Activation de l'option de connexion secondaire

Looker peut authentifier les utilisateurs à l'aide d'un des différents types de serveurs d'authentification, tels que LDAP, SAML ou Google OAuth. L'activation de l'une de ces méthodes d'authentification désactive d'autres systèmes d'authentification, tels que l'adresse e-mail/le mot de passe.

Les administrateurs peuvent accorder aux utilisateurs une autre option de connexion basée sur leur adresse e-mail s'ils disposent d'un rôle d'administrateur ou des autorisations login_special_email.

Étape 1: Activer une connexion secondaire sur l'instance Looker

Tout d'abord, l'instance Looker doit être configurée pour accepter les identifiants associés aux e-mails. Pour configurer Looker afin qu'il accepte les identifiants de messagerie:

  1. Accédez à l'onglet Authentification du panneau Administration, puis sélectionnez le type d'authentification actuellement activé. Exemples : LDAP, SAML et Google OAuth.
  2. Activez l'option Autre connexion pour les administrateurs et les utilisateurs spécifiés dans la section Options de migration.

Étape 2: Autoriser l'utilisateur à utiliser un autre identifiant de connexion

Seuls les utilisateurs disposant du rôle d'administrateur ou de l'autorisation login_special_email peuvent utiliser d'autres informations de connexion. Pour accorder l'autorisation login_special_email à un utilisateur non administrateur, vous pouvez d'abord créer un rôle contenant cette autorisation, puis attribuer ce rôle à l'utilisateur, comme suit:

  1. Accédez à la page Rôles, située sous l'onglet Utilisateurs du panneau Administration.
  2. Cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page.
  3. Saisissez un nom pour le nouvel ensemble d'autorisations, par exemple "Autre connexion".
  4. Cochez la case login_special_email.
  5. Cliquez sur le bouton Enregistrer en bas de la page.
  6. Cliquez sur le bouton Nouveau rôle en haut de la page.
  7. Saisissez un nom pour le nouveau rôle, par exemple "Autre rôle de connexion".
  8. Dans la section Ensemble d'autorisations, sélectionnez votre nouvel ensemble d'autorisations dans la liste.
  9. Dans la section Ensemble de modèles, sélectionnez Tous.
  10. Dans la section Utilisateurs, sélectionnez l'utilisateur qui doit bénéficier de ces autorisations de connexion secondaire.
  11. Cliquez sur le bouton Nouveau rôle en bas de la page pour enregistrer le nouveau rôle.
  12. Cliquez sur le bouton Confirmer dans la boîte de dialogue pop-up.

Étape 3: Créer des identifiants de messagerie pour l'utilisateur

Maintenant que l'utilisateur est autorisé à utiliser des identifiants de messagerie, ceux-ci doivent être créés. Pour créer ces identifiants, un administrateur Looker peut soit utiliser l'API Looker pour effectuer une requête POST, soit utiliser le SDK de l'API Looker dans le langage de programmation de son choix.

Option 1: Envoyer une requête POST à l'API Looker

En raison de sa nature manuelle, il s'agit d'une meilleure méthode à utiliser lorsque vous avez un nombre limité d'utilisateurs pour lesquels vous souhaitez configurer l'option de connexion secondaire.

Cet exemple utilise une commande curl pour envoyer une requête POST au point de terminaison de l'API create_user_credentials_email à l'aide d'un jeton d'accès temporaire:

  1. Pour générer le jeton temporaire (ACCESS_TOKEN), suivez les étapes décrites dans la section Authentification sans SDK de la page Authentification de l'API.
  2. En utilisant ce jeton temporaire dans l'en-tête d'autorisation, envoyez une requête POST à l'API Looker à l'aide du user_id de l'utilisateur et incluez son adresse e-mail dans le corps de la requête. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Sur la page Utilisateurs de la section Admin, recherchez le compte utilisateur et cliquez sur Modifier.
  4. Cliquez sur le bouton Envoyer le lien de réinitialisation. Un e-mail est alors envoyé à l'adresse que vous avez spécifiée dans votre demande POST.

Pour utiliser la méthode de connexion secondaire, lorsque l'utilisateur se connecte à Looker, il doit cliquer sur le lien Autre connexion sous le bouton Authentifier, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants SAML, LDAP ou OAuth via le bouton Authentifier.

Option 2: Utiliser le SDK de l'API Looker

Plutôt que de passer par les étapes manuelles pour envoyer directement des requêtes à l'API Looker, vous pouvez utiliser un SDK fourni par Looker pour interagir avec l'API dans le langage de programmation de votre choix. Après avoir importé le SDK de l'API Looker et établi une connexion client, procédez comme suit:

  1. Utilisez la fonction create_user_credentials_email(user_id, body) en insérant user_id et body comme indiqué dans la documentation de l'API Looker. Vous pouvez suivre un exemple similaire issu de cet article de la communauté Looker sur le provisionnement automatique des utilisateurs avec l'API Looker.
  2. Une fois les comptes utilisateur mis à jour à l'aide de la méthode SDK, recherchez le compte utilisateur souhaité sur la page Utilisateurs de la section Admin et cliquez sur Modifier.
  3. Cliquez sur le bouton Envoyer le lien de réinitialisation. Un e-mail est alors envoyé à l'adresse que vous avez spécifiée dans votre demande POST.

Pour utiliser la méthode de connexion secondaire, lorsque l'utilisateur se connecte à Looker, il doit cliquer sur le lien Autre connexion sous le bouton Authentifier, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants SAML, LDAP ou OAuth via le bouton Authentifier.