Alternative Anmeldeoption aktivieren

Looker kann Nutzer über einen von mehreren Authentifizierungsservertypen authentifizieren, z. B. LDAP, SAML oder Google OAuth. Durch das Aktivieren einer dieser Authentifizierungsmethoden werden andere Authentifizierungssysteme wie E-Mail-Adresse und Passwort deaktiviert.

Administratoren können Nutzern eine alternative Anmeldeoption mit ihrer E-Mail-Adresse gewähren, wenn sie entweder eine Administratorrolle oder login_special_email-Berechtigungen haben.

Schritt 1: Alternative Anmeldung für die Looker-Instanz aktivieren

Zuerst muss die Looker-Instanz so konfiguriert werden, dass sie E-Mail-Anmeldedaten akzeptiert. Führen Sie die folgenden Schritte aus, um Looker so zu konfigurieren, dass E-Mail-Anmeldedaten akzeptiert werden:

  1. Gehen Sie im Steuerfeld Admin zum Tab Authentication (Authentifizierung) und wählen Sie den derzeit aktivierten Authentifizierungstyp aus. Einige Beispiele sind LDAP, SAML und Google OAuth.
  2. Aktivieren Sie im Abschnitt Migrationsoptionen den Schalter Alternative Anmeldung für Administratoren und angegebene Nutzer.

Schritt 2: Nutzern die Berechtigung erteilen, alternative Anmeldedaten zu verwenden

Nur Nutzer mit der Administratorrolle oder der Berechtigung login_special_email können alternative Anmeldedaten verwenden. Eine Möglichkeit, einem Nutzer ohne Administratorberechtigungen die Berechtigung login_special_email zu gewähren, besteht darin, zuerst eine neue Rolle mit dieser Berechtigung zu erstellen und dem Nutzer dann diese Rolle zuzuweisen:

  1. Gehen Sie zur Seite Rollen, die Sie im Bereich Admin auf dem Tab Nutzer finden.
  2. Klicken Sie oben auf der Seite auf die Schaltfläche New Permission Set (Neuer Berechtigungssatz).
  3. Geben Sie einen Namen für den neuen Berechtigungssatz ein, z. B. "Alternative Anmeldung".
  4. Klicken Sie das Kästchen login_special_email an.
  5. Klicken Sie unten auf der Seite auf Speichern.
  6. Klicken Sie oben auf der Seite auf die Schaltfläche Neue Rolle.
  7. Geben Sie einen Namen für die neue Rolle ein, z. B. "Alternative Anmelderolle".
  8. Wählen Sie im Abschnitt Berechtigungssatz den neuen Berechtigungssatz aus der Liste der Berechtigungssätze aus.
  9. Wählen Sie im Bereich Modellsatz die Option Alle aus.
  10. Wählen Sie im Abschnitt Nutzer den Nutzer aus, dem die Berechtigung für die alternative Anmeldung gewährt werden soll.
  11. Klicke unten auf der Seite auf die Schaltfläche Neue Rolle, um die neue Rolle zu speichern.
  12. Klicken Sie im Pop-up-Dialogfeld auf die Schaltfläche Bestätigen.

Schritt 3: E-Mail-Anmeldedaten für den Nutzer erstellen

Nachdem der Nutzer für die Verwendung von E-Mail-Anmeldedaten aktiviert wurde, müssen diese E-Mail-Anmeldedaten erstellt werden. Um diese Anmeldedaten zu erstellen, kann ein Looker-Administrator entweder die Looker-API verwenden, um eine POST-Anfrage zu stellen, oder das Looker-API-SDK in der Programmiersprache seiner Wahl verwenden.

Option 1: POST-Anfrage an die Looker-API stellen

Da es sich um manuelles Verfahren handelt, ist diese Methode besser geeignet, wenn Sie eine begrenzte Anzahl von Nutzern haben, für die Sie die alternative Anmeldeoption einrichten möchten.

In diesem Beispiel wird ein curl-Befehl verwendet, um mit einem temporären Zugriffstoken eine POST-Anfrage an den API-Endpunkt create_user_credentials_email zu senden:

  1. Um das temporäre Token (ACCESS_TOKEN) zu generieren, folgen Sie der Anleitung auf der Dokumentationsseite zur API-Authentifizierung im Abschnitt Authentifizierung ohne SDK.
  2. Verwenden Sie dieses temporäre Token im Autorisierungsheader, um eine POST-Anfrage mithilfe der user_id des Nutzers an die Looker API zu senden und die E-Mail-Adresse in den Text der Anfrage aufzunehmen. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Suchen Sie im Bereich Verwaltung auf der Seite Nutzer nach dem Nutzerkonto und klicken Sie auf Bearbeiten.
  4. Klicken Sie auf die Schaltfläche Link zum Zurücksetzen senden. Dadurch wird eine E-Mail an die E-Mail-Adresse gesendet, die Sie in Ihrer POST-Anfrage angegeben haben.

Um die alternative Anmeldemethode zu verwenden, muss der Nutzer bei der Anmeldung in Looker auf den Link Alternative Anmeldung klicken und dann seinen Namen und seine E-Mail-Adresse eingeben. Sie können sich jedoch weiterhin mit ihren SAML-, LDAP- oder OAuth-Anmeldedaten über die Schaltfläche Authentifizieren authentifizieren.

Option 2: Looker API SDK verwenden

Anstatt manuell Anforderungen direkt an die Looker-API zu senden, können Sie ein von Looker bereitgestelltes SDK verwenden, um mit der API in einer Programmiersprache Ihrer Wahl zu interagieren. Nachdem Sie das Looker API SDK importiert und eine Clientverbindung hergestellt haben, gehen Sie so vor:

  1. Verwenden Sie die Funktion create_user_credentials_email(user_id, body) und fügen Sie user_id und body ein, wie in der Looker API-Dokumentation beschrieben. In diesem Looker-Communitybeitrag zur automatischen Nutzerverwaltung mit der Looker API können Sie ein ähnliches Beispiel verwenden.
  2. Nachdem die Nutzerkonten mit der SDK-Methode aktualisiert wurden, suchen Sie im Bereich Admin auf der Seite Nutzer das Nutzerkonto und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf die Schaltfläche Link zum Zurücksetzen senden. Dadurch wird eine E-Mail an die E-Mail-Adresse gesendet, die Sie in Ihrer POST-Anfrage angegeben haben.

Um die alternative Anmeldemethode zu verwenden, muss der Nutzer bei der Anmeldung in Looker auf den Link Alternative Anmeldung klicken und dann seinen Namen und seine E-Mail-Adresse eingeben. Sie können sich jedoch weiterhin mit ihren SAML-, LDAP- oder OAuth-Anmeldedaten über die Schaltfläche Authentifizieren authentifizieren.