Administratoreinstellungen – SAML-Authentifizierung

Auf der Seite SAML im Abschnitt Authentifizierung des Menüs Verwaltung können Sie Looker so konfigurieren, dass Nutzer mithilfe der Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Vorgang beschrieben und es gibt eine Anleitung zum Verknüpfen von SAML-Gruppen mit Looker-Rollen und ‑Berechtigungen.

Voraussetzungen

Die Seite SAML wird in Looker nur im Abschnitt Authentifizierung des Menüs Verwaltung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

• Sie haben die Rolle „Administrator“.
• In Ihrer Looker-Instanz ist SAML aktiviert.

Wenn diese Bedingungen erfüllt sind und die Seite SAML nicht angezeigt wird, erstellen Sie eine Supportanfrage, um SAML für Ihre Instanz zu aktivieren.

SAML und Identitätsanbieter

Unternehmen verwenden verschiedene Identitätsanbieter (IdPs), um SAML zu koordinieren (z. B. Okta oder OneLogin). Die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht genau mit denen Ihres Identitätsanbieters überein. Wenn Sie während der Einrichtung Fragen haben, wenden Sie sich an Ihr internes SAML- oder Authentifizierungsteam oder an den Looker-Support.

In Looker wird davon ausgegangen, dass SAML-Anfragen und ‑Assertions komprimiert werden. Achten Sie darauf, dass Ihr IdP entsprechend konfiguriert ist. Die Anfragen von Looker an den Identitätsanbieter sind nicht signiert.

Looker unterstützt die vom Identitätsanbieter initiierte Anmeldung.

Ein Teil der Einrichtung muss auf der Website des Identitätsanbieters erfolgen.

Okta bietet eine Looker-App. Diese ist die empfohlene Methode, um Looker und Okta gemeinsam zu konfigurieren.

Looker bei Ihrem Identitätsanbieter einrichten

Ihr SAML-IdP benötigt die URL der Looker-Instanz, an die der SAML-IdP SAML-Assertions POSTen soll. Bei Ihrem IdP kann dieses Feld unter anderem „Postback-URL“, „Empfänger“ oder „Ziel“ heißen.

Geben Sie die URL an, über die Sie normalerweise über den Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs müssen Sie nach der Instanz-URL auch :9999 hinzufügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Hinweise

Beachten Sie dabei Folgendes:

• Für Looker ist SAML 2.0 erforderlich.
• Deaktivieren Sie die SAML-Authentifizierung nicht, während Sie über SAML in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich aus der App aussperren.
• Looker kann vorhandene Konten zu SAML migrieren, indem E-Mail-Adressen verwendet werden, die entweder aus der aktuellen E-Mail- und Passworteinrichtung oder aus Google Auth, LDAP oder OIDC stammen. Sie können bei der Einrichtung konfigurieren, wie vorhandene Konten migriert werden.

Erste Schritte

Rufen Sie in Looker im Bereich Verwaltung die Seite SAML-Authentifizierung auf, um die folgenden Konfigurationsoptionen zu sehen. Änderungen an den Konfigurationsoptionen werden erst wirksam, wenn Sie die Einstellungen unten auf der Seite testen und speichern.

SAML-Authentifizierungseinstellungen

Looker benötigt die IdP-URL, den IdP-Aussteller und das IdP-Zertifikat, um Ihren IdP zu authentifizieren.

Ihr IdP stellt Ihnen möglicherweise während der Konfiguration von Looker auf IdP-Seite ein XML-Dokument mit IdP-Metadaten zur Verfügung. Diese Datei enthält alle Informationen, die im Abschnitt SAML-Authentifizierungseinstellungen angefordert werden. Wenn Sie diese Datei haben, können Sie sie in das Feld IdP Metadata (IdP-Metadaten) hochladen. Dadurch werden die erforderlichen Felder in diesem Abschnitt ausgefüllt. Alternativ können Sie die erforderlichen Felder aus der Ausgabe ausfüllen, die Sie bei der IdP-seitigen Konfiguration erhalten haben. Wenn Sie die XML-Datei hochladen, müssen Sie die Felder nicht ausfüllen.

• IdP-Metadaten (optional): Fügen Sie entweder die öffentliche URL des XML-Dokuments mit den IdP-Informationen oder den gesamten Text des Dokuments hier ein. Looker analysiert diese Datei, um die erforderlichen Felder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen Ihre IdP-Authentifizierungsinformationen in die Felder IdP-URL, IdP-Aussteller und IdP-Zertifikat ein.

• IdP-URL: Die URL, unter der Nutzer in Looker authentifiziert werden. In Okta wird sie als Weiterleitungs-URL bezeichnet.

• IdP Issuer (Aussteller des Identitätsanbieters): Die eindeutige Kennung des Identitätsanbieters. In Okta wird dies als „Externer Schlüssel“ bezeichnet.

• IdP-Zertifikat: Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten überprüfen kann.

Zusammengenommen können diese drei Felder in Looker bestätigen, dass eine Reihe signierter SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

• SP-Entität/IdP-Zielgruppe: Dieses Feld ist in Looker nicht erforderlich, wird aber von vielen Identitätsanbietern benötigt. Wenn Sie in dieses Feld einen Wert eingeben, wird dieser Wert in Autorisierungsanfragen als Entity ID von Looker an Ihren Identitätsanbieter gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten, die diesen Wert als Audience haben. Wenn Ihr IdP einen Audience-Wert benötigt, geben Sie diesen String hier ein.

• Zulässige Zeitabweichung: Die zulässige Zeitabweichung in Sekunden (Unterschied zwischen den Zeitstempeln des Identitätsanbieters und Looker). Dieser Wert ist normalerweise standardmäßig „0“. Einige Identitätsanbieter benötigen jedoch möglicherweise mehr Spielraum für erfolgreiche Anmeldungen.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, der die entsprechenden Informationen für jedes Feld enthält. Wenn Sie die SAML-Attributnamen eingeben, wird Looker mitgeteilt, wie diese Felder zugeordnet und ihre Informationen beim Anmelden extrahiert werden sollen. In Looker ist es nicht wichtig, wie diese Informationen aufgebaut sind. Es ist nur wichtig, dass die Art und Weise, wie Sie sie in Looker eingeben, der Definition der Attribute in Ihrem Identitätsanbieter entspricht. Looker bietet standardmäßige Vorschläge zur Erstellung dieser Eingaben.

Standardattribute

Sie müssen die folgenden Standardattribute angeben:

• Email Attr: Der Attributname, den Ihr IdP für die E-Mail-Adressen von Nutzern verwendet.

• Vorname: Der Attributname, den Ihr IdP für die Vornamen von Nutzern verwendet.

• LName Attr: Der Attributname, den Ihr IdP für den Nachnamen von Nutzern verwendet.

SAML-Attribute mit Looker-Nutzerattributen verknüpfen

Optional können Sie die Daten in Ihren SAML-Attributen verwenden, um Werte in den Nutzerattributen in Looker automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie SAML beispielsweise so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen verknüpfen, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.

So ordnen Sie SAML-Attribute den entsprechenden Looker-Nutzerattributen zu:

1. Geben Sie im Feld SAML-Attribut den Namen des SAML-Attributs und im Feld Looker-Nutzerattribute den Namen des Looker-Nutzerattributs ein, mit dem es verknüpft werden soll.
2. Klicken Sie auf Erforderlich, wenn ein SAML-Attributwert erforderlich sein soll, damit sich ein Nutzer anmelden kann.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie können in Looker Gruppen erstellen, die Ihre extern verwalteten SAML-Gruppen spiegeln, und Nutzern dann Looker-Rollen basierend auf ihren gespiegelten SAML-Gruppen zuweisen. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Wenn Sie SAML-Gruppen spiegeln, können Sie Ihr extern definiertes SAML-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. So können Sie die Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie SAML-Gruppen spiegeln aktivieren, erstellt Looker für jede SAML-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen finden Sie in Looker auf der Seite Gruppen im Bereich Verwaltung. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und ‑rollen

Standardmäßig ist die Option SAML-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Gruppen für neue Nutzer und Rollen für neue Nutzer die Namen aller Looker-Gruppen oder -Rollen ein, die Sie neuen Looker-Nutzern zuweisen möchten, wenn sie sich zum ersten Mal in Looker anmelden:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und auch nicht noch einmal, wenn sie nach der Erstanmeldung der Nutzer entfernt werden.

Wenn Sie später die Funktion „SAML-Gruppen spiegeln“ aktivieren, werden diese Standardrollen bei der nächsten Anmeldung der Nutzer entfernt und durch Rollen ersetzt, die im Abschnitt SAML-Gruppen spiegeln zugewiesen wurden. Diese Standardoptionen sind dann nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration der gespiegelten Gruppen ersetzt.

Spiegeln von SAML-Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter SAML-Gruppen spiegeln. In Looker werden folgende Einstellungen angezeigt:

Gruppensuchstrategie: Wählen Sie das System aus, das der Identitätsanbieter zum Zuweisen von Gruppen verwendet. Das hängt von Ihrem Identitätsanbieter ab.

• Fast alle IdPs verwenden einen einzelnen Attributwert, um Gruppen zuzuweisen, wie in dieser Beispiel-SAML-Assertion gezeigt: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als Werte einzelner Attribute aus.

• Einige Identitätsanbieter verwenden ein separates Attribut für jede Gruppe und benötigen dann ein zweites Attribut, um zu bestimmen, ob ein Nutzer Mitglied einer Gruppe ist. Eine Beispiel-SAML-Bestätigung für dieses System findest du hier: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Wähle in diesem Fall Gruppen als einzelne Attribute mit Mitgliedschaftswert aus.

Gruppenattribut: Dieses Feld wird in Looker angezeigt, wenn die Strategie für die Gruppensuche auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Gruppenattributs ein, das vom Identitätsanbieter verwendet wird.

Gruppenmitgliedswert: Dieses Feld wird in Looker angezeigt, wenn die Strategie für die Gruppensuche auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Bevorzugter Gruppenname/Rollen/SAML-Gruppen-ID: Mit diesen Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen sind:

1. Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID ein. Geben Sie für Okta-Nutzer den Namen der Okta-Gruppe als SAML-Gruppen-ID ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird im Looker-Bereich Verwaltung auf der Seite Gruppen angezeigt.

3. Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die allen Nutzern in der Gruppe zugewiesen werden.

4. Klicken Sie auf +, um weitere Feldsätze hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern der Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie können beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch wird die Darstellung der Gruppe auf der Seite Gruppen in Looker geändert, die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch unverändert. Wenn Sie die SAML-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch anhand der Nutzer neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen SAML-Gruppen-UD sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter SAML-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie flexibel Looker-Administratoren Looker-Gruppen und Nutzer konfigurieren können, die aus SAML gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppen- und Nutzerkonfiguration genau mit Ihrer SAML-Konfiguration übereinstimmt, aktivieren Sie diese Optionen. Wenn alle drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über SAML-gespiegelte Gruppen Rollen zuweisen.

Wenn Sie Ihre Gruppen in Looker flexibler anpassen möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration wider, Sie können aber zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt SAML-Nutzern zuweisen.

Bei neuen Looker-Instanzen oder Instanzen ohne zuvor konfigurierte gespiegelte Gruppen sind diese Optionen standardmäßig deaktiviert.

Bei bestehenden Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzern keine Looker-Rollen direkt zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn SAML-Nutzern die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen erlaubt ist, können sie ihre Rollen weiterhin sowohl von gespiegelten SAML-Gruppen als auch von integrierten Looker-Gruppen erben. Bei allen SAML-Nutzern, denen zuvor direkt Rollen zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzern Looker-Rollen direkt zuweisen, als wären sie direkt in Looker konfiguriert.

Direkte Mitgliedschaft in nicht SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können SAML-Nutzer die Mitgliedschaft in allen übergeordneten Looker-Gruppen beibehalten. Alle SAML-Nutzer, die zuvor zu integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Rollenübernahme von nicht SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten SAML-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. Alle SAML-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth Requires Role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, müssen SAML-Nutzern Rollen zugewiesen werden. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich SAML-Nutzer auch dann in Looker authentifizieren, wenn ihnen keine Rolle zugewiesen ist. Nutzer ohne zugewiesene Rolle können keine Daten sehen oder Aktionen in Looker ausführen, sich aber in Looker anmelden.

Spiegeln von SAML-Gruppen deaktivieren

Wenn Sie das Spiegeln Ihrer SAML-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter SAML-Gruppen spiegeln. Alle leeren SAML-Spiegelgruppen werden gelöscht.

Nicht leere SAML-Spiegelgruppen können weiterhin für die Inhaltsverwaltung und das Erstellen von Rollen verwendet werden. Nutzer können jedoch nicht zu SAML-Spiegelgruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

Anmeldungen per E-Mail-Adresse und Passwort in Looker sind für reguläre Nutzer immer deaktiviert, wenn die SAML-Authentifizierung aktiviert ist. Mit dieser Option ist eine alternative E-Mail-basierte Anmeldung mit /login/email für Administratoren und für bestimmte Nutzer mit der Berechtigung login_special_email möglich.

Wenn Sie diese Option aktivieren, können Sie sie als Fallback bei der Einrichtung der SAML-Authentifizierung verwenden, falls später Probleme mit der SAML-Konfiguration auftreten. Sie können sie auch verwenden, wenn Sie einige Nutzer unterstützen müssen, die keine Konten in Ihrem SAML-Verzeichnis haben.

Methode angeben, mit der SAML-Nutzer mit einem Looker-Konto zusammengeführt werden

Geben Sie im Feld Nutzer mit an, wie eine erstmalige SAML-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• Looker-E-Mail-Adresse/-Passwort (nicht verfügbar für Looker (Google Cloud Core))
• Google
• LDAP (nicht für Looker (Google Cloud Core) verfügbar)
• OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. Looker sucht Nutzer in den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Nutzer mit einer Looker-E-Mail-Adresse und einem Looker-Passwort erstellt, dann LDAP aktiviert und möchten jetzt SAML verwenden. Looker führt dann zuerst eine Zusammenführung nach E-Mail-Adresse und Passwort und dann nach LDAP durch.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verbunden, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzer zusammenführen bei Verwendung von Looker (Google Cloud Core)

Wenn Sie Looker (Google Cloud Core) und SAML verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der beiden folgenden Bedingungen erfüllt ist:

1. Bedingung 1: Nutzer authentifizieren sich mit ihren Google-Identitäten über das SAML-Protokoll in Looker (Google Cloud Core).

2. Bedingung 2: Bevor Sie die Zusammenführungsoption ausgewählt haben, haben Sie die folgenden beiden Schritte ausgeführt:

   • Föderierte Nutzeridentitäten in Google Cloud mit Cloud Identity
   • Richten Sie die OAuth-Authentifizierung als Authentifizierungsmethode für den Notfall ein. Verwenden Sie dazu die föderierten Nutzer.

Wenn Ihre Instanz keine dieser beiden Bedingungen erfüllt, ist die Option Nutzer mithilfe von nicht verfügbar.

Bei der Zusammenführung sucht Looker (Google Cloud Core) nach Nutzereinträgen mit genau derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um Ihre Einstellungen zu testen. Tests werden an den Server weitergeleitet und ein Browsertab wird geöffnet. Auf dem Tab werden folgende Informationen angezeigt:

• Ob Looker mit dem Server kommunizieren und ihn validieren konnte.
• Die Namen, die Looker vom Server erhält. Sie müssen prüfen, ob der Server die richtigen Ergebnisse zurückgibt.
• Ein Trace, der zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace, um die Fehlerbehebung durchzuführen, wenn die Informationen falsch sind. Wenn Sie weitere Informationen benötigen, können Sie die Roh-XML-Serverdatei lesen.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn SAML nur teilweise konfiguriert ist. Während der Konfiguration kann es hilfreich sein, einen Test auszuführen, um zu sehen, welche Parameter konfiguriert werden müssen.
• Für den Test werden die Einstellungen verwendet, die auf der Seite SAML-Authentifizierung eingegeben wurden, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.
• Während des Tests übergibt Looker Informationen über den SAML-RelayState-Parameter an den IdP. Der Identitätsanbieter sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Einstellungen speichern und anwenden

Wenn Sie mit der Eingabe Ihrer Informationen fertig sind und alle Tests bestanden haben, setzen Sie ein Häkchen bei Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden und klicken Sie auf Einstellungen aktualisieren, um sie zu speichern.

Nutzeranmeldeverhalten

Wenn ein Nutzer versucht, sich mit SAML in einer Looker-Instanz anzumelden, wird die Seite Anmelden geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Das ist das Standardverhalten, wenn der Nutzer noch keine aktive Looker-Sitzung hat.

Wenn sich Ihre Nutzer direkt in Ihrer Looker-Instanz anmelden sollen, nachdem sie von Ihrem Identitätsanbieter authentifiziert wurden, und die Seite Anmelden umgehen sollen, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Wenn Sie Looker (Original) verwenden, muss die Funktion Anmeldeseite überspringen von Looker aktiviert sein. Wenn Sie Ihre Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an einen Google Cloud Vertriebsmitarbeiter oder erstellen Sie eine Supportanfrage. Wenn Sie Looker (Google Cloud Core) verwenden, ist die Option Anmeldeseite überspringen automatisch verfügbar, wenn SAML als primäre Authentifizierungsmethode verwendet wird. Standardmäßig ist sie deaktiviert.

Wenn Anmeldeseite überspringen aktiviert ist, sieht die Anmeldeabfolge für Nutzer so aus:

1. Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen (z. B. instance_name.looker.com).

2. Looker ermittelt, ob für den Nutzer bereits eine aktive Sitzung aktiviert ist. Dazu verwendet Looker das Cookie AUTH-MECHANISM-COOKIE, um die Autorisierungsmethode zu ermitteln, die der Nutzer in seiner letzten Sitzung verwendet hat. Der Wert ist immer einer der folgenden: saml, ldap, oidc, google oder email.

3. Wenn der Nutzer eine aktive Sitzung hat, wird er zur angeforderten URL weitergeleitet.

4. Wenn der Nutzer keine aktive Sitzung hat, wird er zum IdP weitergeleitet. Der IdP authentifiziert den Nutzer, wenn er sich erfolgreich beim IdP anmeldet. Looker authentifiziert den Nutzer dann, wenn der IdP den Nutzer mit Informationen zurück an Looker sendet, die darauf hinweisen, dass der Nutzer beim IdP authentifiziert ist.

5. Wenn die Authentifizierung beim IdP erfolgreich war, validiert Looker die SAML-Assertions, akzeptiert die Authentifizierung, aktualisiert die Nutzerinformationen und leitet den Nutzer an die angeforderte URL weiter, ohne die Seite Anmelden aufzurufen.

6. Wenn sich der Nutzer nicht beim IdP anmelden kann oder vom IdP nicht zur Nutzung von Looker autorisiert ist, wird er je nach IdP entweder auf der Website des IdP verbleiben oder zur Anmeldeseite von Looker weitergeleitet.

SAML-Antwort überschreitet das Limit

Wenn Nutzer, die sich authentifizieren möchten, Fehlermeldungen erhalten, die darauf hinweisen, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximale zulässige SAML-Antwortgröße erhöhen.

Wenn Sie eine von Looker gehostete Instanz verwenden, stellen Sie eine Supportanfrage, um die maximale SAML-Antwortgröße zu aktualisieren.

Bei von Kunden gehosteten Looker-Instanzen können Sie die maximale SAML-Antwortgröße in Byte mit der Umgebungsvariablen MAX_SAML_RESPONSE_BYTESIZE festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale SAML-Antwortgröße beträgt 250.000 Byte.