizzando SAML, Looker si apre nella pagina Accedi. L'utente deve fare clic sul pulsante Autentica per avviare l'autenticazione tramite SAML.

Questo è il comportamento predefinito se l'utente non ha già una sessione Looker attiva.

Se vuoi che gli utenti accedano direttamente all'istanza Looker dopo che l'IdP li ha autenticati e ignorino la pagina Log In (Accesso), attiva Bypass Login Page (Ignora pagina di accesso) in Login Behavior (Comportamento di accesso).

Se utilizzi Looker (originale), la funzionalità Ignora pagina di accesso deve essere attivata da Looker. Per aggiornare la licenza per questa funzionalità, contatta un esperto delle vendite di Google Cloud o apri una richiesta di assistenza. Se utilizzi Looker (Google Cloud core), l'opzione Ignora pagina di accesso è disponibile automaticamente se SAML è utilizzato come metodo di autenticazione principale e, per impostazione predefinita, è disattivata.

Quando l'opzione Ignora pagina di accesso è attiva, la sequenza di accesso dell'utente è la seguente:

L'utente tenta di connettersi a un URL di Looker (ad esempio, instance_name.looker.com).
Looker determina se per l'utente è già attiva una sessione attiva. A questo scopo, Looker utilizza il cookie AUTH-MECHANISM-COOKIE per identificare il metodo di autorizzazione utilizzato dall'utente nella sua ultima sessione. Il valore è sempre uno di questi: saml, ldap, oidc, google o email.
Se l'utente ha attivato una sessione attiva, viene indirizzato all'URL richiesto.
Se l'utente non ha abilitato una sessione attiva, viene reindirizzato all'IdP. L'IdP autentica l'utente quando accede all'IdP. Looker autentica quindi l'utente quando l'IdP lo rimanda a Looker con informazioni che indicano che l'utente è autenticato con l'IdP.
Se l'autenticazione presso l'IdP ha avuto esito positivo, Looker convalida le asserzioni SAML, accetta l'autenticazione, aggiorna le informazioni dell'utente e inoltra l'utente all'URL richiesto, bypassando la pagina di accesso.
Se l'utente non riesce ad accedere all'IdP o se non è autorizzato dall'IdP a utilizzare Looker, a seconda dell'IdP rimarrà nel sito dell'IdP o verrà reindirizzato alla pagina di accesso di Looker.

Superamento del limite della risposta SAML

Se gli utenti che tentano di eseguire l'autenticazione ricevono errori che indicano che la risposta SAML ha superato la dimensione massima, puoi aumentare la dimensione massima consentita per la risposta SAML.

Per le istanze ospitate da Looker, apri una richiesta di assistenza per aggiornare la dimensione massima della risposta SAML.

Per le istanze Looker ospitate dal cliente, puoi impostare la dimensione massima della risposta SAML in numero di byte con la variabile di ambiente MAX_SAML_RESPONSE_BYTESIZE. Ad esempio:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Il valore predefinito per la dimensione massima della risposta SAML è 250.000 byte.