Looker 提供双重身份验证 (2FA) 作为额外的安全保障,从而保护可通过 Looker 访问的数据。启用 2FA 后,每个登录时都必须使用其移动设备生成的一次性验证码进行身份验证。您无法为部分用户启用双重身份验证 (2FA)。
您可以通过管理菜单的身份验证部分的双重身份验证页面启用和配置 2FA。
双重身份验证不会影响 Looker API 的使用。
双重身份验证不会影响通过外部系统(例如 LDAP、SAML、Google OAuth 或 OpenID Connect)进行的身份验证。2FA 对用于这些系统的所有备用登录凭据都有影响。
使用双重验证
以下是设置和使用 2FA 的简要工作流程。请注意时间同步要求,这是正确运行 2FA 所需满足的要求。
管理员在 Looker 的管理员设置中启用 2FA。
启用 2FA 后,任何登录 Looker 的用户都会退出登录,并且必须使用 2FA 重新登录。
各个用户在其移动设备上安装了 Google 身份验证器 iPhone 应用或 Android 应用。
用户首次登录时,会在计算机屏幕上看到二维码图片,他们需要使用手机使用 Google 身份验证器应用扫描二维码。
如果用户无法使用手机扫描二维码,还可以选择生成文本代码,供他们在手机上输入。
完成此步骤后,用户将能够为 Looker 生成身份验证密钥。
用户后续登录 Looker 时,需要在提交用户名和密码后输入身份验证密钥。
如果用户启用这是可信的计算机选项,该密钥会在 30 天的时间范围内对登录浏览器进行身份验证。在此期间,用户可以只使用用户名和密码登录。每 30 天,Looker 会要求每位用户使用 Google 身份验证器重新对浏览器进行身份验证。
时间同步要求
Google 身份验证器会生成基于时间的令牌,这些令牌需要在 Looker 服务器和每个移动设备之间实现时间同步,以便令牌正常运行。如果 Looker 服务器与移动设备未同步,可能会导致移动设备用户无法通过 2FA 进行身份验证。如需同步时间源,请执行以下操作:
- 设置移动设备,以便与网络自动同步。
- 对于客户托管的 Looker 部署,请确保 NTP 在服务器上正在运行并已配置。如果服务器是在 AWS 上预配的,您可能需要在 AWS 网络 ACL 中明确允许 NTP。
- Looker 管理员可以在 Looker 管理面板中设置允许的最大时间偏移,用于定义服务器和移动设备之间可以存在多大的差异。如果移动设备的时间设置偏差超过允许的偏差,则身份验证密钥将不起作用。默认值是 90 秒。
重置双重验证
如果用户需要重置双重身份验证(例如,如果他们有新的移动设备),请执行以下操作:
- 在 Looker 的管理部分的用户页面中,点击用户所在行右侧的修改,以修改用户的帐号信息。
- 在双重身份验证部分,点击重置。这会导致 Looker 在下次尝试登录 Looker 实例时提示用户使用 Google 身份验证器应用重新扫描二维码。