O Looker oferece autenticação de dois fatores (2FA) como uma camada extra de segurança para proteger os dados acessíveis pelo Looker. Com a 2FA ativada, todos os usuários que fizerem login precisarão ser autenticados com um código único gerado pelo dispositivo móvel. Não é possível ativar a autenticação de dois fatores para um subconjunto de usuários.
A página Autenticação de dois fatores na seção Autenticação do menu Administrador permite ativar e configurar a 2FA.
A autenticação de dois fatores não afeta o uso da API Looker.
A autenticação de dois fatores não afeta a autenticação por sistemas externos, como LDAP, SAML, Google OAuth ou OpenID Connect. A 2FA afeta as credenciais de login alternativas usadas nesses sistemas.
Como usar a autenticação de dois fatores
Veja a seguir o fluxo de trabalho de alto nível para configurar e usar a autenticação de dois fatores. Confira os requisitos de sincronização de tempo, que são necessários para o funcionamento correto da 2FA.
O administrador ativa a autenticação de dois fatores nas configurações de administrador do Looker.
Quando você ativa a autenticação de dois fatores, todos os usuários conectados ao Looker são desconectados e precisam fazer login de novo usando esse recurso.
Os usuários individuais instalam o app Google Authenticator ou o app Android no dispositivo móvel.
No primeiro login, o usuário vê a foto de um código QR na tela do computador. Ele precisará ser lido com o smartphone usando o app Google Authenticator.
Se o usuário não conseguir ler um código QR com o smartphone, também há a opção de gerar um código de texto que pode ser inserido no smartphone.
Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.
Nos logins seguintes no Looker, o usuário vai precisar inserir uma chave de autenticação depois de enviar o nome de usuário e a senha.
Se um usuário ativar a opção Este é um computador confiável, a chave vai autenticar o navegador de login por uma janela de 30 dias. Durante essa janela, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário autentique o navegador novamente com o Google Authenticator.
Requisitos de sincronização de tempo
O Google Authenticator produz tokens baseados em tempo, que exigem sincronização de tempo entre o servidor do Looker e cada dispositivo móvel para que os tokens funcionem. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, o usuário do dispositivo móvel não vai conseguir fazer a autenticação com a autenticação de dois fatores. Para sincronizar fontes de horário:
- Define dispositivos móveis para a sincronização de tempo automática com a rede.
- Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor for provisionado na AWS, talvez seja necessário permitir explicitamente o NTP na ACL da rede da AWS.
- Um administrador do Looker pode definir o deslocamento máximo de tempo permitido no painel Administrador do Looker, que define a diferença entre o servidor e os dispositivos móveis. Se a configuração de tempo de um dispositivo móvel estiver mais do que o deslocamento permitido, as chaves de autenticação não vão funcionar. O padrão é 90 segundos.
Como redefinir a autenticação de dois fatores
Se um usuário precisar redefinir a autenticação de dois fatores (por exemplo, se tiver um novo dispositivo móvel):
- Na página Usuários na seção Administrador do Looker, clique em Editar à direita da linha do usuário para editar as informações da conta.
- Na seção Secret de dois fatores, clique em Redefinir. Isso faz com que o Looker solicite ao usuário uma nova leitura de um código QR com o app Google Authenticator na próxima vez que tentar fazer login na instância do Looker.