Configurações de administrador: autenticação SAML

Na página SAML da seção Authentication do menu Admin, configure o Looker para autenticar usuários com a Linguagem de marcação para autorização de segurança (SAML). Esta página descreve esse processo e inclui instruções para vincular grupos SAML a papéis e permissões do Looker.

Provedores de identidade e SAML

As empresas usam diferentes provedores de identidade (IdPs) para coordenar com SAML (por exemplo, Okta ou OneLogin). Os termos usados nas instruções de configuração e na UI a seguir podem não corresponder diretamente aos usados pelo IdP. Para esclarecimentos durante a configuração, entre em contato com a equipe interna de SAML ou autenticação ou com o suporte do Looker.

O Looker supõe que as solicitações e as declarações SAML serão compactadas. Verifique se o IdP está configurado dessa forma. No momento, as solicitações do Looker ao IdP não são assinadas.

O Looker dá suporte ao login iniciado pelo IdP.

Parte do processo de configuração precisa ser concluída no site do IdP.

O Okta oferece um app Looker, que é a maneira recomendada de configurar o Looker e o Okta juntos.

Configurar o Looker no seu provedor de identidade

Seu IdP SAML vai precisar do URL da instância do Looker em que o IdP SAML precisa POSTAR as declarações SAML. No IdP, isso pode ser chamado de "URL de post-back", "Destinatário" ou "Destino", entre outros nomes.

As informações são o URL em que você normalmente acessa sua instância do Looker usando o navegador, seguido por /samlcallback. Por exemplo: none https://instance_name.looker.com/samlcallback

ou

https://looker.mycompany.com/samlcallback

Alguns IdPs também exigem que você adicione :9999 após o URL da instância. Exemplo:

https://instance_name.looker.com:9999/samlcallback

Informações úteis

Lembre-se do seguinte:

  • O Looker requer o SAML 2.0.
  • Não desative a autenticação SAML enquanto estiver conectado ao Looker usando o SAML, a menos que você tenha um login de conta alternativa configurado. Caso contrário, talvez você não consiga acessar o app.
  • O Looker pode migrar contas atuais para SAML usando endereços de e-mail das configurações atuais de e-mail e senha ou do Google Auth, LDAP ou OIDC. Você vai poder configurar como as contas são migradas durante a configuração.

Como começar

Acesse a página Autenticação SAML na seção Administrador do Looker para conferir as opções de configuração abaixo. As alterações nas opções de configuração só terão efeito depois que você testar e salvar as configurações na parte inferior da página.

Configurações de autenticação SAML

O Looker exige o URL do IdP, o emissor do IdP e o certificado do IdP para autenticar seu IdP.

Seu IdP pode oferecer um documento XML de metadados do IdP durante o processo de configuração do Looker. Esse arquivo contém todas as informações solicitadas na seção Configurações de autenticação SAML. Se você tiver esse arquivo, faça upload dele no campo IdP Metadata, que preencherá os campos obrigatórios nesta seção. Como alternativa, preencha os campos obrigatórios da saída recebida durante a configuração do IdP. Não é necessário preencher os campos se você fizer upload do arquivo XML.

  • IdP Metadata (opcional): cole o URL público do documento XML que contém as informações do IdP ou cole o texto do documento inteiro aqui. O Looker vai analisar o arquivo para preencher os campos obrigatórios.

Se você não tiver feito upload ou colado um documento XML de metadados do IdP, digite suas informações de autenticação do IdP nos campos URL do IdP, Emissor do IdP e Certificado do IdP.

  • IdP URL: o URL que o Looker vai acessar para autenticar usuários. Isso é chamado de URL de redirecionamento no Okta.

  • IdP Emissor: o identificador exclusivo do IdP. No Okta, isso é chamado de "chave externa".

  • IdP Certificate: a chave pública que permite ao Looker verificar a assinatura das respostas do IdP.

Juntos, esses três campos permitem que o Looker confirme que um conjunto de declarações SAML assinadas realmente veio de um IdP confiável.

  • Público-alvo do IdP/entidade SP: este campo não é exigido pelo Looker, mas muitos IdPs exigem esse campo. Se você inserir um valor nesse campo, ele vai ser enviado ao seu IdP como o Entity ID do Looker nas solicitações de autorização. Nesse caso, o Looker só vai aceitar respostas de autorização que tenham esse valor como Audience. Se o IdP exigir um valor Audience, digite essa string aqui.

Esse valor também é usado como o campo "emissor" nas mensagens enviadas para o IdP. Portanto, se o IdP reclamar que está recebendo uma mensagem sem um "emissor", preencha esse campo. É possível usar qualquer string exigida pelo IdP. Na maioria dos casos, você pode usar o Looker. Se esse campo estiver presente, o IdP precisa enviá-lo como o campo "Público-alvo" na mensagem que ele envia de volta ao Looker.

  • Deslocamento do relógio permitido: o número de segundos de deslocamento do relógio (a diferença em carimbos de data/hora entre o IdP e o Looker) permitidos. Geralmente, esse valor é o padrão 0, mas alguns IdPs podem exigir mais tolerância para logins bem-sucedidos.

Configurações de atributos do usuário

Nos campos a seguir, especifique o nome do atributo na configuração SAML do IdP que contém as informações correspondentes de cada campo. A inserção dos nomes dos atributos SAML informa ao Looker como mapear esses campos e extrair as informações deles no momento do login. O Looker não é específico sobre como essas informações são construídas. O importante é que a maneira como você as insere no Looker corresponda à forma como os atributos são definidos no seu IdP. O Looker oferece sugestões padrão sobre como criar essas entradas.

Atributos padrão

Você vai precisar especificar estes atributos padrão:

  • Atributo de e-mail: o nome do atributo que seu IdP usa para os endereços de e-mail dos usuários.

  • FName Attr: o nome do atributo que seu IdP usa para os nomes dos usuários.

  • LName Attr: o nome do atributo que seu IdP usa para os sobrenomes dos usuários.

Pareamento de atributos SAML com atributos do usuário do Looker

Também é possível usar os dados nos atributos SAML para preencher automaticamente os valores nos atributos do usuário do Looker quando um usuário faz login. Por exemplo, se você configurou o SAML para estabelecer conexões específicas com o banco de dados, é possível parear os atributos SAML com os do Looker para tornar as conexões do banco de dados específicas do usuário no Looker.

Para parear atributos SAML com os atributos de usuário correspondentes do Looker:

  1. Digite o nome do atributo SAML no campo Atributo SAML e o nome do atributo de usuário do Looker com que você quer parear no campo Atributos do usuário do Looker.
  2. Marque Obrigatório se você quiser exigir um valor de atributo SAML para permitir que um usuário faça login.
  3. Clique em + e repita essas etapas para adicionar mais pares de atributos.

Grupos e papéis

O Looker tem a opção de criar grupos que espelham os grupos SAML gerenciados externamente e, em seguida, atribuir papéis do Looker aos usuários com base nos grupos SAML espelhados. Quando você faz mudanças na associação ao grupo SAML, elas são propagadas automaticamente para a configuração do grupo do Looker.

O espelhamento de grupos SAML permite que você use o diretório SAML definido externamente para gerenciar grupos e usuários do Looker. Dessa forma, você gerencia a associação ao grupo de várias ferramentas de software como serviço (SaaS), como o Looker, em um só lugar.

Se você ativar a opção Espelhar grupos SAML, o Looker vai criar um grupo para cada grupo SAML introduzido no sistema. Esses grupos podem ser acessados na página Grupos da seção Administrador do Looker. Os grupos podem ser usados para atribuir funções aos participantes, definir controles de acesso ao conteúdo e atribuir atributos de usuário.

Grupos e papéis padrão

Por padrão, a opção Espelhar grupos SAML fica desativada. Nesse caso, você pode definir um grupo padrão para novos usuários do SAML. Nos campos Novos grupos de usuários e Novas funções de usuários, insira os nomes dos grupos ou funções do Looker a que você quer atribuir novos usuários do Looker quando eles fizerem login pela primeira vez no Looker:

Esses grupos e funções são aplicados aos novos usuários no login inicial. Os grupos e papéis não são aplicados a usuários preexistentes e não serão reaplicados se forem removidos dos usuários após o login inicial.

Se você ativar grupos SAML espelhados, esses padrões serão removidos para os usuários no próximo login e substituídos por funções atribuídas na seção Espelhar grupos SAML. Essas opções padrão não vão mais estar disponíveis nem atribuídas, e serão totalmente substituídas pela configuração dos grupos espelhados.

Como ativar grupos SAML espelhados

Se você quiser espelhar seus grupos SAML no Looker, ative a opção Espelhar grupos SAML. O Looker mostra estas configurações:

Group Finder Strategy: selecione o sistema que o IdP usa para atribuir grupos, o que depende do seu IdP.

  • Quase todos os IdPs usam um único valor de atributo para atribuir grupos, conforme mostrado neste exemplo de declaração SAML: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Neste caso, selecione Grupos como valores de atributos únicos.

  • Alguns IdPs usam um atributo separado para cada grupo e depois exigem um segundo atributo para determinar se um usuário é membro de um grupo. Veja abaixo um exemplo de declaração SAML que mostra esse sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Nesse caso, selecione Grupos como atributos individuais com valor de associação.

Atributo de grupos: o Looker mostra esse campo quando a Estratégia do localizador de grupos está definida como Grupos como valores de um único atributo. Digite o nome do Atributo de grupos usado pelo IdP.

Valor de membro do grupo: o Looker mostra esse campo quando a Estratégia do localizador de grupos está definida como Grupos como atributos individuais com valor de associação. Digite o valor que indica que um usuário é membro de um grupo.

Nome de grupo/funções/ID de grupo SAML preferencial: com este conjunto de campos, você pode atribuir um nome de grupo personalizado e uma ou mais funções atribuídas ao grupo SAML correspondente no Looker:

  1. Digite o ID do grupo SAML no campo ID do grupo SAML. Os usuários SAML incluídos no grupo SAML vão ser adicionados ao grupo espelhado no Looker.

  2. Digite um nome personalizado para o grupo espelhado no campo Nome personalizado. Esse é o nome que vai aparecer na página Grupos da seção Administrador do Looker.

  3. No campo à direita do campo Nome personalizado, selecione um ou mais papéis do Looker que vão ser atribuídos a cada usuário no grupo.

  4. Clique em + para adicionar outros conjuntos de campos e configurar outros grupos espelhados. Se você tiver vários grupos configurados e quiser remover a configuração de um, clique no X ao lado do conjunto de campos do grupo.

Se você editar um grupo espelhado configurado anteriormente nessa tela, a configuração do grupo será alterada, mas o grupo em si permanecerá intacto. Por exemplo, você pode mudar o nome personalizado de um grupo. Isso muda a forma como ele aparece na página Grupos do Looker, mas não muda as funções e os participantes atribuídos. Alterar o ID do grupo SAML manteria o nome e as funções do grupo, mas os membros do grupo seriam reatribuídos com base nos usuários do grupo SAML externo que tem o UD do novo grupo SAML.

Todas as edições feitas em um grupo espelhado serão aplicadas aos usuários desse grupo na próxima vez que eles fizerem login no Looker.

Gerenciamento avançado de funções

Se você tiver ativado a opção Espelhar grupos SAML, o Looker vai mostrar essas configurações. As opções nesta seção determinam a flexibilidade que os administradores do Looker têm ao configurar grupos e usuários do Looker espelhados do SAML.

Por exemplo, se você quiser que a configuração de usuário e o grupo do Looker correspondam estritamente à configuração de SAML, ative essas opções. Quando as três primeiras opções estão ativadas, os administradores do Looker não podem modificar a associação a grupos espelhados e só podem atribuir papéis aos usuários por grupos espelhados via SAML.

Desative estas opções se quiser mais flexibilidade para personalizar seus grupos no Looker. Os grupos do Looker ainda vão espelhar a configuração de SAML, mas você poderá fazer o gerenciamento adicional de grupos e usuários no Looker, como adicionar usuários do SAML a grupos específicos do Looker ou atribuir papéis do Looker diretamente aos usuários do SAML.

Para novas instâncias do Looker ou instâncias que não têm grupos espelhados configurados anteriormente, essas opções estão desativadas por padrão.

Para instâncias atuais do Looker que têm grupos espelhados configurados, essas opções estão ativadas por padrão.

Ativar configurações mais restritivas vai fazer com que os usuários perdem a associação ao grupo ou os papéis atribuídos que foram configurados diretamente no Looker. Isso vai acontecer na próxima vez que essas pessoas fizerem login no Looker.

A seção Gerenciamento de papéis avançado contém estas opções:

Impedir que usuários individuais de SAML recebam papéis diretos: ativar essa opção impede que os administradores do Looker atribuam papéis diretamente aos usuários do SAML. Os usuários do SAML só receberão funções nas associações a grupos. Se os usuários do SAML tiverem permissão para participar dos grupos nativos (não espelhados) do Looker, eles ainda poderão herdar os papéis dos grupos SAML espelhados e dos grupos nativos do Looker. Todos os usuários do SAML que receberam funções anteriormente de maneira direta terão essas funções removidas no próximo login.

Se essa opção estiver desativada, os administradores do Looker vão poder atribuir papéis do Looker diretamente aos usuários do SAML como se eles tivessem sido configurados de forma nativa no Looker.

Impedir a associação direta em grupos que não são SAML: quando essa opção é ativada, os administradores do Looker não podem adicionar usuários do SAML diretamente aos grupos nativos do Looker. Se os grupos SAML espelhados tiverem permissão para participar de grupos nativos do Looker, os usuários do SAML poderão manter a associação em qualquer grupo pai do Looker. Todos os usuários SAML que foram atribuídos a grupos nativos do Looker serão removidos deles no próximo login.

Se essa opção estiver desativada, os administradores do Looker vão poder adicionar usuários SAML diretamente a grupos nativos do Looker.

Impedir a herança de papéis de grupos não SAML: quando ativada, essa opção impede que os participantes de grupos SAML espelhados herdem papéis de grupos nativos do Looker. Todos os usuários SAML que herdaram papéis de um grupo pai do Looker perderão esses papéis no próximo login.

Se essa opção estiver desativada, os grupos SAML espelhados ou os usuários SAML adicionados como participantes de um grupo nativo do Looker vão herdar os papéis atribuídos ao grupo pai.

A autenticação exige um papel: se essa opção estiver ativada, os usuários do SAML precisarão ter um papel atribuído. Os usuários do SAML sem um papel atribuído não podem fazer login no Looker.

Se essa opção estiver desativada, os usuários do SAML poderão fazer a autenticação no Looker mesmo que nenhum papel tenha sido atribuído. Um usuário sem um papel atribuído não poderá acessar os dados nem realizar ações no Looker, mas poderá fazer login no Looker.

Como desativar grupos SAML espelhados

Se você quiser parar de espelhar seus grupos SAML no Looker, desative a opção Espelhar grupos SAML. Todos os grupos SAML espelhados vazios serão excluídos.

Os grupos SAML espelhados não vazios continuarão disponíveis para uso no gerenciamento de conteúdo e na criação de papéis. No entanto, não é possível adicionar ou remover usuários de grupos SAML espelhados.

Opções de migração

O Looker recomenda que você forneça uma estratégia de combinação, conforme explicado nesta seção. Quando você usa o Looker (original), ele também recomenda ativar o Login alternativo.

Login alternativo para administradores e usuários especificados

Os logins por e-mail/senha do Looker são sempre desativados para usuários comuns quando a autenticação SAML está ativada. Esta opção permite o login alternativo por e-mail usando /login/email para administradores e usuários específicos com a permissão login_special_email.

Ativar essa opção será útil como um substituto durante a configuração da autenticação SAML caso ocorram problemas de configuração de SAML posteriormente ou caso você precise oferecer suporte a alguns usuários que não têm contas no seu diretório SAML.

Para ativar logins alternativos usando a API Looker, consulte a página de documentação Como ativar a opção de login alternativo.

Especifique o método usado para mesclar usuários SAML e uma conta do Looker

No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um primeiro login SAML com uma conta de usuário. É possível mesclar usuários dos seguintes sistemas:

  • E-mail/senha do Looker (não disponível para o Looker (Google Cloud Core))
  • Google
  • LDAP (não disponível para o Looker (Google Cloud Core))
  • OIDC (em inglês)

Se você tiver mais de um sistema, poderá especificar mais de um para mesclar nesse campo. O Looker vai procurar usuários nos sistemas listados na ordem em que são especificados. Por exemplo, imagine que você criou alguns usuários usando o e-mail/senha do Looker, ativou o LDAP e agora quer usar o SAML. o Looker se mescla primeiro por e-mail/senha e depois LDAP.

Quando um usuário fizer login pela primeira vez usando o SAML, essa opção o conectará à conta existente, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova conta de usuário será criada.

Mesclar usuários ao usar o Looker (Google Cloud Core)

Com o Looker (Google Cloud Core) e o SAML, a mesclagem funciona conforme descrito na seção anterior. No entanto, isso só será possível se uma das duas condições a seguir for atendida:

  1. Condição 1: os usuários estão fazendo a autenticação no Looker (Google Cloud Core) usando as identidades do Google por meio do protocolo SAML.

  2. Condição 2 Antes de selecionar a opção de mesclagem, você concluiu estas duas etapas:

Se sua instância não atender a uma dessas duas condições, a opção Mesclar usuários usando não estará disponível.

Durante a mesclagem, o Looker busca registros de usuários que compartilhem exatamente o mesmo endereço de e-mail.

Testar autenticação do usuário

Clique no botão Testar para verificar as configurações. Os testes redirecionam para o servidor e abrem uma guia no navegador. A guia mostra:

  • Se o Looker conseguiu se comunicar com o servidor e validar.
  • Os nomes que o Looker recebe do servidor. Você precisa confirmar se o servidor retorna os resultados corretos.
  • Um rastro para mostrar como a informação foi encontrada. Use o rastro para solucionar problemas se as informações estiverem incorretas. Se precisar de mais informações, leia o arquivo bruto do servidor XML.

Leia os resultados do teste com atenção, porque algumas partes podem ser bem-sucedidas mesmo se outras falharem.

Dicas:

  • É possível executar este teste a qualquer momento, mesmo que o SAML esteja parcialmente configurado. A execução de um teste pode ser útil durante a configuração para saber quais parâmetros precisam ser definidos.
  • O teste usa as configurações digitadas na página SAML Authentication, mesmo que elas não tenham sido salvas. O teste não afetará nem mudará as configurações dessa página.
  • Durante o teste, o Looker transmite informações para o IdP usando o parâmetro SAML RelayState. O IdP precisa retornar esse valor RelayState ao Looker sem modificações.

Confira se todos os testes estão sendo aprovados antes de clicar em Atualizar configurações. Salvar informações incorretas de configuração de SAML pode bloquear você e outras pessoas no Looker.

Salvar e aplicar configurações

Quando você terminar de inserir suas informações e todos os testes forem aprovados, marque a opção Confirmei a configuração acima e quero ativá-la globalmente e clique em Atualizar configurações para salvar.

Comportamento de login do usuário

Quando um usuário tenta fazer login em uma instância do Looker usando SAML, o Looker abre a página Login. O usuário precisa clicar no botão Authenticate para iniciar a autenticação via SAML.

Esse é o comportamento padrão se o usuário ainda não tiver uma sessão ativa do Looker.

Se você quiser que os usuários façam login diretamente na sua instância do Looker após a autenticação do IdP e ignorem a página Login, ative a opção Ignorar página de login em Comportamento de login.

Se você estiver usando o Looker (original), o recurso Ignorar página de login precisará ser ativado pelo Looker. Para atualizar a licença desse recurso, entre em contato com um especialista em vendas do Google Cloud ou abra uma solicitação de suporte. Se você estiver usando o Looker (Google Cloud Core), a opção Ignorar página de login estará disponível automaticamente se o SAML for usado como o método de autenticação principal e o padrão será desativado.

Quando a opção Ignorar página de login está ativada, a sequência de login do usuário é a seguinte:

  1. O usuário tenta se conectar a um URL do Looker (por exemplo, instance_name.looker.com).

  2. O Looker determina se o usuário já tem uma sessão ativa ativada. Para isso, o Looker usa o cookie AUTH-MECHANISM-COOKIE para identificar o método de autorização utilizado pelo usuário na última sessão. O valor é sempre um destes: saml, ldap, oidc, google ou email.

  3. Se o usuário tiver uma sessão ativa ativada, ele será levado ao URL solicitado.

  4. Se o usuário não tiver uma sessão ativa ativada, ele será redirecionado para o IdP. O IdP autentica o usuário quando ele faz login no IdP. Depois, o Looker autentica o usuário quando o IdP o envia de volta ao Looker com informações indicando que ele está autenticado com o IdP.

  5. Se a autenticação no IdP for bem-sucedida, o Looker vai validar as declarações SAML, aceitar a autenticação, atualizar as informações do usuário e encaminhar o usuário para o URL solicitado, ignorando a página Login.

  6. Se o usuário não conseguir fazer login no IdP ou não tiver autorização para usar o Looker, dependendo do IdP, ele vai permanecer no site do IdP ou ser redirecionado para a página de login do Looker.

Resposta SAML excedendo o limite

Se os usuários que estiverem tentando se autenticar estiverem recebendo erros indicando que a resposta SAML excedeu o tamanho máximo, você poderá aumentar o tamanho máximo permitido.

Para instâncias hospedadas pelo Looker, abra uma solicitação de suporte para atualizar o tamanho máximo da resposta SAML.

Para instâncias do Looker hospedadas pelo cliente, é possível definir o tamanho máximo da resposta SAML em número de bytes com a variável de ambiente MAX_SAML_RESPONSE_BYTESIZE. Exemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

O padrão para o tamanho máximo da resposta SAML é de 250.000 bytes.