Impostazioni amministratore - Autenticazione a due fattori

Looker fornisce l'autenticazione a due fattori (2FA) come ulteriore livello di sicurezza per proteggere i dati accessibili tramite Looker. Con la 2FA attivata, ogni utente che esegue l'accesso deve autenticarsi con un codice monouso generato dal proprio dispositivo mobile. Non è disponibile un'opzione per attivare la 2FA per un sottoinsieme di utenti.

La pagina Autenticazione a due fattori nella sezione Autenticazione del menu Amministrazione consente di attivare e configurare la 2FA.

Utilizzare l'autenticazione a due fattori

Di seguito è riportato il flusso di lavoro di alto livello per configurare e utilizzare la 2FA. Tieni presente i requisiti di sincronizzazione dell'ora, necessari per il corretto funzionamento della 2FA.

  1. L'amministratore attiva la 2FA nelle impostazioni di amministrazione di Looker.

    Quando attivi la 2FA, tutti gli utenti che hanno eseguito l'accesso a Looker verranno disconnessi e dovranno accedere di nuovo utilizzando la 2FA.

  2. I singoli utenti installano l'app Google Authenticator per iPhone o l'app per Android sui propri dispositivi mobili.

  3. Al primo accesso, l'utente vedrà un'immagine di un codice QR sullo schermo del computer, che dovrà scansionare con il telefono utilizzando l'app Google Authenticator.

    Se l'utente non riesce a scansionare un codice QR con il telefono, è disponibile anche un'opzione per generare un codice di testo che può inserire sul telefono.

    Dopo aver completato questo passaggio, gli utenti potranno generare chiavi di autenticazione per Looker.

  4. Nei successivi accessi a Looker, l'utente dovrà inserire una chiave di autenticazione dopo aver inserito il nome utente e la password.

    Se un utente attiva l'opzione Questo è un computer attendibile, la chiave autentica il browser di accesso per un periodo di 30 giorni. Durante questo periodo, l'utente può accedere solo con nome utente e password. Ogni 30 giorni, Looker richiede a ogni utente di autenticare di nuovo il browser con Google Authenticator.

Requisiti di sincronizzazione dell'ora

Google Authenticator genera token basati sul tempo, che richiedono la sincronizzazione dell'ora tra il server Looker e ogni dispositivo mobile per il corretto funzionamento dei token. Se il server Looker e un dispositivo mobile non sono sincronizzati, l'utente del dispositivo mobile potrebbe non essere in grado di autenticarsi con la 2FA. Per sincronizzare le origini dell'ora:

  • Imposta i dispositivi mobili per la sincronizzazione automatica dell'ora con la rete.
  • Per le implementazioni di Looker ospitate dal cliente, assicurati che NTP sia in esecuzione e configurato sul server. Se il server viene sottoposto a provisioning su AWS, potrebbe essere necessario consentire esplicitamente NTP nell'ACL di rete AWS.
  • Un amministratore di Looker può impostare la deviazione temporale massima consentita nel pannello Amministrazione di Looker, che definisce la differenza consentita tra il server e i dispositivi mobili. Se l'impostazione dell'ora di un dispositivo mobile è disattivata di più della deviazione consentita, le chiavi di autenticazione non funzioneranno. Il valore predefinito è 90 secondi.

Reimpostare l'autenticazione a due fattori

Se un utente deve reimpostare la 2FA (ad esempio, se ha un nuovo dispositivo mobile):

  1. Nella pagina Utenti della sezione Amministrazione di Looker, fai clic su Modifica sul lato destro della riga dell'utente per modificare le informazioni dell'account dell'utente.
  2. Nella sezione Segreto a due fattori, fai clic su Reimposta. In questo modo, Looker chiederà all'utente di scansionare di nuovo un codice QR con l'app Google Authenticator al successivo tentativo di accesso all'istanza di Looker.

Considerazioni

Quando configuri l'autenticazione a due fattori, tieni presente le seguenti considerazioni: