Paramètres Admin – Authentification à deux facteurs
Restez organisé à l'aide des collections
Enregistrez et classez les contenus selon vos préférences.
Looker fournit une authentification à deux facteurs (2FA) qui constitue une couche de sécurité supplémentaire pour protéger les données accessibles via Looker. Lorsque l'authentification à deux facteurs est activée, chaque utilisateur qui se connecte doit s'authentifier à l'aide d'un code unique généré par son appareil mobile. Il n'est pas possible d'activer l'authentification à deux facteurs pour un sous-ensemble d'utilisateurs.
La page Authentification à deux facteurs de la section Authentification du menu Admin vous permet d'activer et de configurer l'authentification à deux facteurs.
Utiliser l'authentification à deux facteurs
Vous trouverez ci-dessous le workflow général de configuration et d'utilisation de l'authentification à deux facteurs. Veuillez prendre en compte les exigences de synchronisation de l'heure, qui sont requises pour le bon fonctionnement de l'authentification à deux facteurs.
L'administrateur active l'authentification à deux facteurs dans les paramètres d'administration de Looker.
Lorsque vous activez l'authentification à deux facteurs, tous les utilisateurs connectés à Looker seront déconnectés et devront se reconnecter avec cette méthode.
Lors de la première connexion, l'utilisateur voit s'afficher un code QR sur l'écran de son ordinateur. Il doit ensuite le scanner avec son téléphone à l'aide de l'application Google Authenticator.
Si l'utilisateur ne parvient pas à scanner de code QR avec son téléphone, il est également possible de générer un code qu'il pourra saisir sur son téléphone.
Une fois cette étape terminée, les utilisateurs pourront générer des clés d'authentification pour Looker.
Lors des connexions suivantes à Looker, l'utilisateur devra saisir une clé d'authentification après avoir saisi son nom d'utilisateur et son mot de passe.
Si un utilisateur active l'option This is a Trusted computer (Il s'agit d'un ordinateur de confiance), la clé authentifie le navigateur de connexion pendant une période de 30 jours. Pendant cette fenêtre, l'utilisateur peut se connecter avec son nom d'utilisateur et son mot de passe uniquement. Tous les 30 jours, Looker exige que chaque utilisateur authentifie de nouveau le navigateur avec Google Authenticator.
Exigences concernant la synchronisation de l'heure
Google Authenticator produit des jetons temporels, qui nécessitent une synchronisation temporelle entre le serveur Looker et chaque appareil mobile pour que les jetons fonctionnent. Si le serveur Looker et un appareil mobile ne sont pas synchronisés, l'utilisateur de l'appareil mobile risque de ne pas pouvoir s'authentifier avec l'A2F. Pour synchroniser des sources temporelles:
Configurer les appareils mobiles de sorte qu'ils se synchronisent automatiquement avec le réseau dans le temps
Pour les déploiements Looker hébergés par un client, assurez-vous que NTP est en cours d'exécution et configuré sur le serveur. Si le serveur est provisionné sur AWS, vous devrez peut-être autoriser explicitement NTP dans la LCA du réseau AWS.
Un administrateur Looker peut définir la dérive maximale autorisée dans le panneau Administration de Looker, ce qui permet de définir l'écart autorisé entre le serveur et les appareils mobiles. Si le paramètre de temps d'un appareil mobile est désactivé de plus que la dérive autorisée, les clés d'authentification ne fonctionneront pas. La valeur par défaut est de 90 secondes.
Réinitialiser l'authentification à deux facteurs
Si un utilisateur doit réinitialiser l'authentification à deux facteurs (par exemple, s'il possède un nouvel appareil mobile):
Sur la page Utilisateurs de la section Administration de Looker, cliquez sur Modifier à droite de la ligne de l'utilisateur pour modifier ses informations.
Dans la section Code secret à deux facteurs, cliquez sur Réinitialiser. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.
Remarques
Lorsque vous configurez l'authentification à deux facteurs, tenez compte des considérations suivantes:
L'authentification à deux facteurs n'affecte pas l'utilisation de l'API Looker.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/05 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/05 (UTC)."],[],[],null,["# Admin settings - Two-factor authentication\n\nLooker provides two-factor authentication (2FA) as an additional layer of security to protect data that is accessible through Looker. With 2FA enabled, every user who logs in must authenticate with a one-time code generated by their mobile device. There is no option to enable 2FA for a subset of users.\n\nThe **Two-Factor Authentication** page in the **Authentication** section of the **Admin** menu lets you enable and configure 2FA.\n| **Note:** If you have a permission that provides access to only select pages in the Admin panel, such as [`manage_schedules`](/looker/docs/admin-panel-users-roles#manage_schedules), [`manage_themes`](/looker/docs/admin-panel-users-roles#manage_themes), or [`see_admin`](/looker/docs/admin-panel-users-roles#see_admin), but you don't have the [Admin role](/looker/docs/admin-panel-users-roles#default_roles), the page or pages that are described here may not be visible to you in the Admin panel.\n\nUsing two-factor authentication\n-------------------------------\n\nFollowing is the high-level workflow for setting up and using 2FA. Please note the [time synchronization requirements](#time_synchronization_requirements), which are required for correct operation of 2FA.\n\n1. Administrator enables 2FA in Looker's admin settings.\n\n \u003e When you enable 2FA, any users logged in to Looker will be logged out and will have to log back in using 2FA.\n2. Individual users install the Google Authenticator [iPhone app](https://itunes.apple.com/us/app/google-authenticator/id388497605) or [Android app](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) on their mobile devices.\n\n3. At first login, a user will be presented with a picture of a QR code on their computer screen, which they will need to scan with their phone using the Google Authenticator app.\n\n If the user can't scan a QR code with their phone, there is also an option to generate a text code that they can enter on their phone.\n\n After completing this step, the users will be able to generate authentication keys for Looker.\n\n4. On subsequent logins to Looker, the user will need to enter an authentication key after submitting their username and password.\n\n If a user enables the **This is a trusted computer** option, the key authenticates the login browser for a 30-day window. During this window the user can log in with username and password alone. Every 30 days Looker requires each user to re-authenticate the browser with Google Authenticator.\n\nTime synchronization requirements\n---------------------------------\n\nGoogle Authenticator produces time-based tokens, which require time synchronization between the Looker server and each mobile device in order for the tokens to work. If the Looker server and a mobile device are not synchronized, this can cause the mobile device user to be unable to authenticate with 2FA. To synchronize time sources:\n\n- Set mobile devices for automatic time synchronization with the network.\n- For customer-hosted Looker deployments, ensure that NTP is running and configured on the server. If the server is provisioned on AWS, you might need to explicitly allow NTP in the AWS Network ACL.\n- A Looker admin can set the maximum allowed time-drift in the Looker **Admin** panel, which defines how much of a difference is permitted between the server and mobile devices. If a mobile device's time setting is off by more than the allowed drift, authentication keys will not work. The default is 90 seconds.\n\nResetting two-factor authentication\n-----------------------------------\n\nIf a user needs to have their 2FA reset (for example, if they have a new mobile device):\n\n1. In the [**Users**](/looker/docs/admin-panel-users-users) page in the **Admin** section of Looker, click **Edit** on the right-hand side of the user's row to edit the user's account information.\n2. In the [**Two-Factor Secret**](/looker/docs/admin-panel-users-users#two-factor_secret) section, click **Reset**. This causes Looker to prompt the user to rescan a QR code with the Google Authenticator app the next time they attempt to log in to the Looker instance.\n\nConsiderations\n--------------\n\nWhile configuring two-factor authentication, keep the following considerations in mind:\n\n- Two-factor authentication does not affect [Looker API](/looker/docs/reference/looker-api/latest) use.\n- Two-factor authentication does not affect authentication through external systems such as [LDAP](/looker/docs/admin-panel-authentication-ldap), [SAML](/looker/docs/admin-panel-authentication-saml), [Google OAuth](/looker/docs/admin-panel-authentication-google), or [OpenID Connect](/looker/docs/admin-panel-authentication-openid-connect). 2FA does affect any [alternate login credentials](/looker/docs/best-practices/how-to-alternate-login-option) that are used with these systems."]]