Paramètres d'administration - Authentification Google

La page Authentification Google de la section Authentification du menu Admin vous permet de configurer Google OAuth côté Looker.

Présentation des fonctionnalités

Looker peut effectuer l'authentification à l'aide de Google OAuth pour les utilisateurs disposant de comptes enregistrés auprès de Google Google Workspace.

  • Les organisations qui utilisent Google Google Workspace peuvent authentifier les utilisateurs Looker disposant de comptes Google.
  • Les utilisateurs se connectent à Looker en s'authentifiant avec leur compte Google.
  • Les nouveaux comptes Google ont automatiquement accès à Looker. Il n'est pas nécessaire d'inviter séparément les utilisateurs à Looker. Vous définissez le rôle par défaut des nouveaux utilisateurs, ce qui peut limiter leur accès aux fonctionnalités et aux données.
  • Lorsqu'elle est activée, Looker authentifie les utilisateurs uniquement avec Google OAuth sauf si l'option "Méthode de connexion alternative" est sélectionnée (voir la section suivante sur Activer les connexions par e-mail lorsque l'authentification Google est activée).
  • L'avatar Google d'un utilisateur s'affiche dans la barre de navigation au lieu du symbole utilisateur standard.
  • Lorsque vous activez Google OAuth, l'instance Looker peut fusionner les comptes utilisateur existants avec le domaine enregistré auprès de Google, mais uniquement pour les comptes dont l'adresse e-mail correspond au domaine. Tous les autres comptes non administrateur ne pourront plus se connecter.
  • Tous les utilisateurs du domaine spécifié ont accès à l'instance Looker.
  • Les autorisations des nouveaux utilisateurs Google sont définies par défaut sur l'accès de base pour une liste spécifiée de modèles (qui peut également être un accès à zéro modèle). Un administrateur peut modifier les autorisations après la création du compte.
  • Les nouveaux comptes Looker qui s'authentifient à l'aide de Google OAuth ne peuvent pas passer à l'authentification par mot de passe, même si OAuth est désactivé pour l'instance Looker.

Conditions préalables

L'utilisation de Google OAuth nécessite les éléments suivants :

  • Un compte Google Workspace pour l'organisation.
  • Un domaine contrôlé par l'organisation et enregistré auprès du compte Google Google Workspace.
  • Des utilisateurs dont les adresses e-mail appartiennent au domaine associé au compte Google.
  • Chaque utilisateur doit disposer d'un compte utilisateur géré dans Google Google Workspace. Pour trouver et migrer les utilisateurs disposant de comptes utilisateur non gérés, utilisez l'outil de transfert pour les utilisateurs non gérés.

Activer l'authentification avec Google OAuth

Pour activer l'authentification avec Google OAuth, un administrateur doit effectuer des étapes côté Google et côté Looker, comme décrit dans les sections suivantes.

Configuration côté Google

Cette section décrit les étapes à suivre pour activer Google OAuth côté Google. La description générique de ces étapes est disponible sur la page d'assistance Google Configurer OAuth 2.0. Vous pouvez également consulter la documentation d'aide de la Google Cloud console.

  1. Accédez à la Google Cloud console.

  2. Cliquez sur la flèche vers le bas dans la liste déroulante Sélectionner un projet. Le nom d'un projet existant peut s'afficher dans la liste déroulante. Cliquez sur la flèche vers le bas pour accéder à l'option permettant de créer un projet.

  3. Sur la page Sélectionner un projet, cliquez sur Nouveau projet.

    La Google Cloud console affiche la page Nouveau projet.

  4. Remplissez les informations sur la page Nouveau projet , puis cliquez sur Créer.

    Une fois que la Google Cloud console a créé votre projet, Google vous redirige vers la Google Cloud console et affiche votre nouveau projet.

  5. Dans le menu de gauche, sélectionnez API et services > Identifiants.

  6. Sur la page Identifiants, cliquez sur le bouton Créer des identifiants, puis sélectionnez ID client OAuth dans le menu déroulant.

    La Google Cloud console affiche la page Créer un ID client OAuth.

  7. La Google Cloud console vous demande de configurer un écran de consentement OAuth, qui permet à vos utilisateurs de choisir comment accorder l'accès à leurs données privées et fournit un lien vers les conditions d'utilisation et la politique de confidentialité de votre organisation. Cliquez sur Configurer l'écran de consentement. (Si vous avez déjà configuré le consentement OAuth pour un projet précédent, cette option ne s'affiche pas et vous pouvez passer à l'étape 13.)

    La Google Cloud console affiche la page Écran de consentement OAuth.

  8. Saisissez le domaine de votre instance Looker dans le champ Domaines autorisés. Par exemple, si Looker héberge votre instance sur https://mycompany.looker.com, le domaine est looker.com. Pour les déploiements de Looker hébergés par un client, saisissez le domaine sur lequel vous hébergez Looker.

  9. Configurez votre écran de consentement OAuth, puis cliquez sur Enregistrer et continuer.

  10. Sur la page Champs d'application, cliquez sur Enregistrer et continuer. Aucune configuration de champ d'application supplémentaire n'est requise.

  11. Sur la page Résumé, cliquez sur Revenir au tableau de bord.

    La Google Cloud console vous redirige vers la page Créer un ID client OAuth.

  12. Sous Type d'application, sélectionnez Application Web.

  13. Dans le champ Nom, saisissez un nom pour votre ID client OAuth.

  14. Dans le champ Origines JavaScript autorisées, saisissez l'URL de votre instance Looker, y compris https://. Exemple :

    • Si Looker héberge votre instance : https://mycompany.looker.com
    • Si vous disposez d'une instance Looker hébergée par un client : https://looker.mycompany.com
    • Si votre instance Looker nécessite un numéro de port : https://looker.mycompany.com:9999

  15. Dans le champ URI de redirection autorisés, saisissez l'URL de votre instance Looker, suivie de /oauth2callback. Exemple : https://mycompany.looker.com/oauth2callback ou https://looker.mycompany.com:9999/oauth2callback.

  16. Cliquez sur Créer.

  17. Copiez les valeurs de votre ID client et de votre code secret du client. Vous en aurez besoin pour configurer Looker.

Configuration côté Looker

Pour activer Google OAuth côté Looker, procédez comme suit :

  1. Dans l'application Looker, lorsque vous êtes connecté en tant qu'administrateur, cliquez sur la liste déroulante Admin pour ouvrir le menu Admin.

  2. Sous le groupe Authentification, cliquez sur Google. Looker affiche la page Authentification Google.

  3. Cliquez sur Activé pour afficher et modifier les paramètres Google OAuth. (L'authentification Google n'est pas activée immédiatement. Vous devez confirmer votre choix ultérieurement.)

  4. Saisissez vos paramètres d'authentification Google.

    • ID client et code secret du client : copiez et collez ces valeurs à partir de la page Client OAuth de Google, comme indiqué dans les instructions de configuration Google précédentes.
    • Domaines : nom(s) de domaine géré(s) par Google de votre organisation. Tout utilisateur Google du domaine donné peut se connecter à votre instance Looker. Si vous contrôlez plusieurs domaines Google, vous pouvez les saisir en les séparant par des virgules.

  5. Saisissez les options de migration, qui contrôlent le comportement de l'instance Looker lors de la transition vers Google OAuth.

    • Méthode de connexion alternative pour les administrateurs : permet aux administrateurs de continuer à se connecter avec leur adresse e-mail et leur mot de passe, ce qui est utile en cas de problème lors de la configuration de Google OAuth. Ce paramètre est recommandé et est décrit plus en détail dans la section Activer les connexions par e-mail lorsque l'authentification Google est activée.
    • Fusionner par e-mail : convertit tous les utilisateurs existants dont l'adresse e-mail appartient aux domaines spécifiés pour qu'ils utilisent Google OAuth lors de leur prochaine connexion. Ce paramètre est recommandé.
    • Rôles pour les nouveaux utilisateurs : spécifie les fonctionnalités et l'accès aux modèles dont disposent les nouveaux utilisateurs non administrateurs. Cette liste peut être mise à jour ultérieurement. Si ce champ est laissé vide, les nouveaux utilisateurs authentifiés par Google disposeront de fonctionnalités limitées dans la plate-forme Looker jusqu'à ce qu'un administrateur ajoute un rôle à leur compte. Étant donné que tous les utilisateurs de votre domaine Google pourront se connecter à Looker, envisagez de spécifier un rôle par défaut pour les nouveaux utilisateurs qui limite l'accès de manière appropriée.

  6. Cliquez sur Tester l'authentification Google pour utiliser les paramètres actuels et tenter d'authentifier le navigateur actuel dans une nouvelle fenêtre. Cette action n'enregistre pas les paramètres actuels et ne les applique pas à l'instance Looker.

    Si vous n'êtes pas connecté à Google, vous êtes invité à vous connecter et à autoriser l'utilisation des informations de votre compte Google. Ce flux utilise les paramètres personnalisés de l'écran de consentement que vous avez utilisés lors de la configuration côté Google.

    En cas de succès, une section Informations utilisateur s'affiche avec votre nom, votre adresse e-mail et votre domaine. La présence de cette section Informations utilisateur indique que cet utilisateur sera authentifié par Looker.

    En cas d'échec, des descriptions d'erreur s'affichent. Voici quelques problèmes courants :

    • ID client ou code secret du client mal copiés. Ils doivent être copiés et collés intégralement.
    • L'utilisateur n'appartient pas au domaine. Si une section Informations sur la personne s'affiche, mais pas de section Informations utilisateur, c'est probablement parce que l'utilisateur n'appartient pas au domaine que vous avez spécifié. Cela indique que la personne s'est authentifiée correctement auprès de Google, mais qu'elle n'utilise pas un compte Google que vous avez choisi d'autoriser dans votre instance Looker.
    • Une URL Looker ou une URL de redirection n'est pas configurée correctement dans Google pour votre instance Looker.

  7. Pour enregistrer et appliquer les modifications, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement. Cliquez sur Mettre à jour.

Conseils

  • Pour tester le cycle d'authentification complet, vous pouvez vous déconnecter de Google et constater que Google vous invite à vous reconnecter lorsque vous tentez de vous connecter à Looker.

  • Dans Google, vous pouvez cliquer sur Compte dans la liste déroulante personnelle (à côté de votre adresse e-mail en haut à droite d'une page Google Google Workspace) pour gérer votre compte personnel.

    Sur cette page de gestion, vous trouverez un onglet Sécurité avec une section Autorisations du compte. En cliquant sur Applications et sites Web Tout afficher , vous pouvez (en tant qu'utilisateur) afficher et gérer les services et applications auxquels vous avez accordé des autorisations.

    Si vous cliquez sur les autorisations Looker que vous avez accordées pour vous connecter, vous verrez les détails que les utilisateurs voient dans l'écran de consentement que vous avez personnalisé précédemment. Vous pouvez également cliquer sur Révoquer l'accès pour que l'écran de consentement s'affiche à nouveau la prochaine fois que vous vous connecterez à Looker (ou que vous testerez l'autorisation). Vous pouvez utiliser ce workflow pour personnaliser votre écran de consentement et voir ce que les utilisateurs verront.

Dépannage

  • Si un utilisateur ne parvient pas à se connecter, assurez-vous d'abord qu'il a un prénom et un nom dans son compte Google. Si l'utilisateur a supprimé son prénom ou son nom de son compte Google, il est possible que Looker ne puisse pas l'authentifier avec Google OAuth.

  • Si un utilisateur ne parvient pas à se connecter et que Looker affiche une erreur telle que User not in the authorized domain, vérifiez le champ hd de la réponse JSON. Si le champ hd contient un domaine, assurez-vous qu'il est enregistré auprès de votre compte Google Google Workspace. Si le champ hd est vide, utilisez l'outil de transfert pour les utilisateurs non gérés afin d'inviter l'utilisateur à convertir son compte en compte géré dans votre domaine.

  • Si un utilisateur ne parvient pas à se connecter, mais que Looker n'affiche pas de message d'erreur, il est possible qu'il ait modifié le nom de son compte Google Google Workspace et supprimé son prénom ou son nom. Dans ce cas, le nom du compte Google Google Workspace peut toujours sembler complet dans la console d'administration, qui peut ne pas afficher les modifications de l'utilisateur. Pour éviter ce problème, les administrateurs Google Google Workspace peuvent désactiver l'option Autoriser les utilisateurs à personnaliser ce paramètre.

Activer les connexions par e-mail lorsque l'authentification Google est activée

Les nouveaux comptes Google ont automatiquement accès à Looker. Il n'est donc pas nécessaire d'ajouter les utilisateurs qui appartiennent à votre domaine Google.

Pour ajouter un utilisateur dont l'adresse e-mail n'appartient pas à votre domaine Google :

  1. Activez l'option Méthode de connexion alternative pour les administrateurs et les utilisateurs spécifiés sur la page Authentification Google.
  2. Créez ou modifiez un rôle utilisateur existant pour ajouter l'autorisation login_special_email.
  3. Accédez à Ajouter des utilisateurs depuis le panneau des utilisateurs (/admin/users/new).
  4. Ajoutez les adresses e-mail que vous souhaitez inclure, ainsi que les rôles que ces utilisateurs doivent avoir, qui doivent inclure un rôle avec l'autorisation login_special_email.
  5. Ces utilisateurs peuvent désormais se connecter à l'aide de https://mycompany.looker.com/login/email (URL masquée).

Désactiver l'authentification Google une fois qu'elle a été activée

Si vous souhaitez désactiver l'authentification Google pour votre instance Looker après l'avoir activée, vous devez tenir compte de certains éléments :

  • Les utilisateurs créés avant l'ajout de l'authentification Google et qui ont déjà configuré une connexion par e-mail et mot de passe normale continueront de fonctionner.
  • Les utilisateurs créés après l'ajout de l'authentification Google ne pourront plus se connecter. Bien que leurs comptes existent toujours, ils n'ont aucun moyen d'y accéder et leurs comptes sont effectivement orphelins.

C'est pourquoi nous vous suggérons d'éviter cette solution. Si vous devez suivre cette voie, il existe peut-être une méthode pour corriger les comptes orphelins à l'aide de l'API Looker. Contactez l'assistance Looker pour obtenir des conseils supplémentaires.