Impostazioni amministratore - Autenticazione Google

La pagina Autenticazione Google nella sezione Autenticazione del menu Amministratore consente di configurare Google OAuth sul lato Looker.

Panoramica delle funzioni

Looker può eseguire l'autenticazione utilizzando Google OAuth per gli utenti che hanno account registrati con Google Google Workspace.

  • Le organizzazioni che utilizzano Google Google Workspace possono autenticare gli utenti di Looker che hanno Account Google.
  • Gli utenti accedono a Looker autenticandosi con il proprio Account Google.
  • I nuovi Account Google ottengono automaticamente l'accesso a Looker. Non è necessario invitare separatamente gli utenti a Looker. Imposti il ruolo predefinito per i nuovi utenti, che può limitare il loro accesso a funzionalità e dati.
  • Se attivato, Looker autentica gli utenti solo con Google OAuth a meno che non sia selezionata l'opzione "Accesso alternativo" (vedi la sezione seguente su come abilitare gli accessi con email mentre è attivata l'autenticazione Google).
  • L'avatar Google di un utente viene visualizzato nella barra di navigazione anziché il simbolo utente standard.
  • Quando abiliti Google OAuth, l'istanza di Looker può unire gli account utente esistenti con il dominio registrato da Google, ma solo per gli account il cui indirizzo email corrisponde al dominio. Tutti gli altri account non amministratore perderanno la possibilità di accedere.
  • Tutti gli utenti del dominio specificato ottengono l'accesso all'istanza di Looker.
  • Per impostazione predefinita, le autorizzazioni per i nuovi utenti Google sono impostate sull'accesso di base per un elenco specificato di modelli (che potrebbe, facoltativamente, essere l'accesso a zero modelli). Le autorizzazioni possono essere aggiornate da un amministratore dopo la creazione dell'account.
  • I nuovi account Looker che eseguono l'autenticazione utilizzando Google OAuth non possono passare all'autenticazione con password, anche se OAuth è disattivato per l'istanza di Looker.

Requisiti preliminari

L'utilizzo di Google OAuth richiede quanto segue:

Abilitare l'autenticazione con Google OAuth

Per abilitare l'autenticazione con Google OAuth, un amministratore deve eseguire i passaggi sia sul lato Google sia sul lato Looker, come descritto nelle sezioni seguenti.

Configurazione sul lato Google

I passaggi per abilitare Google OAuth sul lato Google sono descritti in questa sezione. La descrizione generica di questi passaggi è disponibile nella pagina di assistenza Google sulla configurazione di OAuth 2.0. Puoi anche consultare la documentazione di assistenza della Google Cloud console.

  1. Vai alla Google Cloud console.

  2. Fai clic sulla Freccia giù nel menu a discesa Seleziona un progetto. Potresti visualizzare il nome di un progetto esistente nel menu a discesa; fai clic sulla Freccia giù e ti verrà chiesto di creare un nuovo progetto.

  3. Nella pagina Seleziona un progetto, fai clic su Nuovo progetto.

    Nella Google Cloud console viene visualizzata la pagina Nuovo progetto.

  4. Compila le informazioni nella pagina Nuovo progetto e fai clic su Crea.

    Al termine della creazione del nuovo progetto, Google ti riporta alla Google Cloud console e mostra il nuovo progetto. Google Cloud

  5. Nel menu a sinistra, seleziona API e servizi > Credenziali.

  6. Nella pagina Credenziali , fai clic sul pulsante Crea credenziali e seleziona ID client OAuth dal menu a discesa.

    Nella Google Cloud console viene visualizzata la pagina Crea ID client OAuth.

  7. La Google Cloud console richiede di configurare una schermata per il consenso OAuth, che consente agli utenti di scegliere come concedere l'accesso ai loro dati privati e fornisce un link ai Termini di servizio e alle Norme sulla privacy della tua organizzazione. Fai clic su Configura schermata per il consenso. (Se hai configurato il consenso OAuth per un progetto precedente, non vedrai questa opzione e puoi passare al passaggio 13.)

    Nella Google Cloud console viene visualizzata la pagina Schermata per il consenso OAuth.

  8. Inserisci il dominio dell'istanza di Looker nel campo Domini autorizzati. Ad esempio, se Looker ospita la tua istanza all'indirizzo https://mycompany.looker.com, il dominio è looker.com. Per i deployment di Looker ospitati dal cliente, inserisci il dominio su cui ospiti Looker.

  9. Configura la schermata per il consenso OAuth e fai clic su Salva e continua.

  10. Nella pagina Ambiti, fai clic su Salva e continua. Non è richiesta alcuna configurazione aggiuntiva dell'ambito.

  11. Nella pagina Riepilogo, fai clic su Torna alla dashboard.

    La Google Cloud console ti riporta alla pagina Crea ID client OAuth.

  12. In Tipo di applicazione, seleziona Applicazione web.

  13. Nel campo Nome, inserisci un nome per l'ID client OAuth.

  14. Nel campo Origini JavaScript autorizzate, inserisci l'URL dell'istanza di Looker, incluso https://. Ad esempio:

    • Se Looker ospita la tua istanza: https://mycompany.looker.com
    • Se hai un'istanza di Looker ospitata dal cliente: https://looker.mycompany.com
    • Se l'istanza di Looker richiede un numero di porta: https://looker.mycompany.com:9999

  15. Nel campo URI di reindirizzamento autorizzati, inserisci l'URL dell'istanza di Looker, seguito da /oauth2callback. Ad esempio: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

  16. Fai clic su Crea.

  17. Copia i valori di ID client e client secret : ti serviranno per configurare Looker.

Configurazione sul lato Looker

Per abilitare Google OAuth sul lato Looker, segui questi passaggi.

  1. Nell'applicazione Looker, dopo aver eseguito l'accesso come amministratore, fai clic sul menu a discesa Amministratore per aprire il menu Amministratore.

  2. Nel gruppo Autenticazione, fai clic su Google. Looker visualizza la pagina Autenticazione Google.

  3. Fai clic su Attivato per visualizzare e modificare le impostazioni di Google OAuth. (Questa operazione non attiva immediatamente l'autenticazione Google; dovrai confermare la tua scelta in un secondo momento).

  4. Inserisci le impostazioni di autenticazione Google.

    • ID client e client secret : copia e incolla questi valori dalla pagina Client OAuth di Google, come descritto nelle istruzioni di configurazione di Google precedenti.
    • Domini : i nomi di dominio gestiti da Google della tua organizzazione. Qualsiasi utente Google nel dominio specificato può accedere all'istanza di Looker. Se controlli più domini Google, puoi inserirli separati da virgole.

  5. Inserisci le opzioni di migrazione, che controllano il comportamento dell'istanza di Looker durante la transizione a Google OAuth.

    • Accesso alternativo per gli amministratori : consente agli amministratori di continuare ad accedere con email e password, il che è utile in caso di problemi di configurazione di Google OAuth. Questa impostazione è consigliata e viene descritta ulteriormente in Abilitare gli accessi con email mentre è attivata l'autenticazione Google.
    • Unisci per email : converte tutti gli utenti esistenti con indirizzi email nei domini specificati in modo che utilizzino Google OAuth al successivo accesso. Questa impostazione è consigliata.
    • Ruoli per i nuovi utenti : specifica la funzionalità e l'accesso ai modelli di cui dispongono i nuovi utenti non amministratori. Questo elenco può essere aggiornato in un secondo momento. Se lasciato vuoto, i nuovi utenti autenticati da Google avranno funzionalità limitate all'interno della piattaforma Looker finché un amministratore non aggiunge un ruolo al loro account. Poiché tutti gli utenti all'interno del tuo dominio Google potranno accedere a Looker, valuta la possibilità di specificare un ruolo predefinito per i nuovi utenti che limiti l'accesso in modo appropriato.

  6. Fai clic su Testa l'autenticazione Google per utilizzare le impostazioni correnti e tentare di autenticare il browser corrente in una nuova finestra. Questa azione non salva le impostazioni correnti né le applica all'istanza di Looker.

    Se non hai eseguito l'accesso a Google, ti viene chiesto di accedere e di fornire il consenso per utilizzare le informazioni del tuo Account Google. Questo flusso utilizza le impostazioni personalizzate della schermata per il consenso che hai utilizzato nella configurazione sul lato Google.

    Se l'operazione va a buon fine, viene visualizzata una sezione Informazioni utente con il tuo nome, indirizzo email e dominio. La presenza di questa sezione Informazioni utente indica che l'utente verrà autenticato correttamente da Looker.

    In caso di errore, vengono visualizzate le descrizioni degli errori. Alcuni problemi comuni includono:

    • ID client o client secret copiati in modo errato. Questi valori devono essere copiati e incollati con attenzione e per intero.
    • L'utente non è nel dominio. Se vedi una sezione Informazioni personali, ma non Informazioni utente, probabilmente è perché l'utente non si trova nel dominio che hai specificato. Ciò indica che la persona si è autenticata correttamente su Google, ma non sta utilizzando un Account Google che hai scelto di consentire nella tua istanza di Looker.
    • Un URL di Looker o un URL di reindirizzamento non è configurato correttamente in Google per l'istanza di Looker.

  7. Per salvare e applicare le modifiche, seleziona Ho confermato la configurazione sopra e voglio abilitarne l'applicazione a livello globale. Fai clic su Aggiorna.

Suggerimenti

  • Per sperimentare l'intero ciclo di autenticazione, puoi uscire da Google e vedere che Google ti chiede di accedere di nuovo quando tenti di accedere a Looker.

  • In Google puoi fare clic su Account nel menu a discesa personale (accanto al tuo indirizzo email in alto a destra in una pagina di Google Google Workspace) per gestire il tuo account personale.

    Nella pagina di gestione è presente una scheda Sicurezza con una sezione Autorizzazioni account. Facendo clic su App e siti web Visualizza tutto , puoi (come utente) visualizzare e gestire i servizi e le app a cui hai concesso le autorizzazioni.

    Se fai clic sulle autorizzazioni di Looker che hai concesso per accedere, vengono visualizzati i dettagli che gli utenti vedono nella schermata per il consenso che hai personalizzato in precedenza. Puoi anche fare clic su Revoca l'accesso in modo che la prossima volta che accedi a Looker (o testi l'autorizzazione) ti venga nuovamente richiesta la schermata per il consenso. Puoi utilizzare questo flusso di lavoro per personalizzare la schermata per il consenso e visualizzare ciò che vedranno gli utenti.

Risoluzione dei problemi

Per risolvere i problemi di autenticazione, controlla la dashboard Attività utente in Attività di sistema. Questa dashboard contiene riquadri che mostrano i recenti errori di accesso e include il metodo di autenticazione utilizzato, il messaggio di errore restituito e l'ora del tentativo.

  • Se il tentativo di accesso di un utente non va a buon fine, assicurati innanzitutto che l'utente abbia sia un nome sia un cognome nei propri Account Google. Se l'utente ha eliminato il nome o il cognome dal proprio Account Google, Looker potrebbe non essere in grado di autenticare l'utente con Google OAuth.

  • Se il tentativo di accesso di un utente non va a buon fine e Looker visualizza un errore come User not in the authorized domain, controlla il campo hd della risposta JSON. Se il campo hd contiene un dominio, assicurati che il dominio sia registrato nel tuo account Google Google Workspace. Se il campo hd è vuoto, utilizza lo Strumento di trasferimento per gli utenti non gestiti per invitare l'utente a convertire il proprio account in un account gestito all'interno del tuo dominio.

  • Se il tentativo di accesso di un utente non va a buon fine, ma Looker non visualizza un messaggio di errore, è possibile che l'utente abbia modificato il nome dell'account Google Google Workspace ed eliminato il nome o il cognome. In questa situazione, il nome dell'account Google Google Workspace potrebbe comunque apparire completo nella Console di amministrazione, che potrebbe non mostrare le modifiche dell'utente. Per evitare questo problema, gli amministratori di Google Google Workspace possono disattivare l'opzione Consenti agli utenti di personalizzare questa impostazione.

Abilitare gli accessi con email mentre è attivata l'autenticazione Google

I nuovi Account Google ottengono automaticamente l'accesso a Looker, quindi non è necessario aggiungere utenti che si trovano nel tuo dominio Google.

Per aggiungere un utente con un indirizzo email che non si trova nel tuo dominio Google:

  1. Abilita l'opzione Accesso alternativo per amministratori e utenti specificati nella pagina Autenticazione Google.
  2. Crea o modifica un ruolo utente esistente per aggiungere l'autorizzazione login_special_email.
  3. Vai ad Aggiungi utenti dal riquadro degli utenti (/admin/users/new).
  4. Aggiungi gli indirizzi email che vuoi includere e i ruoli che devono avere questi utenti, che devono includere un ruolo con l'autorizzazione login_special_email.
  5. Questi utenti ora possono accedere utilizzando https://mycompany.looker.com/login/email (URL nascosto).

Disabilitare l'autenticazione Google dopo averla abilitata

Se vuoi disabilitare l'autenticazione Google per l'istanza di Looker dopo averla già abilitata, devi tenere presente alcune cose:

  • Gli utenti creati prima dell'aggiunta dell'autenticazione Google e che hanno già configurato un accesso con email e password normale continueranno a funzionare.
  • Gli utenti creati dopo l'aggiunta dell'autenticazione Google non potranno più accedere. Sebbene i loro account esistano ancora, non hanno modo di accedervi e i loro account sono effettivamente orfani.

Per questo motivo, ti consigliamo di evitare questa procedura. Se devi seguire questa procedura, potrebbe esistere un metodo per correggere gli account orfani utilizzando l'API Looker. Contatta l'assistenza Looker per ulteriori indicazioni.