Você está lendo a documentação do Looker 26.0. Clique neste link para acessar a documentação mais recente.

Configurações de administrador: autenticação de dois fatores

O Looker oferece a autenticação de dois fatores (2FA) como uma camada extra de segurança para proteger os dados acessíveis pelo Looker. Com a 2FA ativada, todos os usuários que fazem login precisam se autenticar com um código único gerado pelo dispositivo móvel. Não há opção para ativar a 2FA para um subconjunto de usuários.

A página Autenticação de dois fatores na seção Autenticação do menu Admin permite ativar e configurar a 2FA.

Usar a autenticação de dois fatores

Confira a seguir o fluxo de trabalho geral para configurar e usar a 2FA. Observe os requisitos de sincronização de tempo, que são necessários para o funcionamento correto da 2FA.

O administrador ativa a 2FA nas configurações de administrador do Looker.

Quando você ativa a 2FA, todos os usuários conectados ao Looker são desconectados e precisam fazer login novamente usando a 2FA.
Os usuários individuais instalam o app Google Authenticator para iPhone ou Android nos dispositivos móveis ou qualquer app Authenticator de terceiros.
No primeiro login, o usuário recebe uma imagem de um QR code na tela do computador, que precisa ser lida com o smartphone usando o app Authenticator.

Se o usuário não conseguir ler um QR code com o smartphone, também há uma opção para gerar um código de texto que pode ser inserido no smartphone.

Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.
Nos logins subsequentes no Looker, o usuário precisa inserir uma chave de autenticação depois de enviar o nome de usuário e a senha.

Se um usuário ativar a opção Este é um computador confiável, a chave autenticará o navegador de login por um período de 30 dias. Durante esse período, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário autentique novamente o navegador com o app Authenticator.

Requisitos de sincronização de tempo

Um app Authenticator produz tokens baseados em tempo, que exigem a sincronização de tempo entre o servidor do Looker e cada dispositivo móvel para que os tokens funcionem. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, o usuário do dispositivo móvel não poderá se autenticar com a 2FA. Para sincronizar fontes de tempo:

Defina os dispositivos móveis para sincronização automática de tempo com a rede.
Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor for provisionado na AWS, talvez seja necessário permitir explicitamente o NTP na ACL de rede da AWS.
Um administrador do Looker pode definir o tempo máximo permitido no painel Admin do Looker, que define a diferença permitida entre o servidor e os dispositivos móveis. Se a configuração de tempo de um dispositivo móvel estiver desativada por mais do que o desvio permitido, as chaves de autenticação não funcionarão. O padrão é de 90 segundos.

Redefinir a autenticação de dois fatores

Se um usuário precisar redefinir a 2FA (por exemplo, se tiver um novo dispositivo móvel):

Na página Usuários da seção Admin do Looker, clique em Editar no lado direito da linha do usuário para editar as informações da conta.
Na seção Segredo de dois fatores, clique em Redefinir. Isso faz com que o Looker peça ao usuário para ler novamente um QR code com o app autenticador Google Authenticator na próxima vez que tentar fazer login na instância do Looker.

Considerações

Ao configurar a autenticação de dois fatores, tenha em mente as seguintes considerações:

A autenticação de dois fatores não afeta o uso da API Looker.
A autenticação de dois fatores não afeta a autenticação por sistemas externos, como LDAP, SAML, OAuth do Google ou OpenID Connect. A 2FA afeta todas as credenciais de login alternativas usadas com esses sistemas.