הגדרות אדמין – אימות LDAP

בדף LDAP שבקטע אימות בתפריט אדמין אפשר להגדיר את Looker לאימות משתמשים באמצעות Lightweight Directory Access Protocol ‏ (LDAP). בדף הזה מוסבר על התהליך ומופיעות הוראות לקישור קבוצות LDAP לתפקידים ולהרשאות ב-Looker.

דרישות

הדף LDAP מוצג ב-Looker בקטע אימות בתפריט אדמין רק אם מתקיימים התנאים הבאים:

  • המופע של Looker הוא לא מופע של Looker (Google Cloud Core).
  • יש לכם תפקיד אדמין.
  • המופע של Looker מופעל לשימוש ב-LDAP. כדי להפעיל את LDAP, צריך לפנות למנהל החשבון.

אם התנאים האלה מתקיימים ואתם לא רואים את הדף LDAP, אפשר לפתוח בקשת תמיכה כדי להפעיל LDAP במופע שלכם.

לתשומת ליבכם

כשמגדירים אימות LDAP במופע Looker, חשוב לזכור את השיקולים הבאים:

  • אימות ב-Looker מתבסס על אימות "פשוט" של LDAP. אין תמיכה באימות אנונימי.
  • צריך ליצור חשבון משתמש יחיד ב-LDAP עם הרשאות קריאה לרשומות משתמשים ולכל רשומת קבוצה שתשמש את Looker.
  • ‫Looker קורא רק מהספרייה של LDAP (אין פעולות כתיבה).
  • ‫Looker יכול להעביר חשבונות קיימים ל-LDAP באמצעות כתובות אימייל.
  • השימוש ב-Looker API לא יוצר אינטראקציה עם אימות LDAP.
  • אם שרת ה-LDAP שלכם מגביל את תנועת ה-IP, תצטרכו להוסיף את כתובות ה-IP של Looker לרשימת ההיתרים של כתובות ה-IP של שרת ה-LDAP או לכללי התנועה הנכנסת.
  • פרוטוקול LDAP מבטל את האימות הדו-שלבי. אם הפעלתם בעבר אימות דו-שלבי, המשתמשים לא יראו את מסכי הכניסה של האימות הדו-שלבי אחרי שתפעילו LDAP.

זהירות אם משביתים את אימות LDAP

אם אתם מחוברים ל-Looker באמצעות LDAP ואתם רוצים להשבית את אימות LDAP, חשוב לבצע קודם את שני השלבים הבאים:

  • חשוב לוודא שיש לכם פרטי כניסה אחרים.
  • בדף ההגדרות של LDAP, מפעילים את האפשרות כניסה חלופית.

אחרת, יכול להיות שתחסמו את עצמכם ואת המשתמשים האחרים מ-Looker.

תחילת העבודה

כדי להגדיר LDAP למופע Looker, בוחרים באפשרות LDAP בקטע אימות בחלונית אדמין. בדף אימות LDAP, לוחצים על הגדרת LDAP.

הגדרת החיבור

‫Looker תומך בהעברה ובהצפנה באמצעות LDAP בטקסט גלוי ו-LDAP באמצעות TLS. מומלץ מאוד להשתמש ב-LDAP over TLS. אין תמיכה ב-StartTLS ובסכימות הצפנה אחרות.

  1. מזינים את פרטי המארח והיציאה.
  2. מסמנים את התיבה שליד TLS אם משתמשים ב-LDAP over TLS.
  3. אם אתם משתמשים ב-LDAP over TLS, ‏ Looker אוכף אימות של אישורי עמיתים כברירת מחדל. אם צריך להשבית את אימות האישורים של עמיתים, מסמנים את התיבה No Verify (ללא אימות).
  4. לוחצים על בדיקת החיבור. אם מופיעות שגיאות, צריך לתקן אותן לפני שממשיכים.

אימות החיבור

ל-Looker נדרשת גישה לחשבון LDAP שמוגן באמצעות סיסמה. לחשבון LDAP צריכה להיות הרשאת קריאה לרשומות של אנשים ולסט חדש של רשומות של תפקידים. לחשבון LDAP ב-Looker לא נדרשת גישת כתיבה (או גישה להיבטים אחרים של הספרייה), ולא משנה באיזה מרחב שמות החשבון נוצר.

  1. מזינים את הסיסמה.
  2. [אופציונלי] מסמנים את התיבה Force No Paging (אילוץ של ביטול חלוקה לדפים) אם ספק ה-LDAP לא מספק תוצאות מחולקות לדפים. במקרים מסוימים, זה יכול לעזור אם לא מתקבלות התאמות כשמחפשים משתמשים, אבל זה לא הפתרון היחיד לבעיה כזו.
  3. לוחצים על הלחצן בדיקת אימות. אם מופיעות שגיאות, צריך לוודא שפרטי האימות נכונים. אם האישורים שלכם תקינים אבל השגיאות נמשכות, פנו לאדמין ה-LDAP של החברה.

הגדרות שיוך משתמשים

בקטע הזה מפורטות הדרכים שבהן Looker ימצא משתמשים בספרייה שלכם, יקשר אותם לאימות ויחלץ את פרטי המשתמשים.

  1. מגדירים את ה-DN הבסיסי, שהוא הבסיס של עץ החיפוש עבור כל המשתמשים
  2. [אופציונלי] מציינים User Object Class (סיווג של אובייקט משתמש), שקובע את סוגי התוצאות ש-Looker ימצא ויחזיר. השימוש באפשרות הזו מועיל אם ה-Base DN הוא שילוב של סוגי אובייקטים (אנשים, קבוצות, מדפסות וכו'), ואתם רוצים להחזיר רק רשומות מסוג אחד.
  3. מגדירים את מאפייני הכניסה, שבהם מוגדרים המאפיינים שבהם המשתמשים ישתמשו כדי להיכנס לחשבון. המזהים האלה צריכים להיות ייחודיים לכל משתמש, ומוכרים למשתמשים כמזהה שלהם במערכת שלכם. לדוגמה, אפשר לבחור מזהה משתמש או כתובת אימייל מלאה. אם מוסיפים יותר ממאפיין אחד, Looker יחפש בשניהם כדי למצוא את המשתמש המתאים. מומלץ להימנע משימוש בפורמטים שעלולים לגרום ליצירת חשבונות כפולים, כמו שם פרטי ושם משפחה.
  4. מציינים את מאפיין האימייל, מאפיין השם הפרטי ומאפיין השם המשפחה. המידע הזה מאפשר ל-Looker למפות את השדות האלה ולחלץ את המידע שלהם במהלך ההתחברות.
  5. מגדירים את מאפיין המזהה, שמציין שדה שמשמש את Looker כמזהה הייחודי של המשתמשים. בדרך כלל זה יהיה אחד משדות ההתחברות.
  6. אפשר גם להזין מסנן מותאם אישית אופציונלי, שמאפשר לכם לספק מסנני LDAP שרירותיים שיוחלו כשמחפשים משתמש לקישור במהלך אימות LDAP. האפשרות הזו שימושית אם רוצים לסנן קבוצות של רשומות משתמשים, כמו משתמשים מושבתים או משתמשים שנמצאים בארגון אחר.

דוגמה

בדוגמה הזו של רשומת משתמש ב-ldiff אפשר לראות איך מגדירים הגדרות תואמות ב-Looker:

Ldiff User Entry

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

הגדרות Looker תואמות

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

התאמה בין מאפייני משתמשים ב-LDAP לבין מאפייני משתמשים ב-Looker

אפשר גם להשתמש בנתונים במאפייני המשתמשים ב-LDAP כדי לאכלס באופן אוטומטי ערכים במאפייני המשתמשים ב-Looker כשמשתמש מתחבר. לדוגמה, אם הגדרתם LDAP כדי ליצור חיבורים ספציפיים למשתמשים למסד הנתונים שלכם, תוכלו לשייך את מאפייני המשתמש של LDAP למאפייני המשתמש של Looker כדי ליצור ב-Looker חיבורים ספציפיים למשתמשים למסד הנתונים שלכם.

חשוב לזכור שמאפיין ה-LDAP צריך להיות מאפיין משתמש, ולא מאפיין קבוצה.

כדי להתאים בין מאפייני משתמש ב-LDAP למאפייני משתמש תואמים ב-Looker, או כדי לנהל התאמות קיימות, פועלים לפי השלבים הבאים:

  1. בקטע User Attribute Pairings (שיוך מאפייני משתמשים), לוחצים על הלחצן Manage Pairings (ניהול שיוכים) כדי לפתוח את החלונית הצדדית Manage Pairings (ניהול שיוכים).
  2. בשדה תביעה, מזינים את השם של מאפיין המשתמש ב-LDAP שרוצים להתאים. אפשר להזין שמות של תביעות רק פעם אחת ברשימה. אם רוצים לשייך טענה לכמה מאפייני Looker, אפשר להזין כמה מאפיינים בשדה Looker User Attributes (מאפייני משתמש ב-Looker).
  3. בשדה מאפייני משתמשים ב-Looker, מופיעה רשימה נפתחת של מאפייני משתמשים ב-Looker עבור המופע. בוחרים את השם של מאפיין המשתמש ב-Looker שרוצים להתאים למאפיין המשתמש ב-LDAP. אפשר לבחור כמה מאפייני משתמשים ב-Looker. צריך לבחור לפחות מאפיין משתמש אחד ב-Looker.
  4. מסמנים את התיבה חובה אם רוצים לדרוש ערך מאפיין LDAP כדי לאפשר למשתמש להיכנס לחשבון.
  5. לוחצים על הלחצן הוספת שיוך כדי להוסיף עוד שורת שיוך לרשימה. חוזרים על השלבים האלה כדי להוסיף עוד זוגות של מאפיינים.
  6. משמאל לכל שורה של צימוד מופיע סמל הסרת הצימוד. לוחצים על הסמל הזה כדי להסיר שיוך מאפיינים מהמופע.
  7. לוחצים על סמל הסגירה כדי לצאת מחלונית הצד ניהול שיוכים.
  8. בודקים את הגדרת ה-LDAP.
  9. מאמתים את הגדרות ה-LDAP, ובחלק התחתון של הדף אימות LDAP, מסמנים את התיבה אימתתי את הגדרות ה-LDAP.
  10. לוחצים על הלחצן הפעלת LDAP או עדכון הגדרות LDAP כדי לשמור את זיווגי מאפייני המשתמש ב-LDAP.

חלונית הצד ניהול קישורים כוללת גם את הכלים הבאים:

  • תפריט המסננים סינון הרשימה וסרגל החיפוש. אפשר להשתמש בכלים האלה כדי לחפש את הזיווגים שכבר נוספו למופע.
  • התפריט הנפתח של הצגת החלוקה לדפים. בתפריט הזה אפשר לבחור להציג 10, 25, 50 או 100 צמדים בכל דף.

פרטי משתמשים למטרות בדיקה

  1. מזינים את פרטי הכניסה של משתמש הבדיקה ולוחצים על הלחצן בדיקת אימות משתמש. ‫Looker ינסה לבצע רצף מלא של אימות LDAP ויציג את התוצאה. אם הפעולה מצליחה, Looker מציג את פרטי המשתמש מהספרייה, בתוספת מידע על תהליך האימות שיכול לעזור בפתרון בעיות בהגדרות.
  2. מוודאים שהאימות הצליח ושהמיפוי של כל השדות נכון. לדוגמה, מוודאים שהשדה first_name לא מכיל ערך ששייך ל-last_name.

קבוצות ותפקידים

אתם יכולים להגדיר את Looker כך שיצור קבוצות שמשקפות את קבוצות ה-LDAP שמנוהלות חיצונית, ואז תוכלו להקצות תפקידים ב-Looker למשתמשים על סמך קבוצות ה-LDAP המשוקפות שלהם. כשמבצעים שינויים בחברות בקבוצת LDAP, השינויים האלה מועברים אוטומטית להגדרת הקבוצה ב-Looker.

שיקוף של קבוצות LDAP מאפשר לכם להשתמש בספריית LDAP שהוגדרה חיצונית כדי לנהל קבוצות ומשתמשים ב-Looker. כך תוכלו לנהל את חברי הקבוצה שלכם בכמה כלים של תוכנה כשירות (SaaS), כמו Looker, במקום אחד.

אם מפעילים את האפשרות Mirror LDAP Groups (שיקוף קבוצות LDAP), Looker יוצר קבוצה אחת ב-Looker לכל קבוצת LDAP שמוצגת במערכת. אפשר לראות את קבוצות Looker האלה בדף קבוצות בקטע Admin ב-Looker. אפשר להשתמש בקבוצות כדי להקצות תפקידים לחברים בקבוצה, להגדיר אמצעי בקרה לגישה לתוכן ולהקצות מאפייני משתמש.

קבוצות ותפקידים שמוגדרים כברירת מחדל

כברירת מחדל, המתג Mirror LDAP Groups (שיקוף קבוצות LDAP) מושבת. במקרה כזה, אפשר להגדיר קבוצת ברירת מחדל למשתמשי LDAP חדשים. בשדות New User Groups (קבוצות משתמשים חדשות) ו-New User Roles (תפקידי משתמשים חדשים), מזינים את השמות של קבוצות או תפקידים ב-Looker שרוצים להקצות למשתמשים חדשים ב-Looker כשהם נכנסים ל-Looker בפעם הראשונה.

הקבוצות והתפקידים האלה מוקצים למשתמשים חדשים בכניסה הראשונית שלהם. הקבוצות והתפקידים לא חלים על משתמשים שכבר קיימים, והם לא מוחלים מחדש אם הם מוסרים מהמשתמשים אחרי שהמשתמשים נכנסים לחשבון בפעם הראשונה.

אם תפעילו בהמשך קבוצות LDAP משוכפלות, ברירות המחדל האלה יוסרו מהמשתמשים בכניסה הבאה שלהם ויוחלפו בתפקידים שהוקצו בקטע שיקוף קבוצות LDAP. אפשרויות ברירת המחדל האלה לא יהיו יותר זמינות או מוקצות, והן יוחלפו באופן מלא בהגדרת הקבוצות המשוכפלות.

הפעלת קבוצות LDAP משוכפלות

אם בחרתם לשכפל את קבוצות ה-LDAP ב-Looker, מפעילים את המתג Mirror LDAP Groups (שכפול קבוצות LDAP). ההגדרות הבאות מוצגות ב-Looker:

Group Finder Strategy (אסטרטגיית איתור קבוצות): בוחרים אפשרות מהתפריט הנפתח כדי לציין ל-Looker איך למצוא את הקבוצות של המשתמש:

  • לקבוצות יש מאפייני חברים: זו האפשרות הנפוצה יותר. כשמחפשים חבר בקבוצה, Looker יחזיר רק את הקבוצות שהמשתמש משויך אליהן ישירות. לדוגמה, אם משתמש הוא חבר בקבוצה Database-Admin, והקבוצה Database-Admin היא חברה בקבוצה Engineering, המשתמש יקבל רק את ההרשאות שמשויכות לקבוצה Database-Admin.

  • לקבוצות יש מאפייני חברים (חיפוש מעמיק): האפשרות הזו מאפשרת לקבוצות להיות חברות בקבוצות אחרות, ולפעמים היא נקראת קבוצות בתוך קבוצות ב-LDAP. כלומר, למשתמש יכולות להיות ההרשאות של יותר מקבוצה אחת. לדוגמה, אם משתמש הוא חבר בקבוצה Database-Admin, והקבוצה Database-Admin היא חברה בקבוצה Engineering, המשתמש יקבל את ההרשאות שמשויכות לשתי הקבוצות האלה. חלק משרתי LDAP (במיוחד Microsoft Active Directory) תומכים בביצוע אוטומטי של חיפוש עמוק מהסוג הזה, גם כשהמתקשר מבצע חיפוש שנראה כמו חיפוש שטחי. זו יכולה להיות עוד שיטה שבה אפשר להשתמש כדי לבצע חיפוש מעמיק.

Base DN: מאפשר לצמצם את החיפוש, ויכול להיות זהה ל-Base DN שצוין בקטע User Binding Settings בדף התיעוד הזה.

סוגי אובייקטים של קבוצות: הגדרה אופציונלית. כמו שצוין בקטע הגדרות של שיוך משתמשים, ההגדרה הזו מאפשרת להגביל את התוצאות שמוחזרות מ-Looker לסוג מסוים של אובייקט או לקבוצה של סוגים.

מאפיין חבר בקבוצה: המאפיין שקובע, עבור כל קבוצה, את האובייקטים (במקרה הזה, כנראה האנשים) שחברים בה.

Group User Attr: השם של מאפיין המשתמש ב-LDAP, שהערך שלו ייבדק ברשומות של הקבוצה כדי לקבוע אם המשתמש הוא חלק מהקבוצה. ברירת המחדל היא dn (כלומר, השארת השדה ריק שקולה להגדרת הערך dn), וכתוצאה מכך, פרוטוקול LDAP ישתמש בשם המלא המובחן (DN), שהוא המחרוזת המדויקת שרגישה לאותיות רישיות וקטנות, שתופיע בחיפוש LDAP עצמו, כדי לחפש רשומות של קבוצות.

הכפתור ניהול קבוצות: לוחצים על הכפתור הזה כדי לפתוח את החלונית הצדדית ניהול קבוצות, שבה אפשר להוסיף, להסיר או לערוך קבוצה בהתאמה אישית או את התפקידים שמוקצים לקבוצה ב-Looker. בחלונית הצדדית ניהול קבוצות מוצגים השדות הבאים:

  • השדה שם הקבוצה המועדף. מזינים בשדה הזה שם מותאם אישית לקבוצה המשוכפלת. זה השם שיוצג בדף Groups בקטע Admin ב-Looker.

  • שדה Group DN. מזינים את קבוצת ה-LDAP בשדה הזה. ה-DN של הקבוצה צריך לכלול את השם המובחן המלא, שהוא המחרוזת המדויקת שרגישה לאותיות רישיות שקיימת בחיפוש LDAP עצמו. משתמשי LDAP שנכללים בקבוצת LDAP יתווספו לקבוצה המשוכפלת ב-Looker.

  • שדה תפקיד. בשדה הזה, בוחרים תפקיד אחד או יותר ב-Looker שיוקצו לכל משתמש בקבוצה.

  • סמל הסרת המיפוי. לוחצים על הסמל הזה כדי להסיר קבוצה משוכפלת ממופע Looker. אם מוחקים קבוצה, היא לא תשוכפל יותר ב-Looker, ולחברים בה לא יהיו יותר התפקידים ב-Looker שהוקצו להם דרך הקבוצה הזו.

בחלונית הצדדית ניהול קבוצות יש גם את הכלים הבאים:

  • תפריט המסננים סינון הרשימה וסרגל החיפוש. אפשר להשתמש בכלים האלה כדי לחפש את הקבוצות שכבר נוספו למופע.

  • הלחצן הוספת מיפוי. לוחצים על הלחצן הזה כדי להוסיף קבוצה בהתאמה אישית למופע.

  • התפריט הנפתח של הצגת החלוקה לדפים. בתפריט הזה בוחרים כמה קבוצות יוצגו בכל דף.

עריכה של קבוצות משוכפלות

אם תערכו קבוצה משוכפלת שהוגדרה קודם במסך הזה, ההגדרה של הקבוצה תשתנה אבל הקבוצה עצמה תישאר ללא שינוי. לדוגמה, אפשר לשנות את השם של קבוצה ב-Looker, וכך לשנות את האופן שבו הקבוצה מופיעה בדף Groups (קבוצות) ב-Looker, אבל לא לשנות את התפקידים שהוקצו ואת חברי הקבוצה. שינוי השם של קבוצת LDAP ישמור את השם והתפקידים של הקבוצה, אבל החברים בקבוצה יוקצו מחדש על סמך המשתמשים שחברים בקבוצת ה-LDAP החיצונית עם השם החדש של קבוצת ה-LDAP.

כל שינוי שנעשה בקבוצה משוכפלת יחול על המשתמשים בקבוצה הזו בכניסה הבאה שלהם ל-Looker.

ניהול מתקדם של תפקידים

אם הפעלתם את המתג Mirror LDAP Groups (שיקוף קבוצות LDAP), ההגדרות האלה יוצגו ב-Looker. האפשרויות בקטע הזה קובעות את מידת הגמישות של אדמינים ב-Looker בהגדרת קבוצות ומשתמשים ב-Looker שמשוכפלים מ-Looker.

לדוגמה, אם אתם רוצים שההגדרות של הקבוצות והמשתמשים ב-Looker יהיו זהות להגדרות ב-LDAP, אתם צריכים להפעיל את האפשרויות האלה. אם כל שלוש האפשרויות הראשונות מופעלות, אדמינים ב-Looker לא יכולים לשנות את החברות בקבוצות משוכפלות, והם יכולים להקצות תפקידים למשתמשים רק דרך קבוצות משוכפלות של LDAP.

אם רוצים גמישות רבה יותר כדי להתאים אישית את הקבוצות ב-Looker, כדאי להשבית את האפשרויות האלה. הקבוצות ב-Looker עדיין ישקפו את הגדרות ה-LDAP, אבל תוכלו לבצע פעולות נוספות של ניהול קבוצות ומשתמשים ב-Looker, כמו הוספת משתמשי LDAP לקבוצות ב-Looker או הקצאת תפקידים ב-Looker ישירות למשתמשי LDAP.

במקרים של מופעי Looker חדשים, או מופעי Looker שאין בהם קבוצות משוכפלות שהוגדרו בעבר, האפשרויות האלה מושבתות כברירת מחדל.

במקרים של מופעי Looker קיימים שבהם הוגדרו קבוצות משוכפלות, האפשרויות האלה מופעלות כברירת מחדל.

הקטע ניהול מתקדם של תפקידים כולל את האפשרויות הבאות:

מניעת הקצאת תפקידים ישירים למשתמשי LDAP בודדים: הפעלת האפשרות הזו מונעת ממנהלי מערכת ב-Looker להקצות תפקידים ב-Looker ישירות למשתמשי LDAP. משתמשי LDAP יקבלו תפקידים רק דרך החברות שלהם בקבוצות. אם משתמשי LDAP יכולים להיות חברים בקבוצות מובנות (לא משוכפלות) ב-Looker, הם עדיין יכולים לרשת את התפקידים שלהם גם מקבוצות LDAP משוכפלות וגם מקבוצות מובנות ב-Looker. תפקידים שהוקצו ישירות למשתמשי LDAP יוסרו מהם בהתחברות הבאה שלהם.

אם האפשרות הזו מושבתת, אדמינים ב-Looker יכולים להקצות תפקידים ב-Looker ישירות למשתמשי LDAP, כאילו הם משתמשים שהוגדרו ישירות ב-Looker.

Prevent Direct Membership in non-LDAP Groups (מניעת צירוף ישיר לקבוצות שאינן קבוצות LDAP): הפעלת האפשרות הזו מונעת ממנהלי Looker להוסיף משתמשי LDAP ישירות לקבוצות מובנות ב-Looker. אם מותר להוסיף קבוצות LDAP משוכפלות כחברים בקבוצות מובנות ב-Looker, משתמשי LDAP יכולים להישאר חברים בכל קבוצת הורה ב-Looker. משתמשי LDAP שהוקצו בעבר לקבוצות מובנות ב-Looker יוסרו מהקבוצות האלה בפעם הבאה שהם ייכנסו לחשבון.

אם האפשרות הזו מושבתת, אדמינים של Looker יכולים להוסיף משתמשי LDAP ישירות לקבוצות מובנות של Looker.

מניעת ירושת תפקידים מקבוצות שאינן LDAP: הפעלת האפשרות הזו מונעת מחברים בקבוצות LDAP משוכפלות לרשת תפקידים מקבוצות מובנות ב-Looker. משתמשים ב-LDAP שקיבלו בעבר תפקידים בירושה מקבוצת Looker ראשית יאבדו את התפקידים האלה כשיתחברו בפעם הבאה.

אם האפשרות הזו מושבתת, קבוצות LDAP משוכפלות או משתמשי LDAP שנוספו כחברים בקבוצת Looker מובנית יקבלו בירושה את התפקידים שהוקצו לקבוצת Looker הראשית.

נדרש תפקיד לאימות: אם האפשרות הזו מופעלת, משתמשי LDAP צריכים לקבל תפקיד. משתמשי LDAP שלא הוקצה להם תפקיד לא יוכלו להיכנס ל-Looker בכלל.

אם האפשרות הזו מושבתת, משתמשי LDAP יכולים לבצע אימות ב-Looker גם אם לא הוקצה להם תפקיד. משתמש שלא הוקצה לו תפקיד לא יוכל לראות נתונים או לבצע פעולות ב-Looker, אבל הוא יוכל להיכנס ל-Looker.

השבתת קבוצות LDAP משוכפלות

כדי להפסיק את השכפול של קבוצות LDAP ב-Looker, משביתים את המתג Mirror LDAP Groups (שכפול קבוצות LDAP). השבתת המתג מובילה להתנהגות הבאה:

  • כל קבוצת LDAP משוכפלת ללא משתמשים נמחקת באופן מיידי.
  • כל קבוצת LDAP משוכפלת שכן מכילה משתמשים מסומנת כיתומה. אם אף משתמש בקבוצה הזו לא יתחבר לחשבון תוך 31 יום, הקבוצה תימחק. אי אפשר יותר להוסיף משתמשים לקבוצות LDAP יתומות או להסיר אותם מהן.

אפשרויות להעברה ולשילוב

כניסה חלופית לאדמינים ולמשתמשים ספציפיים

  • אפשר לאפשר לאדמינים ולמשתמשים עם הרשאת login_special_email להתחבר באמצעות כתובת אימייל חלופית (מידע נוסף על הגדרת ההרשאה הזו זמין במסמכי התפקידים). האפשרות הזו תופיע בדף הכניסה של Looker אם הפעלתם אותה ולמשתמש יש את ההרשאה המתאימה.
  • האפשרות הזו שימושית כפתרון חלופי במהלך הגדרת LDAP, אם מתרחשות בעיות בהגדרת LDAP בהמשך, או אם אתם צריכים לתמוך במשתמשים מסוימים שלא נמצאים בספריית ה-LDAP שלכם.
  • הכניסה ל-Looker באמצעות כתובת אימייל וסיסמה תמיד מושבתת למשתמשים רגילים כש-LDAP מופעל.

מיזוג באמצעות אימייל

  • האפשרות הזו מאפשרת ל-Looker למזג משתמשי LDAP חדשים עם חשבונות Looker קיימים שלהם, על סמך כתובת האימייל.
  • אם Looker לא מוצא כתובת אימייל תואמת, נוצר חשבון חדש למשתמש.

פתרון בעיות

כדי לפתור בעיות שקשורות לאימות, כדאי לבדוק את מרכז הבקרה לפעילות משתמש בפעילות המערכת. לוח הבקרה הזה כולל משבצות שמציגות כשלים בכניסה לחשבון מהזמן האחרון, וכולל את שיטת האימות שבה נעשה שימוש, את הודעת השגיאה שהוחזרה ואת השעה שבה בוצע הניסיון.

שמירת ההגדרות והחלתן

אחרי שמסיימים להזין את הפרטים וכל הבדיקות עוברות בהצלחה, מסמנים את התיבה I have confirmed the configuration above and want to enable applying it globally (אישרתי את ההגדרה שלמעלה ואני רוצה להחיל אותה באופן גלובלי) ולוחצים על Update Settings (עדכון ההגדרות) כדי לשמור.