Looker proporciona la autenticación de dos factores (2FA) como una capa adicional de seguridad para proteger los datos a los que se puede acceder a través de Looker. Con la 2FA habilitada, todos los usuarios que accedan deben autenticarse con un código de uso único generado por su dispositivo móvil. No hay opción de habilitar 2FA para un subconjunto de usuarios.
La página Autenticación de dos factores en la sección Autenticación del menú Administrador te permite habilitar y configurar la 2FA.
La autenticación de dos factores no afecta el uso de la API de Looker.
La autenticación de dos factores no afecta la autenticación a través de sistemas externos como LDAP, SAML, Google OAuth o OpenID Connect. La 2FA afecta a cualquier credencial de acceso alternativa que se use con estos sistemas.
Usar la autenticación de dos factores
A continuación, se presenta el flujo de trabajo de alto nivel para configurar y usar 2FA. Ten en cuenta los requisitos de sincronización de hora, que son necesarios para el correcto funcionamiento de 2FA.
El administrador habilita la 2FA en la configuración del administrador de Looker.
Cuando habilitas la 2FA, todos los usuarios que hayan accedido a Looker saldrán de la cuenta y deberán volver a acceder con esa autenticación.
Cada usuario instala la app para iPhone o la app para Android del Autenticador de Google en sus dispositivos móviles.
Cuando acceda por primera vez, el usuario verá en la pantalla de su computadora la imagen de un código QR, que deberá escanear con su teléfono a través de la app del Autenticador de Google.
Si el usuario no puede escanear un código QR con su teléfono, también existe una opción para generar un código de texto que puede ingresar en su teléfono.
Después de completar este paso, los usuarios podrán generar claves de autenticación para Looker.
En los accesos posteriores a Looker, el usuario deberá ingresar una clave de autenticación después de enviar su nombre de usuario y contraseña.
Si un usuario habilita la opción Esta es una computadora de confianza, la clave autentica el navegador de acceso durante un período de 30 días. Durante esta ventana, el usuario puede acceder únicamente con el nombre de usuario y la contraseña. Cada 30 días, Looker requiere que cada usuario vuelva a autenticar el navegador con el Autenticador de Google.
Requisitos para la sincronización de tiempo
El Autenticador de Google produce tokens basados en tiempo, que requieren sincronización de tiempo entre el servidor de Looker y cada dispositivo móvil para que funcionen. Si el servidor de Looker y un dispositivo móvil no están sincronizados, esto puede hacer que el usuario del dispositivo móvil no pueda autenticarse con 2FA. Para sincronizar fuentes de tiempo, sigue estos pasos:
- Configurar dispositivos móviles para la sincronización automática de la hora con la red
- Para las implementaciones de Looker alojadas por el cliente, asegúrate de que el NTP esté en ejecución y configurado en el servidor. Si el servidor está aprovisionado en AWS, es posible que debas permitir explícitamente el NTP en la LCA de la red de AWS.
- Un administrador de Looker puede establecer el desvío temporal máximo permitido en el panel Administrador de Looker, que define la diferencia que se permite entre el servidor y los dispositivos móviles. Si la configuración de hora de un dispositivo móvil supera el desvío permitido, las claves de autenticación no funcionarán. El valor predeterminado es 90 segundos.
Restablece la autenticación de dos factores
Si un usuario necesita restablecer la 2FA (por ejemplo, si tiene un dispositivo móvil nuevo), haz lo siguiente:
- En la página Usuarios de la sección Administrador de Looker, haz clic en Editar en el lado derecho de la fila del usuario para editar la información de su cuenta.
- En la sección Secreto de dos factores, haz clic en Restablecer. Esto hace que Looker le solicite al usuario que vuelva a escanear un código QR con la app del Autenticador de Google la próxima vez que intente acceder a la instancia de Looker.