Administratoreinstellungen – Google-Authentifizierung

Auf der Seite Google-Authentifizierung im Bereich Authentifizierung des Menüs Verwaltung können Sie Google OAuth auf der Looker-Seite einrichten.

Funktionsübersicht

Looker kann die Authentifizierung mit Google OAuth für Nutzer durchführen, die Konten bei Google Google Workspace registriert haben.

  • Organisationen, die Google Google Workspace verwenden, können Looker-Nutzer authentifizieren, die Google-Konten haben.
  • Nutzer melden sich in Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Nutzer müssen nicht separat zu Looker eingeladen werden. Sie legen die Standardrolle für neue Nutzer fest, wodurch ihr Zugriff auf Funktionen und Daten eingeschränkt werden kann.
  • Wenn diese Option aktiviert ist, authentifiziert Looker Nutzer nur mit Google OAuth, es sei denn , die Option "Alternative Anmeldung" ist ausgewählt. Weitere Informationen finden Sie im folgenden Abschnitt E‑Mail-Anmeldungen aktivieren, wenn die Google-Authentifizierung aktiviert ist.
  • Statt des Standardsymbols für Nutzer wird in der Navigationsleiste der Google-Avatar eines Nutzers angezeigt.
  • Wenn Sie Google OAuth aktivieren, kann die Looker-Instanz vorhandene Nutzerkonten mit der bei Google registrierten Domain zusammenführen. Das gilt jedoch nur für Konten, deren E‑Mail-Adresse mit der Domain übereinstimmt. Alle anderen Nicht-Administrator-Konten verlieren die Möglichkeit, sich anzumelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • Die Berechtigungen für neue Google-Nutzer sind standardmäßig auf den grundlegenden Zugriff für eine bestimmte Liste von Modellen festgelegt. Optional kann der Zugriff auch auf null Modelle beschränkt werden. Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Neue Looker-Konten, die sich mit Google OAuth authentifizieren, können nicht zur Passwortauthentifizierung wechseln, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorläufige Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

  • Ein Google Workspace-Konto für die Organisation.
  • Eine von der Organisation kontrollierte Domain, die für das Google Google Workspace-Konto registriert ist.
  • Nutzer mit E‑Mail-Adressen in der Domain, die mit dem Google-Konto verknüpft sind.
  • Jeder Nutzer muss ein verwaltetes Nutzerkonto in Google Google Workspace haben. Verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um Nutzer mit nicht verwalteten Nutzerkonten zu finden und zu migrieren.

Authentifizierung mit Google OAuth aktivieren

Um die Authentifizierung mit Google OAuth zu aktivieren, muss ein Administrator sowohl auf der Google-Seite als auch auf der Looker-Seite Schritte ausführen, wie in den folgenden Abschnitten beschrieben.

Einrichtung auf der Google-Seite

In diesem Abschnitt werden die Schritte zum Aktivieren von Google OAuth auf der Google-Seite beschrieben. Die allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0. Sie können auch die Google Cloud Console-Hilfedokumentation aufrufen.

  1. Rufen Sie die Google Cloud Console auf.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Pfeil nach unten. Möglicherweise sehen Sie im Drop-down-Menü den Namen eines vorhandenen Projekts. Klicken Sie trotzdem auf den Pfeil nach unten, um die Option zum Erstellen eines neuen Projekts aufzurufen.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    In der Google Cloud Console wird die Seite Neues Projekt angezeigt.

  4. Geben Sie die Informationen auf der Seite Neues Projekt ein und klicken Sie auf Erstellen.

    Wenn die Google Cloud Console das neue Projekt erstellt hat, werden Sie zurück zur Google Cloud Console geleitet und Ihr neues Projekt wird angezeigt.

  5. Wählen Sie im Menü auf der linken Seite APIs und Dienste > Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü OAuth-Client-ID aus.

    In der Google Cloud Console wird die Seite OAuth-Client-ID erstellen angezeigt.

  7. In der Google Cloud Console müssen Sie einen OAuth-Zustimmungsbildschirm konfigurieren, auf dem Nutzer festlegen können, wie sie Zugriff auf ihre privaten Daten gewähren, und einen Link zu den Nutzungsbedingungen und der Datenschutzerklärung Ihrer Organisation finden. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie die OAuth-Zustimmung für ein vorheriges Projekt konfiguriert haben, wird diese Option nicht angezeigt und Sie können mit Schritt 13 fortfahren.

    In der Google Cloud Console wird die Seite OAuth-Zustimmungsbildschirm angezeigt.

  8. Geben Sie die Domain Ihrer Looker-Instanz in das Feld Autorisierte Domains ein. Wenn Looker Ihre Instanz beispielsweise unter https://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

  10. Klicken Sie auf der Seite Bereiche auf Speichern und fortfahren. Es ist keine zusätzliche Bereichskonfiguration erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Sie werden in der Google Cloud Console zur Seite OAuth-Client-ID erstellen zurückgeleitet.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie im Feld Name einen Namen für Ihre OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL zu Ihrer Looker-Instanz ein, einschließlich https://. Beispiel:

    • Wenn Looker Ihre Instanz hostet: https://mycompany.looker.com
    • Wenn die Looker-Instanz vom Kunden gehostet wird: https://looker.mycompany.com
    • Wenn die Looker-Instanz eine Portnummer erfordert: https://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL zu Ihrer Looker-Instanz gefolgt von /oauth2callback ein. Beispiel: https://mycompany.looker.com/oauth2callback oder https://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte für Client-ID und Clientschlüssel. Sie benötigen sie, um Looker zu konfigurieren.

Einrichtung auf der Looker-Seite

Führen Sie die folgenden Schritte aus, um Google OAuth auf der Looker-Seite zu aktivieren.

  1. Klicken Sie in der Looker-Anwendung, während Sie als Administrator angemeldet sind, auf das Drop-down-Menü Verwaltung , um das Menü Verwaltung zu öffnen.

  2. Klicken Sie unter der Gruppe Authentifizierung auf Google. In Looker wird die Seite Google-Authentifizierung angezeigt.

  3. Klicken Sie auf Aktiviert , um die Google OAuth-Einstellungen anzuzeigen und zu bearbeiten. Dadurch wird die Google-Authentifizierung nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.

  4. Geben Sie die Google-Authentifizierungseinstellungen ein.

    • Client-ID und Clientschlüssel : Kopieren Sie diese Werte von der Seite OAuth-Client von Google und fügen Sie sie ein, wie in der vorherigen Google-Einrichtungsanleitung beschrieben.
    • Domains : Die von Google verwalteten Domainnamen Ihrer Organisation. Jeder Google-Nutzer in der angegebenen Domain kann sich in Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie sie durch Kommas getrennt eingeben.

  5. Geben Sie die Migrationsoptionen ein, die das Verhalten der Looker-Instanz während der Umstellung auf Google OAuth steuern.

    • Alternative Anmeldung für Administratoren : Ermöglicht Administratoren, sich weiterhin mit E‑Mail-Adresse und Passwort anzumelden. Dies ist ein nützliches Fallback, falls Probleme bei der Einrichtung von Google OAuth auftreten. Diese Einstellung wird empfohlen und ist unter E‑Mail-Anmeldungen aktivieren, wenn die Google-Authentifizierung aktiviert ist beschrieben.
    • Zusammenführen nach E‑Mail-Adresse : Wandelt alle vorhandenen Nutzer mit E‑Mail-Adressen in den angegebenen Domains bei der nächsten Anmeldung in Google OAuth um. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer : Gibt die Funktionen und den Modellzugriff an, die neue Nutzer ohne Administratorrechte haben. Diese Liste kann später aktualisiert werden. Wenn das Feld leer bleibt, haben neue Google-authentifizierte Nutzer nur eingeschränkte Funktionen in der Looker-Plattform, bis ein Administrator ihrem Konto eine Rolle hinzufügt. Da sich alle Nutzer in Ihrer Google-Domain in Looker anmelden können, sollten Sie eine Standardrolle für neue Nutzer festlegen, die den Zugriff entsprechend einschränkt.

  6. Klicken Sie auf Google-Authentifizierung testen , um die aktuellen Einstellungen zu verwenden und zu versuchen, den aktuellen Browser in einem neuen Fenster zu authentifizieren. Bei dieser Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht in Google angemeldet sind, werden Sie aufgefordert, sich anzumelden und der Verwendung Ihrer Google-Kontoinformationen zuzustimmen. Dieser Ablauf verwendet die benutzerdefinierten Einstellungen für den Zustimmungsbildschirm , die Sie bei der Einrichtung auf der Google-Seite verwendet haben.

    Wenn der Vorgang erfolgreich war, wird ein Abschnitt Nutzerinformationen mit Ihrem Namen, Ihrer E‑Mail-Adresse und Ihrer Domain angezeigt. Das Vorhandensein dieses Abschnitts Nutzerinformationen zeigt, dass dieser Nutzer von Looker authentifiziert werden würde.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Einige häufige Probleme sind:

    • Client-ID oder Clientschlüssel falsch kopiert. Diese müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Nutzer außerhalb der Domain. Wenn Sie einen Abschnitt Personeninformationen , aber keinen Abschnitt Nutzerinformationen sehen, liegt das wahrscheinlich daran, dass sich der Nutzer nicht in der von Ihnen angegebenen Domain befindet. Das zeigt, dass sich die Person korrekt bei Google authentifiziert hat, aber kein Google-Konto verwendet, das Sie für Ihre Looker-Instanz zugelassen haben.
    • Eine Looker-URL oder Weiterleitungs-URL ist in Google für Ihre Looker-Instanz nicht korrekt eingerichtet.

  7. Wenn Sie Änderungen speichern und anwenden möchten, markieren Sie das Kästchen Ich habe die obige Konfiguration bestätigt und möchte sie global anwenden. Klicken Sie auf Aktualisieren.

Tipps

  • Wenn Sie den vollständigen Authentifizierungszyklus testen möchten, können Sie sich von Google abmelden. Wenn Sie versuchen, sich in Looker anzumelden, werden Sie von Google aufgefordert, sich noch einmal anzumelden.

  • In Google können Sie im Drop-down-Menü für persönliche Konten (neben Ihrer E‑Mail-Adresse oben rechts auf einer Google Google Workspace-Seite) auf Konto klicken, um Ihr persönliches Konto zu verwalten.

    Auf dieser Verwaltungsseite gibt es den Tab Sicherheit mit dem Abschnitt Kontoberechtigungen. Wenn Sie als Nutzer auf Apps und Websites Alle ansehen klicken, können Sie die Dienste und Apps sehen und verwalten, denen Sie Berechtigungen gewährt haben.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie für die Anmeldung gewährt haben, werden die Details angezeigt, die Nutzer auf dem zuvor angepassten Zustimmungsbildschirm sehen. Sie können auch auf Zugriff widerrufen klicken, damit Sie bei der nächsten Anmeldung in Looker (oder beim Testen der Autorisierung) noch einmal aufgefordert werden, dem Zustimmungsbildschirm zuzustimmen. Mit diesem Workflow können Sie den Zustimmungsbildschirm anpassen und sehen, was Nutzer sehen.

Fehlerbehebung

  • Wenn die Anmeldung eines Nutzers fehlschlägt, prüfen Sie zuerst, ob der Nutzer in seinen Google-Konten einen Vor- und Nachnamen hat. Wenn der Nutzer entweder seinen Vornamen oder seinen Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker den Nutzer möglicherweise nicht mit Google OAuth authentifizieren.

  • Wenn die Anmeldung eines Nutzers fehlschlägt und in Looker ein Fehler wie User not in the authorized domain angezeigt wird, prüfen Sie das Feld hd der JSON-Antwort. Wenn das Feld hd eine Domain enthält, prüfen Sie, ob die Domain für Ihr Google Google Workspace-Konto registriert ist. Wenn das hd Feld leer ist, verwenden Sie das Übertragungstool für nicht verwaltete Nutzer, um den Nutzer einzuladen, sein Konto in ein verwaltetes Konto in Ihrer Domain umzuwandeln.

  • Wenn die Anmeldung eines Nutzers fehlschlägt, in Looker aber keine Fehlermeldung angezeigt wird, hat der Nutzer möglicherweise den Namen seines Google Google Workspace-Kontos bearbeitet und entweder seinen Vor- oder Nachnamen gelöscht. In diesem Fall sieht der Name des Google Google Workspace-Kontos in der Admin-Konsole möglicherweise immer noch vollständig aus, da die Änderungen des Nutzers nicht angezeigt werden. Um dieses Problem zu vermeiden, können Google Google Workspace-Administratoren die Option Nutzern erlauben, diese Einstellung anzupassen deaktivieren.

E‑Mail-Anmeldungen aktivieren, wenn die Google-Authentifizierung aktiviert ist

Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen also keine Nutzer hinzufügen, die sich in Ihrer Google-Domain befinden.

So fügen Sie einen Nutzer mit einer E‑Mail-Adresse hinzu, die sich nicht in Ihrer Google-Domain befindet:

  1. Aktivieren Sie auf der Seite „Google-Authentifizierung“ die Option Alternative Anmeldung für Administratoren und bestimmte Nutzer.
  2. Erstellen oder ändern Sie eine vorhandene Nutzerrolle, um die Berechtigung login_special_email hinzuzufügen.
  3. Rufen Sie im Nutzerbereich Nutzer hinzufügen auf (/admin/users/new).
  4. Fügen Sie die gewünschten E‑Mail-Adressen und die Rollen hinzu, die diese Nutzer haben sollen. Eine der Rollen muss die Berechtigung login_special_email enthalten.
  5. Diese Nutzer können sich jetzt über https://mycompany.looker.com/login/email anmelden (versteckte URL).

Google-Authentifizierung deaktivieren, nachdem sie aktiviert wurde

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, sollten Sie Folgendes beachten:

  • Nutzer, die vor dem Hinzufügen der Google-Authentifizierung erstellt wurden und bereits eine normale E‑Mail-Anmeldung und ein Passwort eingerichtet haben, können sich weiterhin anmelden.
  • Nutzer, die nach dem Hinzufügen der Google-Authentifizierung erstellt wurden, können sich nicht mehr anmelden. Ihre Konten sind zwar noch vorhanden, aber sie haben keinen Zugriff darauf und ihre Konten sind effektiv verwaist.

Aus diesem Grund empfehlen wir, diesen Weg zu vermeiden. Wenn Sie diesen Weg gehen müssen, gibt es möglicherweise eine Methode, um die verwaisten Konten mit der Looker API zu beheben. Wenden Sie sich an den Looker-Support, um weitere Informationen zu erhalten.