Configurações de administrador - Autenticação do Google

Na página Autenticação do Google, na seção Autenticação do menu Administrador, você pode configurar o Google OAuth no Looker.

Visão geral do recurso

Se você quiser, o Looker vai realizar a autenticação no Google OAuth para usuários que têm contas registradas no Google Workspace.

• As organizações que usam o Google Workspace podem autenticar usuários do Looker usando Contas do Google.
• Os usuários fazem login no Looker fazendo a autenticação com a Conta do Google.
• As novas Contas do Google têm acesso automático ao Looker. Não é necessário convidar os usuários separadamente para o Looker. Você define a função padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
• Quando ativado, o Looker autentica os usuários somente com o Google OAuth, a menos que a opção "login alternativo" esteja selecionada (veja mais instruções abaixo).
• O avatar do Google de um usuário aparece na barra de navegação no lugar do símbolo de usuário padrão.

Os seguintes comportamentos podem afetar sua decisão de usar o Google OAuth:

• Ao ativar o Google OAuth, a instância do Looker pode mesclar contas de usuários existentes com o domínio registrado pelo Google, mas somente para contas cujo endereço de e-mail corresponda ao domínio. Todas as outras contas que não são de administrador perderão a capacidade de fazer login.
• Todos os usuários no domínio especificado têm acesso à instância do Looker.
• As permissões para novos usuários do Google são padronizadas para acesso básico a uma lista especificada de modelos (que poderia, opcionalmente, ser acesso a zero modelos). As permissões podem ser atualizadas por um administrador após a criação da conta.
• Novas contas do Looker autenticadas pelo Google OAuth não podem alternar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

O uso do Google OAuth requer o seguinte:

• Uma conta do Google Workspace para a organização
• Um domínio controlado pela organização e registrado na conta do Google Workspace.
• Usuários com endereços de e-mail no domínio associado à Conta do Google.
• Cada usuário precisa ter uma conta de usuário gerenciada no Google Workspace. Para encontrar e migrar usuários com contas de usuário não gerenciadas, use a Ferramenta de transferência de usuários não gerenciados.

Como ativar a autenticação com o Google OAuth

Para ativar a autenticação com o Google OAuth, é necessário que o administrador realize etapas no Google e no Looker, conforme descrito nas seções a seguir.

Configuração pelo Google

As etapas para ativar o Google OAuth para o Google estão descritas abaixo. A descrição genérica dessas etapas está na página de suporte do Google sobre como configurar o OAuth 2.0. Você encontra a documentação na página Ajuda do Google Cloud Console.

1. Acesse o Console do Google Cloud.

2. Clique na seta para baixo na lista suspensa Selecionar um projeto. Você pode ver o nome de um projeto existente na lista suspensa. Clique na seta para baixo para ver a opção de criar um novo projeto.

3. Na página Selecionar um projeto, clique em Novo projeto.

   O Google exibe a página Novo projeto.

4. Preencha as informações na página Novo projeto e clique em Criar.

   Quando o Google concluir a criação do seu novo projeto, ele retornará ao console do Google Cloud e mostrará o novo projeto.

5. No menu à esquerda, selecione APIs e serviços > Credenciais.

6. Na página Credenciais, clique no botão Criar credenciais e selecione ID do cliente OAuth no menu suspenso.

   O Google exibe a página Criar ID do cliente OAuth.

7. O Google exige que você configure uma tela de consentimento do OAuth, que permite aos usuários escolher como conceder acesso aos dados privados e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de consentimento. Se você tiver configurado o consentimento do OAuth para um projeto anterior, essa opção não será exibida, e você poderá pular para a etapa 13.

   O Google exibe a página Tela de consentimento OAuth.

8. Insira o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

   

9. Configure a tela de permissão OAuth e clique em Salvar e continuar.

   Para informações sobre como configurar a tela de consentimento do OAuth do Google, consulte a página de suporte Como configurar o OAuth 2.0 do Google.

10. Na página Escopos, clique em Salvar e continuar. Nenhuma configuração adicional de escopo é necessária.

11. Na página Resumo, clique em Voltar para o painel.

    O Google retorna à página Criar ID do cliente OAuth.

12. Em Tipo de aplicativo, selecione Aplicativo da Web.

13. No campo Nome, insira um nome para o ID do cliente OAuth.

14. No campo Origens JavaScript autorizadas, insira o URL da sua instância do Looker, incluindo https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

15. No campo URIs de redirecionamento autorizados, insira o URL da sua instância do Looker seguido por /oauth2callback. Por exemplo, https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

16. Clique em Criar.

17. Copie os valores de client ID e client secret. Você precisará deles para configurar o Looker.

Configuração no Looker

Veja abaixo as etapas para ativar o Google OAuth no Looker.

1. No aplicativo Looker, faça login como administrador e clique no menu suspenso Administrador para abrir o menu Administrador.

2. No grupo Autenticação, clique em Google. O Looker mostra a página do Google Authentication.

   

3. Clique em Ativado para exibir e editar as configurações do Google OAuth. Isso não ativa imediatamente a autenticação do Google. Você deve confirmar sua escolha posteriormente.

4. Digite suas Configurações do Google Auth.

   

   • ID e chave secreta do cliente: copie e cole esses valores da página Cliente OAuth do Google, conforme descrito nas instruções de configuração do Google acima.
   • Domínios: os nomes de domínio da sua organização gerenciados pelo Google. Qualquer usuário do Google no domínio fornecido pode fazer login na sua instância do Looker. Se você controla vários domínios do Google, pode inseri-los separados por vírgulas.

   AVISO: insira apenas os domínios do Google controlados pela sua organização. Inserir qualquer outro domínio pode abrir o acesso aos usuários de um domínio que você não controla.

5. Digite Opções de migração, que controlam o comportamento da instância do Looker durante a transição para o Google OAuth.

   

   • Login alternativo para administradores: permite que os administradores continuem fazendo login com e-mail e senha, o que é útil em caso de problemas para configurar o Google OAuth. Essa configuração é recomendada e está descrita abaixo.
   • Mesclar por e-mail: converte qualquer usuário existente com endereço de e-mail nos domínios em questão para usar o Google OAuth no próximo login. Esta configuração é recomendada.
   • Funções para novos usuários: especifica a funcionalidade e o acesso ao modelo que os novos usuários que não são administradores têm. Esta lista pode ser atualizada mais tarde. Se esse campo ficar em branco, os novos usuários autenticados pelo Google terão funcionalidade limitada na plataforma Looker até que um administrador adicione um papel à conta. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, especifique uma função padrão para novos usuários que limite o acesso de maneira adequada.

6. Clique em Testar a autenticação do Google para usar as configurações atuais e tentar autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

   

   Se não estiver conectado ao Google, será solicitado que você faça login e solicite o consentimento para usar as informações de sua Conta do Google. Esse fluxo usa as configurações personalizadas da Tela de consentimento que você usou na configuração do Google.

   Após o sucesso, a seção Informações do usuário será exibida com seu nome, e-mail, domínio etc. A presença dessa seção Informações do usuário mostra que o usuário foi autenticado pelo Looker.

   Após a falha, as descrições de erro serão exibidas. Veja alguns problemas comuns:

   • ID do cliente copiado ou chave secreta do cliente. Eles precisam ser copiados e colados completamente.
   • O usuário está fora do domínio. Se você vir uma seção Informações da pessoa, mas nenhuma Informações do usuário, é provável que o usuário não esteja no domínio especificado. Isso mostra que a pessoa fez a autenticação no Google corretamente, mas não está usando uma Conta do Google que você escolheu permitir na instância do Looker.
   • O URL do Looker e/ou o URL de redirecionamento não foram configurados corretamente no Google para seu Looker.

7. Para salvar e aplicar as alterações, marque Confirmei a configuração acima e quero ativar a aplicação global. Clique em Atualizar.

Depois que você ativar a autenticação do Google, os usuários poderão fazer a autenticação somente por meio do Google OAuth. Se você não tiver ativado a configuração Mesclar por e-mail para todas as contas existentes, todos os novos logins autenticados pelo Google criarão um novo usuário do Looker. Os logins de e-mail/senha existentes não podem ser usados ao mesmo tempo que a autenticação do Google está ativada.

Dicas

• Para testar o ciclo completo de autenticação, saia do Google e veja que o Google solicita que você faça login novamente quando tentar fazer login no Looker.

• No Google, você pode clicar em Conta na lista suspensa pessoal (ao lado do seu endereço de e-mail no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

  Nessa página, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Aplicativos e websites Visualizar todos, você (como usuário) pode ver e gerenciar os serviços e aplicativos aos quais concedeu permissões.

  Clique nas permissões do Looker que você concedeu para fazer login para ver os detalhes que os usuários veem na tela de consentimento que você personalizou acima. Também é possível clicar em Revogar acesso para que, na próxima vez que você fizer login no Looker (ou na autorização de teste), a tela de consentimento seja exibida novamente. Você pode usar esse fluxo de trabalho para personalizar a tela de consentimento e ver o que os usuários veem.

Solução de problemas

• Se a tentativa de login do usuário falhar, primeiro confirme se ele tem um nome e um sobrenome na Conta do Google. Se o usuário tiver excluído o nome ou o sobrenome da Conta do Google, o Looker poderá não conseguir autenticá-lo com o Google OAuth.

• Se a tentativa de login de um usuário falhar e o Looker exibir um erro como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd tiver um domínio, verifique se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta dele em uma conta gerenciada no seu domínio.

• Se houver falha na tentativa de login, mas o Looker não mostrar uma mensagem de erro, talvez o usuário tenha editado o nome da conta do Google Workspace e excluído o nome ou o sobrenome. Nesse caso, o nome da conta do Google Workspace ainda pode estar completo no Admin Console, o que pode não mostrar as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem esta configuração.

Como ativar logins por e-mail com o Google Auth ativado

As novas Contas do Google têm acesso automático ao Looker. Portanto, não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário por um endereço de e-mail que não esteja no seu domínio do Google:

1. Ativar a opção Login alternativo para administradores e usuários especificados na página do Google Auth
2. Criar ou modificar uma função do usuário para adicionar a permissão login_special_email
3. Acesse Adicionar usuários no painel de usuários (/admin/users/new).
4. Adicione os endereços de e-mail que você quer incluir e os papéis que esses usuários devem ter, que precisam incluir um papel com a permissão login_special_email
5. Esses usuários agora podem fazer login via https://mycompany.looker.com/login/email (URL oculto)

Para ativar logins alternativos usando a API Looker, consulte a página de documentação Ativação da opção de login alternativa.

Desativação do Google Auth após a ativação

Se você quiser desativar a autenticação do Google na sua instância do Looker depois que ela já foi ativada, considere o seguinte:

• Os usuários criados antes de o Google Authentication ser adicionado e já tiverem configurado uma senha e um login de e-mail normais continuarão funcionando.
• Os usuários criados após a autenticação do Google ser adicionada não poderão mais fazer login. Embora suas contas ainda existam, eles não têm como acessá-las e suas contas são órfãs.

Por isso, no momento, sugerimos evitar esse trajeto. Se você precisar seguir esse caminho, talvez haja um método para corrigir as contas órfãs usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.