Attivazione dell'opzione di accesso alternativo

Looker è in grado di autenticare gli utenti attraverso uno dei vari tipi di server di autenticazione, come LDAP, SAML o Google OAuth. L'attivazione di uno di questi metodi di autenticazione disattiva altri sistemi di autenticazione, come email/password.

Gli amministratori possono fornire agli utenti un'opzione di accesso alternativa che utilizza il loro indirizzo email se l'utente o gli utenti hanno un ruolo Amministratore o l'autorizzazione login_special_email.

Passaggio 1: attiva l'accesso alternativo per l'istanza di Looker

Innanzitutto, l'istanza di Looker deve essere configurata in modo da accettare le credenziali email. Per configurare Looker in modo che accetti le credenziali email, segui questi passaggi:

  1. Vai alla scheda Autenticazione del riquadro Amministrazione e seleziona il tipo di autenticazione attualmente attivato. Alcuni esempi sono LDAP, SAML e Google OAuth.
  2. Attiva l'opzione Accesso alternativo per gli amministratori e gli utenti specificati nella sezione Opzioni di migrazione.

Passaggio 2: autorizza l'utente a utilizzare un accesso alternativo

Solo gli utenti con il ruolo Amministratore o con l'autorizzazione login_special_email possono utilizzare l'accesso alternativo. Un modo per concedere l'autorizzazione login_special_email a un utente non amministratore è innanzitutto creare un nuovo ruolo contenente l'autorizzazione e assegnarlo all'utente, come descritto di seguito:

  1. Vai alla pagina Ruoli, che si trova nella scheda Utenti del riquadro Amministrazione.
  2. Fai clic sul pulsante Nuovo set di autorizzazioni nella parte superiore della pagina.
  3. Inserisci un nome per il nuovo insieme di autorizzazioni, ad esempio "Accesso alternativo".
  4. Seleziona la casella login_special_email.
  5. Fai clic sul pulsante Salva nella parte inferiore della pagina.
  6. Fai clic sul pulsante Nuovo ruolo nella parte superiore della pagina.
  7. Inserisci un nome per il nuovo ruolo, ad esempio "Ruolo di accesso alternativo".
  8. Nella sezione Set di autorizzazioni, seleziona il nuovo set di autorizzazioni dall'elenco dei set di autorizzazioni.
  9. Nella sezione Model Set (Set di modelli), seleziona All (Tutti).
  10. Nella sezione Utenti, seleziona l'utente a cui vuoi concedere l'autorizzazione di accesso alternativa.
  11. Fai clic sul pulsante Nuovo ruolo nella parte inferiore della pagina per salvare il nuovo ruolo.
  12. Fai clic sul pulsante Conferma nella finestra di dialogo popup.

Passaggio 3: creazione delle credenziali email per l'utente

Ora che l'utente è stato abilitato per l'utilizzo delle credenziali email, è necessario creare queste credenziali. Per creare queste credenziali, un amministratore di Looker può utilizzare l'API Looker per effettuare una richiesta POST o utilizzare l'SDK dell'API Looker nel linguaggio di programmazione scelto dall'amministratore.

Opzione 1: invio di una richiesta POST all'API Looker

A causa della sua natura manuale, si tratta di un metodo migliore da utilizzare quando hai un numero limitato di utenti per i quali vuoi configurare un'opzione di accesso alternativo.

Questo esempio utilizza un comando curl per inviare una richiesta POST all'endpoint dell'API create_user_credentials_email utilizzando un token di accesso temporaneo:

  1. Per generare il token temporaneo (ACCESS_TOKEN), segui i passaggi descritti nella pagina della documentazione Autenticazione API nella sezione Autenticazione senza un SDK.
  2. Utilizzando questo token temporaneo nell'intestazione dell'autorizzazione, invia una richiesta POST all'API Looker utilizzando il campo user_id dell'utente e includi la sua email nel corpo della richiesta. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Nella pagina Utenti della sezione Amministrazione, individua l'account utente e fai clic su Modifica.
  4. Fai clic sul pulsante Invia link di reimpostazione. Verrà inviata un'email all'indirizzo email specificato nella richiesta POST.

Per utilizzare il metodo di accesso alternativo, quando l'utente accede a Looker deve fare clic sul link Accesso alternativo e inserire il proprio nome e indirizzo email. Possono comunque eseguire l'autenticazione utilizzando le proprie credenziali SAML, LDAP o OAuth tramite il pulsante Autentica.

Opzione 2: utilizzo dell'SDK dell'API Looker

Anziché seguire i passaggi manuali per inviare richieste direttamente all'API Looker, puoi utilizzare un SDK fornito da Looker per interagire con l'API in un linguaggio di programmazione a tua scelta. Dopo aver importato l'SDK dell'API Looker e stabilito una connessione client, segui questi passaggi:

  1. Utilizza la funzione create_user_credentials_email(user_id, body), inserendo i valori user_id e body come specificato nella documentazione dell'API Looker. Puoi seguire un esempio simile in questo post della community di Looker sul provisioning automatico degli utenti con l'API Looker.
  2. Una volta aggiornati gli account utente con il metodo SDK, individua l'account utente nella pagina Utenti della sezione Amministratore e fai clic su Modifica.
  3. Fai clic sul pulsante Invia link di reimpostazione. Verrà inviata un'email all'indirizzo email specificato nella richiesta POST.

Per utilizzare il metodo di accesso alternativo, quando l'utente accede a Looker, deve fare clic sul link Accesso alternativo e inserire il proprio nome e indirizzo email. Possono comunque autenticarsi utilizzando le credenziali SAML, LDAP o OAuth tramite il pulsante Autentica.