Looker 提供雙重驗證 (2FA) 功能,為透過 Looker 存取的資料多添一層保護。啟用雙重驗證後,每位登入的使用者都必須透過行動裝置產生的一次性驗證碼進行驗證。無法為部分使用者啟用兩步驟驗證。
在「管理」選單的「驗證」部分中,您可以在「雙重驗證」頁面啟用及設定雙重驗證。
使用雙重驗證
以下是設定及使用兩步驟驗證的整體工作流程。請注意時間同步處理規定,這是雙重驗證功能正常運作的必要條件。
管理員在 Looker 的管理設定中啟用兩步驟驗證。
啟用兩步驟驗證後,所有已登入 Looker 的使用者都會登出,且必須使用兩步驟驗證重新登入。
使用者在行動裝置上安裝 Google Authenticator iPhone 應用程式或 Android 應用程式。
首次登入時,電腦螢幕上會顯示 QR code 圖片,使用者必須使用手機上的 Google Authenticator 應用程式掃描該圖片。
如果使用者無法使用手機掃描 QR code,也可以產生文字驗證碼,並在手機上輸入。
完成這個步驟後,使用者就能為 Looker 產生驗證金鑰。
之後登入 Looker 時,使用者提交使用者名稱和密碼後,必須輸入驗證金鑰。
如果使用者啟用「這是信任的電腦」選項,金鑰會在 30 天內驗證登入瀏覽器。在這段期間,使用者只要輸入使用者名稱和密碼即可登入。每隔 30 天,Looker 就會要求每位使用者透過 Google Authenticator 重新驗證瀏覽器。
時間同步處理規定
Google Authenticator 會產生以時間為準的權杖,因此 Looker 伺服器和每部行動裝置必須同步時間,權杖才能正常運作。如果 Looker 伺服器和行動裝置未同步處理,行動裝置使用者可能無法透過雙重驗證進行驗證。如要同步處理時間來源,請按照下列步驟操作:
- 將行動裝置設為自動與網路同步時間。
- 如果是客戶代管的 Looker 部署作業,請確認 NTP 在伺服器上執行並已設定。如果伺服器是在 AWS 上佈建,您可能需要在 AWS 網路 ACL 中明確允許 NTP。
- Looker 管理員可以在 Looker 管理面板中設定允許的最大時間偏移量,定義伺服器與行動裝置之間允許的差異量。如果行動裝置的時間設定與允許的誤差範圍相差過大,驗證金鑰將無法運作。預設值為 90 秒。
重設雙重驗證
如果使用者需要重設兩步驟驗證 (例如換了新行動裝置):
- 在 Looker「管理」部分的「使用者」頁面中,按一下使用者資料列右側的「編輯」,即可編輯使用者帳戶資訊。
- 在「雙重驗證密鑰」部分,按一下「重設」。這樣一來,使用者下次嘗試登入 Looker 執行個體時,系統就會提示他們使用 Google Authenticator 應用程式重新掃描 QR code。
注意事項
設定雙重驗證時,請注意下列事項:
- 雙重驗證不會影響 Looker API 的使用。
- 雙重驗證不會影響透過外部系統 (例如 LDAP、SAML、Google OAuth 或 OpenID Connect) 進行的驗證。雙重驗證會影響與這些系統搭配使用的替代登入憑證。