Impostazioni amministratore - Autenticazione Google

La pagina Autenticazione Google nella sezione Autenticazione del menu Amministratore consente di configurare Google OAuth sul lato di Looker.

Panoramica delle funzioni

Se vuoi, Looker può eseguire l'autenticazione tramite Google OAuth, per gli utenti che dispongono di account registrati con Google Workspace.

• Le organizzazioni che utilizzano Google Workspace possono autenticare gli utenti Looker tramite gli Account Google.
• Gli utenti accedono a Looker autenticandosi con il proprio Account Google.
• I nuovi Account Google hanno automaticamente accesso a Looker. Non è necessario invitare separatamente gli utenti a Looker. Sei tu a impostare il ruolo predefinito per i nuovi utenti, che può limitare il loro accesso a funzionalità e dati.
• Quando questa opzione è attivata, Looker autentica gli utenti solo con Google OAuth a meno che non sia selezionata l'opzione "accesso alternativo" (vedi ulteriori istruzioni di seguito).
• Nella barra di navigazione viene visualizzato l'avatar di Google per un utente anziché il simbolo dell'utente standard.

I seguenti comportamenti potrebbero influire sulla tua decisione di utilizzare Google OAuth:

• Quando abiliti Google OAuth, l'istanza di Looker può unire gli account utente esistenti al dominio registrato da Google, ma solo per gli account il cui indirizzo email corrisponde al dominio. Tutti gli altri account non amministrativi perderanno l'accesso.
• Tutti gli utenti del dominio specificato ottengono l'accesso all'istanza di Looker.
• Per impostazione predefinita, le autorizzazioni per i nuovi utenti Google sono applicate all'accesso di base per un elenco specificato di modelli (che potrebbe eventualmente avere accesso a zero modelli). Le autorizzazioni possono essere aggiornate da un amministratore dopo la creazione dell'account.
• I nuovi account Looker che effettuano l'autenticazione tramite Google OAuth non possono passare all'autenticazione delle password, anche se OAuth è disabilitato per l'istanza di Looker.

Requisiti preliminari

Per utilizzare Google OAuth sono necessari:

• Un account Google Workspace per l'organizzazione.
• Un dominio controllato dall'organizzazione e registrato nell'account Google Workspace.
• Utenti con indirizzi email nel dominio associato all'Account Google.
• Ogni utente deve avere un account utente gestito in Google Workspace. Per trovare ed eseguire la migrazione di utenti con account utente non gestiti, utilizza lo strumento di trasferimento per gli utenti non gestiti.

Attivazione dell'autenticazione con Google OAuth

L'attivazione dell'autenticazione con Google OAuth richiede che un amministratore esegua dei passaggi sia sul lato Google che su Looker, come descritto nelle sezioni seguenti.

Configura lato Google

I passaggi per attivare Google OAuth sul lato Google sono descritti di seguito. La descrizione generica di questi passaggi è disponibile nella pagina dell'Assistenza Google sulla configurazione di OAuth 2.0. La documentazione sulla console per gli sviluppatori di Google è disponibile nella Guida della console Google Cloud.

1. Vai alla console Google Cloud.

2. Fai clic sulla Freccia giù nel menu a discesa Seleziona un progetto. Nel menu a discesa potresti vedere il nome di un progetto esistente. Se fai clic sulla freccia rivolta verso il basso, vedrai l'opzione per creare un nuovo progetto.

3. Nella pagina Seleziona un progetto, fai clic su Nuovo progetto.

   Google mostra la pagina Nuovo progetto.

4. Inserisci le informazioni nella pagina Nuovo progetto e fai clic su Crea.

   Al termine della creazione del nuovo progetto, Google ti torna alla console Google Cloud e mostra il nuovo progetto.

5. Nel menu a sinistra, seleziona API e servizi > Credenziali.

6. Nella pagina Credenziali, fai clic sul pulsante Crea credenziali e seleziona ID client OAuth dal menu a discesa.

   Google mostra la pagina Crea ID client OAuth.

7. Google richiede la configurazione di una schermata per il consenso OAuth, che consente agli utenti di scegliere come concedere l'accesso ai propri dati privati, e fornisce un link ai termini di servizio e alle norme sulla privacy della tua organizzazione. Fai clic su Configura la schermata per il consenso. Se hai configurato il consenso OAuth per un progetto precedente, questa opzione non viene visualizzata e puoi andare al passaggio 13.

   Google mostra la pagina Schermata consenso OAuth.

8. Inserisci il dominio della tua istanza di Looker nel campo Domini autorizzati. Ad esempio, se Looker ospita l'istanza su https://mycompany.looker.com, il dominio è looker.com. Per i deployment Looker ospitati dal cliente, inserisci il dominio in cui ospiti Looker.

   

9. Configura la schermata per il consenso OAuth e fai clic su Salva e continua.

   Per informazioni sulla configurazione della schermata di consenso OAuth di Google, consulta la pagina Configurare OAuth 2.0 dell'Assistenza Google.

10. Nella pagina Ambiti, fai clic su Salva e continua. Non è richiesta alcuna configurazione di ambito aggiuntiva.

11. Nella pagina Riepilogo, fai clic su Torna alla dashboard.

    Google restituisce la pagina Crea ID client OAuth.

12. In Tipo di applicazione, seleziona Applicazione web.

13. Nel campo Nome, inserisci un nome per il tuo ID client OAuth.

14. Nel campo Origini JavaScript autorizzate, inserisci l'URL dell'istanza di Looker, incluso il campo https://. Ecco alcuni esempi:

    • Se Looker ospita l'istanza: https://mycompany.looker.com
    • Se hai un'istanza di Looker ospitata dal cliente: https://looker.mycompany.com
    • Se la tua istanza di Looker richiede un numero di porta: https://looker.mycompany.com:9999

15. Nel campo URI di reindirizzamento autorizzati, inserisci l'URL dell'istanza di Looker seguito da /oauth2callback. Ad esempio: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Fai clic su Crea.

17. Copia i valori di client ID e client secret: ti serviranno per configurare Looker.

Configura lato Looker

Di seguito sono riportati i passaggi per attivare Google OAuth sul lato Looker.

1. Nell'applicazione Looker, dopo aver eseguito l'accesso come amministratore, fai clic sul menu a discesa Admin (Amministratore) per aprire il menu Admin (Amministrazione).

2. Nel gruppo Autenticazione, fai clic su Google. Looker visualizza la pagina Google Authentication (Autenticazione Google).

   

3. Fai clic su Attivato per visualizzare e modificare le impostazioni di Google OAuth. Questa operazione non attiva immediatamente l'autenticazione di Google; devi confermare la tua scelta in un secondo momento.

4. Inserisci le Impostazioni di autenticazione Google.

   

   • Client-ID e Client Secret: copia e incolla questi valori dalla pagina Client OAuth di Google, come descritto nelle istruzioni di configurazione di Google in alto.
   • Domini: i nomi di dominio gestiti da Google della tua organizzazione. Qualsiasi utente Google nel dominio specificato può accedere alla tua istanza di Looker. Se controlli più domini Google, puoi inserirli separati da virgole.

   AVVISO: inserisci solo i domini Google controllati dalla tua organizzazione. Se inserisci qualsiasi altro dominio, potresti aprire l'accesso agli utenti di un dominio che non è sotto il tuo controllo.

5. Inserisci le Opzioni di migrazione, che controllano il comportamento dell'istanza di Looker durante la transizione a Google OAuth.

   

   • Accesso alternativo per gli amministratori: consente agli amministratori di continuare ad accedere con email e password, una funzionalità di riserva utile in caso di problemi durante la configurazione di Google OAuth. Questa impostazione è consigliata ed è descritta in dettaglio di seguito.
   • Unisci per email: consente di convertire tutti gli utenti esistenti con indirizzi email nei domini indicati in modo da utilizzare Google OAuth al momento dell'accesso successivo. Questa impostazione è consigliata.
   • Ruoli per i nuovi utenti: specifica la funzionalità e l'accesso ai modelli di cui dispongono i nuovi utenti non amministratori. Questo elenco potrà essere aggiornato in un secondo momento. Se il campo viene lasciato vuoto, i nuovi utenti autenticati da Google avranno funzionalità limitate all'interno della piattaforma Looker finché un amministratore non avrà aggiunto un ruolo al proprio account. Poiché tutti gli utenti del dominio Google potranno accedere a Looker, puoi specificare per i nuovi utenti un ruolo predefinito che limiti l'accesso in modo appropriato.

6. Fai clic su Test Google Authentication (Prova autenticazione Google) per utilizzare le impostazioni correnti e tentare di autenticare il browser corrente in una nuova finestra. Questa azione non salva le impostazioni correnti né le applica all'istanza di Looker.

   

   Se non hai eseguito l'accesso a Google, ti viene chiesto di accedere e ti viene chiesto il consenso per utilizzare i dati del tuo Account Google. Questa procedura utilizza le impostazioni personalizzate della schermata di consenso utilizzate nella configurazione lato Google.

   Se l'operazione riesce, viene visualizzata una sezione Informazioni utente con il tuo nome, email, dominio e così via. La presenza di questa sezione Informazioni utente indica che l'utente verrà autenticato correttamente da Looker.

   In caso di errore, vengono visualizzate le descrizioni degli errori. Di seguito sono riportati alcuni problemi comuni:

   • ID client o client secret copiato in modo errato. Devono essere accuratamente copiati e incollati.
   • L'utente è fuori dal dominio. Se vedi una sezione Informazioni sulla persona, ma non la sezione Informazioni utente, è probabile che l'utente non appartenga al dominio da te specificato. Indica che la persona si è autenticata correttamente su Google, ma non utilizza un Account Google che hai scelto di consentire nella tua istanza di Looker.
   • URL di Looker e/o di reindirizzamento non configurati correttamente in Google per Looker.

7. Per salvare e applicare le modifiche, seleziona Ho confermato la configurazione qui sopra e voglio abilitarla a livello globale. Fai clic su Update (Aggiorna).

Dopo che hai attivato l'autenticazione di Google, gli utenti possono eseguire l'autenticazione solo tramite Google OAuth. Se non hai abilitato l'impostazione Unisci per email per gli account esistenti, ogni nuovo accesso autenticato da Google crea un nuovo utente Looker. Gli accessi via email/password esistenti non sono utilizzabili contemporaneamente all'attivazione dell'autenticazione di Google.

Suggerimenti

• Per provare l'intero ciclo di autenticazione, puoi uscire da Google e vedere che Google ti chiede di eseguire nuovamente l'accesso quando tenti di accedere a Looker.

• In Google, puoi fare clic su Account nel menu a discesa personale (accanto all'indirizzo email nella parte in alto a destra di una pagina di Google Workspace) per gestire il tuo account personale.

  Nella pagina di gestione è presente una scheda Sicurezza, con la sezione Autorizzazioni account. Se fai clic su App e siti web Visualizza tutto, in qualità di utente, puoi vedere e gestire i servizi e le app a cui hai concesso le autorizzazioni.

  Se fai clic sulle autorizzazioni Looker che hai concesso per accedere, vengono visualizzati i dettagli visualizzati dagli utenti nella schermata per il consenso che hai personalizzato sopra. Puoi anche fare clic su Revoca accesso in modo che la prossima volta che accedi a Looker (o all'autorizzazione di test) ti venga richiesta la schermata di consenso. Puoi utilizzare questo flusso di lavoro per personalizzare la schermata per il consenso e vedere cosa vedranno gli utenti.

Risolvere i problemi

• Se il tentativo di accesso di un utente non va a buon fine, assicurati innanzitutto che l'utente abbia un nome e un cognome nel proprio Account Google. Se l'utente ha eliminato il nome o il cognome dal proprio Account Google, Looker potrebbe non essere in grado di autenticare l'utente con Google OAuth.

• Se il tentativo di accesso di un utente non va a buon fine e Looker mostra un errore come User not in the authorized domain, controlla il campo hd della risposta JSON. Se il campo hd contiene un dominio, assicurati che il dominio sia registrato con il tuo account Google Workspace. Se il campo hd è vuoto, utilizza lo Strumento di trasferimento per gli utenti non gestiti per invitare l'utente a convertire il proprio account in un account gestito all'interno del tuo dominio.

• Se il tentativo di accesso di un utente non riesce, ma Looker non mostra alcun messaggio di errore, l'utente potrebbe aver modificato il nome del proprio account Google Workspace e aver eliminato il nome o il cognome. In questa situazione, il nome dell'account Google Workspace potrebbe essere comunque completo nella Console di amministrazione e potrebbe non mostrare le modifiche dell'utente. Per evitare questo problema, gli amministratori di Google Workspace possono disattivare l'opzione Consenti agli utenti di personalizzare questa impostazione.

Abilitazione degli accessi via email quando Google Auth è abilitato

I nuovi Account Google hanno accesso automatico a Looker, quindi non è necessario aggiungere utenti che si trovano nel tuo dominio Google.

Per aggiungere un utente tramite un indirizzo email non appartenente al tuo dominio Google:

1. Attivare l'opzione Accesso alternativo per amministratori e utenti specificati nella pagina di autenticazione di Google
2. Crea o modifica un ruolo utente esistente per aggiungere l'autorizzazione login_special_email
3. Vai ad Aggiungi utenti dal riquadro degli utenti (/admin/users/new).
4. Aggiungi gli indirizzi email che vuoi includere e i ruoli che devono avere questi utenti, che devono includere un ruolo con l'autorizzazione login_special_email
5. Questi utenti possono ora accedere tramite https://mycompany.looker.com/login/email (URL nascosto).

Per abilitare gli accessi alternativi utilizzando l'API Looker, consulta la pagina della documentazione Abilitare l'opzione di accesso alternativo.

Disattivazione di Google Auth dopo l'abilitazione

Se vuoi disabilitare l'autenticazione Google per la tua istanza di Looker dopo averla già abilitata, ecco alcuni aspetti:

• Gli utenti che sono stati creati prima dell'aggiunta dell'autenticazione Google e che hanno già configurato una password e un accesso all'indirizzo email normali continueranno a funzionare.
• Gli utenti creati dopo l'aggiunta dell'autenticazione Google non potranno più accedere. Anche se questi account esistono ancora, non sono in grado di accedervi e i loro account sono orfani.

Per questo motivo, al momento consigliamo di evitare questo percorso. Se devi seguire questo percorso, potrebbe essere disponibile un metodo per correggere gli account orfani utilizzando l'API Looker. Per ulteriori indicazioni, contatta l'assistenza Looker.