La page Authentification Google de la section Authentification du menu Administration vous permet de configurer Google OAuth du côté de Looker.
Présentation des fonctionnalités
Si vous le souhaitez, Looker peut s'authentifier via Google OAuth pour les utilisateurs possédant un compte Google Workspace.
- Les organisations qui utilisent Google Workspace peuvent authentifier les utilisateurs de Looker via des comptes Google.
- Les utilisateurs se connectent à Looker en s'authentifiant avec leur compte Google.
- Les nouveaux comptes Google ont automatiquement accès à Looker. Il n'est pas nécessaire d'inviter séparément les utilisateurs à Looker. Vous définissez le rôle par défaut pour les nouveaux utilisateurs, ce qui peut limiter leur accès aux fonctionnalités et aux données.
- Lorsque cette option est activée, Looker authentifie les utilisateurs uniquement avec Google OAuth sauf si l'option "Autre connexion" est sélectionnée (voir les instructions ci-dessous).
- L'avatar Google d'un utilisateur s'affiche dans la barre de navigation à la place du symbole standard.
Les comportements suivants peuvent avoir une incidence sur votre décision d'utiliser Google OAuth:
- Lorsque vous activez Google OAuth, l'instance Looker peut fusionner les comptes utilisateur existants avec le domaine enregistré par Google, mais uniquement pour les comptes dont l'adresse e-mail correspond au domaine. Tous les autres comptes non administrateurs ne pourront plus se connecter.
- Tous les utilisateurs du domaine spécifié ont accès à l'instance Looker.
- Les autorisations pour les nouveaux utilisateurs de Google sont définies par défaut sur l'accès de base pour une liste spécifiée de modèles (qui peut éventuellement permettre d'accéder à zéro modèle). Un administrateur peut modifier les autorisations après avoir créé le compte.
- Les nouveaux comptes Looker qui s'authentifient via Google OAuth ne peuvent pas passer à l'authentification par mot de passe, même si OAuth est désactivé pour l'instance Looker.
Exigences préliminaires
Pour utiliser Google OAuth, vous devez disposer des éléments suivants:
- Un compte Google Workspace pour l'organisation.
- Domaine contrôlé par l'organisation et enregistré auprès du compte Google Workspace
- Utilisateurs disposant d'adresses e-mail dans le domaine associé au compte Google.
- Chaque utilisateur doit disposer d'un compte utilisateur géré dans Google Workspace. Pour rechercher et migrer des utilisateurs disposant de comptes non gérés, utilisez l'outil de transfert pour les utilisateurs non gérés.
Activer l'authentification avec Google OAuth
L'activation de l'authentification avec Google OAuth nécessite qu'un administrateur effectue des étapes côté Google et côté Looker, comme décrit dans les sections suivantes.
Configuration côté Google
La procédure d'activation de Google OAuth côté Google est décrite ci-dessous. La description générique de cette procédure se trouve sur la page d'assistance Google concernant la configuration d'OAuth 2.0. Vous trouverez la documentation correspondante dans la page d'aide de la console Google Cloud.
Accédez à Google Cloud Console.
Cliquez sur la flèche vers le bas du menu déroulant Sélectionner un projet. Il est possible que le nom d'un projet existant s'affiche dans la liste déroulante. Cliquez sur la flèche vers le bas. Vous serez alors redirigé vers l'option permettant de créer un projet.
Sur la page Sélectionner un projet, cliquez sur Nouveau projet.
Google affiche la page Nouveau projet.
Remplissez les informations sur la page Nouveau projet, puis cliquez sur Créer.
Une fois le projet créé, il vous revient dans la console Google Cloud et affiche votre nouveau projet.
Dans le menu de gauche, sélectionnez API et services > Identifiants.
Sur la page Identifiants, cliquez sur le bouton Créer des identifiants, puis sélectionnez ID client OAuth dans le menu déroulant.
Google affiche la page Créer un ID client OAuth.
Google exige que vous configuriez un écran d'autorisation OAuth qui permet à vos utilisateurs de choisir comment accorder l'accès à leurs données privées et qui fournit un lien vers les conditions d'utilisation et les règles de confidentialité de votre organisation. Cliquez sur Configurer l'écran de consentement. (Si vous avez configuré le consentement OAuth pour un projet précédent, cette option n'est pas disponible et vous pouvez passer à l'étape 13.)
Google affiche la page de l'écran de consentement OAuth.
Saisissez le domaine de votre instance Looker dans le champ Domaines autorisés. Par exemple, si Looker héberge votre instance sur
https://mycompany.looker.com
, le domaine estlooker.com
. Pour les déploiements de Looker hébergés par un client, saisissez le domaine sur lequel vous hébergez Looker.Configurez l'écran de consentement OAuth, puis cliquez sur Enregistrer et continuer.
Pour savoir comment configurer l'écran de consentement OAuth, consultez la page d'assistance Google sur la configuration d'OAuth 2.0.
Sur la page Champs d'application, cliquez sur Enregistrer et continuer. Aucune configuration de champ d'application supplémentaire n'est requise.
Sur la page Récapitulatif, cliquez sur Revenir au tableau de bord.
Google vous redirige vers la page Créer un ID client OAuth.
Sous Type d'application, sélectionnez Application Web.
Dans le champ Nom, saisissez un nom pour votre ID client OAuth.
Dans le champ Origines JavaScript autorisées, saisissez l'URL de votre instance Looker, y compris
https://
. Exemple :- Si Looker héberge votre instance:
https://mycompany.looker.com
- Si vous disposez d'une instance Looker hébergée par le client:
https://looker.mycompany.com
- Si votre instance Looker requiert un numéro de port:
https://looker.mycompany.com:9999
- Si Looker héberge votre instance:
Dans le champ URI de redirection autorisés, saisissez l'URL de votre instance Looker, suivie de
/oauth2callback
. Exemple :https://mycompany.looker.com/oauth2callback
ouhttps://looker.mycompany.com:9999/oauth2callback
.Cliquez sur Créer.
Copiez les valeurs de votre ID client et de votre code secret du client. Vous en aurez besoin pour configurer Looker.
Configuration côté Looker
Vous trouverez ci-dessous les étapes à suivre pour activer Google OAuth du côté de Looker.
Dans l'application Looker, connectez-vous en tant qu'administrateur et cliquez sur la liste déroulante Admin pour ouvrir le menu Administration.
Dans le groupe Authentification, cliquez sur Google. Looker affiche la page Authentification Google.
Cliquez sur Activé pour afficher et modifier les paramètres Google OAuth. (Cela n'active pas immédiatement l'authentification Google ; vous devez confirmer votre choix plus tard.)
Saisissez vos paramètres d'authentification Google.
- ID client et code secret du client : copiez et collez ces valeurs depuis la page du client OAuth de Google, comme indiqué dans les instructions de configuration de Google ci-dessus.
- Domaines : noms de domaine de votre organisation. Tout utilisateur Google du domaine donné peut se connecter à votre instance Looker. Si vous contrôlez plusieurs domaines Google, vous pouvez les saisir en les séparant par une virgule.
AVERTISSEMENT:Saisissez uniquement les domaines Google contrôlés par votre organisation. En saisissant un autre domaine, vous pouvez permettre aux utilisateurs d'un domaine que vous ne contrôlez pas d'y avoir accès.
Saisissez les Options de migration, qui contrôlent le comportement de l'instance Looker lors de la transition vers Google OAuth.
- Connexion alternative pour les administrateurs : permet aux administrateurs de continuer à se connecter à l'aide d'une adresse e-mail et d'un mot de passe. Cette fonctionnalité est utile en cas de problème lors de la configuration de Google OAuth. Nous vous recommandons d'utiliser ce paramètre ci-dessous.
- Merge by email (Fusionner par e-mail) : convertit tous les utilisateurs existants avec des adresses e-mail dans les domaines donnés afin qu'ils utilisent Google OAuth lors de leur prochaine connexion. Ce paramètre est recommandé.
- Rôles pour les nouveaux utilisateurs : spécifie les fonctionnalités et l'accès au modèle dont disposent les nouveaux utilisateurs non administrateurs. Cette liste pourra être modifiée ultérieurement. Si cette valeur n'est pas renseignée, les nouveaux utilisateurs authentifiés par Google auront des fonctionnalités limitées sur la plate-forme Looker jusqu'à ce qu'un administrateur ajoute un rôle à leur compte. Étant donné que tous les utilisateurs de votre domaine Google pourront se connecter à Looker, vous pouvez spécifier un rôle par défaut pour les nouveaux utilisateurs qui limite l'accès de manière appropriée.
Cliquez sur Tester l'authentification Google pour utiliser les paramètres actuels et tenter d'authentifier le navigateur actuel dans une nouvelle fenêtre. Cette action n'enregistre pas les paramètres actuels et ne les applique pas à l'instance Looker.
Si vous n'êtes pas connecté à Google, vous êtes invité à vous connecter et vous avez demandé l'autorisation d'utiliser les informations de votre compte Google. Ce processus utilise les paramètres personnalisés de l'écran de consentement que vous avez utilisés dans la configuration côté Google.
Si l'opération réussit, une section Informations utilisateur s'affiche avec votre nom, votre adresse e-mail, votre domaine, etc. La présence de cette section Informations utilisateur montre que cet utilisateur sera authentifié avec Looker.
En cas d'échec, des descriptions s'affichent. Voici quelques problèmes courants:
- ID client ou code secret incorrect Vous devez le copier et le coller en entier.
- L'utilisateur n'est pas du domaine. Si une section Informations sur la personne s'affiche, mais pas d'informations sur l'utilisateur, il est possible que l'utilisateur ne se trouve pas dans le domaine que vous avez spécifié. Cela signifie que la personne s'est authentifiée correctement sur Google, mais qu'elle n'utilise pas un compte Google que vous avez choisi d'autoriser dans votre instance Looker.
- L'URL et/ou l'URL de redirection Looker ne sont pas correctement configurées pour votre Looker.
Pour enregistrer et appliquer les modifications, cochez J'ai confirmé la configuration ci-dessus et je souhaite activer l'application globale. Cliquez sur Mettre à jour.
Une fois l'authentification Google activée, les utilisateurs peuvent s'authentifier uniquement via Google OAuth. Si vous n'avez pas activé le paramètre Merge by email (Fusionner par e-mail) pour les comptes existants, chaque nouvelle connexion authentifiée par Google crée un utilisateur Looker. Les connexions à une adresse e-mail ou un mot de passe existantes ne peuvent pas être utilisées en même temps que l'authentification Google.
Conseils
Pour tester le cycle d'authentification complet, vous pouvez vous déconnecter de Google et constater que Google vous invite à vous reconnecter lorsque vous tentez de vous connecter à Looker.
Dans Google, vous pouvez cliquer sur Compte dans la liste déroulante personnelle (à côté de votre adresse e-mail, en haut à droite d'une page Google Workspace) pour gérer votre compte personnel.
Cette page de gestion comporte un onglet Sécurité, avec une section Autorisations au niveau du compte. En cliquant sur Applications et sites Web Tout afficher, vous pouvez voir, en tant qu'utilisateur, les services et les applications auxquels vous avez accordé des autorisations.
Cliquez sur les autorisations Looker que vous avez accordées pour vous connecter afin d'afficher les détails que les utilisateurs voient sur l'écran de consentement que vous avez personnalisé ci-dessus. Vous pouvez également cliquer sur Révoquer l'accès afin que la prochaine fois que vous vous connecterez à Looker (ou l'autorisation de test), vous serez de nouveau invité à accéder à l'écran de consentement. Ce workflow vous permet de personnaliser votre écran de consentement et d'afficher ce que les utilisateurs verront.
Dépannage
Si la tentative de connexion d'un utilisateur échoue, assurez-vous d'abord que l'utilisateur a à la fois un prénom et un nom dans son compte Google. Si l'utilisateur a supprimé son prénom ou son nom de son compte Google, Looker risque de ne pas pouvoir l'authentifier auprès de Google OAuth.
Si la tentative de connexion d'un utilisateur échoue et que Looker affiche une erreur telle que
User not in the authorized domain
, vérifiez le champhd
de la réponse JSON. Si le champhd
contient un domaine, assurez-vous que celui-ci est enregistré pour votre compte Google Workspace. Si le champhd
est vide, invitez les utilisateurs à convertir leur compte en compte géré au sein de votre domaine à l'aide de l'outil de transfert pour les utilisateurs non gérés.Si la tentative d'un utilisateur échoue, mais que Looker n'affiche pas de message d'erreur, il est possible que l'utilisateur ait modifié le nom de son compte Google Workspace et supprimé son prénom ou son nom. Dans ce cas, le nom du compte Google Workspace reste visible dans la console d'administration, ce qui peut empêcher les modifications de l'utilisateur. Pour éviter ce problème, les administrateurs Google Workspace peuvent désactiver l'option Autoriser les utilisateurs à personnaliser ce paramètre.
Activation des connexions par e-mail lorsque l'authentification Google est activée
Les nouveaux comptes Google ont automatiquement accès à Looker. Vous n'avez donc pas besoin d'ajouter des utilisateurs appartenant à votre domaine Google.
Pour ajouter un utilisateur via une adresse e-mail qui ne fait pas partie de votre domaine Google:
- Activer l'option Autre connexion pour les administrateurs et les utilisateurs spécifiés de la page Google Auth
- Créez ou modifiez un rôle utilisateur existant pour ajouter l'autorisation
login_special_email
- Accédez à Ajouter des utilisateurs à partir du panneau des utilisateurs (/admin/users/new).
- Ajoutez la ou les adresses e-mail que vous souhaitez inclure, ainsi que les rôles que ces utilisateurs doivent avoir(qui doivent inclure un rôle doté de l'autorisation
login_special_email
) - Ces utilisateurs peuvent désormais se connecter via https://mycompany.looker.com/login/email (URL masquée).
Pour activer d'autres connexions à l'aide de l'API Looker, consultez la page de documentation Activer l'option de connexion alternative.
Désactiver Google Auth après l'activation
Si vous souhaitez désactiver l'authentification Google pour votre instance Looker après l'avoir activée, procédez comme suit:
- Les utilisateurs créés avant l'ajout de l'authentification Google et qui ont déjà configuré une adresse e-mail de connexion et un mot de passe normaux continueront de fonctionner.
- Les utilisateurs créés après l'ajout de l'authentification Google ne pourront plus se connecter. Leur compte existe toujours, mais ils n'ont aucun moyen d'y accéder et ils sont en fait orphelins.
C'est pourquoi nous vous conseillons d'éviter cet itinéraire pour le moment. Si vous devez suivre ce chemin, il existe peut-être une méthode pour corriger les comptes orphelins à l'aide de l'API Looker. Contactez l'assistance Looker pour obtenir des conseils supplémentaires.