O Looker oferece autenticação de dois fatores (2FA) como uma camada extra de segurança para proteger os dados acessíveis por ele. Com a 2FA ativada, todos os usuários que fizerem login precisam se autenticar com um código único gerado pelo dispositivo móvel. Não há opção para ativar a autenticação de dois fatores para um subconjunto de usuários.
A página Autenticação de dois fatores na seção Autenticação do menu Administrador permite ativar e configurar a 2FA.
Como usar a autenticação de dois fatores
Confira a seguir o fluxo de trabalho geral para configurar e usar a autenticação de dois fatores. Observe os requisitos de sincronização de horário, que são necessários para o funcionamento correto da 2FA.
O administrador ativa a 2FA nas configurações de administrador do Looker.
Quando você ativa a 2FA, todos os usuários que fizeram login no Looker são desconectados e precisam fazer login novamente usando a 2FA.
Os usuários individuais instalam o app do iPhone ou Android do Google Authenticator nos dispositivos móveis.
No primeiro login, o usuário vai encontrar uma imagem de um código QR na tela do computador, que ele vai precisar ler com o smartphone usando o app Google Authenticator.
Se o usuário não conseguir ler um código QR com o smartphone, também há a opção de gerar um código de texto para inserir no smartphone.
Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.
Em logins subsequentes no Looker, o usuário vai precisar inserir uma chave de autenticação depois de enviar o nome de usuário e a senha.
Se um usuário ativar a opção Este é um computador confiável, a chave vai autenticar o navegador de login por uma janela de 30 dias. Durante esse período, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário faça uma nova autenticação do navegador com o Google Authenticator.
Requisitos de sincronização de tempo
O Google Authenticator produz tokens baseados em tempo, que exigem sincronização de tempo entre o servidor do Looker e cada dispositivo móvel para funcionarem. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, o usuário do dispositivo móvel não poderá fazer a autenticação com a 2FA. Para sincronizar as fontes de tempo:
- Configure os dispositivos móveis para sincronização de horário automática com a rede.
- Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor for provisionado na AWS, talvez seja necessário permitir o NTP explicitamente na ACL da rede da AWS.
- Um administrador do Looker pode definir o deslocamento máximo de tempo permitido no painel Administrador do Looker, que define a diferença permitida entre o servidor e os dispositivos móveis. Se a configuração de horário de um dispositivo móvel estiver desativada por mais do que a deriva permitida, as chaves de autenticação não vão funcionar. O padrão é 90 segundos.
Redefinir a autenticação de dois fatores
Se um usuário precisar redefinir a 2FA (por exemplo, se ele tiver um novo dispositivo móvel):
- Na página Usuários na seção Administrador do Looker, clique em Editar no lado direito da linha do usuário para editar as informações da conta dele.
- Na seção Secret de dois fatores, clique em Redefinir. Isso faz com que o Looker solicite que o usuário faça a leitura de um código QR novamente com o app Google Authenticator na próxima vez que tentar fazer login na instância do Looker.
Considerações
Ao configurar a autenticação de dois fatores, considere o seguinte:
- A autenticação de dois fatores não afeta o uso da API Looker.
- A autenticação de dois fatores não afeta a autenticação por sistemas externos, como LDAP, SAML, Google OAuth ou OpenID Connect. A 2FA afeta as credenciais de login alternativas usadas com esses sistemas.