管理设置 - 双重身份验证

Looker 提供双重身份验证 (2FA) 作为额外的安全保障，以保护可通过 Looker 访问的数据。启用两步验证后，每位登录的用户都必须使用其移动设备生成的动态验证码进行身份验证。没有选项可用于为部分用户启用双重身份验证。

在管理菜单的身份验证部分中，点击双重身份验证页面即可启用和配置双重身份验证。

使用双重身份验证

以下是设置和使用双重验证的简要工作流程。请注意时间同步要求，这是确保双重验证功能正常运行所必需的。

1. 管理员在 Looker 的管理员设置中启用两步验证。

   启用双重身份验证后，所有已登录 Looker 的用户都会被退出，并且必须使用双重身份验证重新登录。

2. 个人用户在其移动设备上安装 Google 身份验证器 iPhone 版应用或 Android 版应用。

3. 首次登录时，用户的计算机屏幕上会显示一个二维码图片，用户需要使用手机上的 Google 身份验证器应用扫描该图片。

   

   如果用户无法使用手机扫描二维码，还可以选择生成文本验证码，以便他们在手机上输入。

   完成此步骤后，用户将能够为 Looker 生成身份验证密钥。

   

4. 在随后登录 Looker 时，用户需要在提交用户名和密码后输入身份验证密钥。

   

   如果用户启用此计算机是受信任的计算机选项，该密钥将在 30 天内对登录浏览器进行身份验证。在此期间，用户可以仅使用用户名和密码登录。Looker 要求每位用户每 30 天使用 Google 身份验证器重新对浏览器进行身份验证一次。

时间同步要求

Google 身份验证器会生成基于时间的令牌，而这些令牌需要 Looker 服务器与每部移动设备之间进行时间同步才能正常运行。如果 Looker 服务器和移动设备未同步，则可能会导致移动设备用户无法使用双重身份验证进行身份验证。如需同步时间源，请执行以下操作：

• 将移动设备设置为与网络自动同步时间。
• 对于客户托管的 Looker 部署，请确保 NTP 在服务器上运行且已配置。如果服务器是在 AWS 上预配的，您可能需要在 AWS 网络 ACL 中明确允许 NTP。
• Looker 管理员可以在 Looker 管理面板中设置允许的最长时间偏移，该设置用于定义服务器和移动设备之间允许的时间差。如果移动设备的时间设置与允许的偏差超出，身份验证密钥将无法使用。默认值为 90 秒。

重置双重身份验证

如果用户需要重置双重身份验证（例如，他们有新移动设备），请执行以下操作：

1. 在 Looker 的管理部分的用户页面中，点击用户所在行右侧的修改，以修改用户的账号信息。
2. 在双重验证密钥部分，点击重置。这会导致 Looker 在用户下次尝试登录 Looker 实例时提示他们使用 Google 身份验证器应用重新扫描二维码。

注意事项

配置双重验证时，请注意以下注意事项：

• 双重身份验证不会影响 Looker API 的使用。
• 双重身份验证不会影响通过外部系统（例如 LDAP、SAML、Google OAuth 或 OpenID Connect）进行的身份验证。不过，2FA 会影响与这些系统搭配使用的所有备用登录凭据。