从计划于 2024 年 8 月 7 日发布的 Looker 24.14 开始,出于安全考虑,我们将弃用实验性实验室功能 无 Cookie 身份验证功能,取而代之的是无 Cookie 嵌入功能。
如果您已启用嵌入无 Cookie 身份验证实验室功能,并且未实现以下任何解决方案来确保您的嵌入用例继续适用于所有嵌入用户,那么当您的实例升级到 Looker 24.14 后,所有嵌入式 iframe 都将自动默认使用 Cookie 进行身份验证。
这一点为什么非常重要?
Looker 使用 Cookie 进行用户身份验证。如果 Looker 实例与嵌入式 iframe 位于不同的网域,则这些 Cookie 会被视为第三方 Cookie。有些浏览器会默认采用 Cookie 政策来阻止第三方 Cookie。当第三方 Cookie 被屏蔽后,您将无法跨不同网域对嵌入的 iframe 进行身份验证。
将 Looker 实例的网域与嵌入式 iframe 进行匹配会导致 Cookie 成为未被屏蔽的第一方 Cookie。例如,如果您要在 https://mycompany.com 上嵌入信息,Looker 必须共享同一个域名,例如 https://analytics.mycompany.com。
我需要做什么?
请实施以下某种解决方案,以确保您的嵌入用例继续适用于所有嵌入用户:
为 Looker 实例设置自定义网域。
您可以为 Looker 实例设置自定义网域,使其与嵌入应用共用同一网域。配置自定义网域会导致 Looker 使用的 Cookie 成为第一方 Cookie,因为 Looker 网域与嵌入应用网域相匹配。例如,如果您要嵌入
analytics.mycompany.com,则可以设置自定义网域,将 Looker 网址从mycompany.cloud.looker.com更改为looker.mycompany.com。如需在 Looker 托管的 Looker(原始)实例上设置自定义网域,请与 Looker 支持团队联系。
如需在 Looker (Google Cloud Core) 实例上设置自定义网域,请按照为 Looker (Google Cloud Core) 实例设置自定义网域文档页面中的说明操作。
改用无 Cookie 嵌入。
无 Cookie 嵌入使用基于令牌的方法嵌入用户身份验证,绕过了 Looker 对浏览器 Cookie 的依赖。此功能已正式发布,但需要嵌入应用代码更改才能实现。如需了解详情,请参阅无 Cookie 嵌入文档页面。
如果您有任何疑问或需要帮助,请与 Looker 支持团队联系。
哪种解决方案更适合我?
对于大多数嵌入用例,设置自定义网域是处理第三方 Cookie 的一种更简单的方法。无 Cookie 嵌入需要更改嵌入应用代码才能实现。
无 Cookie 嵌入的一个用例是:为每位客户在不同网域上托管嵌入应用的客户。在这种情况下,实现无 Cookie 嵌入无需设置和维护数十个甚至数百个单独的自定义网域来允许使用第三方 Cookie。
如果您有任何疑问或需要帮助,请与 Looker 支持团队联系。