Looker fournit une authentification à deux facteurs (2FA) qui constitue une couche de sécurité supplémentaire pour protéger les données accessibles via Looker. Lorsque l'authentification à deux facteurs est activée, chaque utilisateur qui se connecte doit s'authentifier avec un code unique généré par son appareil mobile. Aucune option ne permet d'activer l'authentification à deux facteurs pour un sous-ensemble d'utilisateurs.
La page Authentification à deux facteurs de la section Authentification du menu Admin vous permet d'activer et de configurer l'authentification à deux facteurs.
L'authentification à deux facteurs n'affecte pas l'utilisation de l'API Looker.
L'authentification à deux facteurs n'a aucune incidence sur l'authentification via des systèmes externes tels que LDAP, SAML, Google OAuth ou OpenID Connect. L'authentification à deux facteurs a une incidence sur tous les identifiants de connexion secondaires utilisés par ces systèmes.
Utiliser l'authentification à deux facteurs
Vous trouverez ci-dessous le workflow général pour configurer et utiliser l'authentification à deux facteurs. Veuillez prendre en compte les exigences de synchronisation de l'heure, qui sont nécessaires au bon fonctionnement de l'authentification à deux facteurs.
L'administrateur active l'authentification à deux facteurs dans les paramètres d'administration de Looker.
Lorsque vous activez l'authentification à deux facteurs, tous les utilisateurs connectés à Looker sont déconnectés et doivent se reconnecter à l'aide de l'authentification à deux facteurs.
Chaque utilisateur installe l'application iPhone ou Android Google Authenticator sur son appareil mobile.
Lors de la première connexion, l'utilisateur voit s'afficher l'image d'un code QR à l'écran de son ordinateur, qu'il doit scanner avec son téléphone à l'aide de l'application Google Authenticator.
Si l'utilisateur ne peut pas scanner de code QR avec son téléphone, il peut également générer un code à saisir sur son téléphone.
Une fois cette étape terminée, les utilisateurs pourront générer des clés d'authentification pour Looker.
Lors des connexions suivantes à Looker, l'utilisateur devra saisir une clé d'authentification après avoir saisi son nom d'utilisateur et son mot de passe.
Si un utilisateur active l'option Il s'agit d'un ordinateur de confiance, la clé authentifie le navigateur de connexion pendant une période de 30 jours. Pendant cette période, l'utilisateur peut se connecter uniquement avec son nom d'utilisateur et son mot de passe. Tous les 30 jours, Looker exige de chaque utilisateur qu'il authentifie de nouveau le navigateur à l'aide de Google Authenticator.
Configuration requise pour la synchronisation de l'heure
Google Authenticator produit des jetons basés sur le temps, qui nécessitent une synchronisation de l'heure entre le serveur Looker et chaque appareil mobile pour que les jetons fonctionnent. Si le serveur Looker et un appareil mobile ne sont pas synchronisés, l'utilisateur de l'appareil mobile risque de ne pas pouvoir s'authentifier avec l'authentification à deux facteurs. Pour synchroniser des sources de temps:
- Configurez les appareils mobiles pour une synchronisation automatique de l'heure avec le réseau.
- Pour les déploiements Looker hébergés par un client, assurez-vous que NTP est en cours d'exécution et configuré sur le serveur. Si le serveur est provisionné sur AWS, vous devrez peut-être autoriser explicitement NTP dans la LCA du réseau AWS.
- Un administrateur Looker peut définir la période maximale autorisée dans le panneau Administration de Looker, afin de définir l'écart possible entre le serveur et les appareils mobiles. Si le paramètre horaire d'un appareil mobile est décalé au-delà de la durée autorisée, les clés d'authentification ne fonctionneront pas. La valeur par défaut est de 90 secondes.
Réinitialisation de l'authentification à deux facteurs
Si un utilisateur doit réinitialiser l'authentification à deux facteurs (par exemple, s'il possède un nouvel appareil mobile):
- Sur la page Utilisateurs de la section Admin de Looker, cliquez sur Modifier à droite de la ligne de l'utilisateur pour modifier ses informations de compte.
- Dans la section Secret à deux facteurs, cliquez sur Réinitialiser. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.