Configuración del administrador: Autenticación de Google

La página Autenticación de Google de la sección Autenticación del menú Administrador te permite configurar Google OAuth en el lado de Looker.

Descripción general de las funciones

Si lo deseas, Looker puede realizar la autenticación a través de Google OAuth para los usuarios que tienen cuentas registradas en Google Workspace.

• Las organizaciones que usan Google Workspace pueden autenticar a los usuarios de Looker a través de Cuentas de Google.
• Los usuarios acceden a Looker mediante la autenticación con su Cuenta de Google.
• Las Cuentas de Google nuevas obtienen acceso a Looker automáticamente. No es necesario invitar a los usuarios a Looker por separado. Debe establecer la función predeterminada para los usuarios nuevos, lo que puede limitar su acceso a la funcionalidad y los datos.
• Cuando se habilita, Looker autentica a los usuarios solo con OAuth de Google, a menos que esté seleccionada la opción de "acceso alternativo" (consulta las instrucciones adicionales a continuación).
• El avatar de un usuario de Google aparece en la barra de navegación en lugar del símbolo estándar del usuario.

Los siguientes comportamientos podrían afectar tu decisión de usar OAuth de Google:

• Cuando se habilita Google OAuth, la instancia de Looker puede combinar cuentas de usuario existentes con el dominio registrado por Google, pero solo para las cuentas cuya dirección de correo electrónico coincida con el dominio. Las demás cuentas que no sean de administrador perderán la capacidad de acceder.
• Todos los usuarios del dominio especificado obtienen acceso a la instancia de Looker.
• De forma predeterminada, los permisos para los usuarios nuevos de Google tienen acceso básico a una lista específica de modelos (que, opcionalmente, puede ser acceso a cero modelos). Un administrador puede actualizar los permisos después de que se crea la cuenta.
• Las cuentas nuevas de Looker que se autentican a través de Google OAuth no pueden cambiar a la autenticación con contraseña, incluso si OAuth está inhabilitado para la instancia de Looker.

Requisitos preliminares

Para usar OAuth de Google, se requiere lo siguiente:

• Una cuenta de Google Workspace para la organización
• Un dominio controlado por la organización y registrado en la cuenta de Google Workspace.
• Usuarios con direcciones de correo electrónico en el dominio asociado a la Cuenta de Google.
• Cada usuario debe tener una cuenta de usuario administrada en Google Workspace. Para encontrar y migrar a cualquier usuario con cuentas de usuario no administradas, usa la Herramienta para transferir usuarios no administrados.

Cómo habilitar la autenticación con Google OAuth

La habilitación de la autenticación con Google OAuth requiere que un administrador realice pasos tanto en Google como en Looker, como se describe en las siguientes secciones.

Configuración del lado de Google

A continuación, se describen los pasos para habilitar OAuth de Google. La descripción genérica de estos pasos se encuentra en la página de Atención al cliente de Google sobre cómo configurar OAuth 2.0. Puede encontrar documentación en Google Dev Console en la página de ayuda de la consola de Google Cloud.

1. Ve a la consola de Google Cloud.

2. Haz clic en la flecha hacia abajo en el menú desplegable Seleccionar un proyecto. Es posible que vea el nombre de un proyecto existente en el menú desplegable. Haga clic en la flecha hacia abajo de todos modos y se abrirá la opción para crear un proyecto nuevo.

3. En la página Selecciona un proyecto, haz clic en Proyecto nuevo.

   Google muestra la página Proyecto nuevo.

4. Completa la información en la página New Project y haz clic en Create.

   Cuando Google termine de crear el proyecto nuevo, te lo mostrará en Google Cloud Console y te mostrará el proyecto nuevo.

5. En el menú de la izquierda, selecciona API y servicios > Credenciales.

6. En la página Credenciales, haz clic en el botón Crear credenciales y selecciona ID de cliente de OAuth en el menú desplegable.

   Google muestra la página Crea un ID de cliente de OAuth.

7. Google requiere que configures una pantalla de consentimiento de OAuth, que permite a tus usuarios elegir cómo otorgar acceso a sus datos privados y proporciona un vínculo a las Condiciones del Servicio y la Política de Privacidad de tu organización. Haz clic en Configurar pantalla de consentimiento. (Si configuraste el consentimiento de OAuth para un proyecto anterior, no verás esta opción y puedes ir al paso 13).

   Google muestra la página de la pantalla de consentimiento de OAuth.

8. Ingresa el dominio de tu instancia de Looker en el campo Dominios autorizados. Por ejemplo, si Looker aloja tu instancia en https://mycompany.looker.com, el dominio es looker.com. Para implementaciones de Looker alojadas por el cliente, ingresa el dominio en el que alojas Looker.

   

9. Configura tu pantalla de consentimiento de OAuth y haz clic en Guardar y continuar.

   Para obtener información sobre la configuración de la pantalla de consentimiento de OAuth de Google, consulta la página sobre cómo configurar OAuth 2.0.

10. En la página Permisos, haz clic en Guardar y continuar. No se requiere una configuración de alcance adicional.

11. En la página Resumen, haz clic en Volver al panel.

    Google vuelve a la página Crear ID de cliente de OAuth.

12. En Tipo de aplicación, selecciona Aplicación web.

13. En el campo Nombre, ingresa un nombre para tu ID de cliente de OAuth.

14. En el campo Orígenes autorizados de JavaScript, ingresa la URL de tu instancia de Looker, incluido el https://. Por ejemplo:

    • Si Looker aloja tu instancia: https://mycompany.looker.com
    • Si tienes una instancia de Looker alojada por el cliente: https://looker.mycompany.com
    • Si tu instancia de Looker requiere un número de puerto: https://looker.mycompany.com:9999

15. En el campo URI de redireccionamiento autorizados, ingresa la URL de tu instancia de Looker, seguida de /oauth2callback. Por ejemplo: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Haz clic en Crear.

17. Copia tus valores de ID de cliente y secreto de cliente, ya que los necesitarás para configurar Looker.

Configuración de Looker

A continuación, se indican los pasos para habilitar OAuth de Google.

1. Desde la aplicación de Looker, cuando acceda como administrador, haga clic en el menú desplegable Admin para abrir el menú Admin.

2. En el grupo Autenticación, haz clic en Google. Looker muestra la página Autenticación de Google.

   

3. Haz clic en Enabled para mostrar y editar la configuración de Google OAuth. (Esto no habilita la autenticación de Google de inmediato; deberás confirmar tu elección más adelante).

4. Ingresa tu Configuración de autenticación de Google.

   

   • ID de cliente y secreto del cliente: Copia y pega estos valores de la página del cliente de OAuth de Google, como se explicó anteriormente en las instrucciones de configuración de Google.
   • Dominios: Los nombres de dominio administrados por Google de su organización. Cualquier usuario de Google del dominio determinado puede acceder a tu instancia de Looker. Si controlas varios dominios de Google, puedes ingresarlos separados por comas.

   ADVERTENCIA: Solo ingrese dominios de Google que estén controlados por su organización. Si ingresas cualquier otro dominio, es posible que se abra el acceso a los usuarios de un dominio que no controlas.

5. Ingresa Migration Options, que controla el comportamiento de la instancia de Looker durante la transición a Google OAuth.

   

   • Acceso alternativo para administradores: Permite que los administradores sigan accediendo con un correo electrónico y una contraseña. Esta opción es útil si se tienen problemas para configurar Google OAuth. Esta configuración se recomienda y se describe más a continuación.
   • Combinar por correo electrónico: Convierte los usuarios existentes con direcciones de correo electrónico en los dominios determinados para que usen Google OAuth en su próximo acceso. Se recomienda este parámetro de configuración.
   • Roles para usuarios nuevos: Especifica la funcionalidad y el acceso al modelo que tienen los usuarios nuevos que no son administradores. Esta lista se puede actualizar más adelante. Si se deja en blanco, los usuarios nuevos autenticados por Google tendrán funcionalidades limitadas dentro de la plataforma de Looker hasta que un administrador agregue un rol a su cuenta. Dado que todos los usuarios de tu dominio de Google podrán acceder a Looker, considera especificar un rol predeterminado para los usuarios nuevos que limite el acceso de forma adecuada.

6. Haga clic en Probar autenticación de Google para utilizar la configuración actual e intentar autenticar el navegador actual en una nueva ventana. Esta acción no guarda la configuración actual ni la aplica a la instancia de Looker.

   

   Si no accediste a Google, se te solicitará que lo hagas y se te solicitará consentimiento para usar la información de tu Cuenta de Google. Este flujo usa la configuración personalizada de la pantalla de consentimiento que usaste en la configuración del lado de Google.

   Cuando el proceso finaliza con éxito, se muestra la sección Información del usuario con tu nombre, correo electrónico, dominio, etc. La presencia de esta sección de Información del usuario muestra que Looker se autenticará correctamente.

   Si se produce un error, aparecerán las descripciones de los errores. Estos son algunos problemas habituales:

   • ID de cliente o secreto de cliente incorrectos Se deben copiar y pegar con cuidado en su totalidad.
   • El usuario está fuera del dominio. Si ves la sección Información de la persona, pero no la Información del usuario, probablemente se deba a que el usuario no está en el dominio que especificaste. Esto muestra que la persona se autenticó correctamente en Google, pero no está usando una Cuenta de Google que decidiste permitir en tu instancia de Looker.
   • La URL de Looker o la URL de redireccionamiento no están configuradas correctamente en Google para tu Looker.

7. Para guardar y aplicar los cambios, marque la opción Confirmé la configuración anterior y deseo habilitarla en todo el mundo. Haz clic en Actualizar.

Después de habilitar la autenticación de Google, los usuarios pueden autenticarse solo a través de Google OAuth. Si no habilitaste la configuración Combinar por correo electrónico para las cuentas existentes, cada nuevo acceso autenticado por Google crea un nuevo usuario de Looker. No es posible acceder a las cuentas de correo electrónico o contraseña al mismo tiempo que se habilita la autenticación de Google.

Sugerencias

• Para experimentar con el ciclo de autenticación completo, puedes salir de Google y ver que Google te pide que vuelvas a acceder cuando intentes acceder a Looker.

• En Google, puede hacer clic en Cuenta en el menú desplegable personal (junto a su dirección de correo electrónico en la parte superior derecha de una página de Google Workspace) para administrar su cuenta personal.

  En esa página de administración, hay una pestaña Seguridad con una sección Permisos de cuenta. Si hace clic en Aplicaciones y sitios web Ver todo, podrá (como usuario) ver y administrar los servicios y las aplicaciones a los que otorgó permisos.

  Si haces clic en los permisos de Looker que otorgaste para acceder, se muestran los detalles que los usuarios ven en la pantalla de consentimiento que personalizaste más arriba. También puedes hacer clic en Revocar acceso para que la próxima vez que accedas a Looker (o a que autorices la prueba) se te vuelva a mostrar un mensaje con la pantalla de consentimiento. Puedes usar este flujo de trabajo para personalizar tu pantalla de consentimiento y ver lo que verán los usuarios.

Soluciona problemas

• Si un intento de acceso de un usuario falla, primero asegúrese de que el usuario tenga un nombre y un apellido en su Cuenta de Google. Si el usuario borró su nombre o apellido de la Cuenta de Google, es posible que Looker no pueda autenticarlo con Google OAuth.

• Si falla el intento de acceso de un usuario y Looker muestra un error como User not in the authorized domain, verifica el campo hd de la respuesta JSON. Si el campo hd contiene un dominio, asegúrate de que esté registrado en tu cuenta de Google Workspace. Si el campo hd está vacío, utiliza la Herramienta para transferir usuarios no administrados para invitarlo a convertir su cuenta en una cuenta administrada dentro de tu dominio.

• Si un usuario intenta acceder, pero Looker no muestra un mensaje de error, es posible que el usuario haya editado el nombre de su cuenta de Google Workspace y borrado su nombre o apellido. En este caso, es posible que el nombre de la cuenta de Google Workspace parezca completo en la Consola del administrador, que podría no mostrar los cambios del usuario. Para evitar este problema, los administradores de Google Workspace pueden inhabilitar la opción Permitir que los usuarios personalicen este parámetro de configuración.

Habilitar los accesos de correo electrónico cuando Google Auth está habilitado

Las cuentas nuevas de Google obtienen acceso a Looker automáticamente, por lo que no es necesario agregar usuarios que estén en tu dominio de Google.

Para agregar un usuario a través de una dirección de correo electrónico que no está en tu dominio de Google:

1. Habilita la opción Acceso alternativo para administradores y usuarios especificados en la página de Google Auth
2. Crea o modifica un rol del usuario existente para agregar el permiso login_special_email
3. En el panel de usuarios, ingrese a Agregar usuarios (/admin/users/new).
4. Agrega las direcciones de correo electrónico que deseas incluir y los roles que deberían tener esos usuarios, que deben incluir un rol con el permiso login_special_email.
5. Esos usuarios ahora pueden acceder a través de https://mycompany.looker.com/login/email (URL oculta)

Para habilitar accesos alternativos con la API de Looker, consulta la página de documentación Habilita la opción de acceso alternativo.

Cómo inhabilitar Google Auth una vez que se haya habilitado

Si quieres inhabilitar la autenticación de Google en tu instancia de Looker después de haberla habilitado, debes tener en cuenta lo siguiente:

• Los usuarios que se crearon antes de que se agregara la autenticación de Google y ya habían configurado un acceso normal y una contraseña por correo electrónico seguirán funcionando.
• Los usuarios que se hayan creado después de agregar la autenticación de Google ya no podrán acceder. Si bien sus cuentas aún existen, no pueden acceder a ellas y sus cuentas quedan huérfanas.

Por este motivo, te recomendamos que evites esta ruta. Si debes seguir este camino, es posible que haya un método para corregir las cuentas huérfanas con la API de Looker. Comunícate con el equipo de asistencia de Looker para obtener orientación adicional.