Looker menyediakan autentikasi 2 langkah (2FA) sebagai lapisan keamanan tambahan untuk melindungi data yang dapat diakses melalui Looker. Dengan mengaktifkan 2FA, setiap pengguna yang login harus melakukan autentikasi dengan kode sekali pakai yang dibuat oleh perangkat seluler mereka. Tidak ada opsi untuk mengaktifkan 2FA bagi sebagian pengguna.
Halaman Autentikasi 2 Langkah di bagian Autentikasi pada menu Admin memungkinkan Anda mengaktifkan dan mengonfigurasi 2FA.
Autentikasi 2 langkah tidak memengaruhi penggunaan Looker API.
Autentikasi dua faktor tidak memengaruhi autentikasi melalui sistem eksternal seperti LDAP, SAML, Google OAuth, atau OpenID Connect. 2FA memengaruhi kredensial login alternatif yang digunakan dengan sistem ini.
Menggunakan autentikasi 2 langkah
Berikut ini adalah alur kerja tingkat tinggi untuk menyiapkan dan menggunakan 2FA. Perhatikan persyaratan sinkronisasi waktu, yang diperlukan untuk pengoperasian 2FA yang benar.
Administrator mengaktifkan 2FA di setelan admin Looker.
Saat Anda mengaktifkan 2FA, semua pengguna yang login ke Looker akan logout dan harus login kembali menggunakan 2FA.
Setiap pengguna menginstal aplikasi iPhone atau aplikasi Android Google Authenticator di perangkat seluler mereka.
Saat login pertama, pengguna akan melihat gambar kode QR di layar komputer, yang harus dipindai dengan ponsel menggunakan aplikasi Google Authenticator.
Jika pengguna tidak dapat memindai kode QR dengan ponsel, ada juga opsi untuk membuat kode teks yang dapat dimasukkan ke ponsel.
Setelah menyelesaikan langkah ini, pengguna akan dapat membuat kunci autentikasi untuk Looker.
Pada login berikutnya ke Looker, pengguna harus memasukkan kunci autentikasi setelah memasukkan nama pengguna dan sandi.
Jika pengguna mengaktifkan opsi This is a trusted computer, kunci tersebut mengautentikasi browser login selama periode 30 hari. Selama jendela ini, pengguna dapat masuk hanya dengan nama pengguna dan sandi. Setiap 30 hari, Looker mengharuskan setiap pengguna mengautentikasi ulang browser dengan Google Authenticator.
Persyaratan sinkronisasi waktu
Google Authenticator menghasilkan token berbasis waktu, yang memerlukan sinkronisasi waktu antara server Looker dan setiap perangkat seluler agar token dapat berfungsi. Jika server Looker dan perangkat seluler tidak disinkronkan, pengguna perangkat seluler tidak dapat melakukan autentikasi dengan 2FA. Untuk menyinkronkan sumber waktu:
- Setel perangkat seluler untuk sinkronisasi waktu otomatis dengan jaringan.
- Untuk deployment Looker yang dihosting pelanggan, pastikan NTP berjalan dan dikonfigurasi di server. Jika server disediakan di AWS, Anda mungkin perlu mengizinkan NTP secara eksplisit di ACL Jaringan AWS.
- Admin Looker dapat menetapkan penyimpangan waktu maksimum yang diizinkan di panel Admin Looker, yang menentukan seberapa besar perbedaan yang diizinkan antara server dan perangkat seluler. Jika setelan waktu perangkat seluler dinonaktifkan lebih dari batas penyimpanan yang diizinkan, kunci autentikasi tidak akan berfungsi. Defaultnya adalah 90 detik.
Mereset autentikasi 2 langkah
Jika pengguna perlu mereset 2FA (misalnya, jika mereka memiliki perangkat seluler baru):
- Di halaman Pengguna di bagian Admin Looker, klik Edit di sisi kanan baris pengguna untuk mengedit informasi akun pengguna.
- Di bagian Two-Factor Secret, klik Reset. Hal ini menyebabkan Looker meminta pengguna untuk memindai ulang kode QR dengan aplikasi Google Authenticator saat mereka mencoba login ke instance Looker lagi.