从计划于 2024 年 8 月 7 日发布的 Looker 24.14 开始,出于安全考虑,我们将弃用实验性实验室功能 无 Cookie 身份验证功能,取而代之的是无 Cookie 嵌入功能。
如果您已启用嵌入式无 Cookie 身份验证实验室功能,但未实现以下某种解决方案来确保您的嵌入式用例可继续为所有嵌入式用户正常运行,那么当您的实例升级到 Looker 24.14 时,所有嵌入式 iframe 将自动默认使用 Cookie 进行身份验证。
这一点为什么非常重要?
Looker 使用 Cookie 进行用户身份验证。如果 Looker 实例位于与嵌入的 iframe 不同的网域,则这些 Cookie 会被视为第三方 Cookie。有些浏览器会默认采用 Cookie 政策来阻止第三方 Cookie。屏蔽第三方 Cookie 后,无法跨不同网域对嵌入的 iframe 进行身份验证。
使 Looker 实例和嵌入的 iframe 的网域保持一致会导致 Cookie 成为不会被屏蔽的第一方 Cookie。例如,如果您要在 https://mycompany.com
上嵌入信息,Looker 必须共享同一个域名,例如 https://analytics.mycompany.com
。
我需要做什么?
请实施以下某种解决方案,以确保您的嵌入用例继续适用于所有嵌入用户:
为 Looker 实例设置自定义网域。
您可以为 Looker 实例设置自定义网域,使其与嵌入应用共用同一网域。配置自定义网域会导致 Looker 使用的 Cookie 变为第一方 Cookie,因为 Looker 网域与嵌入应用网域匹配。例如,如果您要在
analytics.mycompany.com
上嵌入,则可以设置一个自定义网域,将 Looker 网址从mycompany.cloud.looker.com
更改为looker.mycompany.com
。如需在由 Looker 托管的 Looker(原始)实例上设置自定义网域,请与 Looker 支持团队联系。
如需在 Looker (Google Cloud Core) 实例上设置自定义网域,请按照为 Looker (Google Cloud Core) 实例设置自定义网域文档页面中的说明操作。
改用无 Cookie 嵌入。
不使用 Cookie 的嵌入式功能使用基于令牌的方法进行嵌入用户身份验证,从而绕过 Looker 对浏览器 Cookie 的依赖。此功能已正式发布,但需要嵌入应用代码更改才能实现。如需了解详情,请参阅无 Cookie 嵌入文档页面。
如果您有任何疑问或需要帮助,请与 Looker 支持团队联系。
哪种解决方案更适合我?
对于大多数嵌入用例,设置自定义网域是处理第三方 Cookie 的一种更简单的方法。无 Cookie 嵌入需要更改嵌入应用代码才能实现。
无 Cookie 嵌入的一个用例是:为每位客户在不同网域上托管嵌入应用的客户。在这种情况下,实现无 Cookie 嵌入无需设置和维护数十个甚至数百个单独的自定义网域来允许使用第三方 Cookie。
如果您有任何疑问或需要帮助,请与 Looker 支持团队联系。