Activation de l'option de connexion secondaire

Looker peut authentifier les utilisateurs à l'aide de l'un des différents types de serveurs d'authentification, tels que LDAP, SAML ou Google OAuth. L'activation de l'une de ces méthodes d'authentification entraîne la désactivation des autres systèmes d'authentification, tels que l'adresse e-mail et le mot de passe.

Les administrateurs peuvent proposer aux utilisateurs une option de connexion alternative qui utilise leur adresse e-mail s'ils disposent d'un rôle Administrateur ou d'autorisations login_special_email.

Étape 1: Activez une connexion alternative sur l'instance Looker

Tout d'abord, l'instance Looker doit être configurée pour accepter les identifiants de messagerie. Pour configurer Looker de sorte qu'il accepte les identifiants de messagerie:

  1. Accédez à l'onglet Authentication (Authentification) du panneau Admin, puis sélectionnez le type d'authentification actuellement activé. LDAP, SAML et Google OAuth, par exemple.
  2. Activez l'option Connexion alternative pour les administrateurs et les utilisateurs spécifiés dans la section Options de migration.

Étape 2: Autorisez l'utilisateur à utiliser un autre identifiant

Seuls les utilisateurs disposant du rôle Administrateur ou disposant de l'autorisation login_special_email peuvent utiliser une connexion alternative. Pour accorder l'autorisation login_special_email à un utilisateur non administrateur, vous pouvez d'abord créer un rôle contenant cette autorisation, puis attribuer ce rôle à l'utilisateur, comme suit:

  1. Accédez à la page Rôles sous l'onglet Utilisateurs du panneau Admin.
  2. Cliquez sur le bouton Nouvel ensemble d'autorisations en haut de la page.
  3. Saisissez un nom pour le nouvel ensemble d'autorisations, par exemple "Autre connexion".
  4. Cochez la case login_special_email.
  5. Cliquez sur le bouton Enregistrer en bas de la page.
  6. Cliquez sur le bouton Nouveau rôle en haut de la page.
  7. Saisissez un nom pour le nouveau rôle (par exemple, "Autre rôle de connexion").
  8. Dans la section Ensemble d'autorisations, sélectionnez votre nouvel ensemble d'autorisations dans la liste.
  9. Dans la section Ensemble de modèles, sélectionnez Tous.
  10. Dans la section Utilisateurs, sélectionnez l'utilisateur qui doit bénéficier de l'autorisation de connexion secondaire.
  11. Cliquez sur le bouton Nouveau rôle en bas de la page pour enregistrer le nouveau rôle.
  12. Cliquez sur le bouton Confirmer dans la boîte de dialogue pop-up.

Étape 3: Créer des identifiants de messagerie pour l'utilisateur

Maintenant que l'utilisateur a été autorisé à se servir de ses identifiants, il doit les créer. Pour créer ces identifiants, un administrateur Looker peut utiliser l'API Looker pour effectuer une requête POST ou utiliser le SDK API Looker dans le langage de programmation de son choix.

Option 1: Envoyer une requête POST à l'API Looker

En raison de sa nature manuelle, cette méthode est préférable lorsque vous avez un nombre limité d'utilisateurs pour lesquels vous souhaitez configurer l'option de connexion alternative.

Cet exemple utilise une commande curl pour envoyer une requête POST au point de terminaison de l'API create_user_credentials_email à l'aide d'un jeton d'accès temporaire:

  1. Pour générer le jeton temporaire (ACCESS_TOKEN), suivez la procédure indiquée sur la page de l'authentification par API de la section Authentification sans SDK.
  2. En utilisant ce jeton temporaire dans l'en-tête d'autorisation, envoyez une requête POST à l'API Looker par le biais de user_id de l'utilisateur et incluez son adresse e-mail dans le corps de la requête. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Sur la page Utilisateurs de la section Administration, recherchez le compte utilisateur et cliquez sur Modifier.
  4. Cliquez sur le bouton Envoyer le lien de réinitialisation. Un e-mail sera envoyé à l'adresse e-mail que vous avez spécifiée dans votre demande POST.

Pour utiliser l'autre méthode de connexion, lorsque l'utilisateur se connecte à Looker, il doit cliquer sur le lien Autre connexion sous le bouton Authentifier, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants SAML, LDAP ou OAuth via le bouton Authentifier.

Option 2: Utiliser le SDK de l'API Looker

Plutôt que de suivre les étapes manuelles pour envoyer des requêtes directement à l'API Looker, vous pouvez utiliser un SDK fourni par Looker pour interagir avec l'API dans le langage de programmation de votre choix. Après avoir importé le SDK de l'API Looker et établi une connexion client, procédez comme suit:

  1. Utilisez la fonction create_user_credentials_email(user_id, body), en insérant les valeurs user_id et body comme spécifié dans la documentation de l'API Looker. Vous pouvez suivre un exemple similaire issu de ce post de la communauté Looker sur le provisionnement automatique des utilisateurs avec l'API Looker.
  2. Une fois les comptes utilisateur mis à jour à l'aide de la méthode SDK, sur la page Utilisateurs de la section Administration, recherchez le compte utilisateur et cliquez sur Modifier.
  3. Cliquez sur le bouton Envoyer le lien de réinitialisation. Un e-mail sera envoyé à l'adresse e-mail que vous avez spécifiée dans votre demande POST.

Pour utiliser l'autre méthode de connexion, lorsque l'utilisateur se connecte à Looker, il doit cliquer sur le lien Autre connexion sous le bouton Authentifier, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants SAML, LDAP ou OAuth via le bouton Authentifier.