Envie seu hack para o Looker Hackathon 2025 [Edição para o setor público] em breve! Ganhe um prêmio real de "Melhor hack" e mostre sua habilidade com dados. Confira as perguntas frequentes e as regras oficiais para mais informações.

Esta página foi traduzida pela API Cloud Translation.

Configurações de administrador: autenticação SAML

Na página SAML da seção Autenticação do menu Administrador, é possível configurar o Looker para autenticar usuários usando a Linguagem de marcação para autorização de segurança (SAML). Esta página descreve esse processo e inclui instruções para vincular grupos SAML a papéis e permissões do Looker.

Requisitos

O Looker mostra a página SAML na seção Autenticação do menu Administrador somente se as seguintes condições forem atendidas:

Você tem a função de administrador.
Sua instância do Looker está ativada para usar o SAML.

Se essas condições forem atendidas e a página SAML não aparecer, abra uma solicitação de suporte para ativar o SAML na sua instância.

SAML e provedores de identidade

As empresas usam diferentes provedores de identidade (IdPs) para coordenar com o SAML (por exemplo, Okta ou OneLogin). Os termos usados nas instruções de configuração a seguir e na UI podem não corresponder diretamente aos usados pelo seu IdP. Para esclarecimentos durante a configuração, entre em contato com sua equipe interna de SAML ou autenticação ou com o suporte do Looker.

O Looker pressupõe que as solicitações e declarações SAML serão compactadas. Verifique se o IdP está configurado dessa forma. As solicitações do Looker ao IdP não são assinadas.

O Looker é compatível com o login iniciado pelo IdP.

Parte do processo de configuração precisa ser concluída no site do IdP.

O Okta oferece um app do Looker, que é a maneira recomendada de configurar o Looker e o Okta juntos.

Como configurar o Looker no seu provedor de identidade

Seu IdP SAML vai precisar do URL da instância do Looker para onde ele vai POSTAR declarações SAML. No IdP, isso pode ser chamado de "URL de postback", "Destinatário" ou "Destino", entre outros nomes.

As informações a serem fornecidas são o URL em que você normalmente acessa sua instância do Looker usando o navegador, seguido por /samlcallback. Por exemplo: none https://instance_name.looker.com/samlcallback

https://looker.mycompany.com/samlcallback

Alguns IdPs também exigem que você adicione :9999 após o URL da instância. Exemplo:

https://instance_name.looker.com:9999/samlcallback

Informações úteis

Lembre-se do seguinte:

O Looker exige SAML 2.0.
Não desative a autenticação SAML enquanto estiver conectado ao Looker por SAML, a menos que você tenha configurado um login alternativo. Caso contrário, você pode perder o acesso ao app.
O Looker pode migrar contas atuais para SAML usando endereços de e-mail que vêm das configurações atuais de e-mail e senha ou do Google Auth, LDAP ou OIDC. Você poderá configurar como as contas atuais serão migradas no processo de configuração.

Primeiros passos

Acesse a página Autenticação SAML na seção Administrador do Looker para conferir as seguintes opções de configuração. As mudanças nas opções de configuração só entram em vigor depois que você testa e salva as configurações na parte de baixo da página.

Configurações de autenticação SAML

O Looker exige o URL do IdP, o emissor do IdP e o certificado do IdP para autenticar seu IdP.

Seu IdP pode oferecer um documento XML de metadados do IdP durante o processo de configuração do Looker no lado do IdP. Esse arquivo contém todas as informações solicitadas na seção Configurações de autenticação SAML. Se você tiver esse arquivo, faça upload dele no campo Metadados do IdP, que vai preencher os campos obrigatórios nesta seção. Como alternativa, preencha os campos obrigatórios com a saída obtida durante a configuração do IdP. Não é necessário preencher os campos se você fizer upload do arquivo XML.

Metadados do IdP (opcional): cole o URL público do documento XML que contém as informações do IdP ou cole o texto completo do documento aqui. O Looker vai analisar esse arquivo para preencher os campos obrigatórios.

Se você não fez upload nem colou um documento XML de metadados do IdP, insira as informações de autenticação do IdP nos campos URL do IdP, Emissor do IdP e Certificado do IdP.

URL do IdP: o URL em que o Looker vai autenticar os usuários. Ele é chamado de URL de redirecionamento no Okta.
Emissor do IdP: o identificador exclusivo do IdP. Isso é chamado de "chave externa" no Okta.
Certificado do IdP: a chave pública para permitir que o Looker verifique a assinatura das respostas do IdP.

Juntos, esses três campos permitem que o Looker confirme que um conjunto de declarações SAML assinadas realmente veio de um IdP confiável.

Entidade de SP/público-alvo do IdP: esse campo não é obrigatório para o Looker, mas muitos IdPs exigem essa informação. Se você inserir um valor nesse campo, ele será enviado ao IdP como o Entity ID do Looker em solicitações de autorização. Nesse caso, o Looker só vai aceitar respostas de autorização que tenham esse valor como Audience. Se o IdP exigir um valor Audience, insira essa string aqui.

Desvio de relógio permitido: o número de segundos de desvio de relógio (a diferença nos carimbos de data/hora entre o IdP e o Looker) permitido. Normalmente, esse valor é o padrão 0, mas alguns IdPs podem exigir mais flexibilidade para logins bem-sucedidos.

Configurações de atributos do usuário

Nos campos a seguir, especifique o nome do atributo na configuração SAML do IdP que contém as informações correspondentes para cada campo. Ao inserir os nomes dos atributos SAML, você informa ao Looker como mapear esses campos e extrair as informações deles no momento do login. O Looker não se importa com a forma como essas informações são construídas. O importante é que a maneira como você as insere no Looker corresponda à forma como os atributos são definidos no seu IdP. O Looker oferece sugestões padrão sobre como criar essas entradas.

Atributos padrão

Você precisa especificar estes atributos padrão:

Email Attr: o nome do atributo que seu IdP usa para endereços de e-mail de usuários.
FName Attr: o nome do atributo que seu IdP usa para os primeiros nomes dos usuários.
LName Attr: o nome do atributo que seu IdP usa para sobrenomes de usuários.

Como parear atributos SAML com atributos do usuário do Looker

Você também pode usar os dados nos atributos SAML para preencher automaticamente os valores nos atributos do usuário do Looker quando uma pessoa faz login. Por exemplo, se você configurou o SAML para fazer conexões específicas do usuário com seu banco de dados, é possível parear os atributos do SAML com os atributos do usuário do Looker para tornar as conexões do banco de dados específicas do usuário no Looker.

Para parear atributos SAML com atributos de usuário do Looker correspondentes:

Insira o nome do atributo SAML no campo Atributo SAML e o nome do atributo de usuário do Looker com que você quer parear no campo Atributos de usuário do Looker.
Marque Obrigatório se quiser exigir um valor de atributo SAML para permitir que um usuário faça login.
Clique em + e repita essas etapas para adicionar mais pares de atributos.

Grupos e funções

O Looker pode criar grupos que espelham seus grupos SAML gerenciados externamente e atribuir funções do Looker aos usuários com base nos grupos SAML espelhados. Quando você faz mudanças na associação do grupo SAML, elas são propagadas automaticamente para a configuração do grupo do Looker.

Com o espelhamento de grupos SAML, você pode usar seu diretório SAML definido externamente para gerenciar grupos e usuários do Looker. Isso permite gerenciar a associação a grupos de várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Refletir grupos SAML, o Looker vai criar um grupo do Looker para cada grupo SAML introduzido no sistema. Esses grupos do Looker podem ser visualizados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir funções aos participantes, definir controles de acesso ao conteúdo e atribuir atributos do usuário.

Grupos e funções padrão

Por padrão, a chave Refletir grupos SAML está desativada. Nesse caso, você pode definir um grupo padrão para novos usuários SAML. Nos campos Novos grupos de usuários e Novas funções de usuário, insira os nomes dos grupos ou funções do Looker que você quer atribuir aos novos usuários do Looker quando eles fizerem login pela primeira vez:

Esses grupos e funções são aplicados aos novos usuários no login inicial. Os grupos e papéis não são aplicados a usuários que já existiam e não são reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar os grupos SAML espelhados mais tarde, esses padrões serão removidos para os usuários no próximo login e substituídos por funções atribuídas na seção Grupos SAML espelhados. Essas opções padrão não estarão mais disponíveis ou atribuídas e serão totalmente substituídas pela configuração de grupos espelhados.

Como ativar grupos SAML espelhados

Se você estiver usando uma instância do Looker (Google Cloud Core), recomendamos que ative o espelhamento de grupo apenas para o método de autenticação principal e não para a autenticação OAuth de backup. Se você ativar o espelhamento de grupo para os métodos de autenticação primário e secundário, os seguintes comportamentos vão ocorrer:

Se um usuário tiver identidades mescladas, o espelhamento de grupo vai corresponder ao método de autenticação principal, independente do método usado para fazer login.
Se um usuário não tiver identidades mescladas, o espelhamento de grupo vai corresponder ao método de autenticação usado para fazer login.

Etapas para ativar grupos espelhados

Se você optar por espelhar seus grupos SAML no Looker, ative a chave Espelhar grupos SAML. O Looker mostra estas configurações:

Estratégia de localização de grupos: selecione o sistema usado pelo IdP para atribuir grupos, que depende do seu IdP.

Quase todos os IdPs usam um único valor de atributo para atribuir grupos, conforme mostrado nesta amostra de declaração SAML: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como valores de atributos únicos.
Alguns IdPs usam um atributo separado para cada grupo e exigem um segundo atributo para determinar se um usuário é membro de um grupo. Confira a seguir uma amostra de declaração SAML que mostra esse sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como atributos individuais com valor de associação.

Atributo de grupos: o Looker mostra esse campo quando a Estratégia de descoberta de grupos está definida como Grupos como valores de um único atributo. Insira o nome do atributo de grupos usado pelo IdP.

Valor do membro do grupo: o Looker mostra esse campo quando a Estratégia de descoberta de grupo está definida como Grupos como atributos individuais com valor de associação. Insira o valor que indica que um usuário é membro de um grupo.

Nome do grupo preferido/Funções/ID do grupo SAML: esse conjunto de campos permite atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo SAML correspondente no Looker:

Insira o ID do grupo SAML no campo ID do grupo SAML. Para usuários do Okta, insira o nome do grupo do Okta como o ID do grupo SAML. Os usuários do SAML incluídos no grupo do SAML serão adicionados ao grupo espelhado no Looker.
Insira um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.
No campo à direita de Nome personalizado, selecione uma ou mais funções do Looker que serão atribuídas a cada usuário no grupo.
Clique em + para adicionar outros conjuntos de campos e configurar mais grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um deles, clique em X ao lado do conjunto de campos desse grupo.

Se você editar um grupo espelhado que foi configurado anteriormente nessa tela, a configuração do grupo vai mudar, mas o grupo em si vai permanecer intacto. Por exemplo, você pode mudar o nome personalizado de um grupo, o que mudaria a forma como ele aparece na página Grupos do Looker, mas não alteraria as funções atribuídas e os membros do grupo. Mudar o ID do grupo SAML manteria o nome e as funções do grupo, mas os participantes seriam reatribuídos com base nos usuários que são membros do grupo SAML externo com o novo ID do grupo SAML.

As edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo no próximo login no Looker.

Gerenciamento avançado de papéis

Se você tiver ativado a chave Refletir grupos SAML, o Looker vai mostrar essas configurações. As opções nesta seção determinam a flexibilidade dos administradores do Looker ao configurar grupos e usuários do Looker que foram espelhados do SAML.

Por exemplo, se você quiser que a configuração de grupo e usuário do Looker corresponda exatamente à configuração do SAML, ative essas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar as associações de grupos espelhados e só podem atribuir papéis aos usuários por grupos espelhados do SAML.

Se quiser mais flexibilidade para personalizar seus grupos no Looker, desative essas opções. Seus grupos do Looker ainda vão espelhar a configuração do SAML, mas você poderá fazer mais gerenciamento de grupos e usuários no Looker, como adicionar usuários do SAML a grupos específicos do Looker ou atribuir papéis do Looker diretamente a usuários do SAML.

Para novas instâncias do Looker ou instâncias que não têm grupos espelhados configurados anteriormente, essas opções ficam desativadas por padrão.

Para instâncias do Looker que já têm grupos espelhados configurados, essas opções ficam ativadas por padrão.

A seção Gerenciamento avançado de funções contém estas opções:

Impedir que usuários individuais do SAML recebam papéis diretos: ao ativar essa opção, os administradores do Looker não podem atribuir papéis do Looker diretamente aos usuários do SAML. Os usuários do SAML só recebem papéis pelas associações a grupos. Se os usuários do SAML puderem ser membros de grupos integrados do Looker (não espelhados), eles ainda poderão herdar papéis de grupos espelhados do SAML e de grupos integrados do Looker. Os usuários SAML que receberam papéis diretamente terão esses papéis removidos no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão atribuir papéis do Looker diretamente aos usuários do SAML como se eles estivessem configurados diretamente no Looker.

Impedir associação direta a grupos que não são SAML: ao ativar essa opção, os administradores do Looker não podem adicionar usuários SAML diretamente aos grupos integrados do Looker. Se os grupos SAML espelhados puderem ser membros de grupos integrados do Looker, os usuários de SAML poderão manter a associação em qualquer grupo principal do Looker. Os usuários SAML que foram atribuídos a grupos integrados do Looker serão removidos desses grupos no próximo login.

Se essa opção estiver desativada, os administradores do Looker poderão adicionar usuários do SAML diretamente aos grupos integrados do Looker.

Impedir a herança de papéis de grupos que não são do SAML: ao ativar essa opção, os membros de grupos SAML espelhados não herdam papéis de grupos integrados do Looker. Os usuários do SAML que herdaram papéis de um grupo principal do Looker vão perder essas funções no próximo login.

Se essa opção estiver desativada, os grupos de SAML espelhados ou os usuários de SAML adicionados como membros de um grupo integrado do Looker vão herdar as funções atribuídas ao grupo principal do Looker.

A autenticação exige função: se essa opção estiver ativada, os usuários da SAML precisarão ter uma função atribuída. Os usuários do SAML que não tiverem uma função atribuída não poderão fazer login no Looker.

Se essa opção estiver desativada, os usuários do SAML poderão se autenticar no Looker mesmo que não tenham uma função atribuída. Um usuário sem função atribuída não poderá ver dados nem realizar ações no Looker, mas poderá fazer login.

Desativar grupos SAML espelhados

Se quiser parar de espelhar seus grupos SAML no Looker, desative a opção Espelhar grupos SAML. Desativar a chave resulta no seguinte comportamento:

Qualquer grupo SAML espelhado sem usuários é excluído imediatamente.
Qualquer grupo SAML espelhado que não contenha usuários será marcado como órfão. Se nenhum usuário desse grupo fizer login em 31 dias, o grupo será excluído. Não é mais possível adicionar ou remover usuários de grupos SAML órfãos.

Opções de migração

Login alternativo para administradores e usuários especificados

Os logins por e-mail e senha do Looker são sempre desativados para usuários comuns quando a autenticação SAML está ativada. Essa opção permite o login alternativo com base em e-mail usando /login/email para administradores e usuários específicos com a permissão login_special_email.

Ativar essa opção é útil como alternativa durante a configuração da autenticação SAML se ocorrerem problemas de configuração do SAML posteriormente ou se você precisar oferecer suporte a alguns usuários que não têm contas no seu diretório SAML.

Especifique o método usado para mesclar usuários do SAML a uma conta do Looker.

No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um login SAML inédito com uma conta de usuário existente. É possível mesclar usuários dos seguintes sistemas:

E-mail/senha do Looker (não disponível para o Looker (Google Cloud Core))
Google
LDAP (não disponível para o Looker (Google Cloud Core))
OIDC

Se você tiver mais de um sistema, poderá especificar mais de um para mesclar neste campo. O Looker vai pesquisar os usuários nos sistemas listados na ordem em que são especificados. Por exemplo, suponha que você tenha criado alguns usuários usando e-mail e senha do Looker, depois ativado o LDAP e agora queira usar o SAML. O Looker faria a fusão primeiro por e-mail e senha e depois por LDAP.

Quando um usuário faz login pela primeira vez usando SAML, essa opção conecta o usuário à conta atual encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova será criada.

Como mesclar usuários ao usar o Looker (Google Cloud Core)

Ao usar o Looker (Google Cloud core) e o SAML, a fusão funciona conforme descrito na seção anterior. No entanto, isso só é possível se uma das duas condições a seguir for atendida:

Condição 1: os usuários estão se autenticando no Looker (Google Cloud Core) usando as identidades do Google pelo protocolo SAML.
Condição 2: antes de selecionar a opção de mesclagem, você concluiu as duas etapas a seguir:
- Identidades de usuários federados em Google Cloud usando o Cloud Identity
- Configure a autenticação OAuth como o método de autenticação de backup usando os usuários federados.

Se a instância não atender a uma dessas duas condições, a opção Mesclar usuários usando não vai estar disponível.

Ao fazer a fusão, o Looker (Google Cloud Core) pesquisa registros de usuários que compartilham o mesmo endereço de e-mail.

Testar a autenticação do usuário

Clique no botão Testar para testar suas configurações. Os testes vão redirecionar para o servidor e abrir uma guia do navegador. A guia mostra:

Se o Looker conseguiu se comunicar com o servidor e validar.
Os nomes que o Looker recebe do servidor. É preciso validar se o servidor retorna os resultados adequados.
Um rastreamento para mostrar como as informações foram encontradas. Use o rastreamento para resolver problemas se as informações estiverem incorretas. Se precisar de mais informações, leia o arquivo XML bruto do servidor.

Dicas:

Você pode executar esse teste a qualquer momento, mesmo que o SAML esteja parcialmente configurado. Executar um teste pode ser útil durante a configuração para ver quais parâmetros precisam ser configurados.
O teste usa as configurações inseridas na página Autenticação SAML, mesmo que elas não tenham sido salvas. O teste não vai afetar nem mudar nenhuma das configurações nessa página.
Durante o teste, o Looker transmite informações ao IdP usando o parâmetro RelayState do SAML. O IdP precisa retornar esse valor RelayState ao Looker sem modificações.

Salvar e aplicar as configurações

Depois de inserir as informações e passar em todos os testes, marque Confirmei a configuração acima e quero ativar a aplicação global e clique em Atualizar configurações para salvar.

Comportamento de login do usuário

Quando um usuário tenta fazer login em uma instância do Looker usando SAML, o Looker abre a página Fazer login. O usuário precisa clicar no botão Autenticar para iniciar a autenticação via SAML.

Esse é o comportamento padrão se o usuário ainda não tiver uma sessão ativa do Looker.

Se você quiser que os usuários façam login diretamente na sua instância do Looker depois que o IdP os autenticar e ignorar a página Fazer login, ative a opção Ignorar página de login em Comportamento de login.

Se você estiver usando o Looker (original), o recurso Ignorar página de login precisa ser ativado pelo Looker. Para atualizar sua licença e usar esse recurso, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte. Se você estiver usando o Looker (Google Cloud Core), a opção Ignorar página de login estará disponível automaticamente se o SAML for usado como o método de autenticação principal e estará desativada por padrão.

Quando a opção Ignorar página de login está ativada, a sequência de login do usuário é a seguinte:

O usuário tenta se conectar a um URL do Looker (por exemplo, instance_name.looker.com).
O Looker determina se o usuário já tem uma sessão ativa habilitada. Para isso, o Looker usa o cookie AUTH-MECHANISM-COOKIE para identificar o método de autorização usado pelo usuário na última sessão. O valor é sempre um destes: saml, ldap, oidc, google ou email.
Se o usuário tiver uma sessão ativa, ele será direcionado ao URL solicitado.
Se o usuário não tiver uma sessão ativa, ele será redirecionado para o IdP. O IdP autentica o usuário quando ele faz login com sucesso. Em seguida, o Looker autentica o usuário quando o IdP o envia de volta ao Looker com informações indicando que ele está autenticado com o IdP.
Se a autenticação no IdP for bem-sucedida, o Looker vai validar as declarações SAML, aceitar a autenticação, atualizar as informações do usuário e encaminhar o usuário para o URL solicitado, ignorando a página Fazer login.
Se o usuário não conseguir fazer login no IdP ou não tiver autorização para usar o Looker, dependendo do IdP, ele vai permanecer no site do IdP ou será redirecionado para a página Fazer login do Looker.

Resposta SAML acima do limite

Se os usuários que estão tentando se autenticar receberem erros indicando que a resposta SAML excedeu o tamanho máximo, aumente o tamanho máximo permitido da resposta SAML.

Para instâncias hospedadas pelo Looker, abra uma solicitação de suporte para atualizar o tamanho máximo da resposta SAML.

Para instâncias do Looker hospedadas pelo cliente, é possível definir o tamanho máximo da resposta SAML em bytes com a variável de ambiente MAX_SAML_RESPONSE_BYTESIZE. Exemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

O padrão para o tamanho máximo da resposta SAML é de 250.000 bytes.