Impostazioni amministratore - Autenticazione a due fattori
Mantieni tutto organizzato con le raccolte
Salva e classifica i contenuti in base alle tue preferenze.
Looker fornisce l'autenticazione a due fattori (2FA) come livello di sicurezza aggiuntivo per proteggere i dati accessibili tramite Looker. Con l'autenticazione a due fattori attiva, ogni utente che accede deve autenticarsi con un codice monouso generato dal proprio dispositivo mobile. Non è possibile attivare l'autenticazione a due fattori per un sottoinsieme di utenti.
La pagina Autenticazione a due fattori nella sezione Autenticazione del menu Amministrazione ti consente di attivare e configurare l'autenticazione a due fattori.
Utilizzo dell'autenticazione a due fattori
Di seguito è riportato il flusso di lavoro generale per la configurazione e l'utilizzo dell'autenticazione a due fattori. Tieni presente i requisiti di sincronizzazione dell'ora, necessari per il corretto funzionamento di 2FA.
L'amministratore attiva l'autenticazione a due fattori nelle impostazioni di amministrazione di Looker.
Quando abiliti l'autenticazione a due fattori, tutti gli utenti che hanno eseguito l'accesso a Looker verranno disconnessi e dovranno accedere di nuovo utilizzando l'autenticazione a due fattori.
I singoli utenti installano l'app per iPhone o l'app per Android Google Authenticator sui propri dispositivi mobili.
Al primo accesso, all'utente viene presentata sullo schermo del computer l'immagine di un codice QR, che dovrà scansionare con il proprio smartphone utilizzando l'app Google Authenticator.
Se l'utente non riesce a scansionare un codice QR con lo smartphone, è disponibile anche un'opzione per generare un codice di testo che può inserire sullo smartphone.
Dopo aver completato questo passaggio, gli utenti potranno generare chiavi di autenticazione per Looker.
Nei successivi accessi a Looker, l'utente dovrà inserire una chiave di autenticazione dopo aver inviato il nome utente e la password.
Se un utente attiva l'opzione Questo è un computer attendibile, la chiave autentica il browser di accesso per una finestra di 30 giorni. Durante questo periodo l'utente può accedere utilizzando solo nome utente e password. Ogni 30 giorni, Looker richiede che ogni utente esegua nuovamente l'autenticazione del browser con Google Authenticator.
Requisiti per la sincronizzazione dell'ora
Google Authenticator produce token basati sull'ora, che richiedono la sincronizzazione dell'ora tra il server Looker e ogni dispositivo mobile per far funzionare i token. Se il server Looker e un dispositivo mobile non sono sincronizzati, è possibile che l'utente del dispositivo mobile non riesca ad autenticarsi con l'autenticazione a due fattori (2FA). Per sincronizzare le fonti temporali:
Imposta i dispositivi mobili per la sincronizzazione automatica dell'ora con la rete.
Per i deployment di Looker ospitati dal cliente, assicurati che NTP sia in esecuzione e configurata sul server. Se viene eseguito il provisioning del server su AWS, potrebbe essere necessario consentire esplicitamente NTP nell'ACL di rete AWS.
Un amministratore di Looker può impostare la deviazione temporale massima consentita nel pannello di amministrazione di Looker, che definisce la quantità di differenza consentita tra il server e i dispositivi mobili. Se l'impostazione dell'ora di un dispositivo mobile è disattivata per un valore superiore alla deviazione consentita, le chiavi di autenticazione non funzioneranno. Il valore predefinito è 90 secondi.
Reimpostazione dell'autenticazione a due fattori
Se un utente deve eseguire la reimpostazione dell'autenticazione a due fattori (ad esempio, se ha un nuovo dispositivo mobile):
Nella pagina Utenti nella sezione Amministrazione di Looker, fai clic su Modifica sul lato destro della riga dell'utente per modificare i dati dell'account dell'utente.
Nella sezione Segreto a due fattori, fai clic su Reimposta. In questo modo, al successivo tentativo di accedere all'istanza di Looker, Looker chiede all'utente di eseguire nuovamente la scansione di un codice QR con l'app Google Authenticator.
Considerazioni
Durante la configurazione dell'autenticazione a due fattori, tieni presente quanto segue:
L'autenticazione a due fattori non influisce sull'utilizzo dell'API Looker.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-09-05 UTC."],[],[],null,["# Admin settings - Two-factor authentication\n\nLooker provides two-factor authentication (2FA) as an additional layer of security to protect data that is accessible through Looker. With 2FA enabled, every user who logs in must authenticate with a one-time code generated by their mobile device. There is no option to enable 2FA for a subset of users.\n\nThe **Two-Factor Authentication** page in the **Authentication** section of the **Admin** menu lets you enable and configure 2FA.\n| **Note:** If you have a permission that provides access to only select pages in the Admin panel, such as [`manage_schedules`](/looker/docs/admin-panel-users-roles#manage_schedules), [`manage_themes`](/looker/docs/admin-panel-users-roles#manage_themes), or [`see_admin`](/looker/docs/admin-panel-users-roles#see_admin), but you don't have the [Admin role](/looker/docs/admin-panel-users-roles#default_roles), the page or pages that are described here may not be visible to you in the Admin panel.\n\nUsing two-factor authentication\n-------------------------------\n\nFollowing is the high-level workflow for setting up and using 2FA. Please note the [time synchronization requirements](#time_synchronization_requirements), which are required for correct operation of 2FA.\n\n1. Administrator enables 2FA in Looker's admin settings.\n\n \u003e When you enable 2FA, any users logged in to Looker will be logged out and will have to log back in using 2FA.\n2. Individual users install the Google Authenticator [iPhone app](https://itunes.apple.com/us/app/google-authenticator/id388497605) or [Android app](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) on their mobile devices.\n\n3. At first login, a user will be presented with a picture of a QR code on their computer screen, which they will need to scan with their phone using the Google Authenticator app.\n\n If the user can't scan a QR code with their phone, there is also an option to generate a text code that they can enter on their phone.\n\n After completing this step, the users will be able to generate authentication keys for Looker.\n\n4. On subsequent logins to Looker, the user will need to enter an authentication key after submitting their username and password.\n\n If a user enables the **This is a trusted computer** option, the key authenticates the login browser for a 30-day window. During this window the user can log in with username and password alone. Every 30 days Looker requires each user to re-authenticate the browser with Google Authenticator.\n\nTime synchronization requirements\n---------------------------------\n\nGoogle Authenticator produces time-based tokens, which require time synchronization between the Looker server and each mobile device in order for the tokens to work. If the Looker server and a mobile device are not synchronized, this can cause the mobile device user to be unable to authenticate with 2FA. To synchronize time sources:\n\n- Set mobile devices for automatic time synchronization with the network.\n- For customer-hosted Looker deployments, ensure that NTP is running and configured on the server. If the server is provisioned on AWS, you might need to explicitly allow NTP in the AWS Network ACL.\n- A Looker admin can set the maximum allowed time-drift in the Looker **Admin** panel, which defines how much of a difference is permitted between the server and mobile devices. If a mobile device's time setting is off by more than the allowed drift, authentication keys will not work. The default is 90 seconds.\n\nResetting two-factor authentication\n-----------------------------------\n\nIf a user needs to have their 2FA reset (for example, if they have a new mobile device):\n\n1. In the [**Users**](/looker/docs/admin-panel-users-users) page in the **Admin** section of Looker, click **Edit** on the right-hand side of the user's row to edit the user's account information.\n2. In the [**Two-Factor Secret**](/looker/docs/admin-panel-users-users#two-factor_secret) section, click **Reset**. This causes Looker to prompt the user to rescan a QR code with the Google Authenticator app the next time they attempt to log in to the Looker instance.\n\nConsiderations\n--------------\n\nWhile configuring two-factor authentication, keep the following considerations in mind:\n\n- Two-factor authentication does not affect [Looker API](/looker/docs/reference/looker-api/latest) use.\n- Two-factor authentication does not affect authentication through external systems such as [LDAP](/looker/docs/admin-panel-authentication-ldap), [SAML](/looker/docs/admin-panel-authentication-saml), [Google OAuth](/looker/docs/admin-panel-authentication-google), or [OpenID Connect](/looker/docs/admin-panel-authentication-openid-connect). 2FA does affect any [alternate login credentials](/looker/docs/best-practices/how-to-alternate-login-option) that are used with these systems."]]