Configuración de administrador - Autenticación de dos factores
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Looker proporciona la autenticación de dos factores (2FA) como una capa de seguridad adicional para proteger los datos a los que se puede acceder a través de Looker. Con la autenticación de dos factores habilitada, todos los usuarios que inicien sesión deberán autenticarse con un código único generado por su dispositivo móvil. No hay ninguna opción para habilitar la autenticación de dos factores en un subconjunto de usuarios.
La página Autenticación de dos factores de la sección Autenticación del menú Administrar te permite habilitar y configurar la autenticación de dos factores.
Usar la autenticación de dos factores
A continuación, se muestra el flujo de trabajo general para configurar y usar la autenticación de dos factores. Ten en cuenta los requisitos de sincronización de la hora, que son necesarios para que la autenticación de dos factores funcione correctamente.
El administrador habilita la autenticación de dos factores en la configuración de administrador de Looker.
Cuando habilitas la autenticación de dos factores, se cierra la sesión de todos los usuarios que hayan iniciado sesión en Looker y tendrán que volver a iniciarla mediante la autenticación de dos factores.
La primera vez que inicie sesión, el usuario verá una imagen de un código QR en la pantalla del ordenador, que tendrá que escanear con su teléfono mediante la aplicación Google Authenticator.
Si el usuario no puede escanear un código QR con su teléfono, también puede generar un código de texto que puede introducir en su teléfono.
Una vez completado este paso, los usuarios podrán generar claves de autenticación para Looker.
En los inicios de sesión posteriores en Looker, el usuario tendrá que introducir una clave de autenticación después de enviar su nombre de usuario y contraseña.
Si un usuario habilita la opción Este es un ordenador de confianza, la llave autenticará el navegador de inicio de sesión durante un periodo de 30 días. Durante este periodo, el usuario puede iniciar sesión solo con su nombre de usuario y su contraseña. Cada 30 días, Looker requiere que cada usuario vuelva a autenticar el navegador con Google Authenticator.
Requisitos de sincronización de la hora
Google Authenticator genera tokens basados en el tiempo, que requieren que el servidor de Looker y cada dispositivo móvil estén sincronizados para que los tokens funcionen. Si el servidor de Looker y un dispositivo móvil no están sincronizados, es posible que el usuario del dispositivo móvil no pueda autenticarse con la autenticación de dos factores. Para sincronizar las fuentes de hora, sigue estos pasos:
Configura los dispositivos móviles para que sincronicen la hora automáticamente con la red.
En las implementaciones de Looker alojadas por el cliente, asegúrate de que NTP se esté ejecutando y configurado en el servidor. Si el servidor se aprovisiona en AWS, es posible que tengas que permitir explícitamente NTP en la lista de control de acceso de la red de AWS.
Un administrador de Looker puede definir el desfase horario máximo permitido en el panel Administrar de Looker, que define la diferencia permitida entre el servidor y los dispositivos móviles. Si la hora de un dispositivo móvil no coincide con la hora real en más del margen permitido, las claves de autenticación no funcionarán. El valor predeterminado es 90 segundos.
Restablecer la autenticación de dos factores
Si un usuario necesita restablecer la autenticación de dos factores (por ejemplo, si tiene un nuevo dispositivo móvil):
En la página Usuarios de la sección Administrar de Looker, haz clic en Editar, a la derecha de la fila del usuario, para modificar la información de su cuenta.
En la sección Secreto de verificación en dos pasos, haz clic en Restablecer. De esta forma, Looker pedirá al usuario que vuelva a escanear un código QR con la aplicación Google Authenticator la próxima vez que intente iniciar sesión en la instancia de Looker.
Cuestiones importantes
Al configurar la autenticación de dos factores, ten en cuenta lo siguiente:
La autenticación de dos factores no afecta al uso de la API de Looker.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-20 (UTC)."],[],[],null,["# Admin settings - Two-factor authentication\n\nLooker provides two-factor authentication (2FA) as an additional layer of security to protect data that is accessible through Looker. With 2FA enabled, every user who logs in must authenticate with a one-time code generated by their mobile device. There is no option to enable 2FA for a subset of users.\n\nThe **Two-Factor Authentication** page in the **Authentication** section of the **Admin** menu lets you enable and configure 2FA.\n| **Note:** If you have a permission that provides access to only select pages in the Admin panel, such as [`manage_schedules`](/looker/docs/admin-panel-users-roles#manage_schedules), [`manage_themes`](/looker/docs/admin-panel-users-roles#manage_themes), or [`see_admin`](/looker/docs/admin-panel-users-roles#see_admin), but you don't have the [Admin role](/looker/docs/admin-panel-users-roles#default_roles), the page or pages that are described here may not be visible to you in the Admin panel.\n\nUsing two-factor authentication\n-------------------------------\n\nFollowing is the high-level workflow for setting up and using 2FA. Please note the [time synchronization requirements](#time_synchronization_requirements), which are required for correct operation of 2FA.\n\n1. Administrator enables 2FA in Looker's admin settings.\n\n \u003e When you enable 2FA, any users logged in to Looker will be logged out and will have to log back in using 2FA.\n2. Individual users install the Google Authenticator [iPhone app](https://itunes.apple.com/us/app/google-authenticator/id388497605) or [Android app](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) on their mobile devices.\n\n3. At first login, a user will be presented with a picture of a QR code on their computer screen, which they will need to scan with their phone using the Google Authenticator app.\n\n If the user can't scan a QR code with their phone, there is also an option to generate a text code that they can enter on their phone.\n\n After completing this step, the users will be able to generate authentication keys for Looker.\n\n4. On subsequent logins to Looker, the user will need to enter an authentication key after submitting their username and password.\n\n If a user enables the **This is a trusted computer** option, the key authenticates the login browser for a 30-day window. During this window the user can log in with username and password alone. Every 30 days Looker requires each user to re-authenticate the browser with Google Authenticator.\n\nTime synchronization requirements\n---------------------------------\n\nGoogle Authenticator produces time-based tokens, which require time synchronization between the Looker server and each mobile device in order for the tokens to work. If the Looker server and a mobile device are not synchronized, this can cause the mobile device user to be unable to authenticate with 2FA. To synchronize time sources:\n\n- Set mobile devices for automatic time synchronization with the network.\n- For customer-hosted Looker deployments, ensure that NTP is running and configured on the server. If the server is provisioned on AWS, you might need to explicitly allow NTP in the AWS Network ACL.\n- A Looker admin can set the maximum allowed time-drift in the Looker **Admin** panel, which defines how much of a difference is permitted between the server and mobile devices. If a mobile device's time setting is off by more than the allowed drift, authentication keys will not work. The default is 90 seconds.\n\nResetting two-factor authentication\n-----------------------------------\n\nIf a user needs to have their 2FA reset (for example, if they have a new mobile device):\n\n1. In the [**Users**](/looker/docs/admin-panel-users-users) page in the **Admin** section of Looker, click **Edit** on the right-hand side of the user's row to edit the user's account information.\n2. In the [**Two-Factor Secret**](/looker/docs/admin-panel-users-users#two-factor_secret) section, click **Reset**. This causes Looker to prompt the user to rescan a QR code with the Google Authenticator app the next time they attempt to log in to the Looker instance.\n\nConsiderations\n--------------\n\nWhile configuring two-factor authentication, keep the following considerations in mind:\n\n- Two-factor authentication does not affect [Looker API](/looker/docs/reference/looker-api/latest) use.\n- Two-factor authentication does not affect authentication through external systems such as [LDAP](/looker/docs/admin-panel-authentication-ldap), [SAML](/looker/docs/admin-panel-authentication-saml), [Google OAuth](/looker/docs/admin-panel-authentication-google), or [OpenID Connect](/looker/docs/admin-panel-authentication-openid-connect). 2FA does affect any [alternate login credentials](/looker/docs/best-practices/how-to-alternate-login-option) that are used with these systems."]]
