Setelan admin - Autentikasi Google

Halaman Autentikasi Google di bagian Autentikasi pada menu Admin memungkinkan Anda menyiapkan Google OAuth di sisi Looker.

Ringkasan fitur

Looker dapat melakukan autentikasi menggunakan Google OAuth untuk pengguna yang memiliki akun yang terdaftar di Google Google Workspace.

• Organisasi yang menggunakan Google Google Workspace dapat mengautentikasi pengguna Looker yang memiliki Akun Google.
• Pengguna login ke Looker dengan melakukan autentikasi menggunakan Akun Google mereka.
• Akun Google baru otomatis mendapatkan akses ke Looker. Tidak perlu mengundang pengguna ke Looker secara terpisah. Anda menetapkan peran default untuk pengguna baru, yang dapat membatasi akses mereka ke fungsi dan data.
• Jika diaktifkan, Looker akan mengautentikasi pengguna hanya dengan Google OAuth kecuali jika opsi "login alternatif" dipilih (lihat bagian berikut tentang Mengaktifkan login email saat Google Auth diaktifkan).
• Avatar Google pengguna akan muncul di panel navigasi, bukan simbol pengguna standar.

• Saat mengaktifkan Google OAuth, instance Looker dapat menggabungkan akun pengguna yang ada dengan domain yang terdaftar di Google, tetapi hanya untuk akun yang alamat emailnya cocok dengan domain tersebut. Semua akun non-admin lainnya akan kehilangan kemampuan untuk login.
• Semua pengguna di domain yang ditentukan akan mendapatkan akses ke instance Looker.
• Izin untuk pengguna Google baru secara default adalah akses dasar untuk daftar model tertentu (yang secara opsional dapat berupa akses ke nol model). Izin dapat diperbarui oleh admin setelah pembuatan akun.
• Akun Looker baru yang melakukan autentikasi menggunakan Google OAuth tidak dapat beralih ke autentikasi sandi, meskipun OAuth dinonaktifkan untuk instance Looker.

Persyaratan awal

Penggunaan Google OAuth memerlukan hal berikut:

• Akun Google Workspace untuk organisasi.
• Domain yang dikontrol oleh organisasi dan terdaftar ke akun Google Google Workspace.
• Pengguna dengan alamat email di domain yang terkait dengan Akun Google.
• Setiap pengguna harus memiliki akun pengguna terkelola di Google Google Workspace. Untuk menemukan dan memigrasikan pengguna yang memiliki akun pengguna tidak terkelola, gunakan Alat transfer untuk pengguna umum (tidak dikelola).

Mengaktifkan autentikasi dengan Google OAuth

Untuk mengaktifkan autentikasi dengan Google OAuth, administrator harus melakukan langkah-langkah di sisi Google dan di sisi Looker, seperti yang dijelaskan di bagian berikut.

Penyiapan di sisi Google

Langkah-langkah untuk mengaktifkan Google OAuth di sisi Google dijelaskan di bagian ini. Deskripsi umum langkah-langkah ini ada di halaman dukungan Google tentang menyiapkan OAuth 2.0. Anda juga dapat melihat Google Cloud Bantuan konsol dokumentasi.

1. Buka Google Cloud konsol.

2. Klik panah bawah di drop-down Select a project. Anda mungkin melihat nama project yang ada di drop-down; klik panah bawah, dan Anda akan diarahkan ke opsi untuk membuat project baru.

3. Di halaman Select a project, klik New Project.

   Konsol menampilkan halaman New Project. Google Cloud

4. Isi informasi di halaman New Project , lalu klik Create.

   Setelah Google Cloud konsol selesai membuat project baru Anda, Google akan mengarahkan Anda kembali ke Google Cloud konsol dan menampilkan project baru Anda.

5. Di menu sebelah kiri, pilih APIs & Services > Credentials.

6. Di halaman Credentials, klik tombol Create credentials, lalu pilih OAuth client ID dari menu drop-down.

   Konsol menampilkan halaman Buat ID klien OAuth. Google Cloud

7. Konsol mengharuskan Anda mengonfigurasi layar izin OAuth, yang memungkinkan pengguna memilih cara memberikan akses ke data pribadi mereka dan menyediakan link ke persyaratan layanan dan kebijakan privasi organisasi Anda. Google Cloud Klik Konfigurasi layar izin. (Jika Anda telah mengonfigurasi izin OAuth untuk project sebelumnya, Anda tidak akan melihat opsi ini, dan Anda dapat langsung ke langkah 13.)

   Konsol menampilkan halaman layar izin OAuth. Google Cloud

8. Masukkan domain instance Looker Anda di kolom Authorized domains. Misalnya, jika Looker menghosting instance Anda di https://mycompany.looker.com, domainnya adalah looker.com. Untuk deployment Looker yang dihosting pelanggan, masukkan domain tempat Anda menghosting Looker.

9. Konfigurasi layar izin OAuth Anda, lalu klik Save and Continue.

10. Di halaman Scopes, klik Save and Continue. Tidak diperlukan konfigurasi cakupan tambahan.

11. Di halaman Summary, klik Back to Dashboard.

    Konsol akan mengarahkan Anda kembali ke halaman Create OAuth client ID. Google Cloud

12. Di bagian Application type, pilih aplikasi web.

13. Di kolom Name, masukkan nama untuk client ID OAuth Anda.

14. Di kolom Authorized JavaScript origins, masukkan URL ke instance Looker Anda, termasuk https://. Contoh:

    • Jika Looker menghosting instance Anda: https://mycompany.looker.com
    • Jika Anda memiliki instance Looker yang dihosting pelanggan: https://looker.mycompany.com
    • Jika instance Looker Anda memerlukan nomor port: https://looker.mycompany.com:9999

15. Di kolom Authorized redirect URIs, masukkan URL ke instance Looker Anda, diikuti dengan /oauth2callback. Contoh: https://mycompany.looker.com/oauth2callback atau https://looker.mycompany.com:9999/oauth2callback.

16. Klik Create.

17. Salin nilai client ID dan client secret Anda. Anda akan memerlukannya untuk mengonfigurasi Looker.

Penyiapan di sisi Looker

Untuk mengaktifkan Google OAuth di sisi Looker, ikuti langkah-langkah berikut.

1. Dari aplikasi Looker, saat sedang login sebagai administrator, klik drop-down Admin untuk membuka menu Admin.

2. Di grup Authentication, klik Google. Looker akan menampilkan halaman Google Authentication.

3. Klik Enabled untuk menampilkan dan mengedit setelan Google OAuth. (Autentikasi Google tidak akan langsung diaktifkan; Anda harus mengonfirmasi pilihan Anda nanti).

4. Masukkan Google Auth Settings Anda.

   • Client ID and Client Secret - Salin dan tempel nilai ini dari halaman klien OAuth Google, seperti yang dibahas dalam petunjuk penyiapan Google sebelumnya.
   • Domains - Nama domain yang dikelola Google milik organisasi Anda. Setiap pengguna Google di domain yang diberikan dapat login ke instance Looker Anda. Jika Anda mengontrol beberapa domain Google, Anda dapat memasukkannya dengan dipisahkan koma.

5. Masukkan Migration Options, yang mengontrol perilaku instance Looker selama transisi ke Google OAuth.

   • Alternate login for admins - Memungkinkan administrator terus login dengan email dan sandi. Setelan ini mengaktifkan metode penggantian penting untuk mencegah penguncian total jika Google Cloud project yang menghosting klien OAuth Looker dihapus atau dinonaktifkan (yang dapat menyebabkan error 401 deleted_client meskipun setelah pemulihan project), atau jika Google OAuth gagal karena alasan lain. Setelan ini sangat direkomendasikan dan dijelaskan lebih lanjut di Mengaktifkan login email saat Google Auth diaktifkan.
   • Gabungkan berdasarkan email - Mengonversi pengguna yang ada dengan alamat email di Domain yang diberikan untuk menggunakan Google OAuth, saat mereka login berikutnya. Setelan ini direkomendasikan.
   • Roles for new users - Menentukan akses fungsi dan model yang dimiliki pengguna baru non-admin. Daftar ini dapat diperbarui nanti. Jika dibiarkan kosong, pengguna baru yang diautentikasi Google akan memiliki fungsi terbatas di dalam platform Looker hingga admin menambahkan peran ke akun mereka. Karena semua pengguna dalam domain Google Anda akan dapat login ke Looker, pertimbangkan untuk menentukan peran default bagi pengguna baru yang membatasi akses dengan tepat.

6. Klik Test Google Authentication untuk menggunakan setelan saat ini dan mencoba mengautentikasi browser saat ini di jendela baru. Tindakan ini tidak menyimpan setelan saat ini atau menerapkannya ke instance Looker.

   Jika Anda tidak login ke Google, Anda akan diminta untuk login dan diminta izin untuk menggunakan informasi Akun Google Anda. Alur ini menggunakan setelan Layar izin kustom yang Anda gunakan dalam penyiapan sisi Google.

   Jika berhasil, bagian Info Pengguna akan ditampilkan dengan nama, email, dan domain Anda. Keberadaan bagian Info Pengguna ini menunjukkan bahwa pengguna ini akan berhasil diautentikasi oleh Looker.

   Jika gagal, deskripsi error akan muncul. Beberapa masalah umum meliputi hal berikut:

   • Client ID atau Client Secret salah salin. Nilai ini harus disalin dan ditempel dengan cermat dan lengkap.
   • Pengguna berada di luar domain. Jika Anda melihat bagian Info Orang, tetapi tidak ada Info Pengguna, kemungkinan karena pengguna tidak berada di domain yang Anda tentukan. Hal ini menunjukkan bahwa orang tersebut telah mengautentikasi dirinya ke Google dengan benar, tetapi dia tidak menggunakan Akun Google yang Anda pilih untuk diizinkan masuk ke instance Looker Anda.
   • URL Looker atau URL alihan tidak disiapkan dengan benar di Google untuk instance Looker Anda.

7. Untuk menyimpan dan menerapkan perubahan, centang I have confirmed the configuration above and want to enable applying it globally. Klik Update.

Tips

• Untuk bereksperimen dengan siklus autentikasi lengkap, Anda dapat logout dari Google dan melihat bahwa Google akan meminta Anda untuk login lagi saat Anda mencoba login ke Looker.

• Di Google, Anda dapat mengklik Account di drop-down pribadi (di samping alamat email Anda di kanan atas halaman Google Google Workspace) untuk mengelola akun pribadi Anda.

  Di halaman pengelolaan tersebut, ada tab Security dengan bagian Account Permissions. Dengan mengklik Apps and websites View all , Anda (sebagai pengguna) dapat melihat dan mengelola layanan dan aplikasi yang telah Anda berikan izinnya.

  Mengklik izin Looker yang Anda berikan untuk login akan menampilkan detail yang dilihat pengguna di layar izin yang Anda sesuaikan sebelumnya. Anda juga dapat mengklik Revoke access sehingga saat Anda login ke Looker (atau menguji otorisasi) berikutnya, Anda akan diminta kembali untuk melihat layar izin. Anda dapat menggunakan alur kerja ini untuk membantu Anda menyesuaikan layar izin dan melihat apa yang akan dilihat pengguna.

Pemecahan masalah

Untuk membantu memecahkan masalah autentikasi, periksa dasbor Aktivitas Pengguna di Aktivitas Sistem. Dasbor ini memiliki kartu yang menampilkan kegagalan login terbaru dan menyertakan metode autentikasi yang digunakan, pesan error yang ditampilkan, dan waktu percobaan.

• Jika upaya login pengguna gagal, pastikan terlebih dahulu pengguna memiliki nama depan dan nama belakang di Akun Google mereka. Jika pengguna telah menghapus nama depan atau nama belakang dari Akun Google mereka, Looker mungkin tidak dapat mengautentikasi pengguna dengan Google OAuth.

• Jika upaya login pengguna gagal, dan Looker menampilkan error seperti User not in the authorized domain, periksa kolom hd dari respons JSON. Jika kolom hd berisi domain, pastikan domain tersebut terdaftar ke akun Google Google Workspace Anda. Jika kolom hd kosong, gunakan Alat transfer untuk pengguna umum (tidak dikelola) untuk mengundang pengguna mengonversi akun mereka menjadi akun terkelola dalam domain Anda.

• Jika upaya login pengguna gagal, tetapi Looker tidak menampilkan pesan error, pengguna mungkin telah mengedit nama akun Google Google Workspace mereka dan menghapus nama depan atau nama belakang mereka. Dalam situasi ini, nama akun Google Google Workspace mungkin masih terlihat lengkap di konsol Admin, yang mungkin tidak menampilkan hasil edit pengguna. Untuk mencegah masalah ini, admin Google Google Workspace dapat menonaktifkan opsi Allow users to customize this setting.

• Jika autentikasi Google menampilkan error 401 deleted_client, error ini menunjukkan bahwa project yang menghosting klien OAuth Looker telah dihapus atau dinonaktifkan. Google Cloud Meskipun Google Cloud project tersebut kemudian dipulihkan, klien OAuth mungkin terus gagal dengan error deleted_client, yang mengakibatkan penguncian login total untuk semua pengguna. Jika autentikasi Google adalah satu-satunya metode autentikasi yang diaktifkan, penguncian ini akan mencegah akses bahkan untuk administrator.

  Untuk mencegah penguncian total jika terjadi penghapusan atau kegagalan klien OAuth, Anda harus mengaktifkan setelan Alternate login for admins. Setelan ini memastikan bahwa administrator memiliki metode login pengganti untuk mengakses instance Looker dan memperbarui setelan autentikasi.

Mengaktifkan login email saat Google Auth diaktifkan

Akun Google baru otomatis mendapatkan akses ke Looker, sehingga Anda tidak perlu menambahkan pengguna yang berada di Domain Google Anda.

Untuk menambahkan pengguna dengan alamat email yang tidak berada di Domain Google Anda:

1. Aktifkan opsi Alternate login for admins and specified users di halaman Google Auth
2. Buat atau ubah peran pengguna yang ada untuk menambahkan izin login_special_email
3. Buka Add Users dari panel pengguna (/admin/users/new)
4. Tambahkan alamat email yang ingin Anda sertakan, dan peran yang harus dimiliki pengguna tersebut, yang harus menyertakan peran dengan izin login_special_email
5. Pengguna tersebut kini dapat login menggunakan https://mycompany.looker.com/login/email (URL tersembunyi)

Menonaktifkan Google Auth setelah diaktifkan

Jika Anda ingin menonaktifkan Autentikasi Google untuk instance Looker Anda setelah diaktifkan, ada beberapa hal yang perlu dipertimbangkan:

• Pengguna yang dibuat sebelum Autentikasi Google ditambahkan, dan telah menyiapkan login dan sandi email normal, akan tetap berfungsi.
• Pengguna yang dibuat setelah Autentikasi Google ditambahkan tidak akan dapat login lagi. Meskipun akun mereka masih ada, mereka tidak memiliki cara untuk mengaksesnya, dan akun mereka secara efektif menjadi tidak terhubung.

Itulah sebabnya kami menyarankan untuk menghindari rute ini. Jika Anda harus menggunakan metode ini, mungkin ada cara untuk memperbaiki akun yang tidak terhubung dengan menggunakan Looker API. Hubungi Dukungan Looker untuk mendapatkan panduan tambahan.