Looker fornisce l'autenticazione a due fattori (2FA) come ulteriore livello di sicurezza per proteggere i dati accessibili tramite Looker. Con la verifica in due passaggi attivata, ogni utente che accede deve autenticarsi con un codice una tantum generato dal proprio dispositivo mobile. Non è disponibile un'opzione per attivare la verifica in due passaggi per un sottoinsieme di utenti.
La pagina Autenticazione a due fattori nella sezione Autenticazione del menu Amministrazione ti consente di attivare e configurare l'autenticazione a due fattori.
Utilizzo dell'autenticazione a due fattori
Di seguito è riportato il flusso di lavoro generale per la configurazione e l'utilizzo della verifica in due passaggi. Tieni presente i requisiti di sincronizzazione dell'ora, necessari per il corretto funzionamento della verifica in due passaggi.
L'amministratore attiva l'autenticazione a due fattori nelle impostazioni di amministrazione di Looker.
Quando attivi la verifica in due passaggi, tutti gli utenti che hanno eseguito l'accesso a Looker verranno disconnessi e dovranno accedere di nuovo utilizzando la verifica in due passaggi.
I singoli utenti installano l'app per iPhone o l'app per Android di Google Authenticator sui propri dispositivi mobili.
Al primo accesso, sullo schermo del computer dell'utente viene visualizzata l'immagine di un codice QR che dovrà scansionare con lo smartphone utilizzando l'app Google Authenticator.
Se l'utente non riesce a scansionare un codice QR con il telefono, è disponibile anche un'opzione per generare un codice di testo che può inserire sullo smartphone.
Dopo aver completato questo passaggio, gli utenti potranno generare chiavi di autenticazione per Looker.
Per gli accessi successivi a Looker, l'utente dovrà inserire una chiave di autenticazione dopo aver inviato il nome utente e la password.
Se un utente attiva l'opzione Questo è un computer attendibile, la chiave autentica il browser di accesso per un periodo di 30 giorni. Durante questo periodo, l'utente può accedere solo con nome utente e password. Ogni 30 giorni Looker richiede a ogni utente di autenticare nuovamente il browser con Google Authenticator.
Requisiti per la sincronizzazione dell'ora
Google Authenticator genera token basati sul tempo, che richiedono la sincronizzazione dell'ora tra il server di Looker e ogni dispositivo mobile per funzionare. Se il server Looker e un dispositivo mobile non sono sincronizzati, l'utente del dispositivo mobile potrebbe non essere in grado di autenticarsi con l'autenticazione a due fattori. Per sincronizzare le origini di tempo:
- Impostare i dispositivi mobili per la sincronizzazione automatica dell'ora con la rete.
- Per i deployment di Looker ospitati dal cliente, assicurati che NTP sia in esecuzione e configurato sul server. Se il provisioning del server è stato eseguito su AWS, potrebbe essere necessario consentire esplicitamente NTP nell'ACL di rete AWS.
- Un amministratore di Looker può impostare la deviazione temporale massima consentita nel pannello Amministrazione di Looker, che definisce la differenza consentita tra il server e i dispositivi mobili. Se l'impostazione dell'ora di un dispositivo mobile è sfasata di più del margine consentito, le chiavi di autenticazione non funzioneranno. Il valore predefinito è 90 secondi.
Reimpostazione dell'autenticazione a due fattori
Se un utente deve reimpostare l'autenticazione a due fattori (ad esempio se ha un nuovo dispositivo mobile):
- Nella pagina Utenti della sezione Amministrazione di Looker, fai clic su Modifica sul lato destro della riga dell'utente per modificare i dati dell'account.
- Nella sezione Secret per l'autenticazione a due fattori, fai clic su Reimposta. Di conseguenza, al successivo tentativo di accesso all'istanza di Looker, Looker chiederà all'utente di eseguire nuovamente la scansione di un codice QR con l'app Google Authenticator.
Considerazioni
Durante la configurazione dell'autenticazione a due fattori, tieni presente le seguenti considerazioni:
- L'autenticazione a due fattori non influisce sull'utilizzo dell'API Looker.
- L'autenticazione a due fattori non influisce sull'autenticazione tramite sistemi esterni come LDAP, SAML, Google OAuth o OpenID Connect. La verifica in due passaggi influisce su eventuali credenziali di accesso alternative utilizzate con questi sistemi.