Activation de l'option de connexion alternative

Looker peut authentifier les utilisateurs via plusieurs types de serveurs d'authentification, tels que LDAP, SAML ou Google OAuth. Si vous activez l'une de ces méthodes d'authentification, les autres systèmes d'authentification, tels que l'adresse e-mail et le mot de passe, seront désactivés.

Les administrateurs peuvent proposer aux utilisateurs une autre option de connexion utilisant leur adresse e-mail s'ils disposent d'un rôle d'administrateur ou d'autorisations login_special_email.

Étape 1: Activer un identifiant de connexion alternatif sur l'instance Looker

Tout d'abord, l'instance Looker doit être configurée pour accepter les identifiants par e-mail. Pour configurer Looker afin qu'il accepte les identifiants de messagerie, procédez comme suit:

  1. Accédez à l'onglet Authentification du panneau Administration, puis sélectionnez le type d'authentification actuellement activé. Voici quelques exemples : LDAP, SAML et Google OAuth.
  2. Activez l'option Autre identifiant de connexion pour les administrateurs et les utilisateurs spécifiés dans la section Options de migration.

Étape 2: Autoriser l'utilisateur à utiliser un identifiant de connexion secondaire

Seuls les utilisateurs disposant du rôle d'administrateur ou de l'autorisation login_special_email peuvent utiliser un identifiant de connexion secondaire. Pour accorder l'autorisation login_special_email à un utilisateur non administrateur, vous pouvez d'abord créer un rôle contenant cette autorisation, puis attribuer ce rôle à l'utilisateur, comme suit:

  1. Accédez à la page Rôles, située dans l'onglet Utilisateurs du panneau Administration.
  2. Cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page.
  3. Saisissez un nom pour le nouvel ensemble d'autorisations, par exemple "Autre connexion".
  4. Cochez la case "login_special_email".
  5. Cliquez sur le bouton Enregistrer en bas de la page.
  6. Cliquez sur le bouton Nouveau rôle en haut de la page.
  7. Saisissez un nom pour le nouveau rôle, par exemple "Autre rôle de connexion".
  8. Dans la section Ensemble d'autorisations, sélectionnez votre nouvel ensemble d'autorisations dans la liste.
  9. Dans la section Ensemble de modèles, sélectionnez Tous.
  10. Dans la section Utilisateurs, sélectionnez l'utilisateur auquel accorder l'autorisation de connexion secondaire.
  11. Cliquez sur le bouton Nouveau rôle en bas de la page pour enregistrer le nouveau rôle.
  12. Cliquez sur le bouton Confirmer dans la boîte de dialogue qui s'affiche.

Étape 3: Créer des identifiants de messagerie pour l'utilisateur

Maintenant que l'utilisateur a été autorisé à utiliser des identifiants de messagerie, ces identifiants doivent être créés. Pour créer ces identifiants, un administrateur Looker peut soit utiliser l'API Looker pour effectuer une requête POST, soit utiliser le SDK de l'API Looker dans le langage de programmation de son choix.

Option 1: envoyer une requête POST à l'API Looker

Cette méthode étant manuelle, il est préférable d'utiliser cette méthode lorsque vous disposez d'un nombre limité d'utilisateurs pour lesquels vous souhaitez configurer l'option de connexion alternative.

Cet exemple utilise une commande curl pour envoyer une requête POST au point de terminaison de l'API create_user_credentials_email à l'aide d'un jeton d'accès temporaire:

  1. Pour générer le jeton temporaire (ACCESS_TOKEN), suivez la procédure décrite sur la page de documentation Authentification de l'API, dans la section Authentification sans SDK.
  2. En utilisant ce jeton temporaire dans l'en-tête d'autorisation, envoyez une requête POST à l'API Looker à l'aide du user_id de l'utilisateur et incluez son adresse e-mail dans le corps de la requête. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Sur la page Utilisateurs de la section Admin, recherchez le compte utilisateur souhaité et cliquez sur Modifier.
  4. Cliquez sur le bouton Envoyer un lien de réinitialisation. Cela enverra un e-mail à l'adresse e-mail que vous avez spécifiée dans votre requête POST.

Pour utiliser la méthode de connexion alternative, lorsque l'utilisateur se connecte à Looker, il doit cliquer sur le lien Autre connexion, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants SAML, LDAP ou OAuth via le bouton Authentifier.

Option 2: Utiliser le SDK de l'API Looker

Plutôt que de suivre les étapes manuelles consistant à envoyer des requêtes directement à l'API Looker, vous pouvez utiliser un SDK fourni par Looker pour interagir avec l'API dans le langage de programmation de votre choix. Après avoir importé le SDK de l'API Looker et établi une connexion client, procédez comme suit:

  1. Utilisez la fonction create_user_credentials_email(user_id, body) en insérant les éléments user_id et body comme indiqué dans la documentation de l'API Looker. Vous pouvez suivre un exemple similaire tiré de cet article de la communauté Looker concernant le provisionnement automatique des utilisateurs avec l'API Looker.
  2. Une fois les comptes utilisateur mis à jour à l'aide de la méthode SDK, sur la page Utilisateurs de la section Admin, recherchez le compte utilisateur souhaité, puis cliquez sur Modifier.
  3. Cliquez sur le bouton Envoyer un lien de réinitialisation. Cela enverra un e-mail à l'adresse e-mail que vous avez spécifiée dans votre requête POST.

Pour utiliser la méthode de connexion alternative, lorsque l'utilisateur se connecte à Looker, il doit cliquer sur le lien Autre connexion, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants SAML, LDAP ou OAuth via le bouton Authentifier.