A incorporação assinada é uma maneira de apresentar Looks, visualizações, Análises, painéis ou dashboards do LookML incorporados particulares aos usuários sem exigir que eles tenham um login separado do Looker. Em vez disso, os usuários serão autenticados por seu próprio aplicativo.
A incorporação assinada cria um URL especial do Looker que você vai usar em um iframe. O URL contém as informações que você quer compartilhar, o ID do usuário no seu sistema e as permissões que você quer que o usuário tenha. Depois, você vai assinar o URL com uma chave secreta fornecida pelo Looker.
Para incorporação pública, consulte a seção Incorporação pública com tags iframe da página de documentação Compartilhamento público, importação e incorporação de Looks.
Antes de usar a incorporação assinada na sua instância do Looker, um administrador precisa ativar a incorporação assinada no painel de adm. do Looker e criar uma chave secreta de incorporação. Para instruções, consulte a página de documentação Primeiros passos na incorporação — como ativar a incorporação assinada.
Hospedagem adequada para incorporação assinada
Alguns navegadores, como o Safari, ou com extensões instaladas que bloqueiam anúncios ou cookies de rastreamento, adotam como padrão uma política que bloqueia cookies de terceiros. Quando o recurso Incorporação sem cookies está ativado, os navegadores que bloqueiam cookies de terceiros podem autenticar os usuários no iframe incorporado em diferentes domínios. A autenticação incorporada sem cookies requer configuração no lado do servidor. Consulte a página de documentação Incorporação sem cookies para conferir exemplos de configuração.
Se o recurso Incorporação sem cookies não estiver ativado, o Looker vai usar cookies para a autenticação do usuário. Nesse caso, a tentativa de autenticar o iframe incorporado nos domínios não é possível em navegadores que bloqueiam cookies de terceiros (a menos que o usuário modifique as configurações de privacidade de cookies do navegador). Por exemplo, se você quiser incorporar informações em https://mycompany.com, vai precisar garantir que o Looker tenha o mesmo domínio, como https://analytics.mycompany.com. Nesse caso, se o Looker estiver hospedando sua instância, entre em contato com o suporte do Looker para definir a configuração de DNS necessária e permitir o uso do domínio personalizado. Isso permite que o Looker compartilhe o mesmo domínio do aplicativo de incorporação e use cookies primários, que são aceitos por padrão em todos os navegadores.
Se você tiver uma instância do Looker hospedada pelo cliente, verifique se o aplicativo que vai usar a incorporação assinada utiliza o mesmo domínio que a instância do Looker.
Como controlar a visibilidade do cliente com um sistema fechado
É comum, em uma configuração de incorporação assinada, que os usuários do Looker apresentem dados aos próprios clientes, enquanto têm clientes de diferentes empresas ou grupos que não deveriam conhecer uns aos outros. Nesse cenário, para proteger as informações particulares dos seus clientes, recomendamos que você configure o Looker como um sistema fechado, também chamado de instalação multilocatária. Em um sistema fechado, o conteúdo é isolado para evitar que usuários de diferentes grupos se conheçam. Por isso, recomendamos que você ative a opção Sistema fechado antes de conceder a usuários externos acesso à sua instância.
Para mais informações, consulte as páginas de documentação Como projetar e configurar um sistema de níveis de acesso e Práticas recomendadas de segurança para análises incorporadas.
Como gerar o URL de incorporação assinado
Há várias maneiras de gerar o URL de incorporação assinado. Use um destes métodos:
Você pode gerar um URL de incorporação assinado usando a opção Receber URL de incorporação no menu do painel de três pontos de um painel ou no menu de engrenagem para explorar ações de um Look ou Explore.
Use o endpoint de URL de incorporação assinado da API Looker, conforme descrito mais adiante neste documento.
Use o SDK incorporado do Looker.
Codifique o URL de incorporação assinado. Para criar o URL correto, é necessário escrever o código para que você possa codificar corretamente o URL com sua chave secreta e gerar outros itens relacionados à segurança. Você encontra vários scripts de amostra no repositório de exemplos de incorporação do GitHub do Looker. As seções a seguir explicam as informações que você precisa fornecer a esses scripts, além de explicar como criar um URL de incorporação assinado sem usar um script.
Como codificar manualmente o URL de incorporação assinado
Para codificar o URL de incorporação assinado, primeiro colete as informações necessárias do Looker e, em seguida, crie o URL de incorporação assinado.
Coleta das informações necessárias do Looker
Para começar a criar seu URL, determine primeiro todas as informações que precisam ser incluídas. Você precisará dos seguintes itens:
Incorporar URL
Recupere o URL do Look, da Análise, da visualização de consulta ou do dashboard que você quer incorporar. Em seguida, remova o domínio e coloque /embed antes do caminho, da seguinte maneira:
| Item | Padrão de URL normal | Incorporar URL |
|---|---|---|
| Look | https://instance_name.looker.com/looks/4 |
/embed/looks/4 |
| Explorar | https://instance_name.looker.com/explore/my_model/my_explore |
/embed/explore/my_model/my_explore |
| Visualização de consultas | https://instance_name.looker.com/explore/my_model/my_explore?qid=1234567890abcdefghij12Os 22 caracteres alfanuméricos que seguem o parâmetro qid= no URL de análise compõem o Query.client_id. O valor Query.client_id é uma string única que representa a consulta e as configurações de visualização.Para incorporar uma visualização de consulta, recupere o valor Query.client_id dela e copie Query.client_id no URL de incorporação.É possível usar a UI Análise do Looker para criar uma consulta com uma visualização compatível e copiar o valor Query.client_id do parâmetro qid=. Também é possível recuperar Query.client_id com a API Looker usando o método Get Query, por exemplo. |
/embed/query-visualization/Query.client_id |
| Painel definido pelo usuário | https://instance_name.looker.com/dashboards/1Inclua os valores de filtro do painel ou, se estiver ocultando os valores, o parâmetro hide_filter no URL do painel. |
|
| Painel legado definido pelo usuário | https://instance_name.looker.com/dashboards-legacy/1 |
/embed/dashboards-legacy/1 |
| dashboard do LookML | https://instance_name.looker.com/dashboards/my_model::my_dashboard |
/embed/dashboards/my_model::my_dashboard |
| Dashboard legado do LookML | https://instance_name.looker.com/dashboards-legacy/my_model::my_dashboard |
/embed/dashboards-legacy/my_model::my_dashboard |
O conteúdo incorporado sempre reflete a versão de produção do conteúdo. As alterações feitas no modo de desenvolvimento que afetam o conteúdo e que não foram implantadas na produção não aparecem em uma incorporação.
Permissões
Um conjunto de permissões define o que um usuário ou grupo pode fazer. As permissões podem ser aplicadas de duas maneiras:
- Específico do modelo:esse tipo de permissão é aplicado apenas aos conjuntos de modelos que fazem parte do mesmo papel.
- Em toda a instância:esse tipo de permissão se aplica à instância do Looker como um todo. Os usuários de incorporação com permissões para toda a instância podem executar determinadas funções em toda a instância do Looker, mas não podem acessar o conteúdo com base em modelos não incluídos no conjunto de modelos dos papéis.
Determine as permissões que você quer que o usuário tenha. A lista a seguir mostra todas as permissões disponíveis para a incorporação assinada. As permissões que não estão na lista a seguir não são compatíveis com a incorporação assinada:
| Permissão | Depende de | Tipo | Definição |
|---|---|---|---|
access_data |
Nenhuma | Específico do modelo | Permite que o usuário acesse os dados (necessário para visualizar Looks, dashboards ou Explores) |
see_lookml_dashboards |
access_data |
Específico do modelo | Permite que o usuário acesse os painéis do LookML |
see_looks |
access_data |
Específico do modelo | Permite que o usuário veja os Looks |
see_user_dashboards |
see_looks |
Específico do modelo | Permite que o usuário veja painéis definidos pelo usuário e procure pastas de uma incorporação |
explore |
see_looks |
Específico do modelo | Permite que o usuário confira as páginas "Explorar" |
create_table_calculations |
explore |
Em toda a instância | Para criar cálculos de tabela em uma Análise |
create_custom_fields |
explore |
Em toda a instância | ADDED 22.4 Necessário para criar campos personalizados em um Explore |
can_create_forecast |
explore |
Em toda a instância | ADDED 22.12 Permite que os usuários criem ou editem previsões nas visualizações. |
save_content |
see_looks |
Em toda a instância | Permite que o usuário faça e salve mudanças em Looks e dashboards |
send_outgoing_webhook |
see_looks |
Específico do modelo | Permite que o usuário programe entregas de conteúdo do Looker em um webhook arbitrário |
send_to_s3 |
see_looks |
Específico do modelo | Permite que o usuário programe envios de conteúdo do Looker para um bucket do Amazon S3 |
send_to_sftp |
see_looks |
Específico do modelo | Permite que o usuário programe envios de conteúdo do Looker para um servidor SFTP |
schedule_look_emails |
see_looks |
Específico do modelo | Permite que o usuário programe envios de conteúdo do Looker para o próprio e-mail (se definido com um atributo de usuário chamado "email") ou para um endereço que esteja dentro das limitações definidas pela lista de permissões de domínios de e-mail. Permite que o usuário com permissões create_alerts envie notificações de alerta para um endereço de e-mail que está dentro das limitações definidas pela lista de permissões de domínios de e-mail. |
schedule_external_look_emails |
schedule_look_emails |
Específico do modelo | Permite que o usuário programe envios de conteúdo do Looker para qualquer domínio de e-mail. Permite que o usuário com permissões do create_alerts envie notificações de alerta para qualquer domínio de e-mail. |
send_to_integration |
see_looks |
Específico do modelo | Permite que o usuário envie conteúdo do Looker para serviços de terceiros integrados ao Looker usando o Looker Action Hub. Essa permissão não está relacionada a ações de dados. |
create_alerts |
see_looks |
Em toda a instância | Permite que o usuário crie alertas nos blocos do painel para receber notificações quando as condições especificadas forem atendidas ou excedidas. Os usuários podem editar, duplicar e excluir os próprios alertas e os alertas Públicos de outros usuários. Se o espaço de trabalho do Slack do usuário não estiver conectado à instância do Looker, o usuário não poderá criar alertas que enviem notificações ao Slack. |
download_with_limit |
see_looks |
Em toda a instância | Permite que o usuário faça o download dos resultados de uma consulta com um limite aplicado |
download_without_limit |
see_looks |
Em toda a instância | Permite que o usuário faça o download dos resultados de uma consulta sem limite aplicado |
see_sql |
see_looks |
Específico do modelo | Permite que o usuário confira o SQL de consultas e os erros de SQL resultantes da execução de consultas |
clear_cache_refresh |
access_data |
Específico do modelo | ADDED 21/14 Os usuários podem limpar o cache e atualizar painéis incorporados, dashboards legados, blocos de painéis, Looks e Explores. |
see_drill_overlay |
access_data |
Específico do modelo | Permite que o usuário faça uma análise detalhada sem precisar acessar a página "Explorar" completa. |
embed_browse_spaces |
Nenhuma | Em toda a instância | Ativa o navegador de conteúdo para que um usuário possa procurar pastas a partir de uma incorporação. Qualquer usuário de incorporação com a permissão embed_browse_spaces recebe acesso a uma pasta de incorporação pessoal e à pasta Compartilhado da sua organização, se houver. A permissão embed_browse_spaces é recomendada para usuários com a permissão save_content. Assim, eles podem procurar pastas ao selecionar onde salvar conteúdo. Para acessar o conteúdo das pastas, o usuário também precisa das permissões see_looks, see_user_dashboards e see_lookml_dashboards. |
embed_save_shared_space |
Nenhuma | Em toda a instância |
ADDED 21.4
Permite que o usuário que também tem a permissão save_content navegue até a pasta Compartilhado da organização, se houver, na caixa de diálogo Salvar. Usuários com a permissão save_content, mas não a embed_save_shared_space, só têm a opção de salvar conteúdo na pasta de incorporação pessoal.A permissão embed_save_shared_space não substitui as permissões de acesso ao conteúdo. Por exemplo, para permitir que o usuário salve na pasta Compartilhado, ele ainda precisa do acesso Gerenciar acesso, edição na pasta Compartilhado. Além disso, a falta da permissão embed_save_shared_space não impede que um usuário que tenha a permissão save_content e o acesso Gerenciar acesso e edição à pasta Compartilhado salve o conteúdo lá se tiver uma maneira alternativa de navegar até a pasta Compartilhado, usando a opção Explorar aqui de um painel incorporado. |
Acesso ao modelo
Determine a quais modelos do LookML o usuário terá acesso. Será apenas uma lista de nomes de modelos.
Atributos do usuário
Determine quais atributos do usuário ele deve ter, se for o caso. Você vai precisar do nome e do valor do atributo do usuário do Looker.
Grupos
Determine a quais grupos o usuário deve pertencer, se for o caso. Você vai precisar dos IDs dos grupos, não dos nomes. Ao adicionar um usuário de incorporação assinado a um grupo do Looker, você pode gerenciar o acesso dele às pastas do Looker. Os usuários da incorporação assinada terão acesso a todas as pastas compartilhadas com membros dos grupos do Looker.
Também é possível usar o parâmetro external_group_id para criar um grupo externo aos grupos normais do Looker. Nesse caso, os usuários de incorporação assinados com o mesmo external_group_id terão acesso a uma pasta compartilhada, chamada "Grupo", que é exclusiva do grupo externo.
Funções incorporadas
Os parâmetros permissions e models criam um papel para o usuário incorporado. Ele aparece como um "Papel incorporado" na página Usuários na seção Administrador do Looker. Se os parâmetros permissions, models e group_ids forem especificados no URL incorporado, o papel incorporado será aditivo aos papéis já atribuídos aos grupos listados no parâmetro group_ids. Isso é o mesmo que os papéis padrão, porque todos os papéis no Looker são aditivos.
Por exemplo, digamos que você tenha um grupo no Looker com o ID 1, que já tenha a permissão explore para um modelo chamado model_one, e você crie um URL de incorporação com os seguintes parâmetros:
group_ids=["1"]permissions=["access_data","see_looks"]models=["model_two"]
Nesse caso, o usuário incorporado herda a capacidade de visualizar e explorar os dados em model_one, e o papel de incorporação criado com os parâmetros anteriores também concede a capacidade de visualizar os dados em model_two.
Como criar o URL de incorporação
Um URL de incorporação assinado tem este formato:
https://HOSThttps://URL INCORPORADOhttps://PARÂMETROShttps://ASSINATURA
Host
O host é o local onde sua instância do Looker está sendo hospedada. Por exemplo, analytics.mycompany.com. Inclua o número da porta, como analytics.mycompany.com:9999, caso não tenha ativado o encaminhamento de portas.
Incorporar URL
O URL de incorporação foi determinado anteriormente. Ele terá um formato como:
/embed/looks/4/embed/explore/my_model/my_explore/embed/query-visualization/Query.client_id/embed/dashboards/1ou/embed/dashboards-legacy/1/embed/dashboards/my_model::my_dashboardou/embed/dashboards-legacy/my_model::my_dashboard
Isso significa que o padrão /embed//embed/ vai aparecer no seu URL final. Essa informação está correta.
Se você estiver usando eventos JavaScript incorporados, adicione um embed_domain (o domínio onde o iframe está sendo usado) ao final do URL de incorporação, desta forma:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com
O embed_domain é adicionado após o URL de incorporação e antes de qualquer parâmetro. Portanto, se você tivesse parâmetros existentes, como nonce=626, a adição de embed_domain ficaria assim:
/embed/looks/4?nonce=626
/embed/looks/4?embed_domain=https://mywebsite.com?nonce=626
Se você estiver usando o SDK de incorporação, adicione embed_domain e também inclua sdk=2 no final do URL de incorporação, desta forma:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com&sdk=2
Com o parâmetro sdk=2, o Looker consegue identificar que o SDK está presente e aproveitar os recursos extras fornecidos pelo SDK. O SDK não pode adicionar esse parâmetro porque ele faz parte do URL assinado.
Parâmetros
Os seguintes parâmetros de URL são usados para especificar as informações necessárias para a incorporação assinada:
| Parâmetro | Valor padrão | Descrição | Tipo de dados | Exemplo |
|---|---|---|---|---|
nonce |
Valor obrigatório | Qualquer string aleatória que quiser, mas não pode ser repetida dentro de uma hora e precisa ter menos de 255 caracteres.Isso impede que um invasor reenvie o URL de um usuário legítimo para coletar informações que ele não deveria ter. | String JSON | "22b1ee700ef3dc2f500fb7" |
time |
Valor obrigatório | A hora atual como um carimbo de data/hora UNIX. | Inteiro | 1407876784 |
session_length |
Valor obrigatório | Tempo que o usuário precisa permanecer conectado ao Looker, entre 0 e 2.592.000 segundos (30 dias). | Inteiro | 86400 |
external_user_id |
Valor obrigatório | Um identificador para cada usuário no aplicativo que está incorporando o Looker. O Looker usa external_user_id para diferenciar os usuários incorporados assinados. Portanto, cada usuário precisa ter um ID exclusivo atribuído a eles.Você pode criar uma external_user_id para um usuário com qualquer string que quiser, desde que ela seja exclusiva para esse usuário. Cada ID é associado a um conjunto de permissões, atributos de usuário e modelos. Um navegador é compatível com apenas uma external_user_id ou sessão de usuário por vez. Nenhuma alteração pode ser feita nas permissões ou nos atributos do usuário durante a sessão.Por motivos de segurança, verifique se você não está usando o mesmo external_user_id em diferentes sessões de incorporação para usuários interativos distintos e se não está usando o mesmo external_user_id para um único usuário que tenha permissões, valores de atributos do usuário ou acessos a modelos diferentes.Usar o mesmo external_user_id para vários usuários ou para o mesmo usuário com diversas permissões, atributos de usuário ou conjuntos de modelos pode fazer com que os dados fiquem visíveis para usuários que, de outra forma, não teriam acesso a eles. |
String JSON | "user-4" |
permissions |
Valor obrigatório | A lista de permissões que o usuário deve ter.Consulte a lista de permissões permitidas na seção Permissões desta página. | Matriz de strings | [ "access_data", "see_looks"] |
models |
Valor obrigatório | A lista de nomes de modelos a que o usuário terá acesso. | Matriz de strings | [ "model_one", "model_two"] |
group_ids |
[] | A lista de grupos do Looker de que o usuário deve participar, se houver. Use IDs de grupos em vez de nomes de grupos. | Matriz de strings | ["4", "3"] |
external_group_id |
"" | Um identificador exclusivo do grupo a que o usuário pertence no aplicativo que está incorporando o Looker, se desejado.Os usuários que tiverem permissão para salvar conteúdo e compartilhar um ID de grupo externo poderão salvar e editar conteúdo em uma pasta compartilhada do Looker chamada "Grupo". O parâmetro external_group_id é o único método disponível para criar grupos externos de usuários incorporados. Não é possível configurar grupos de usuários incorporados externos na interface do Looker. |
String JSON | "Accounting" |
user_attributes |
{} | A lista de atributos do usuário que ele deve ter, se houver. Contém uma lista de nomes de atributos do usuário seguidos pelo valor do atributo do usuário.Se o modelo LookML estiver localizado, será possível usar o atributo de usuário locale no URL de incorporação para especificar um idioma. Por exemplo, incluir o parâmetro user_attributes { "locale" : "fr_FR" } faria com que a incorporação carregue o francês como idioma. |
Hash de strings | { "vendor_id" : "17", "company" : "xactness"} |
access_filters |
Valor obrigatório | No Looker 3.10, esse parâmetro foi removido, mas ainda é obrigatório no URL. Use access_filters com um marcador vazio, por exemplo, access_filters={}. |
Marcador de posição vazio | {} |
first_name |
"" | O nome do usuário. Se deixado em branco, first_name vai manter o valor da última solicitação ou vai ser "Incorporar" se nenhum nome tiver sido definido. |
String JSON | "Alice" |
last_name |
"" | O sobrenome do usuário. Se deixado em branco, last_name manterá o valor da última solicitação ou será "Incorporar" se nenhum sobrenome tiver sido definido. |
String JSON | "Jones" |
user_timezone |
"" | Se você tiver ativado Fusos horários específicos do usuário, defina o valor da opção Fuso horário do espectador no menu suspenso Fuso horário no Look ou no dashboard incorporado. Esse parâmetro não altera diretamente o fuso horário no qual o conteúdo é exibido; o usuário precisará selecionar um fuso horário no menu suspenso.Veja os valores válidos na página de documentação Referência de fuso horário de incorporação assinada.Dica para a equipe do chat:se quiser que o conteúdo incorporado seja padrão para o fuso horário do espectador, use um dos seguintes métodos:?query_timezone=user_timezone ao URL de incorporação. Exemplo:/embed/dashboards/1?query_timezone=user_timezone |
String JSON ou nulo | "US/Pacific"- ou -null |
force_logout_login |
Valor obrigatório | Se um usuário normal já tiver feito login no Looker e encontrar um item incorporado assinado, você vai poder escolher se:1) ele precisa conferir o item com as credenciais atuaisou2) Saia e faça login novamente com as credenciais de incorporação assinadas. | Booleano (verdadeiro ou falso) | true |
Assinatura
Para gerar a assinatura, siga estas etapas.
- Reúna os seguintes valores de parâmetro nesta ordem:
- Host, seguido por
login/embed/(por exemplo,analytics.mycompany.com/login/embed/) - Incorporar URL
- Valor de uso único
- Hora atual
- Duração da sessão
- ID do usuário externo
- Permissões
- Modelos
- IDs de grupos
- ID do grupo externo
- Atributos do usuário
- Filtros de acesso (exige um marcador vazio)
- Host, seguido por
- Formatar todos os valores diferentes de Host e URL incorporado como JSON
- Concatenar os valores com quebras de linha (
\n) - Assinar o HMAC na string concatenada com sua chave secreta de incorporação do Looker
Codificação
A etapa final é codificar seu URL.
Antes de codificar o URL, um URL de incorporação formatado corretamente e que usa todos os parâmetros possíveis pode ter esta aparência:
https://analytics.mycompany.com/login/embed//embed/dashboards/1?
nonce="22b1ee700ef3dc2f500fb7"&
time=1407876784&
session_length=86400&
external_user_id="user-4"&
permissions=["access_data","see_user_dashboards","see_looks"]&
models=["model_one","model_two"]&
group_ids=[4,3]&
external_group_id="Allegra K"&
user_attributes={"vendor_id":"17","company":"xactness"}&
access_filters={}&
first_name="Alice"&
last_name="Jones"&
user_timezone="US/Pacific"&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
Conforme observado anteriormente, /embed//embed/ aparece corretamente no URL.
Depois de codificar o URL, ele ficará assim:
https://analytics.mycompany.com/login/embed/%2embed%2Fdashboards%2F1?
nonce=%2222b1ee700ef3dc2f500fb7&%22&
time=1407876784&
session_length=86400&
external_user_id=%22user-4%22&
permissions=%5B%22access_data%22%2C%22see_user_dashboards%22%2C%22see_looks%22%5D&
models=%5B%22model_one%22%2C%22model_two%22%5D&
group_ids=%5B4%2C3%5D&
external_group_id=%22Allegra%20K%22&
user_attributes=%7B%22vendor_id%22%3A%2217%22%2C%22company%22%3A%22xactness%22%7D&
access_filters%7B%7D%26%0A
first_name=%22Alice%22&
last_name=%22Jones%22&
user_timezone=%22US%2FPacific%22&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
Como usar o endpoint de API "Create Signed Embed Url"
A API Looker inclui o endpoint Create Signed Embed Url, que usa um conjunto de parâmetros de incorporação assinados que inclui o URL do conteúdo que você quer incorporar e retorna um URL completo, codificado e criptograficamente assinado.
Para usar esse endpoint de API em um servidor da Web, o servidor precisa fazer a autenticação na API Looker com privilégios de administrador. O domínio do servidor da Web também precisa estar na Lista de permissões de domínios incorporados.
Também é possível usar o API Explorer para gerar um URL assinado que usa esse endpoint. É possível instalar o APIs Explorer na sua instância do Looker pelo Marketplace do Looker. Depois de gerado, o URL assinado precisa ser copiado e usado apenas uma vez. Caso contrário, ocorrerá uma falha. O APIs Explorer também é útil para gerar um URL assinado e compará-lo a um URL assinado criado manualmente para fins de solução de problemas.
Para mais informações sobre a API Looker, consulte a página de documentação Introdução à API Looker.
Como testar o URL de incorporação
Para testar o URL final, cole-o no validador de URI de incorporação na página Incorporar da seção Administrador do Looker. Embora essa opção não informe se os dados e as permissões que você imagina foram configurados corretamente, ela pode validar se a autenticação está funcionando.