Configurações de administrador: autenticação do Google

A página Autenticação do Google na seção Autenticação do menu Admin permite configurar o OAuth do Google no Looker.

Visão geral do recurso

O Looker pode realizar a autenticação usando o OAuth do Google para usuários que têm contas registradas no Google Workspace.

• As organizações que usam o Google Workspace podem autenticar usuários do Looker que têm Contas do Google.
• Os usuários fazem login no Looker autenticando com a Conta do Google.
• As novas Contas do Google recebem acesso automático ao Looker. Não é necessário convidar usuários separadamente para o Looker. Você define o papel padrão para novos usuários, o que pode limitar o acesso deles a funcionalidades e dados.
• Quando ativado, o Looker autentica os usuários somente com o OAuth do Google a menos que a opção "login alternativo" seja selecionada (consulte a seção a seguir sobre como ativar logins por e-mail enquanto o Google Auth está ativado).
• O avatar do Google de um usuário aparece na barra de navegação em vez do símbolo de usuário padrão.

• Ao ativar o OAuth do Google, a instância do Looker pode mesclar contas de usuário atuais com o domínio registrado no Google, mas apenas para contas cujo endereço de e-mail corresponda ao domínio. Todas as outras contas não administrativas vão perder a capacidade de fazer login.
• Todos os usuários no domínio especificado têm acesso à instância do Looker.
• As permissões para novos usuários do Google são definidas como acesso básico para uma lista especificada de modelos (que podem, opcionalmente, ser acesso a zero modelos). As permissões podem ser atualizadas por um administrador após a criação da conta.
• As novas contas do Looker que são autenticadas usando o OAuth do Google não podem mudar para a autenticação por senha, mesmo que o OAuth esteja desativado para a instância do Looker.

Requisitos preliminares

Para usar o OAuth do Google, é necessário:

• Uma conta do Google Workspace para a organização.
• Um domínio controlado pela organização e registrado na conta do Google Workspace.
• Usuários com endereços de e-mail no domínio associado à Conta do Google.
• Cada usuário precisa ter uma conta de usuário gerenciada no Google Workspace. Para encontrar e migrar usuários com contas de usuário não gerenciadas, use a Ferramenta de transferência de usuários não gerenciados.

Como ativar a autenticação com o OAuth do Google

Para ativar a autenticação com o OAuth do Google, um administrador precisa realizar etapas no Google e no Looker, conforme descrito nas seções a seguir.

Configuração no Google

As etapas para ativar o OAuth do Google no Google são descritas nesta seção. A descrição genérica dessas etapas está na página de suporte do Google sobre como configurar o OAuth 2.0. Você também pode consultar a documentação de ajuda do Google Cloud console.

1. Acesse o Google Cloud console.

2. Clique na seta para baixo no menu suspenso Selecionar um projeto. Você pode ver o nome de um projeto atual no menu suspenso. Clique na seta para baixo mesmo assim, e ela vai levar você à opção de criar um novo projeto.

3. Na página Selecionar um projeto, clique em Novo projeto.

   O Google mostra a página Novo projeto.

4. Preencha as informações na página Novo projeto e clique em Criar.

   Quando o Google terminar de criar seu novo projeto, ele vai retornar você ao Google Cloud console e mostrar seu novo projeto.

5. No menu à esquerda, selecione APIs e serviços > Credenciais.

6. Na página Credenciais , clique no botão Criar credenciais e selecione ID do cliente OAuth no menu suspenso.

   O Google mostra a página Criar ID do cliente OAuth.

7. O Google exige que você configure uma tela de consentimento OAuth, que permite que os usuários escolham como conceder acesso aos dados particulares e fornece um link para os Termos de Serviço e a Política de Privacidade da sua organização. Clique em Configurar tela de permissão. Se você já tiver configurado a permissão OAuth para um projeto anterior, essa opção não vai aparecer, e você poderá pular para a etapa 13.

   O Google mostra a página Tela de permissão OAuth.

8. Insira o domínio da sua instância do Looker no campo Domínios autorizados. Por exemplo, se o Looker hospedar sua instância em https://mycompany.looker.com, o domínio será looker.com. Para implantações do Looker hospedadas pelo cliente, insira o domínio em que você hospeda o Looker.

9. Configure a tela de permissão OAuth e clique em Salvar e continuar.

10. Na página Escopos, clique em Salvar e continuar. Nenhuma outra configuração de escopo é necessária.

11. Na página Resumo, clique em Voltar ao painel.

    O Google retorna você à página Criar ID do cliente OAuth.

12. Em Tipo de aplicativo, selecione Aplicativo da Web.

13. No campo Nome, insira um nome para o ID do cliente OAuth.

14. No campo Origens JavaScript autorizadas, insira o URL da instância do Looker, incluindo https://. Exemplo:

    • Se o Looker hospedar sua instância: https://mycompany.looker.com
    • Se você tiver uma instância do Looker hospedada pelo cliente: https://looker.mycompany.com
    • Se a instância do Looker exigir um número de porta: https://looker.mycompany.com:9999

15. No campo URIs de redirecionamento autorizados, insira o URL da instância do Looker, seguido por /oauth2callback. Por exemplo: https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

16. Clique em Criar.

17. Copie os valores do ID do cliente e da chave secreta do cliente. Eles serão necessários para configurar o Looker.

Configuração no Looker

Para ativar o OAuth do Google no Looker, siga estas etapas.

1. No aplicativo Looker, enquanto estiver conectado como administrador, clique no menu suspenso Admin para abrir o menu Admin.

2. No grupo Autenticação, clique em Google. O Looker mostra a página Autenticação do Google.

3. Clique em Ativado para mostrar e editar as configurações do OAuth do Google. Isso não ativa imediatamente a autenticação do Google. Você precisa confirmar sua escolha mais tarde.

4. Insira suas configurações do Google Auth.

   • ID do cliente e chave secreta do cliente : copie e cole esses valores da página Cliente OAuth do Google, conforme discutido nas instruções de configuração do Google anteriores.
   • Domínios : os nomes de domínio gerenciados pelo Google da sua organização. Qualquer usuário do Google no domínio especificado pode fazer login na instância do Looker. Se você controlar vários domínios do Google, poderá inseri-los separados por vírgulas.

5. Insira as opções de migração, que controlam o comportamento da instância do Looker durante a transição para o OAuth do Google.

   • Login alternativo para administradores : permite que os administradores continuem fazendo login com e-mail e senha, o que é um fallback útil em caso de problemas na configuração do OAuth do Google. Essa configuração é recomendada e descrita com mais detalhes em Como ativar logins por e-mail enquanto o Google Auth está ativado.
   • Mesclar por e-mail : converte todos os usuários atuais com endereços de e-mail nos domínios especificados para usar o OAuth do Google no próximo login. Essa configuração é recomendada.
   • Funções para novos usuários : especifica a funcionalidade e o acesso ao modelo que os novos usuários não administrativos têm. Essa lista pode ser atualizada mais tarde. Se deixado em branco, os novos usuários autenticados pelo Google terão funcionalidade limitada na plataforma Looker até que um administrador adicione um papel à conta deles. Como todos os usuários no seu domínio do Google poderão fazer login no Looker, considere especificar um papel padrão para novos usuários que limite o acesso de maneira adequada.

6. Clique em Testar a autenticação do Google para usar as configurações atuais e tentar autenticar o navegador atual em uma nova janela. Essa ação não salva as configurações atuais nem as aplica à instância do Looker.

   Se você não estiver conectado ao Google, será solicitado que faça login e peça permissão para usar as informações da sua Conta do Google. Esse fluxo usa as configurações personalizadas da tela de permissão que você usou na configuração do Google.

   Após a conclusão, uma seção Informações do usuário é mostrada com seu nome, e-mail e domínio. A presença dessa seção Informações do usuário mostra que esse usuário seria autenticado com sucesso pelo Looker.

   Em caso de falha, as descrições de erro aparecem. Confira alguns problemas comuns:

   • ID do cliente ou chave secreta do cliente copiados incorretamente. Eles precisam ser copiados e colados com cuidado e na íntegra.
   • O usuário está fora do domínio. Se você vir uma seção Informações da pessoa, mas não Informações do usuário, provavelmente é porque o usuário não está no domínio especificado. Isso mostra que a pessoa se autenticou corretamente no Google, mas não está usando uma Conta do Google que você escolheu para permitir na instância do Looker.
   • Um URL do Looker ou de redirecionamento não está configurado corretamente no Google para sua instância do Looker.

7. Para salvar e aplicar as mudanças, marque Confirmei a configuração acima e quero ativar a aplicação global dela. Clique em Atualizar.

Dicas

• Para testar o ciclo de autenticação completo, você pode sair do Google e ver que o Google solicita que você faça login novamente ao tentar fazer login no Looker.

• No Google, você pode clicar em Conta no menu suspenso pessoal (ao lado do seu endereço de e-mail no canto superior direito de uma página do Google Workspace) para gerenciar sua conta pessoal.

  Nessa página de gerenciamento, há uma guia Segurança com uma seção Permissões da conta. Ao clicar em Apps e sites Ver tudo , você (como usuário) pode ver e gerenciar os serviços e apps aos quais concedeu permissões.

  Ao clicar nas permissões do Looker que você concedeu para fazer login, os detalhes que os usuários veem na tela de permissão que você personalizou anteriormente são mostrados. Você também pode clicar em Revogar acesso para que, na próxima vez que fizer login no Looker (ou testar a autorização), a tela de permissão seja exibida novamente. Você pode usar esse fluxo de trabalho para personalizar a tela de permissão e ver o que os usuários vão ver.

Solução de problemas

• Se a tentativa de login de um usuário falhar, primeiro verifique se o usuário tem um nome e um sobrenome nas Contas do Google. Se o usuário tiver excluído o nome ou o sobrenome da Conta do Google, o Looker poderá não conseguir autenticar o usuário com o OAuth do Google.

• Se a tentativa de login de um usuário falhar e o Looker mostrar um erro como User not in the authorized domain, verifique o campo hd da resposta JSON. Se o campo hd contiver um domínio, verifique se ele está registrado na sua conta do Google Workspace. Se o campo hd estiver vazio, use a Ferramenta de transferência de usuários não gerenciados para convidar o usuário a converter a conta em uma conta gerenciada no seu domínio.

• Se a tentativa de login de um usuário falhar, mas o Looker não mostrar uma mensagem de erro, o usuário poderá ter editado o nome da conta do Google Workspace e excluído o nome ou o sobrenome. Nessa situação, o nome da conta do Google Workspace ainda pode parecer completo no Admin Console, que pode não mostrar as edições do usuário. Para evitar esse problema, os administradores do Google Workspace podem desativar a opção Permitir que os usuários personalizem essa configuração.

Como ativar logins por e-mail enquanto o Google Auth está ativado

As novas Contas do Google recebem acesso automático ao Looker. Portanto, não é necessário adicionar usuários que estão no seu domínio do Google.

Para adicionar um usuário com um endereço de e-mail que não está no seu domínio do Google:

1. Ative a opção Login alternativo para administradores e usuários especificados na página do Google Auth.
2. Crie ou modifique um função do usuário atual para adicionar a permissão login_special_email.
3. Acesse Adicionar usuários no painel de usuários (/admin/users/new).
4. Adicione os endereços de e-mail que você quer incluir e os papéis que esses usuários precisam ter, que precisam incluir um papel com a permissão login_special_email.
5. Esses usuários agora podem fazer login usando https://mycompany.looker.com/login/email (URL oculto).

Como desativar o Google Auth depois de ativado

Se você quiser desativar a autenticação do Google para sua instância do Looker depois que ela já tiver sido ativada, há algumas coisas a considerar:

• Os usuários que foram criados antes da adição da autenticação do Google e já configuraram um login e senha de e-mail normais ainda vão funcionar.
• Os usuários que foram criados depois da adição da autenticação do Google não poderão mais fazer login. Embora as contas deles ainda existam, elas não têm como acessá-las, e as contas são efetivamente órfãs.

É por isso que sugerimos evitar esse caminho. Se você precisar seguir esse caminho, talvez haja um método para corrigir as contas órfãs usando a API Looker. Entre em contato com o suporte do Looker para mais orientações.