Looker bietet die 2-Faktor-Authentifizierung (2FA) als zusätzliche Sicherheitsebene zum Schutz von Daten, die über Looker zugänglich sind. Bei aktivierter 2FA muss sich jeder Nutzer, der sich anmeldet, mit einem einmaligen Code authentifizieren, der von seinem Mobilgerät generiert wird. Es gibt keine Option, 2FA für eine Untergruppe von Nutzern zu aktivieren.
Auf der Seite 2-Faktor-Authentifizierung im Bereich Authentifizierung des Menüs Admin können Sie 2FA aktivieren und konfigurieren.
Die 2-Faktor-Authentifizierung wirkt sich nicht auf die Verwendung der Looker API aus.
Die 2-Faktor-Authentifizierung wirkt sich nicht auf die Authentifizierung über externe Systeme wie LDAP, SAML, Google OAuth oder OpenID Connect aus. 2FA wirkt sich jedoch auf alle alternativen Anmeldedaten aus, die bei diesen Systemen verwendet werden.
2-Faktor-Authentifizierung verwenden
Im Folgenden wird der allgemeine Workflow zum Einrichten und Verwenden von 2FA beschrieben. Bitte beachten Sie die Anforderungen für die Zeitsynchronisierung, die für eine korrekte Funktionsweise von 2FA erforderlich sind.
Der Administrator aktiviert 2FA in den Administratoreinstellungen von Looker.
Wenn Sie 2FA aktivieren, werden alle bei Looker angemeldeten Benutzer abgemeldet und müssen sich wieder mit 2FA anmelden.
Die einzelnen Nutzer installieren die iPhone App oder die Android App von Google Authenticator auf ihren Mobilgeräten.
Bei der ersten Anmeldung wird dem Nutzer ein Bild eines QR-Codes auf seinem Computerbildschirm angezeigt, den er mit seinem Smartphone über die Google Authenticator App scannen muss.
Wenn der Nutzer keinen QR-Code mit seinem Smartphone scannen kann, gibt es auch die Möglichkeit, einen Textcode zu generieren, den er auf seinem Smartphone eingeben kann.
Nach der Ausführung dieses Schritts können die Benutzer Authentifizierungsschlüssel für Looker generieren.
Bei nachfolgenden Anmeldungen bei Looker muss der Benutzer nach der Übermittlung seines Benutzernamens und Passworts einen Authentifizierungsschlüssel eingeben.
Wenn ein Nutzer die Option Dies ist ein vertrauenswürdiger Computer aktiviert, wird der Anmeldebrowser 30 Tage lang mit dem Schlüssel authentifiziert. In diesem Fenster kann sich der Nutzer nur mit dem Nutzernamen und Passwort anmelden. Looker verlangt, dass jeder Nutzer alle 30 Tage den Browser mit Google Authenticator erneut authentifizieren muss.
Anforderungen an die Zeitsynchronisierung
Google Authenticator erzeugt zeitbasierte Tokens, die eine Zeitsynchronisierung zwischen dem Looker-Server und jedem Mobilgerät erfordern, damit die Tokens funktionieren. Wenn der Looker-Server und ein Mobilgerät nicht synchronisiert sind, kann das dazu führen, dass sich der Nutzer des Mobilgeräts nicht bei 2FA authentifizieren kann. So synchronisieren Sie Zeitquellen:
- Richten Sie Mobilgeräte für die automatische Zeitsynchronisierung mit dem Netzwerk ein.
- Stellen Sie bei vom Kunden gehosteten Looker-Bereitstellungen sicher, dass NTP auf dem Server ausgeführt und konfiguriert wird. Wenn der Server in AWS bereitgestellt wird, müssen Sie NTP möglicherweise in der AWS-Netzwerk-ACL explizit zulassen.
- Ein Looker-Administrator kann die maximal zulässige Zeitverschiebung im Admin-Steuerfeld von Looker festlegen. Dort wird definiert, wie groß der Unterschied zwischen dem Server und den Mobilgeräten sein darf. Wenn die Zeiteinstellung eines Mobilgeräts um mehr als die zulässige Abweichung abweicht, funktionieren die Authentifizierungsschlüssel nicht. Der Standardwert beträgt 90 Sekunden.
2-Faktor-Authentifizierung zurücksetzen
Wenn ein Nutzer seine Bestätigung in zwei Schritten zurücksetzen muss (z. B. wenn er ein neues Mobilgerät hat):
- Klicken Sie auf der Seite Nutzer im Bereich Admin von Looker rechts in der Zeile des Nutzers auf Bearbeiten, um die Kontoinformationen des Nutzers zu bearbeiten.
- Klicken Sie im Abschnitt Zwei-Faktor-Secret auf Zurücksetzen. Dadurch werden Benutzer in Looker aufgefordert, einen neuen QR-Code mit der Google Authenticator-App zu scannen, wenn sie sich das nächste Mal bei der Looker-Instanz anmelden.