La página SAML de la sección Autenticación del menú Administrador te permite configurar Looker para que autentique a los usuarios con el lenguaje de marcado para confirmaciones de seguridad (SAML). En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos de SAML a roles y permisos de Looker.
SAML y proveedores de identidad
Las empresas usan diferentes proveedores de identidad (IdP) para coordinarse con SAML (por ejemplo, Okta o OneLogin). Es posible que los términos que se usan en las siguientes instrucciones de configuración y en la IU no coincidan directamente con los que usa tu IdP. Si tienes preguntas durante la configuración, comunícate con tu equipo interno de SAML o de autenticación, o con el equipo de asistencia de Looker.
Looker supone que las solicitudes y aserciones de SAML se comprimen. asegúrate de que tu IdP esté configurado como tal. Las solicitudes de Looker al IdP no están firmadas.
Looker admite el acceso iniciado por IdP.
Parte del proceso de configuración debe completarse en el sitio web del IdP.
Okta ofrece una app de Looker, que es la forma recomendada de configurar Looker y Okta juntos.
Cómo configurar Looker en tu proveedor de identidad
Tu IdP de SAML necesitará la URL de la instancia de Looker en la que el IdP de SAML debe PUBLICAR las aserciones de SAML. En tu IdP, puede llamarse “URL de notificación”, "Destinatario" o "Destino", entre otros nombres.
La información que debes proporcionar es la URL a la que sueles acceder a tu instancia de Looker con el navegador, seguida de /samlcallback
. Por ejemplo: none
https://instance_name.looker.com/samlcallback
o
https://looker.mycompany.com/samlcallback
Algunos IdP también requieren que agregues :9999
después de la URL de tu instancia. Por ejemplo:
https://instance_name.looker.com:9999/samlcallback
Qué debes saber
Ten en cuenta lo siguiente:
- Looker requiere SAML 2.0.
- No inhabilites la autenticación de SAML mientras accedes a Looker a través de SAML, a menos que tengas configurado un acceso a una cuenta alternativa. De lo contrario, podrías bloquear el acceso a la app.
- Looker puede migrar cuentas existentes a SAML con direcciones de correo electrónico que provienen de configuraciones de correo electrónico y contraseña actuales, o de Google Auth, LDAP o OIDC. Podrás configurar cómo se migran las cuentas existentes en el proceso de configuración.
Cómo comenzar
Navega a la página Autenticación de SAML en la sección Administrador de Looker para ver las siguientes opciones de configuración. Ten en cuenta que los cambios en las opciones de configuración no se aplicarán hasta que pruebes y guardes la configuración en la parte inferior de la página.
Configuración de autenticación de SAML
Looker requiere la URL del IdP, el emisor del IdP y el certificado del IdP para autenticar tu IdP.
Tu IdP puede ofrecer un documento en formato XML de metadatos del IdP durante el proceso de configuración de Looker en el lado del IdP. Este archivo contiene toda la información solicitada en la sección Configuración de autenticación de SAML. Si tienes este archivo, puedes subirlo en el campo Metadatos del proveedor de identidad, que propagará los campos obligatorios de esta sección. Como alternativa, puedes completar los campos obligatorios del resultado obtenido durante la configuración del lado del IdP. No es necesario que completes los campos si subes el archivo en formato XML.
- Metadatos del IdP (opcional): Pega la URL pública del documento XML que contiene la información del IdP o pega el texto completo del documento aquí. Looker analizará ese archivo para completar los campos obligatorios.
Si no subiste ni pegaste un documento XML de metadatos de IdP, ingresa la información de autenticación del IdP en los campos URL del IdP, Empresa emisora del IdP y Certificado del IdP.
URL del IdP: La URL a la que irá Looker para autenticar a los usuarios. Esto se denomina URL de redireccionamiento en Okta.
Emisor de IdP: Es el identificador único del IdP. Esto se denomina “Clave externa” en Okta.
Certificado de IdP: Es la clave pública para permitir que Looker verifique la firma de las respuestas del IdP.
En conjunto, estos tres campos permiten que Looker confirme que un conjunto de aserciones de SAML firmadas provenga realmente de un IdP de confianza.
- Entidad del SP/Público del IDP: Looker no requiere este campo, pero muchos IDPs sí lo hacen. Si ingresas un valor en este campo, este se enviará a tu IdP como
Entity ID
de Looker en las solicitudes de autorización. En ese caso, Looker solo aceptará respuestas de autorización que tengan este valor comoAudience
. Si tu IdP requiere un valorAudience
, ingresa esa cadena aquí.
- Desfase de reloj permitido: Es la cantidad de segundos de desfase de reloj (la diferencia en las marcas de tiempo entre la IdP y Looker) permitida. Por lo general, este valor será el predeterminado de 0, pero es posible que algunas IdP requieran un margen adicional para que los accesos se realicen correctamente.
Configuración de los atributos del usuario
En los siguientes campos, especifica el nombre del atributo en la configuración de SAML de tu IdP que contiene la información correspondiente para cada campo. Si ingresas los nombres de los atributos de SAML, le indicas a Looker cómo asignar esos campos y extraer su información en el momento del acceso. Looker no es particular en cuanto a cómo se construye esta información, solo es importante que la forma en que la ingresas en Looker coincida con la forma en que se definen los atributos en tu IdP. Looker proporciona sugerencias predeterminadas sobre cómo construir esas entradas.
Atributos estándares
Deberás especificar estos atributos estándares:
Email Attr: El nombre del atributo que usa tu IdP para las direcciones de correo electrónico de los usuarios.
FName Attr: Es el nombre del atributo que usa tu IdP para los nombres de los usuarios.
LName Attr: El nombre del atributo que usa tu IdP para los apellidos del usuario.
Vincula atributos de SAML con atributos de usuario de Looker
De manera opcional, puedes usar los datos de tus atributos de SAML para propagar automáticamente los valores en los atributos del usuario de Looker cuando un usuario accede. Por ejemplo, si configuraste SAML para establecer conexiones específicas del usuario a tu base de datos, puedes vincular tus atributos de SAML con los atributos de usuario de Looker para hacer que tus conexiones de base de datos sean específicas del usuario en Looker.
Para vincular los atributos de SAML con los atributos de usuario de Looker correspondientes, haz lo siguiente:
- Ingresa el nombre del atributo de SAML en el campo Atributo de SAML y el nombre del atributo de usuario de Looker con el que quieres vincularlo en el campo Atributos de usuario de Looker.
- Marca Obligatorio si deseas solicitar un valor de atributo de SAML para permitir el acceso de un usuario.
- Haz clic en + y repite estos pasos para agregar más pares de atributos.
Grupos y roles
Puedes permitir que Looker cree grupos que reflejen tus grupos de SAML administrados de forma externa y, luego, asignar roles de Looker a los usuarios en función de sus grupos de SAML reflejados. Cuando realices cambios en la membresía de grupo de SAML, estos se propagarán automáticamente a la configuración de grupo de Looker.
La duplicación de grupos de SAML te permite usar tu directorio de SAML definido de forma externa para administrar los grupos y usuarios de Looker. Esto, a su vez, te permite administrar tu pertenencia a un grupo de varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.
Si activas Duplicar grupos de SAML, Looker creará un grupo de Looker por cada grupo de SAML que se introduzca en el sistema. Puedes ver esos grupos de Looker en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar roles a los miembros del grupo, establecer controles de acceso al contenido y asignar atributos del usuario.
Roles y grupos predeterminados
De forma predeterminada, el interruptor Reflejar grupos de SAML está desactivado. En este caso, puedes establecer un grupo predeterminado para los usuarios de SAML nuevos. En los campos New User Groups y New User Roles, ingresa los nombres de los grupos o roles de Looker a los que deseas asignar usuarios nuevos de Looker cuando accedan por primera vez a la plataforma:
Estos grupos y roles se aplican a los usuarios nuevos en su acceso inicial. Los grupos y roles no se aplican a los usuarios preexistentes y no se vuelven a aplicar si se quitan de los usuarios después de su acceso inicial.
Si más adelante habilitas los grupos de SAML espejo, se quitarán estos valores predeterminados para los usuarios en su próximo acceso y se reemplazarán por los roles asignados en la sección Grupos de SAML espejo. Estas opciones predeterminadas ya no estarán disponibles ni asignadas, y se reemplazarán por completo por la configuración de grupos duplicados.
Habilitación de grupos de SAML espejo
Si decides duplicar tus grupos de SAML en Looker, activa el interruptor Duplicar grupos de SAML. Looker muestra estos parámetros de configuración:
Estrategia de Group Finder: Selecciona el sistema que usa el proveedor de identidad para asignar grupos, lo que depende de tu proveedor de identidad.
Casi todos los IdP usan un solo valor de atributo para asignar grupos, como se muestra en esta aserción de SAML de muestra:
none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute>
En este caso, selecciona Grupos como valores de atributos únicos.Algunos proveedores de identidades usan un atributo independiente para cada grupo y, luego, requieren un segundo atributo para determinar si un usuario es miembro de un grupo. A continuación, se muestra un ejemplo de aserción de SAML que muestra este sistema:
none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute>
En este caso, selecciona Grupos como atributos individuales con valor de membresía.
Atributo de grupos: Looker muestra este campo cuando Group Finder Strategy está configurado en Groups as values of single attribute. Ingresa el nombre del Atributo de grupos que usa el IdP.
Valor de miembro del grupo: Looker muestra este campo cuando la estrategia de buscador de grupos está configurada en Grupos como atributos individuales con valor de membresía. Ingresa el valor que indica que un usuario es miembro de un grupo.
Nombre de grupo preferido/Roles/ID de grupo de SAML: Este conjunto de campos te permite asignar un nombre de grupo personalizado y uno o más roles que se asignan al grupo SAML correspondiente en Looker:
Ingresa el ID del grupo de SAML en el campo ID del grupo de SAML. Para los usuarios de Okta, ingresa el nombre del grupo de Okta como el ID del grupo de SAML. Los usuarios de SAML incluidos en el grupo SAML se agregarán al grupo duplicado de Looker.
Ingresa un nombre personalizado para el grupo reflejado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.
En el campo que está a la derecha del campo Custom Name, selecciona uno o más roles de Looker que se asignarán a cada usuario del grupo.
Haz clic en
+
para agregar conjuntos de campos adicionales y configurar grupos duplicados adicionales. Si tienes varios grupos configurados y deseas quitar la configuración de uno de ellos, haz clic en laX
junto al conjunto de campos de ese grupo.
Si editas un grupo duplicado que se configuró anteriormente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, podrías cambiar el nombre personalizado de un grupo, lo que cambiaría la forma en que aparece el grupo en la página Grupos de Looker, pero no cambiaría los roles ni los miembros del grupo asignados. Si se cambia el ID del grupo de SAML, se mantendría el nombre y los roles del grupo, pero los miembros se reasignarían en función de los usuarios que son miembros del grupo de SAML externo que tiene la nueva UD del grupo de SAML.
Cualquier edición que se realice en un grupo reflejado se aplicará a los usuarios de ese grupo la próxima vez que accedan a Looker.
Administración avanzada de roles
Si habilitaste el interruptor Duplicar grupos de SAML, Looker mostrará esta configuración. Las opciones de esta sección determinan la flexibilidad que tienen los administradores de Looker cuando configuran los grupos y los usuarios de Looker que se duplicaron desde SAML.
Por ejemplo, si quieres que la configuración de grupo y usuario de Looker coincida estrictamente con la configuración de SAML, activa estas opciones. Cuando se habilitan las tres primeras opciones, los administradores de Looker no pueden modificar las membresías de los grupos reflejados y solo pueden asignar roles a los usuarios a través de los grupos reflejados de SAML.
Si quieres tener más flexibilidad para personalizar tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán replicando tu configuración de SAML, pero podrás realizar más administración de grupos y usuarios en Looker, como agregar usuarios de SAML a grupos específicos de Looker o asignar roles de Looker directamente a los usuarios de SAML.
En las instancias nuevas de Looker o en las que no tienen grupos duplicados configurados anteriormente, estas opciones están desactivadas de forma predeterminada.
En el caso de las instancias de Looker existentes que tienen grupos reflejados configurados, estas opciones están activadas de forma predeterminada.
La sección Administración avanzada de roles contiene las siguientes opciones:
Evitar que los usuarios individuales de SAML reciban roles directos: Si activas esta opción, se impide que los administradores de Looker asignen roles de Looker directamente a los usuarios de SAML. Los usuarios de SAML solo recibirán roles a través de sus membresías a grupos. Si los usuarios de SAML tienen permitido pertenecer a grupos de Looker integrados (no reflejados), pueden heredar sus roles tanto de los grupos de SAML reflejados como de los grupos de Looker integrados. La próxima vez que accedan a sus cuentas, se les quitarán roles a todos los usuarios de SAML a los que se les asignaron roles de forma directa.
Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de SAML como si se configuraran directamente en Looker.
Prevenir la membresía directa en grupos que no son de SAML: Si activas esta opción, se evita que los administradores de Looker agreguen usuarios de SAML directamente a los grupos integrados de Looker. Si los grupos de SAML duplicados pueden ser miembros de grupos de Looker integrados, los usuarios de SAML pueden conservar la membresía en cualquier grupo superior de Looker. Los usuarios de SAML que anteriormente se asignaron a grupos integrados de Looker se quitarán de esos grupos la próxima vez que accedan.
Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de SAML directamente a los grupos integrados de Looker.
Prevenir la herencia de roles de grupos que no son de SAML: Si activas esta opción, se evita que los miembros de los grupos de SAML reflejados hereden roles de los grupos integrados de Looker. Los usuarios de SAML que anteriormente heredaron roles de un grupo superior de Looker perderán esos roles la próxima vez que accedan.
Si esta opción está desactivada, los grupos de SAML o los usuarios de SAML reflejados que se agreguen como miembros de un grupo de Looker integrado heredarán los roles asignados al grupo de Looker superior.
Auth Requires Role: Si esta opción está activada, los usuarios de SAML deben tener un rol asignado. Los usuarios de SAML que no tengan un rol asignado no podrán acceder a Looker.
Si esta opción está desactivada, los usuarios de SAML pueden autenticarse en Looker incluso si no tienen un rol asignado. Un usuario sin un rol asignado no podrá ver ningún dato ni realizar ninguna acción en Looker, pero podrá acceder a la plataforma.
Inhabilitar grupos de SAML duplicados
Si quieres dejar de duplicar tus grupos de SAML en Looker, desactiva el interruptor Mirror SAML Groups. Se borrarán todos los grupos de SAML duplicados vacíos.
Los grupos SAML espejo que no estén vacíos seguirán disponibles para usarse en la administración de contenido y la creación de roles. Sin embargo, no se pueden agregar usuarios a grupos de SAML duplicados ni quitarlos de ellos.
Opciones de migración
Acceso alternativo para administradores y usuarios específicos
Los accesos con correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando la autenticación de SAML está habilitada. Esta opción permite que los administradores y usuarios específicos tengan el permiso login_special_email
para acceder de forma alternativa basada en correos electrónicos mediante /login/email
.
Activar esta opción es útil como resguardo durante la configuración de la autenticación de SAML en caso de que ocurran problemas de configuración de SAML más adelante o si necesitas brindar asistencia a algunos usuarios que no tienen cuentas en tu directorio de SAML.
Especifica el método que se usa para combinar usuarios de SAML con una cuenta de Looker
En el campo Combinar usuarios con, especifique el método que se utilizará para combinar un acceso de SAML por primera vez con una cuenta de usuario existente. Puedes combinar usuarios de los siguientes sistemas:
- Correo electrónico o contraseña de Looker (no disponible para Looker (Google Cloud Core))
- LDAP (no disponible para Looker (Google Cloud Core))
- OIDC
Si tienes más de un sistema implementado, puedes especificar más de uno para combinar en este campo. Looker buscará usuarios en los sistemas enumerados en el orden en que se especifiquen. Por ejemplo, imagina que creaste algunos usuarios con el correo electrónico y la contraseña de Looker, habilitaste LDAP y ahora quieres usar SAML. Looker se combinaría primero por correo electrónico y contraseña y, luego, por LDAP.
Cuando un usuario accede por primera vez a través de SAML, esta opción lo conecta a su cuenta existente buscando la cuenta con una dirección de correo electrónico coincidente. Si no hay una cuenta existente para el usuario, se creará una nueva.
Cómo combinar usuarios cuando usas Looker (Google Cloud Core)
Cuando usas Looker (Google Cloud Core) y SAML, la combinación funciona como se describió en la sección anterior. Sin embargo, solo es posible si se cumple una de las siguientes dos condiciones:
- Condición 1: Los usuarios se autentican en Looker (Google Cloud Core) con sus identidades de Google a través del protocolo SAML.
Condición 2 Antes de seleccionar la opción de combinación, completaste los siguientes dos pasos:
- Usuarios federados identidades en Google Cloud con Cloud Identity
- Configura la autenticación de OAuth como el método de autenticación de reserva con los usuarios federados.
Si tu instancia no cumple con una de estas dos condiciones, la opción Merge Users Using no estará disponible.
Durante la combinación, Looker (Google Cloud Core) buscará registros de usuarios que compartan exactamente la misma dirección de correo electrónico.
Cómo probar la autenticación de usuarios
Haz clic en el botón Probar para probar la configuración. Las pruebas se redireccionarán al servidor y se abrirá una pestaña del navegador. En la pestaña, se muestra lo siguiente:
- Si Looker pudo comunicarse con el servidor y validarlo
- Los nombres que Looker obtiene del servidor. Debes validar que el servidor muestre los resultados adecuados.
- Un seguimiento para mostrar cómo se encontró la información Usa el registro para solucionar problemas si la información es incorrecta. Si necesitas información adicional, puedes leer el archivo del servidor XML sin procesar.
Sugerencias:
- Puedes ejecutar esta prueba en cualquier momento, incluso si SAML está configurado de forma parcial. Ejecutar una prueba puede ser útil durante la configuración para ver qué parámetros necesitan configuración.
- La prueba utiliza la configuración ingresada en la página Autenticación de SAML, incluso si esa configuración no se guardó. La prueba no afectará ni cambiará ninguno de los parámetros de configuración de esa página.
- Durante la prueba, Looker pasa información al IdP con el parámetro
RelayState
de SAML. El IdP debe mostrar este valor deRelayState
a Looker sin modificar.
Guardar y aplicar configuración
Una vez que hayas terminado de ingresar tu información y que todas las pruebas sean exitosas, marca Confirmé la configuración anterior y quiero habilitar su aplicación global y haz clic en Actualizar configuración para guardar los cambios.
Comportamiento de acceso de los usuarios
Cuando un usuario intenta acceder a una instancia de Looker con SAML, Looker se abre en la página Acceder. El usuario debe hacer clic en el botón Autenticar para iniciar la autenticación mediante SAML.
Este es el comportamiento predeterminado si el usuario aún no tiene una sesión activa de Looker.
Si quieres que tus usuarios accedan directamente a tu instancia de Looker después de que tu IdP los haya autenticado y que omitan la página Acceder, activa Omitir página de acceso en Comportamiento de acceso.
Si usas Looker (original), Looker debe habilitar la función Omitir página de acceso. Si quieres actualizar tu licencia de esta función, comunícate con un especialista en ventas de Google Cloud o abre una solicitud de asistencia. Si usas Looker (Google Cloud Core), la opción Omitir página de acceso estará disponible automáticamente si se usa SAML como método de autenticación principal y estará inhabilitada de forma predeterminada.
Cuando se habilita Omitir la página de acceso, la secuencia de acceso del usuario es la siguiente:
El usuario intenta conectarse a una URL de Looker (por ejemplo,
instance_name.looker.com
).Looker determina si el usuario ya tiene habilitada una sesión activa. Para ello, Looker usa la cookie
AUTH-MECHANISM-COOKIE
para identificar el método de autorización que utilizó el usuario en su última sesión. El valor es siempre uno de los siguientes:saml
,ldap
,oidc
,google
oemail
.Si el usuario tiene habilitada una sesión activa, se lo dirigirá a la URL solicitada.
Si el usuario no tiene una sesión activa habilitada, se lo redireccionará al IdP. El IdP autentica al usuario cuando este accede correctamente al IdP. Luego, Looker autentica al usuario cuando el IdP lo envía de vuelta a Looker con información que indica que se autenticó con el IdP.
Si la autenticación en el IdP se realiza correctamente, Looker valida las aserciones de SAML, acepta la autenticación, actualiza la información del usuario y lo reenvía a la URL solicitada, sin pasar por la página Acceder.
Si el usuario no puede acceder al IdP o si el IdP no lo autoriza a usar Looker, según el IdP, permanecerá en el sitio del IdP o se lo redireccionará a la página Acceder de Looker.
Se excedió el límite de respuestas de SAML
Si los usuarios que intentan autenticarse reciben errores que indican que la respuesta de SAML superó el tamaño máximo, puedes aumentar el tamaño máximo permitido de la respuesta de SAML.
En el caso de las instancias alojadas en Looker, abre una solicitud de asistencia para actualizar el tamaño máximo de la respuesta de SAML.
Para las instancias de Looker alojadas por el cliente, puedes establecer el tamaño máximo de respuesta de SAML en cantidad de bytes con la variable de entorno MAX_SAML_RESPONSE_BYTESIZE
. Por ejemplo:
export MAX_SAML_RESPONSE_BYTESIZE=500000
El valor predeterminado para el tamaño máximo de respuesta de SAML es 250,000 bytes.