Configuración del administrador: Autenticación de dos factores

Looker proporciona autenticación de dos factores (2FA) como una capa adicional de seguridad para proteger los datos a los que se puede acceder a través de Looker. Con la 2FA habilitada, cada usuario que acceda deberá autenticarse con un código de un solo uso que genera su dispositivo móvil. No hay una opción para habilitar la AUA para un subconjunto de usuarios.

La página Autenticación de dos factores, en la sección Autenticación del menú Administrador, te permite habilitar y configurar la 2FA.

Cómo usar la autenticación de dos factores

A continuación, se muestra el flujo de trabajo de alto nivel para configurar y usar la 2FA. Ten en cuenta los requisitos de sincronización de hora, que son necesarios para el funcionamiento correcto de la AUA.

  1. El administrador habilita la AUA en la configuración de administrador de Looker.

    Cuando habilites la 2FA, se cerrará la sesión de los usuarios que hayan accedido a Looker y deberán volver a acceder con la 2FA.

  2. Los usuarios individuales instalan la app para iPhone o la app para Android del Autenticador de Google en sus dispositivos móviles.

  3. En el primer acceso, se le mostrará al usuario una imagen de un código QR en la pantalla de la computadora, que deberá escanear con el teléfono usando la app del Autenticador de Google.

    Si el usuario no puede escanear un código QR con su teléfono, también hay una opción para generar un código de texto que pueda ingresar en su teléfono.

    Después de completar este paso, los usuarios podrán generar claves de autenticación para Looker.

  4. En los accesos posteriores a Looker, el usuario deberá ingresar una clave de autenticación después de enviar su nombre de usuario y contraseña.

    Si un usuario habilita la opción Esta es una computadora de confianza, la clave autentica el navegador de acceso durante un período de 30 días. Durante este período, el usuario puede acceder solo con el nombre de usuario y la contraseña. Cada 30 días, Looker requiere que cada usuario vuelva a autenticar el navegador con el autenticador de Google.

Requisitos de sincronización de hora

El Autenticador de Google produce tokens basados en el tiempo, que requieren sincronización del tiempo entre el servidor de Looker y cada dispositivo móvil para que funcionen. Si el servidor de Looker y un dispositivo móvil no están sincronizados, es posible que el usuario del dispositivo móvil no pueda autenticarse con la 2FA. Para sincronizar fuentes de tiempo, haz lo siguiente:

  • Configura los dispositivos móviles para que sincronicen la hora automáticamente con la red.
  • En el caso de las implementaciones de Looker alojadas por el cliente, asegúrate de que NTP esté en ejecución y configurado en el servidor. Si el servidor se aprovisiona en AWS, es posible que debas permitir NTP de forma explícita en la LCA de red de AWS.
  • Un administrador de Looker puede establecer el desfase temporal máximo permitido en el panel Administrador de Looker, que define la cantidad de diferencia permitida entre el servidor y los dispositivos móviles. Si la configuración de hora de un dispositivo móvil está desfasada más de lo permitido, las claves de autenticación no funcionarán. El valor predeterminado es de 90 segundos.

Restablece la autenticación de dos factores

Si un usuario necesita restablecer la 2FA (por ejemplo, si tiene un dispositivo móvil nuevo), haz lo siguiente:

  1. En la página Usuarios de la sección Administrador de Looker, haz clic en Editar en el lado derecho de la fila del usuario para editar su información de cuenta.
  2. En la sección Secreto de dos factores, haz clic en Restablecer. Esto hace que Looker le solicite al usuario que vuelva a escanear un código QR con la app del Autenticador de Google la próxima vez que intente acceder a la instancia de Looker.

Consideraciones

Cuando configures la autenticación de dos factores, ten en cuenta las siguientes consideraciones: