Alternative Anmeldeoption aktivieren

Looker kann Nutzer über verschiedene Authentifizierungsservertypen wie LDAP, SAML oder Google OAuth authentifizieren. Wenn Sie eine dieser Authentifizierungsmethoden aktivieren, werden andere Authentifizierungssysteme deaktiviert, z. B. E‑Mail-Adresse/Passwort.

Administratoren können Nutzern eine alternative Anmeldeoption mit ihrer E-Mail-Adresse zur Verfügung stellen, wenn der Nutzer oder die Nutzer entweder eine Administratorrolle oder login_special_email-Berechtigungen haben.

Schritt 1: Alternative Anmeldung in der Looker-Instanz aktivieren

Zuerst muss die Looker-Instanz so konfiguriert werden, dass E-Mail-Anmeldedaten akzeptiert werden. So konfigurieren Sie Looker für die Annahme von E-Mail-Anmeldedaten:

  1. Rufen Sie im Admin-Bereich den Tab Authentifizierung auf und wählen Sie den aktuell aktivierten Authentifizierungstyp aus. Beispiele hierfür sind LDAP, SAML und Google OAuth.
  2. Aktivieren Sie im Bereich Migrationsoptionen die Ein/Aus-Schaltfläche Alternative Anmeldung für Administratoren und bestimmte Nutzer.

Schritt 2: Dem Nutzer die Berechtigung zur Verwendung der alternativen Anmeldung gewähren

Nur Nutzer mit der Rolle „Administrator“ oder mit der Berechtigung login_special_email dürfen die alternative Anmeldung verwenden. Eine Möglichkeit, einem Nutzer ohne Administratorberechtigungen die Berechtigung login_special_email zu erteilen, besteht darin, zuerst eine neue Rolle mit dieser Berechtigung zu erstellen und sie dann dem Nutzer zuzuweisen. Gehen Sie dazu so vor:

  1. Rufen Sie im Bereich Verwaltung auf dem Tab Nutzer die Seite Rollen auf.
  2. Klicken Sie oben auf der Seite auf die Schaltfläche Neuer Berechtigungssatz.
  3. Geben Sie einen Namen für die neue Berechtigungsgruppe ein, z. B. „Alternative Anmeldung“.
  4. Klicken Sie das Kästchen mit dem Label login_special_email an.
  5. Klicken Sie unten auf der Seite auf die Schaltfläche Speichern.
  6. Klicken Sie oben auf der Seite auf die Schaltfläche Neue Rolle.
  7. Geben Sie einen Namen für die neue Rolle ein, z. B. „Rolle für alternative Anmeldung“.
  8. Wählen Sie im Bereich Berechtigungssatz den neuen Berechtigungssatz aus der Liste der Berechtigungssätze aus.
  9. Wählen Sie im Bereich Modellsatz die Option Alle aus.
  10. Wählen Sie im Bereich Nutzer den Nutzer aus, dem die Berechtigung für die alternative Anmeldung gewährt werden soll.
  11. Klicken Sie unten auf der Seite auf die Schaltfläche Neue Rolle, um die neue Rolle zu speichern.
  12. Klicken Sie im Pop-up-Dialogfeld auf die Schaltfläche Bestätigen.

Schritt 3: E-Mail-Anmeldedaten für den Nutzer erstellen

Nachdem der Nutzer für die Verwendung von E‑Mail-Anmeldedaten aktiviert wurde, müssen diese E‑Mail-Anmeldedaten erstellt werden. Zum Erstellen dieser Anmeldedaten kann ein Looker-Administrator entweder die Looker API verwenden, um eine POST-Anfrage zu senden, oder das Looker API SDK in der Programmiersprache seiner Wahl.

Option 1: POST-Anfrage an die Looker API senden

Da diese Methode manuell erfolgt, eignet sie sich besser, wenn Sie die alternative Anmeldeoption für eine begrenzte Anzahl von Nutzern einrichten möchten.

In diesem Beispiel wird mit einem curl-Befehl eine POST-Anfrage an den API-Endpunkt create_user_credentials_email mit einem temporären Zugriffstoken gesendet:

  1. Folgen Sie zum Generieren des temporären Tokens (ACCESS_TOKEN) der Anleitung auf der Dokumentationsseite API-Authentifizierung im Abschnitt Authentifizierung ohne SDK.
  2. Senden Sie mit diesem temporären Token im Autorisierungsheader eine POST-Anfrage an die Looker API mit der user_id des Nutzers und fügen Sie die E-Mail-Adresse des Nutzers in den Text der Anfrage ein. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Suchen Sie auf der Seite Nutzer im Bereich Verwaltung nach dem Nutzerkonto und klicken Sie auf Bearbeiten.
  4. Klicken Sie auf die Schaltfläche Link zum Zurücksetzen senden. Dadurch wird eine E‑Mail an die E‑Mail-Adresse gesendet, die Sie in Ihrer POST-Anfrage angegeben haben.

Wenn der Nutzer sich bei Looker anmeldet, muss er auf den Link Alternative Anmeldung klicken und dann seinen Namen und seine E-Mail-Adresse eingeben. Sie können sich weiterhin mit ihren SAML-, LDAP- oder OAuth-Anmeldedaten über die Schaltfläche Authentifizieren authentifizieren.

Option 2: Looker API SDK verwenden

Anstatt Anfragen direkt an die Looker API zu senden, können Sie ein von Looker bereitgestelltes SDK verwenden, um in einer Programmiersprache Ihrer Wahl mit der API zu interagieren. Nachdem Sie das Looker API SDK importiert und eine Clientverbindung hergestellt haben, gehen Sie so vor:

  1. Verwenden Sie die Funktion create_user_credentials_email(user_id, body) und fügen Sie user_id und body wie in der Looker API-Dokumentation angegeben ein. Ein ähnliches Beispiel finden Sie in diesem Looker-Communitybeitrag zur automatischen Bereitstellung von Nutzern mit der Looker API.
  2. Nachdem die Nutzerkonten mit der SDK-Methode aktualisiert wurden, suchen Sie auf der Seite Nutzer im Bereich Verwaltung nach dem Nutzerkonto und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf die Schaltfläche Link zum Zurücksetzen senden. Dadurch wird eine E‑Mail an die E‑Mail-Adresse gesendet, die Sie in Ihrer POST-Anfrage angegeben haben.

Wenn der Nutzer sich mit der alternativen Anmeldemethode anmelden möchte, muss er bei der Anmeldung bei Looker auf den Link Alternative Anmeldung klicken und dann seinen Namen und seine E-Mail-Adresse eingeben. Sie können sich weiterhin mit ihren SAML-, LDAP- oder OAuth-Anmeldedaten über die Schaltfläche Authentifizieren authentifizieren.