Definições de administrador – Autenticação de dois fatores
Mantenha tudo organizado com as coleções
Salve e categorize o conteúdo com base nas suas preferências.
O Looker oferece a autenticação de dois fatores (2FA) como uma camada adicional de segurança para proteger os dados acessíveis através do Looker. Com a 2FA ativada, todos os utilizadores que iniciarem sessão têm de se autenticar com um código único gerado pelo respetivo dispositivo móvel. Não existe uma opção para ativar a 2FA para um subconjunto de utilizadores.
A página Autenticação de dois fatores na secção Autenticação do menu Administração permite-lhe ativar e configurar a 2FA.
Usar a autenticação de dois fatores
Segue-se o fluxo de trabalho de nível superior para configurar e usar a 2FA. Tenha em atenção os requisitos de sincronização de tempo, que são necessários para o funcionamento correto da A2F.
O administrador ativa a A2F nas definições de administrador do Looker.
Quando ativa a 2FA, todos os utilizadores com sessão iniciada no Looker têm a sessão terminada e têm de iniciar sessão novamente através da 2FA.
Os utilizadores individuais instalam a app para iPhone ou a app para Android do Google Authenticator nos respetivos dispositivos móveis.
No primeiro início de sessão, é apresentada ao utilizador uma imagem de um código QR no ecrã do computador, que tem de ler com o telemóvel através da app Google Authenticator.
Se o utilizador não conseguir ler um código QR com o telemóvel, também existe uma opção para gerar um código de texto que pode introduzir no telemóvel.
Depois de concluir este passo, os utilizadores podem gerar chaves de autenticação para o Looker.
Nos inícios de sessão subsequentes no Looker, o utilizador tem de introduzir uma chave de autenticação depois de enviar o nome de utilizador e a palavra-passe.
Se um utilizador ativar a opção Este é um computador fidedigno, a chave autentica o navegador de início de sessão durante um período de 30 dias. Durante este período, o utilizador pode iniciar sessão apenas com o nome de utilizador e a palavra-passe. A cada 30 dias, o Looker exige que cada utilizador reautentique o navegador com o Google Authenticator.
Requisitos de sincronização de tempo
O Google Authenticator produz tokens baseados no tempo, que requerem a sincronização de tempo entre o servidor do Looker e cada dispositivo móvel para que os tokens funcionem. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, isto pode impedir que o utilizador do dispositivo móvel se autentique com a 2FA. Para sincronizar origens de tempo:
Defina os dispositivos móveis para a sincronização automática da hora com a rede.
Para implementações do Looker alojadas pelo cliente, certifique-se de que o NTP está em execução e configurado no servidor. Se o servidor for aprovisionado na AWS, pode ter de permitir explicitamente o NTP na ACL de rede da AWS.
Um administrador do Looker pode definir o desvio de tempo máximo permitido no painel Administração do Looker, que define a diferença permitida entre o servidor e os dispositivos móveis. Se a definição de hora de um dispositivo móvel estiver desfasada mais do que o desvio permitido, as chaves de autenticação não funcionam. A predefinição é 90 segundos.
Repor a autenticação de dois fatores
Se um utilizador precisar de repor a 2FA (por exemplo, se tiver um novo dispositivo móvel):
Na página Utilizadores na secção Administração do Looker, clique em Editar no lado direito da linha do utilizador para editar as informações da conta do utilizador.
Na secção Código secreto de dois fatores, clique em Repor. Isto faz com que o Looker peça ao utilizador para ler novamente um código QR com a app Google Authenticator na próxima vez que tentar iniciar sessão na instância do Looker.
Considerações
Ao configurar a autenticação de dois fatores, tenha em atenção as seguintes considerações:
A autenticação de dois fatores não afeta a utilização da API Looker.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-20 UTC."],[],[],null,["# Admin settings - Two-factor authentication\n\nLooker provides two-factor authentication (2FA) as an additional layer of security to protect data that is accessible through Looker. With 2FA enabled, every user who logs in must authenticate with a one-time code generated by their mobile device. There is no option to enable 2FA for a subset of users.\n\nThe **Two-Factor Authentication** page in the **Authentication** section of the **Admin** menu lets you enable and configure 2FA.\n| **Note:** If you have a permission that provides access to only select pages in the Admin panel, such as [`manage_schedules`](/looker/docs/admin-panel-users-roles#manage_schedules), [`manage_themes`](/looker/docs/admin-panel-users-roles#manage_themes), or [`see_admin`](/looker/docs/admin-panel-users-roles#see_admin), but you don't have the [Admin role](/looker/docs/admin-panel-users-roles#default_roles), the page or pages that are described here may not be visible to you in the Admin panel.\n\nUsing two-factor authentication\n-------------------------------\n\nFollowing is the high-level workflow for setting up and using 2FA. Please note the [time synchronization requirements](#time_synchronization_requirements), which are required for correct operation of 2FA.\n\n1. Administrator enables 2FA in Looker's admin settings.\n\n \u003e When you enable 2FA, any users logged in to Looker will be logged out and will have to log back in using 2FA.\n2. Individual users install the Google Authenticator [iPhone app](https://itunes.apple.com/us/app/google-authenticator/id388497605) or [Android app](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) on their mobile devices.\n\n3. At first login, a user will be presented with a picture of a QR code on their computer screen, which they will need to scan with their phone using the Google Authenticator app.\n\n If the user can't scan a QR code with their phone, there is also an option to generate a text code that they can enter on their phone.\n\n After completing this step, the users will be able to generate authentication keys for Looker.\n\n4. On subsequent logins to Looker, the user will need to enter an authentication key after submitting their username and password.\n\n If a user enables the **This is a trusted computer** option, the key authenticates the login browser for a 30-day window. During this window the user can log in with username and password alone. Every 30 days Looker requires each user to re-authenticate the browser with Google Authenticator.\n\nTime synchronization requirements\n---------------------------------\n\nGoogle Authenticator produces time-based tokens, which require time synchronization between the Looker server and each mobile device in order for the tokens to work. If the Looker server and a mobile device are not synchronized, this can cause the mobile device user to be unable to authenticate with 2FA. To synchronize time sources:\n\n- Set mobile devices for automatic time synchronization with the network.\n- For customer-hosted Looker deployments, ensure that NTP is running and configured on the server. If the server is provisioned on AWS, you might need to explicitly allow NTP in the AWS Network ACL.\n- A Looker admin can set the maximum allowed time-drift in the Looker **Admin** panel, which defines how much of a difference is permitted between the server and mobile devices. If a mobile device's time setting is off by more than the allowed drift, authentication keys will not work. The default is 90 seconds.\n\nResetting two-factor authentication\n-----------------------------------\n\nIf a user needs to have their 2FA reset (for example, if they have a new mobile device):\n\n1. In the [**Users**](/looker/docs/admin-panel-users-users) page in the **Admin** section of Looker, click **Edit** on the right-hand side of the user's row to edit the user's account information.\n2. In the [**Two-Factor Secret**](/looker/docs/admin-panel-users-users#two-factor_secret) section, click **Reset**. This causes Looker to prompt the user to rescan a QR code with the Google Authenticator app the next time they attempt to log in to the Looker instance.\n\nConsiderations\n--------------\n\nWhile configuring two-factor authentication, keep the following considerations in mind:\n\n- Two-factor authentication does not affect [Looker API](/looker/docs/reference/looker-api/latest) use.\n- Two-factor authentication does not affect authentication through external systems such as [LDAP](/looker/docs/admin-panel-authentication-ldap), [SAML](/looker/docs/admin-panel-authentication-saml), [Google OAuth](/looker/docs/admin-panel-authentication-google), or [OpenID Connect](/looker/docs/admin-panel-authentication-openid-connect). 2FA does affect any [alternate login credentials](/looker/docs/best-practices/how-to-alternate-login-option) that are used with these systems."]]
