Looker offre l'autenticazione a due fattori (2FA) come livello di sicurezza aggiuntivo per proteggere i dati accessibili tramite Looker. Quando l'autenticazione a due fattori è attiva, ogni utente che esegue l'accesso deve autenticarsi con un codice monouso generato dal proprio dispositivo mobile. Non esiste un'opzione per attivare l'autenticazione a due fattori per un sottoinsieme di utenti.
La pagina Autenticazione a due fattori nella sezione Autenticazione del menu Amministrazione consente di attivare e configurare l'autenticazione a due fattori.
L'autenticazione a due fattori non influisce sull'utilizzo dell'API Looker.
L'autenticazione a due fattori non influisce sull'autenticazione attraverso sistemi esterni, come LDAP, SAML, Google OAuth o OpenID Connect. L'autenticazione a due fattori influisce sulle credenziali di accesso alternative utilizzate con questi sistemi.
Utilizzo dell'autenticazione a due fattori
Di seguito è riportato il flusso di lavoro generale per la configurazione e l'utilizzo dell'autenticazione a due fattori. Tieni presente i requisiti di sincronizzazione temporale, necessari per il corretto funzionamento di 2FA.
L'amministratore attiva l'autenticazione a due fattori (2FA) nelle impostazioni di amministrazione di Looker.
Quando abiliti l'autenticazione a due fattori (2FA), tutti gli utenti che hanno eseguito l'accesso a Looker verranno disconnessi e dovranno accedere di nuovo utilizzando l'autenticazione a due fattori.
I singoli utenti installano l'app per iPhone o l'app Android Google Authenticator sui propri dispositivi mobili.
Al primo accesso, all'utente viene presentata sullo schermo del computer l'immagine di un codice QR, che dovrà scansionare con il telefono utilizzando l'app Google Authenticator.
Se l'utente non riesce a scansionare un codice QR con lo smartphone, esiste anche un'opzione per generare un codice di testo che può inserire sullo smartphone.
Dopo aver completato questo passaggio, gli utenti potranno generare chiavi di autenticazione per Looker.
Negli accessi successivi a Looker, l'utente dovrà inserire una chiave di autenticazione dopo aver inviato nome utente e password.
Se un utente attiva l'opzione Questo è un computer attendibile, la chiave autentica il browser di accesso per una finestra di 30 giorni. Durante questo periodo l'utente può accedere utilizzando solo nome utente e password. Ogni 30 giorni, Looker richiede a ogni utente di autenticare nuovamente il browser con Google Authenticator.
Requisiti di sincronizzazione temporale
Google Authenticator produce token basati sull'ora, che richiedono una sincronizzazione temporale tra il server Looker e ciascun dispositivo mobile affinché i token funzionino. Se il server Looker e un dispositivo mobile non sono sincronizzati, l'utente del dispositivo mobile potrebbe non essere in grado di eseguire l'autenticazione con l'autenticazione a due fattori. Per sincronizzare le origini dell'ora:
- Imposta i dispositivi mobili per la sincronizzazione automatica dell'ora con la rete.
- Per i deployment di Looker ospitati dal cliente, assicurati che NTP sia in esecuzione e configurato sul server. Se è stato eseguito il provisioning del server su AWS, potrebbe essere necessario consentire esplicitamente NTP nell'ACL di rete AWS.
- Un amministratore di Looker può impostare la deviazione temporale massima consentita nel riquadro Amministrazione di Looker, che definisce la differenza consentita tra il server e i dispositivi mobili. Se l'impostazione dell'ora di un dispositivo mobile è disattivata di un valore superiore alla deviazione consentita, le chiavi di autenticazione non funzioneranno. Il valore predefinito è 90 secondi.
Reimpostazione dell'autenticazione a due fattori
Se un utente deve reimpostare l'autenticazione a due fattori (ad esempio se ha un nuovo dispositivo mobile):
- Nella pagina Utenti della sezione Amministrazione di Looker, fai clic su Modifica sul lato destro della riga dell'utente per modificare i dati dell'account dell'utente.
- Nella sezione Secret a due fattori, fai clic su Reimposta. In questo modo, al successivo tentativo di accesso all'istanza Looker, Looker chiede all'utente di scansionare nuovamente un codice QR con l'app Google Authenticator.