Administratoreinstellungen – SAML-Authentifizierung

Auf der Seite SAML im Abschnitt Authentifizierung des Menüs Verwaltung können Sie Looker so konfigurieren, dass Nutzer mithilfe der Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie erhalten Anweisungen zum Verknüpfen von SAML-Gruppen mit Looker-Rollen und -Berechtigungen.

SAML und Identitätsanbieter

Unternehmen verwenden unterschiedliche Identitätsanbieter (Identity Providers, IdPs) zur Koordination mit SAML, z. B. Okta oder OneLogin. Die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht genau mit denen Ihres Identitätsanbieters überein. Wenn Sie während der Einrichtung Fragen haben, wenden Sie sich an Ihr internes SAML- oder Authentifizierungsteam oder an den Looker-Support.

In Looker wird davon ausgegangen, dass SAML-Anfragen und ‑Assertions komprimiert werden. Achten Sie darauf, dass Ihr IdP entsprechend konfiguriert ist. Lookers Anfragen an den IdP sind nicht signiert.

Looker unterstützt die vom IdP initiierte Anmeldung.

Ein Teil der Einrichtung muss auf der Website des IdP abgeschlossen werden.

Okta bietet eine Looker-App an, die wir empfehlen, um Looker und Okta zusammen zu konfigurieren.

Looker bei Ihrem Identitätsanbieter einrichten

Ihr SAML-IdP benötigt die URL der Looker-Instanz, an die der SAML-IdP SAML-Assertions POSTen soll. Bei Ihrem IdP kann dieses Feld unter anderem „Postback-URL“, „Empfänger“ oder „Ziel“ heißen.

Geben Sie die URL an, über die Sie normalerweise über den Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs müssen Sie nach der Instanz-URL auch :9999 hinzufügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Informationen

Beachten Sie dabei Folgendes:

  • Für Looker ist SAML 2.0 erforderlich.
  • Deaktivieren Sie die SAML-Authentifizierung nur dann, wenn Sie über SAML bei Looker angemeldet sind, es sei denn, Sie haben ein alternatives Konto eingerichtet. Andernfalls könnten Sie sich aus der App aussperren.
  • Looker kann vorhandene Konten zu SAML migrieren, indem E-Mail-Adressen verwendet werden, die entweder aus der aktuellen E-Mail- und Passworteinrichtung oder aus Google Auth, LDAP oder OIDC stammen. Sie können bei der Einrichtung konfigurieren, wie vorhandene Konten migriert werden.

Erste Schritte

Rufen Sie in Looker im Bereich Verwaltung die Seite SAML-Authentifizierung auf, um die folgenden Konfigurationsoptionen zu sehen. Änderungen an den Konfigurationsoptionen werden erst wirksam, wenn Sie die Einstellungen unten auf der Seite testen und speichern.

SAML-Authentifizierungseinstellungen

Looker benötigt die IdP-URL, den IdP-Aussteller und das IdP-Zertifikat, um Ihren IdP zu authentifizieren.

Ihr IdP stellt Ihnen möglicherweise während der Konfiguration von Looker auf IdP-Seite ein XML-Dokument mit IdP-Metadaten zur Verfügung. Diese Datei enthält alle im Abschnitt SAML Auth Settings (SAML-Authentifizierungseinstellungen) angeforderten Informationen. Wenn Sie diese Datei haben, können Sie sie in das Feld IdP Metadata (IdP-Metadaten) hochladen. Dadurch werden die Pflichtfelder in diesem Abschnitt ausgefüllt. Alternativ können Sie die Pflichtfelder aus der Ausgabe ausfüllen, die Sie während der IdP-seitigen Konfiguration erhalten haben. Du musst die Felder nicht ausfüllen, wenn du die XML-Datei hochlädst.

  • IdP-Metadaten (optional): Fügen Sie entweder die öffentliche URL des XML-Dokuments mit den IdP-Informationen oder den gesamten Text des Dokuments hier ein. Looker analysiert diese Datei, um die erforderlichen Felder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen Ihre IdP-Authentifizierungsinformationen in die Felder IdP-URL, IdP-Aussteller und IdP-Zertifikat ein.

  • IdP-URL: Die URL, unter der Looker Nutzer authentifiziert. In Okta wird sie als Weiterleitungs-URL bezeichnet.

  • IdP Issuer (Aussteller des Identitätsanbieters): Die eindeutige Kennung des Identitätsanbieters. In Okta wird dies als „Externer Schlüssel“ bezeichnet.

  • IdP-Zertifikat: Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten prüfen kann.

Zusammengenommen können diese drei Felder in Looker bestätigen, dass eine Reihe signierter SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

  • SP-Entität/IdP-Zielgruppe: Dieses Feld ist in Looker nicht erforderlich, wird aber von vielen Identitätsanbietern benötigt. Wenn Sie in dieses Feld einen Wert eingeben, wird dieser Wert in Autorisierungsanfragen als Entity ID von Looker an Ihren Identitätsanbieter gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten, die diesen Wert als Audience haben. Wenn Ihr IdP einen Audience-Wert benötigt, geben Sie diesen String hier ein.
  • Zulässige Uhrabweichung: Die zulässige Anzahl von Sekunden der Zeitverschiebung (die Differenz der Zeitstempel zwischen dem IdP und Looker). Dieser Wert ist normalerweise standardmäßig 0. Einige Identitätsanbieter benötigen jedoch möglicherweise mehr Spielraum für erfolgreiche Anmeldungen.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, die die entsprechenden Informationen für jedes Feld enthält. Wenn Sie die SAML-Attributnamen eingeben, wird Looker mitgeteilt, wie diese Felder zugeordnet und ihre Informationen beim Anmelden extrahiert werden sollen. Bei Looker geht es nicht um die Art und Weise, wie diese Informationen aufgebaut sind. Es ist nur wichtig, dass die Art und Weise, wie Sie sie in Looker eingeben, der Art und Weise entspricht, wie die Attribute in Ihrem IdP definiert sind. Looker bietet standardmäßige Vorschläge zur Erstellung dieser Eingaben.

Standardattribute

Sie müssen die folgenden Standardattribute angeben:

  • Email Attr: Der Attributname, den Ihr IdP für die E-Mail-Adressen von Nutzern verwendet.

  • Vorname: Der Attributname, den Ihr IdP für die Vornamen von Nutzern verwendet.

  • LName Attr (LName-Zuordnung): Der Attributname, den Ihr IdP für die Nachnamen der Nutzer verwendet.

SAML-Attribute mit Looker-Benutzerattributen koppeln

Optional können Sie die Daten in Ihren SAML-Attributen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie SAML beispielsweise für die Herstellung nutzerspezifischer Verbindungen zu Ihrer Datenbank konfiguriert haben, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen verknüpfen, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So ordnen Sie SAML-Attribute den entsprechenden Looker-Nutzerattributen zu:

  1. Geben Sie den Namen des SAML-Attributs in das Feld SAML Attribute und den Namen des Looker-Nutzerattributs, mit dem Sie es koppeln möchten, in das Feld Looker-Nutzerattribute ein.
  2. Klicken Sie Required (Erforderlich) an, wenn Sie einen SAML-Attributwert erzwingen möchten, damit sich ein Nutzer anmelden kann.
  3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie können in Looker Gruppen erstellen, die Ihre extern verwalteten SAML-Gruppen spiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten SAML-Gruppen zuweisen. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Durch das Spiegeln von SAML-Gruppen können Sie Ihr extern definiertes SAML-Verzeichnis zur Verwaltung von Looker-Gruppen und -Nutzern verwenden. So können Sie die Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie SAML-Gruppen spiegeln aktivieren, erstellt Looker für jede SAML-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen finden Sie in Looker auf der Seite Gruppen im Bereich Verwaltung. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und -rollen

Standardmäßig ist die Option SAML-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und auch nicht noch einmal, wenn sie nach der Erstanmeldung der Nutzer entfernt werden.

Wenn Sie später die Funktion „SAML-Gruppen spiegeln“ aktivieren, werden diese Standardrollen bei der nächsten Anmeldung der Nutzer entfernt und durch Rollen ersetzt, die im Abschnitt SAML-Gruppen spiegeln zugewiesen wurden. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration für gespiegelte Gruppen ersetzt.

Spiegel-SAML-Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter SAML-Gruppen spiegeln. In Looker werden folgende Einstellungen angezeigt:

Group Finder Strategy (Gruppensuche): Wählen Sie das System aus, das der IdP zum Zuweisen von Gruppen verwendet. Das hängt von Ihrem IdP ab.

  • Fast alle IdPs verwenden für die Zuweisung von Gruppen einen einzelnen Attributwert, wie in dieser SAML-Beispiel-Assertion gezeigt: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als Werte einzelner Attribute aus.

  • Einige Identitätsanbieter verwenden ein separates Attribut für jede Gruppe und benötigen dann ein zweites Attribut, um zu bestimmen, ob ein Nutzer Mitglied einer Gruppe ist. Eine Beispiel-SAML-Bestätigung für dieses System findest du hier: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Wähle in diesem Fall Gruppen als einzelne Attribute mit Mitgliedschaftswert aus.

Gruppenattribut: In Looker wird dieses Feld angezeigt, wenn die Group Finder-Strategie auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Groups-Attributs ein, das vom IdP verwendet wird.

Wert des Gruppenmitglieds: Dieses Feld wird in Looker angezeigt, wenn die Gruppensuche-Strategie auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Bevorzugter Gruppenname/Rollen/SAML-Gruppen-ID: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen sind:

  1. Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID ein. Geben Sie für Okta-Nutzer den Namen der Okta-Gruppe als SAML-Gruppen-ID ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

  2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird im Looker-Bereich Verwaltung auf der Seite Gruppen angezeigt.

  3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden sollen.

  4. Klicken Sie auf +, um weitere Feldsätze hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie können beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch wird die Darstellung der Gruppe auf der Seite Gruppen in Looker geändert, die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch unverändert. Durch das Ändern der SAML-Gruppen-ID werden der Gruppenname und die Rollen beibehalten, die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen SAML-Gruppen-UD sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter SAML-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie flexibel Looker-Administratoren Looker-Gruppen und Nutzer konfigurieren können, die aus SAML gespiegelt wurden.

Wenn beispielsweise die Looker-Gruppe und die Benutzerkonfiguration genau Ihrer SAML-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaften in gespiegelten Gruppen nicht ändern und Nutzern nur über SAML-Spiegelgruppen Rollen zuweisen.

Wenn Sie Ihre Gruppen in Looker flexibler anpassen möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung innerhalb von Looker durchführen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder SAML-Nutzern Looker-Rollen direkt zuweisen.

Bei neuen Looker-Instanzen oder bei Instanzen, die keine zuvor konfigurierten gespiegelten Gruppen haben, sind diese Optionen standardmäßig deaktiviert.

Bei bestehenden Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Im Abschnitt Erweiterte Rollenverwaltung sind folgende Optionen verfügbar:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzern keine direkten Rollen zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaft. Wenn SAML-Nutzern die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen gestattet ist, können sie ihre Rollen sowohl von gespiegelten SAML-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Allen SAML-Nutzern, denen Rollen zuvor direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren Looker-Rollen direkt SAML-Nutzern zuweisen, so als wären sie direkt in Looker konfiguriert.

Direkte Mitgliedschaft in Nicht-SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können SAML-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle SAML-Nutzer, die zuvor zu integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Rollenübernahme von nicht SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten SAML-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. Alle SAML-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth erfordert Rolle: Wenn diese Option aktiviert ist, muss SAML-Nutzern eine Rolle zugewiesen sein. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich SAML-Nutzer auch dann bei Looker authentifizieren, wenn sie keine Rolle zugewiesen haben. Nutzer ohne zugewiesene Rolle können keine Daten sehen oder Aktionen in Looker ausführen, sich aber in Looker anmelden.

Spiegel-SAML-Gruppen deaktivieren

Wenn Sie die Spiegelung Ihrer SAML-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter Mirror SAML Groups (SAML-Gruppen spiegeln). Alle leeren SAML-Gruppen für die Spiegelung werden gelöscht.

Spiegel-SAML-Gruppen, die nicht leer sind, können weiterhin für das Content-Management und die Rollenerstellung verwendet werden. Es ist jedoch nicht möglich, Nutzer zu gespiegelten SAML-Gruppen hinzuzufügen oder daraus zu entfernen.

Migrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

Anmeldungen in Looker per E-Mail-Adresse und Passwort sind für reguläre Nutzer immer deaktiviert, wenn die SAML-Authentifizierung aktiviert ist. Mit dieser Option ist eine alternative E-Mail-basierte Anmeldung mit /login/email für Administratoren und für bestimmte Nutzer mit der Berechtigung login_special_email möglich.

Das Aktivieren dieser Option ist als Fallback bei der Einrichtung der SAML-Authentifizierung nützlich, falls später Probleme mit der SAML-Konfiguration auftreten oder Sie Support für Nutzer benötigen, die keine Konten in Ihrem SAML-Verzeichnis haben.

Methode angeben, mit der SAML-Nutzer mit einem Looker-Konto zusammengeführt werden

Geben Sie im Feld Merge Users Using (Nutzer mithilfe von) die Methode an, mit der eine erstmalige SAML-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

  • Looker-E-Mail-Adresse/-Passwort (nicht für Looker (Google Cloud Core) verfügbar)
  • Google
  • LDAP (nicht verfügbar für Looker (Google Cloud Core))
  • OIDC

Wenn Sie mehrere Systeme eingerichtet haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker sucht Nutzer in den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit der E-Mail-Adresse und dem Passwort von Looker erstellt, dann haben Sie LDAP aktiviert und möchten jetzt SAML verwenden. Looker würde zuerst anhand von E-Mail-Adresse und Passwort und dann mit LDAP zusammengeführt.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verbunden, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues erstellt.

Benutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen

Wenn Sie Looker (Google Cloud Core) und SAML verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der beiden folgenden Bedingungen erfüllt ist:

  1. Bedingung 1: Nutzer authentifizieren sich mit ihren Google-Identitäten über das SAML-Protokoll in Looker (Google Cloud Core).

  2. Bedingung 2: Bevor Sie die Zusammenführungsoption ausgewählt haben, haben Sie die folgenden zwei Schritte ausgeführt:

Wenn Ihre Instanz eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen über nicht verfügbar.

Bei der Zusammenführung sucht Looker (Google Cloud Core) nach Nutzereinträgen mit genau derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um Ihre Einstellungen zu testen. Tests werden an den Server weitergeleitet und ein Browsertab wird geöffnet. Auf dem Tab werden folgende Informationen angezeigt:

  • Gibt an, ob Looker mit dem Server kommunizieren und validieren konnte.
  • Die Namen, die Looker vom Server erhält. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
  • Ein Trace, um zu zeigen, wie die Informationen gefunden wurden. Wenn die Informationen falsch sind, verwenden Sie den Trace zur Fehlerbehebung. Wenn Sie weitere Informationen benötigen, können Sie die Roh-XML-Serverdatei lesen.

Tipps:

  • Sie können diesen Test jederzeit ausführen, auch wenn SAML nur teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
  • Für den Test werden die auf der Seite SAML Authentication (SAML-Authentifizierung) eingegebenen Einstellungen verwendet, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.
  • Während des Tests übergibt Looker Informationen über den SAML-RelayState-Parameter an den IdP. Der Identitätsanbieter sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Speichern und Einstellungen anwenden

Wenn Sie Ihre Informationen eingegeben haben und alle Tests bestanden wurden, aktivieren Sie die Option Ich habe die oben genannte Konfiguration bestätigt und möchte die globale Anwendung aktivieren. Klicken Sie dann zum Speichern auf Einstellungen aktualisieren.

Verhalten bei der Nutzeranmeldung

Wenn ein Nutzer versucht, sich über SAML in einer Looker-Instanz anzumelden, wird in Looker die Seite Anmelden geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Das ist das Standardverhalten, wenn der Nutzer noch keine aktive Looker-Sitzung hat.

Wenn Sie möchten, dass sich Ihre Nutzer direkt in Ihrer Looker-Instanz anmelden können, nachdem sie vom IdP authentifiziert wurden, und damit die Seite Anmelden umgangen werden sollen, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Wenn Sie Looker (Original) verwenden, muss die Funktion Anmeldeseite umgehen von Looker aktiviert sein. Wenn Sie Ihre Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an einen Google Cloud-Vertriebsexperten oder stellen Sie eine Supportanfrage. Wenn Sie Looker (Google Cloud Core) verwenden, ist die Option Anmeldeseite umgehen automatisch verfügbar, wenn SAML als primäre Authentifizierungsmethode verwendet wird. Sie ist standardmäßig deaktiviert.

Wenn Anmeldeseite umgehen aktiviert ist, sieht der Nutzer bei der Anmeldung folgende Abfolge an:

  1. Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen, z. B. instance_name.looker.com.

  2. Looker ermittelt, ob für den Nutzer bereits eine aktive Sitzung aktiviert ist. Dazu verwendet Looker das Cookie AUTH-MECHANISM-COOKIE, um die Autorisierungsmethode zu ermitteln, die der Nutzer in seiner letzten Sitzung verwendet hat. Der Wert ist immer einer der folgenden Werte: saml, ldap, oidc, google oder email.

  3. Wenn der Nutzer eine aktive Sitzung hat, wird er zur angeforderten URL weitergeleitet.

  4. Wenn der Nutzer keine aktive Sitzung hat, wird er zum IdP weitergeleitet. Der IdP authentifiziert den Nutzer, wenn er sich erfolgreich beim IdP anmeldet. Looker authentifiziert den Nutzer dann, wenn der IdP ihn mit Informationen zurück an Looker sendet, die darauf hinweisen, dass er beim IdP authentifiziert ist.

  5. Wenn die Authentifizierung beim IdP erfolgreich war, validiert Looker die SAML-Assertions, akzeptiert die Authentifizierung, aktualisiert die Nutzerinformationen und leitet den Nutzer an die angeforderte URL weiter, ohne die Seite Anmelden aufzurufen.

  6. Wenn sich der Nutzer nicht beim IdP anmelden kann oder nicht vom IdP zur Verwendung von Looker autorisiert ist, verbleibt er je nach IdP entweder auf der Website des IdP oder wird zur Looker-Seite Log-in weitergeleitet.

SAML-Antwort überschreitet das Limit

Wenn Nutzer bei der Authentifizierung Fehler erhalten, die darauf hinweisen, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximal zulässige Größe der SAML-Antwort erhöhen.

Wenn Sie eine von Looker gehostete Instanz verwenden, stellen Sie eine Supportanfrage, um die maximale SAML-Antwortgröße zu aktualisieren.

Bei von Kunden gehosteten Looker-Instanzen können Sie die maximale SAML-Antwortgröße in Byte mit der Umgebungsvariablen MAX_SAML_RESPONSE_BYTESIZE festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale Größe von SAML-Antworten beträgt 250.000 Byte.