Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרות אדמין – אימות Google

בדף Google Authentication (אימות Google) שבקטע Authentication (אימות) בתפריט Admin (אדמין) אפשר להגדיר Google OAuth בצד של Looker.

סקירה כללית של התכונות

‫Looker יכול לבצע אימות באמצעות Google OAuth למשתמשים שיש להם חשבונות שרשומים ב-Google Workspace.

ארגונים שמשתמשים ב-Google Workspace יכולים לאמת משתמשי Looker שיש להם חשבונות Google.
המשתמשים נכנסים ל-Looker באמצעות אימות עם חשבון Google שלהם.
חשבונות Google חדשים מקבלים גישה ל-Looker באופן אוטומטי. אין צורך להזמין משתמשים ל-Looker בנפרד. אתם מגדירים את תפקיד ברירת המחדל למשתמשים חדשים, שיכול להגביל את הגישה שלהם לפונקציות ולנתונים.
כשהאפשרות הזו מופעלת, Looker מאמת את המשתמשים רק באמצעות Google OAuth אלא אם נבחרה האפשרות 'כניסה חלופית' (ראו את הקטע הבא בנושא הפעלת כניסות באמצעות אימייל כשהאימות של Google מופעל).
האוואטר של המשתמש ב-Google מופיע בסרגל הניווט במקום סמל המשתמש הרגיל.

כשמפעילים את Google OAuth, מופע Looker יכול למזג חשבונות משתמשים קיימים עם הדומיין שרשום ב-Google, אבל רק עבור חשבונות שכתובת האימייל שלהם תואמת לדומיין. כל החשבונות האחרים שאין להם הרשאת אדמין יאבדו את היכולת להיכנס לחשבון.
כל המשתמשים בדומיין שצוין מקבלים גישה למופע Looker.
ההרשאות שמוגדרות כברירת מחדל למשתמשים חדשים ב-Google הן גישה בסיסית לרשימה ספציפית של מודלים (אפשרות נוספת היא גישה לאפס מודלים). אחרי יצירת החשבון, אדמין יכול לעדכן את ההרשאות.
בחשבונות חדשים ב-Looker שמאומתים באמצעות Google OAuth, אי אפשר לעבור לאימות באמצעות סיסמה, גם אם OAuth מושבת במופע Looker.

דרישות מקדימות

כדי להשתמש ב-Google OAuth, צריך:

חשבון Google Workspace לארגון.
דומיין שנמצא בשליטת הארגון ורשום בחשבון Google Workspace.
משתמשים עם כתובות אימייל בדומיין שמשויך לחשבון Google.
לכל משתמש צריך להיות חשבון משתמש מנוהל ב-Google Workspace. כדי למצוא ולהעביר משתמשים עם חשבונות משתמשים לא מנוהלים, אפשר להשתמש בכלי ההעברה למשתמשים שאינם מנוהלים.

הפעלת אימות באמצעות Google OAuth

כדי להפעיל אימות באמצעות Google OAuth, אדמין צריך לבצע פעולות גם בצד של Google וגם בצד של Looker, כמו שמתואר בקטעים הבאים.

הגדרה בצד של Google

בקטע הזה מוסבר איך להפעיל Google OAuth בצד של Google. תיאור כללי של השלבים האלה מופיע בדף התמיכה של Google בנושא הגדרת OAuth 2.0. אפשר גם לעיין במסמכי התיעוד של Google Cloud מרכז העזרה של המסוף.

עוברים אל Google Cloud המסוף.
לוחצים על החץ למטה בתפריט הנפתח בחירת פרויקט. יכול להיות ששם של פרויקט קיים יופיע בתפריט הנפתח. בכל מקרה, לוחצים על החץ למטה כדי להגיע לאפשרות ליצור פרויקט חדש.
בדף Select a project, לוחצים על New Project.

בדף New Project במסוף Google Cloud .
ממלאים את הפרטים בדף פרויקט חדש ולוחצים על יצירה.

כשהמסוף מסיים ליצור את הפרויקט החדש, Google מחזירה אתכם למסוף ומציגה את הפרויקט החדש. Google Cloud Google Cloud
בתפריט הימני, בוחרים באפשרות APIs & Services > Credentials (ממשקי API ושירותים > פרטי כניסה).
בדף Credentials (פרטי כניסה), לוחצים על הלחצן Create credentials (יצירת פרטי כניסה) ובוחרים באפשרות OAuth client ID (מזהה לקוח OAuth) מהתפריט הנפתח.

במסוף Google Cloud מוצג הדף Create OAuth client ID (יצירת מזהה לקוח OAuth).
במסוף Google Cloud , צריך להגדיר מסך הסכמה ל-OAuth, שמאפשר למשתמשים לבחור איך לתת גישה לנתונים הפרטיים שלהם, ומספק קישור לתנאים ולהגבלות ולמדיניות הפרטיות של הארגון. לוחצים על הגדרת מסך ההסכמה. (אם הגדרתם הסכמה להרשאות OAuth בפרויקט קודם, האפשרות הזו לא תופיע ותוכלו לדלג לשלב 13).

במסוף Google Cloud מוצג הדף מסך הסכמה ל-OAuth.
מזינים את הדומיין של מכונת Looker בשדה דומיינים מורשים. לדוגמה, אם Looker מארח את המכונה שלכם בכתובת https://mycompany.looker.com, הדומיין הוא looker.com. בפריסות של Looker באירוח בצד הלקוח, מזינים את הדומיין שבו מתארח Looker.
מגדירים את מסך ההסכמה ל-OAuth ולוחצים על שמירה והמשך.

הערה: מידע על הגדרת מסך ההסכמה של Google ל-OAuth זמין בדף הגדרת OAuth ב-Google Workspace.
בדף היקפים, לוחצים על שמירה והמשך. אין צורך להגדיר היקף נוסף.
בדף Summary (סיכום), לוחצים על Back to Dashboard (חזרה למרכז השליטה).

המסוף Google Cloud מחזיר אתכם לדף יצירת מזהה לקוח OAuth.
בקטע סוג האפליקציה, בוחרים באפשרות אפליקציית אינטרנט.
בשדה Name (שם), מזינים שם למזהה הלקוח ב-OAuth.
בשדה מקורות מורשים של JavaScript, מזינים את כתובת ה-URL של מופע Looker, כולל https://. לדוגמה:
- אם Looker מארח את המופע שלכם: https://mycompany.looker.com
- אם יש לכם מופע ב-Looker באירוח בצד הלקוח: https://looker.mycompany.com
- אם מופע Looker שלכם דורש מספר יציאה: https://looker.mycompany.com:9999
בשדה Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), מזינים את כתובת ה-URL של מופע Looker, ואחריה /oauth2callback. לדוגמה: https://mycompany.looker.com/oauth2callback או https://looker.mycompany.com:9999/oauth2callback.
לוחצים על יצירה.
מעתיקים את הערכים של מזהה הלקוח ושל סוד הלקוח – תצטרכו אותם כדי להגדיר את Looker.

הגדרה בצד של Looker

כדי להפעיל את Google OAuth בצד של Looker, פועלים לפי השלבים הבאים.

באפליקציית Looker, כשמחוברים כאדמין, לוחצים על התפריט הנפתח Admin כדי לפתוח את התפריט Admin.
בקטע אימות, לוחצים על Google. מוצג הדף אימות ב-Google.
לוחצים על מופעל כדי להציג ולערוך את הגדרות OAuth בשירותי Google. (הפעולה הזו לא מפעילה מיד את האימות של Google. תצטרכו לאשר את הבחירה שלכם בהמשך).
מזינים את ההגדרות של Google Auth.
- מזהה לקוח וסוד לקוח – מעתיקים ומדביקים את הערכים האלה מדף לקוח OAuth של Google, כמו שמוסבר בהוראות ההגדרה הקודמות של Google.
- דומיינים – שם או שמות הדומיין של הארגון שמנוהלים על ידי Google. כל משתמש Google בדומיין הנתון יכול להיכנס למופע Looker שלכם. אם אתם שולטים בכמה דומיינים של Google, אתם יכולים להזין אותם כשהם מופרדים באמצעות פסיקים.
אזהרה: צריך להזין רק דומיינים של Google שנמצאים בשליטת הארגון. הזנה של דומיין אחר עלולה לפתוח גישה למשתמשים בדומיין שאין לכם שליטה בו.
מזינים את Migration Options (אפשרויות מעבר), שקובעות את ההתנהגות של מופע Looker במהלך המעבר ל-Google OAuth.
- כניסה חלופית לאדמינים – מאפשרת לאדמינים להמשיך להיכנס באמצעות כתובת אימייל וסיסמה. ההגדרה הזו מאפשרת שימוש בשיטת גיבוי קריטית כדי למנוע נעילה מלאה אם Google Cloud הפרויקט שמארח את לקוח Looker OAuth נמחק או מושבת (מה שעלול לגרום לשגיאה 401 deleted_client גם אחרי שחזור הפרויקט), או אם Google OAuth נכשל מסיבות אחרות. מומלץ מאוד להשתמש בהגדרה הזו. מידע נוסף זמין במאמר הפעלת כניסה באמצעות אימייל כשהאימות של Google מופעל.
- מיזוג לפי כתובת אימייל – ממיר משתמשים קיימים עם כתובות אימייל בדומיינים שצוינו לשימוש ב-Google OAuth, בכניסה הבאה שלהם. מומלץ להשתמש בהגדרה הזו.
- תפקידים למשתמשים חדשים – מציין את הפונקציונליות ואת הגישה למודלים שיש למשתמשים חדשים שאינם אדמינים. אפשר לעדכן את הרשימה הזו מאוחר יותר. אם לא תבחרו כלום, למשתמשים חדשים עם אימות Google תהיה גישה מוגבלת לפלטפורמת Looker עד שאדמין יוסיף תפקיד לחשבון שלהם. מכיוון שכל המשתמשים בדומיין Google יוכלו להיכנס ל-Looker, כדאי להגדיר תפקיד ברירת מחדל למשתמשים חדשים שיגביל את הגישה בצורה מתאימה.
לוחצים על Test Google Authentication (בדיקת אימות Google) כדי להשתמש בהגדרות הנוכחיות ולנסות לאמת את הדפדפן הנוכחי בחלון חדש. הפעולה הזו לא שומרת את ההגדרות הנוכחיות או מחילה אותן על מופע Looker.

אם לא התחברתם לחשבון Google, תתבקשו להתחבר ותתבקשו להביע הסכמה לשימוש בפרטי חשבון Google שלכם. התהליך הזה משתמש בהגדרות המותאמות אישית של מסך ההסכמה שבהן השתמשתם בהגדרה בצד Google.

אם הפעולה תצליח, יופיע הקטע פרטי משתמש עם השם, כתובת האימייל והדומיין שלכם. הופעת הקטע User Info (פרטי משתמש) מציינת שהמשתמש הזה יאומת בהצלחה על ידי Looker.

אם הפעולה נכשלת, מופיעים תיאורי השגיאות. דוגמאות לבעיות נפוצות:
- העתקה שגויה של מזהה הלקוח או הסוד של הלקוח. צריך להעתיק ולהדביק אותם במלואם ובזהירות.
- המשתמש נמצא מחוץ לדומיין. אם מופיע הסעיף פרטי אדם אבל לא מופיע הסעיף פרטי משתמש, כנראה שהמשתמש לא נמצא בדומיין שציינתם. המשמעות היא שהמשתמש עבר אימות ב-Google בצורה תקינה, אבל הוא לא משתמש בחשבון Google שהגדרתם כחשבון שמותר לו להיכנס למופע Looker.
- כתובת URL או כתובת URL להפניה אוטומטית של Looker לא מוגדרות בצורה נכונה ב-Google עבור מופע Looker.
כדי לשמור את השינויים ולהחיל אותם, מסמנים את התיבה אישרתי את ההגדרה שלמעלה ואני רוצה להחיל אותה באופן גלובלי. לוחצים על עדכון.

טיפים

כדי להתנסות במחזור האימות המלא, אפשר להתנתק מ-Google ולראות ש-Google מבקשת מכם להיכנס שוב כשאתם מנסים להיכנס ל-Looker.
ב-Google, אפשר ללחוץ על חשבון בתפריט הנפתח האישי (לצד כתובת האימייל בפינה השמאלית העליונה של דף Google Workspace) כדי לנהל את החשבון האישי.

בדף הניהול הזה יש כרטיסייה Security עם קטע Account Permissions. כשלוחצים על אפליקציות ואתרים הצגת הכול, המשתמש יכול לראות ולנהל את השירותים והאפליקציות שהוא העניק להם הרשאות.

כשלוחצים על ההרשאות של Looker שהענקתם כדי להתחבר, מוצגים הפרטים שהמשתמשים רואים במסך ההסכמה שהתאמתם אישית קודם לכן. אפשר גם ללחוץ על ביטול הגישה כדי שבפעם הבאה שתתחברו ל-Looker (או שתבדקו את ההרשאה), יוצג לכם שוב מסך ההסכמה. אתם יכולים להשתמש בתהליך העבודה הזה כדי להתאים אישית את מסך ההסכמה ולראות מה המשתמשים יראו.

פתרון בעיות

כדי לפתור בעיות שקשורות לאימות, כדאי לבדוק את מרכז הבקרה לפעילות משתמש בפעילות המערכת. לוח הבקרה הזה כולל משבצות שמציגות כשלים בכניסה לחשבון מהזמן האחרון, וכולל את שיטת האימות שבה נעשה שימוש, את הודעת השגיאה שהוחזרה ואת השעה שבה בוצע הניסיון.

אם ניסיון של משתמש להיכנס לחשבון נכשל, קודם צריך לוודא שהמשתמש הזין שם פרטי ושם משפחה בחשבון Google שלו. אם המשתמש מחק את השם הפרטי או את שם המשפחה שלו מחשבון Google, יכול להיות של-Looker לא תהיה אפשרות לאמת את המשתמש באמצעות Google OAuth.
אם ניסיון של משתמש להיכנס לחשבון נכשל, וב-Looker מוצגת שגיאה כמו User not in the authorized domain, צריך לבדוק את השדה hd בתגובת ה-JSON. אם השדה hd מכיל דומיין, מוודאים שהדומיין רשום בחשבון Google Workspace שלכם. אם השדה hd ריק, צריך להשתמש בכלי ההעברה למשתמשים שאינם מנוהלים כדי להזמין את המשתמש להמיר את החשבון שלו לחשבון מנוהל בדומיין שלכם.
אם ניסיון הכניסה של משתמש נכשל, אבל לא מוצגת הודעת שגיאה ב-Looker, יכול להיות שהמשתמש ערך את השם בחשבון Google Workspace ומחק את השם הפרטי או את שם המשפחה. במצב כזה, יכול להיות שהשם של חשבון Google Workspace ייראה שלם במסוף Admin, ולא יציג את העריכות של המשתמש. כדי למנוע את הבעיה הזו, אדמינים ב-Google Workspace יכולים להשבית את האפשרות המשתמשים יכולים לשנות את ההגדרה הזו.
אם אימות Google מחזיר שגיאה 401 deleted_client, השגיאה הזו מציינת שהפרויקט Google Cloud שמארח את לקוח OAuth של Looker נמחק או הושבת. גם אם הפרויקט ישוחזר בהמשך, יכול להיות ששגיאת deleted_client תמשיך להופיע בלקוח OAuth, וכתוצאה מכך כל המשתמשים לא יוכלו להתחבר. Google Cloud אם אימות Google הוא שיטת האימות היחידה שמופעלת, הנעילה הזו מונעת גישה גם מאדמינים.

כדי למנוע נעילה מוחלטת במקרה של מחיקה או כשל של לקוח OAuth, צריך להפעיל את ההגדרה כניסה חלופית לאדמינים. ההגדרה הזו מבטיחה שלאדמינים תהיה שיטת כניסה חלופית כדי לגשת למופע Looker ולעדכן את הגדרות האימות.

הפעלת כניסה באמצעות אימייל כשהאימות של Google מופעל

חשבונות Google חדשים מקבלים גישה ל-Looker באופן אוטומטי, כך שאין צורך להוסיף משתמשים שנמצאים בדומיין Google שלכם.

כדי להוסיף משתמש עם כתובת אימייל שלא נמצאת בדומיין Google שלכם:

מפעילים את האפשרות כניסה חלופית לאדמינים ולמשתמשים ספציפיים בדף האימות של Google
יצירה או שינוי של תפקיד משתמש קיים כדי להוסיף את ההרשאה login_special_email
עוברים אל הוספת משתמשים מחלונית המשתמשים (‎/admin/users/new)
מוסיפים את כתובות האימייל שרוצים לכלול ואת התפקידים שיוקצו למשתמשים האלה. צריך לכלול תפקיד עם ההרשאה login_special_email
המשתמשים האלה יכולים עכשיו להיכנס באמצעות https://mycompany.looker.com/login/email (כתובת URL מוסתרת)

השבתה של אימות Google אחרי שהוא הופעל

אם רוצים להשבית את אימות Google במופע Looker אחרי שהוא כבר הופעל, יש כמה דברים שכדאי לקחת בחשבון:

משתמשים שנוצרו לפני הוספת אימות Google, וכבר הגדירו כניסה רגילה באמצעות כתובת אימייל וסיסמה, עדיין יוכלו להיכנס.
משתמשים שנוצרו אחרי הוספת מאמת החשבונות של Google לא יוכלו יותר להיכנס לחשבון. החשבונות שלהם עדיין קיימים, אבל אין להם דרך לגשת אליהם, ולמעשה הם נחשבים לחשבונות יתומים.

לכן אנחנו מציעים להימנע מהמסלול הזה. אם אתם חייבים ללכת בדרך הזו, יכול להיות שיש שיטה לתקן את החשבונות היתומים באמצעות Looker API. לקבלת הנחיות נוספות, אפשר לפנות לתמיכה של Looker.