Impostazioni amministratore - Autenticazione LDAP

La pagina LDAP nella sezione Autenticazione del menu Amministrazione ti consente di configurare Looker per autenticare gli utenti con Lightweight Directory Access Protocol (LDAP). Questa pagina descrive il processo e include istruzioni per collegare i gruppi LDAP a ruoli e autorizzazioni di Looker.

Requisiti

Looker mostra la pagina LDAP nella sezione Autenticazione del menu Amministrazione solo se sono soddisfatte le seguenti condizioni:

  • La tua istanza di Looker non è un'istanza di Looker (Google Cloud core).
  • Disponi del ruolo di amministratore.
  • La tua istanza di Looker è abilitata all'utilizzo di LDAP. Contatta il tuo account executive per attivare LDAP.

Se queste condizioni sono soddisfatte e non vedi la pagina LDAP, apri una richiesta di assistenza per attivare LDAP nella tua istanza.

Considerazioni

Quando configuri l'autenticazione LDAP nella tua istanza Looker, tieni presente quanto segue:

  • L'autenticazione di Looker utilizza l'autenticazione "semplice" di LDAP. L'autenticazione anonima non è supportata.
  • Devi creare un singolo account utente LDAP con privilegi di lettura per le voci utente e per le voci di gruppo che verranno utilizzate da Looker.
  • Looker esegue solo operazioni di lettura dalla directory LDAP (nessuna scrittura).
  • Looker può eseguire la migrazione degli account esistenti a LDAP utilizzando gli indirizzi email.
  • L'utilizzo dell'API Looker non interagisce con l'autenticazione LDAP.
  • Se il server LDAP limita il traffico IP, devi aggiungere gli indirizzi IP di Looker alla lista degli indirizzi IP consentiti del server LDAP o alle regole per il traffico in entrata.
  • LDAP esegue l'override dell'autenticazione a due fattori. Se hai attivato l'autenticazione a due fattori in precedenza, gli utenti non vedranno le schermate di accesso dell'autenticazione a due fattori dopo l'attivazione di LDAP.

Fai attenzione se disattivi l'autenticazione LDAP

Se hai eseguito l'accesso a Looker utilizzando LDAP e vuoi disattivare l'autenticazione LDAP, assicurati di eseguire entrambi i seguenti passaggi:

  • Assicurati di disporre di altre credenziali per accedere.
  • Attiva l'opzione Accesso alternativo nella pagina di configurazione LDAP.

In caso contrario, potresti bloccare l'accesso a Looker per te e per altri utenti.

Per iniziare

Per configurare LDAP per la tua istanza di Looker, seleziona LDAP nella sezione Autenticazione del pannello Amministrazione. Nella pagina Autenticazione LDAP, seleziona Configura LDAP.

Configura la connessione

Looker supporta il trasporto e la crittografia con LDAP in chiaro e LDAP su TLS. LDAP su TLS è fortemente consigliato. StartTLS e altri schemi di crittografia non sono supportati.

  1. Inserisci le informazioni relative a Host e Porta.
  2. Seleziona la casella accanto a TLS se utilizzi LDAP su TLS.
  3. Se utilizzi LDAP su TLS, Looker applica la verifica del certificato peer per impostazione predefinita. Se devi disattivare la verifica del certificato peer, seleziona Nessuna verifica.
  4. Fai clic su Prova connessione. Se vengono rilevati errori, correggili prima di procedere.

Autenticazione della connessione

Looker richiede l'accesso a un account LDAP protetto da password. L'account LDAP deve disporre dell'accesso in lettura alle voci relative alle persone e a un nuovo insieme di voci relative ai ruoli. L'account LDAP di Looker non richiede l'accesso in scrittura (né l'accesso ad altri aspetti della directory) e non importa in quale spazio dei nomi viene creato l'account.

  1. Inserisci la password.
  2. [Facoltativo] Seleziona la casella di controllo Forza nessuna paginazione se il tuo provider LDAP non fornisce risultati paginati. In alcuni casi, questa operazione può essere utile se non ricevi corrispondenze durante la ricerca di utenti, anche se non è l'unica soluzione per questo problema.
  3. Fai clic sul pulsante Testa autenticazione. Se vengono visualizzati errori, assicurati che i dati di autenticazione siano corretti. Se le tue credenziali sono valide, ma gli errori persistono, contatta l'amministratore LDAP della tua azienda.

Impostazioni di associazione utente

I dettagli in questa sezione specificano in che modo Looker troverà gli utenti nella tua directory, eseguirà il binding per l'autenticazione ed estrarrà le informazioni utente.

  1. Imposta il DN di base, ovvero la base dell'albero di ricerca per tutti gli utenti.
  2. [Facoltativo] Specifica una classe di oggetti utente, che controlla i tipi di risultati che Looker troverà e restituirà. Questa opzione è utile se il DN di base è un mix di tipi di oggetti (persone, gruppi, stampanti e così via) e vuoi restituire solo voci di un tipo.
  3. Imposta Login Attrs, che definisce gli attributi che gli utenti utilizzeranno per accedere. Questi devono essere univoci per utente e qualcosa che gli utenti conoscono come ID all'interno del tuo sistema. Ad esempio, puoi scegliere un ID utente o un indirizzo email completo. Se aggiungi più di un attributo, Looker eseguirà la ricerca in entrambi per trovare l'utente appropriato. Evita di utilizzare formati che potrebbero comportare la creazione di account duplicati, ad esempio nome e cognome.
  4. Specifica Email Attr (Attributo email), First Name Attr (Attributo nome) e Last Name Attr (Attributo cognome). Queste informazioni indicano a Looker come mappare questi campi ed estrarre le informazioni durante l'accesso.
  5. Imposta l'attributo ID, che indica un campo che Looker utilizza come ID univoco per gli utenti. In genere si tratta di uno dei campi di accesso.
  6. (Facoltativo) Inserisci un Filtro personalizzato facoltativo, che ti consente di fornire filtri LDAP arbitrari che verranno applicati durante la ricerca di un utente da associare durante l'autenticazione LDAP. Questa opzione è utile se vuoi filtrare insiemi di record utente, ad esempio utenti disattivati o utenti che fanno parte di un'altra organizzazione.

Esempio

Questa voce utente ldiff di esempio mostra come impostare le impostazioni di Looker corrispondenti:

Ldiff User Entry

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

Impostazioni di Looker corrispondenti

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

Associazione degli attributi utente LDAP agli attributi utente Looker

Se vuoi, puoi utilizzare i dati degli attributi utente LDAP per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato LDAP per creare connessioni specifiche per gli utenti al tuo database, puoi accoppiare gli attributi utente LDAP con gli attributi utente Looker per rendere specifiche per gli utenti le connessioni al database in Looker.

Tieni presente che l'attributo LDAP deve essere un attributo utente, non un attributo gruppo.

Per accoppiare gli attributi utente LDAP con gli attributi utente Looker corrispondenti:

  1. Inserisci il nome dell'attributo utente LDAP nel campo Attributo utente LDAP e il nome dell'attributo utente Looker a cui vuoi accoppiarlo nel campo Attributi utente Looker.
  2. Seleziona Obbligatorio se vuoi richiedere un valore dell'attributo LDAP per consentire a un utente di accedere.
  3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Testare le informazioni utente

  1. Inserisci le credenziali di un utente di test e fai clic sul pulsante Autenticazione utente di test. Looker tenterà una sequenza di autenticazione LDAP completa e mostrerà il risultato. In caso di esito positivo, Looker restituisce le informazioni utente dalla directory più alcune informazioni di traccia sul processo di autenticazione, che possono aiutare a risolvere i problemi di configurazione.
  2. Verifica che l'autenticazione vada a buon fine e che tutti i campi siano mappati correttamente. Ad esempio, verifica che il campo first_name non contenga un valore appartenente a last_name.

Gruppi e ruoli

Puoi configurare Looker in modo che crei gruppi che rispecchiano i gruppi LDAP gestiti esternamente e poi puoi assegnare ruoli Looker agli utenti in base ai gruppi LDAP rispecchiati. Quando apporti modifiche all'iscrizione al gruppo LDAP, queste vengono propagate automaticamente nella configurazione del gruppo Looker.

Il mirroring dei gruppi LDAP ti consente di utilizzare la directory LDAP definita esternamente per gestire i gruppi e gli utenti di Looker. In questo modo, puoi gestire la tua iscrizione al gruppo per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi l'opzione Esegui il mirroring dei gruppi LDAP, Looker creerà un gruppo Looker per ogni gruppo LDAP introdotto nel sistema. Questi gruppi Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Mirror LDAP Groups è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti LDAP. Nei campi Nuovi gruppi di utenti e Nuovi ruoli utente, inserisci i nomi di eventuali gruppi o ruoli di Looker a cui vuoi assegnare i nuovi utenti di Looker al primo accesso.

Questi gruppi e ruoli vengono applicati ai nuovi utenti al primo accesso. I gruppi e i ruoli non vengono applicati agli utenti esistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro accesso iniziale.

Se in un secondo momento attivi i gruppi LDAP di cui è stato eseguito il mirroring, questi valori predefiniti verranno rimossi per gli utenti al successivo accesso e sostituiti dai ruoli assegnati nella sezione Mirror LDAP Groups. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno completamente sostituite dalla configurazione dei gruppi speculari.

Abilitazione del mirroring dei gruppi LDAP

Se scegli di eseguire il mirroring dei gruppi LDAP in Looker, attiva l'opzione Esegui il mirroring dei gruppi LDAP. Looker visualizza le seguenti impostazioni:

Strategia di ricerca gruppi: scegli un'opzione dal menu a discesa per indicare a Looker come trovare i gruppi di un utente:

  • I gruppi hanno attributi membro: questa è l'opzione più comune. Quando cerchi un membro di un gruppo, Looker restituisce solo i gruppi a cui è assegnato direttamente un utente. Ad esempio, se un utente è membro del gruppo Database-Admin e questo gruppo è membro del gruppo Engineering, l'utente riceverà solo le autorizzazioni associate al gruppo Database-Admin.

  • I gruppi hanno l'attributo membro (deep search): questa opzione consente ai gruppi di essere membri di altri gruppi, il che a volte viene definito gruppi nidificati LDAP. Ciò significa che un utente può disporre delle autorizzazioni di più di un gruppo. Ad esempio, se un utente è membro del gruppo Database-Admin e il gruppo Database-Admin è membro del gruppo Engineering, l'utente otterrà le autorizzazioni associate a entrambi questi gruppi. Alcuni server LDAP (in particolare Microsoft Active Directory) supportano l'esecuzione automatica di questo tipo di ricerca approfondita, anche quando il chiamante esegue quella che sembra una ricerca superficiale. Questo potrebbe essere un altro metodo che puoi utilizzare per eseguire una ricerca approfondita.

DN di base: consente di restringere la ricerca e può essere uguale al DN di base specificato nella sezione Impostazioni di binding utente di questa pagina di documentazione.

Classi di oggetti dei gruppi: questa impostazione è facoltativa. Come indicato nella sezione Impostazioni di associazione utenti, ciò consente di limitare i risultati restituiti da Looker a un particolare tipo di oggetto o insieme di tipi.

Group Member Attr (Attributo membro gruppo): l'attributo che, per ogni gruppo, determina gli oggetti (in questo caso, probabilmente le persone) che sono membri.

Group User Attr: il nome dell'attributo utente LDAP il cui valore verrà cercato nelle voci del gruppo per determinare se un utente fa parte del gruppo. Il valore predefinito è dn (ovvero, lasciare il campo vuoto equivale a impostarlo su dn), il che comporta l'utilizzo del nome distinto completo, ovvero la stringa esatta sensibile alle maiuscole e minuscole che esisterebbe nella ricerca LDAP stessa, per cercare le voci del gruppo.

Il pulsante Gestisci gruppi: fai clic su questo pulsante per aprire il riquadro laterale Gestisci gruppi, dove puoi aggiungere, rimuovere o modificare un gruppo personalizzato o i ruoli assegnati al gruppo in Looker. Il pannello laterale Gestisci gruppi mostra i seguenti campi:

  • Il campo Nome gruppo preferito. Inserisci un nome personalizzato per il gruppo sottoposto a mirroring in questo campo. Questo è il nome che verrà visualizzato nella pagina Gruppi della sezione Amministrazione di Looker.

  • Un campo DN gruppo. Inserisci il gruppo LDAP in questo campo. Il nome distinto del gruppo deve includere il nome distinto completo, ovvero la stringa esatta sensibile alle maiuscole e minuscole che esisterebbe nella ricerca LDAP stessa. Gli utenti LDAP inclusi nel gruppo LDAP verranno aggiunti al gruppo di cui è stato eseguito il mirroring in Looker.

  • Un campo Ruolo. In questo campo, seleziona uno o più ruoli di Looker che verranno assegnati a ogni utente del gruppo.

  • Un'icona Rimuovi mappatura. Fai clic su questa icona per rimuovere un gruppo sottoposto a mirroring dall'istanza di Looker. Se elimini un gruppo, questo non verrà più sottoposto a mirroring in Looker e i suoi membri non avranno più i ruoli in Looker assegnati loro tramite il gruppo.

Il riquadro laterale Gestisci gruppi include anche i seguenti strumenti:

  • Il menu dei filtri e la barra di ricerca Elenco filtri. Utilizza questi strumenti per cercare i gruppi già aggiunti alla tua istanza.

  • Il pulsante Aggiungi mappatura. Fai clic su questo pulsante per aggiungere un gruppo personalizzato all'istanza.

  • Il menu a discesa di paginazione Visualizza. Utilizza questo menu per selezionare il numero di gruppi da visualizzare in ogni pagina.

Modifica dei gruppi speculari

Se modifichi un gruppo sottoposto a mirroring precedentemente configurato in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà intatto. Ad esempio, puoi modificare il nome di un gruppo Looker, il che cambierà il modo in cui il gruppo viene visualizzato nella pagina Gruppi di Looker, ma non cambierà i ruoli assegnati e i membri del gruppo. Se modifichi il nome del gruppo LDAP, il nome e i ruoli del gruppo vengono mantenuti, ma i membri del gruppo vengono riassegnati in base agli utenti che fanno parte del gruppo LDAP esterno con il nuovo nome del gruppo LDAP.

Le modifiche apportate a un gruppo sottoposto a mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Mirror LDAP Groups, Looker mostra queste impostazioni. Le opzioni in questa sezione determinano la flessibilità degli amministratori di Looker durante la configurazione di gruppi e utenti di Looker sottoposti a mirroring.

Ad esempio, se vuoi che la configurazione di utenti e gruppi di Looker corrisponda esattamente alla configurazione LDAP, attiva queste opzioni. Quando tutte e tre le prime opzioni sono abilitate, gli amministratori di Looker non possono modificare l'iscrizione ai gruppi di cui è stato eseguito il mirroring e possono assegnare ruoli agli utenti solo tramite i gruppi di cui è stato eseguito il mirroring LDAP.

Se vuoi avere maggiore flessibilità per personalizzare ulteriormente i gruppi in Looker, disattiva queste opzioni. I gruppi Looker continueranno a riflettere la configurazione LDAP, ma potrai eseguire ulteriori operazioni di gestione di gruppi e utenti in Looker, ad esempio aggiungere utenti LDAP ai gruppi Looker o assegnare ruoli Looker direttamente agli utenti LDAP.

Per le nuove istanze Looker o per quelle che non hanno gruppi mirror configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze di Looker esistenti che hanno configurato gruppi mirror, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti LDAP di ricevere ruoli diretti: se attivi questa opzione, gli amministratori di Looker non potranno assegnare ruoli di Looker direttamente agli utenti LDAP. Gli utenti LDAP riceveranno i ruoli solo tramite le iscrizioni ai gruppi. Se agli utenti LDAP è consentita l'iscrizione a gruppi Looker integrati (non sottoposti a mirroring), possono comunque ereditare i ruoli sia dai gruppi LDAP sottoposti a mirroring sia dai gruppi Looker integrati. A tutti gli utenti LDAP a cui erano stati assegnati direttamente dei ruoli verranno rimossi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare ruoli di Looker direttamente agli utenti LDAP come se fossero utenti configurati direttamente in Looker.

Impedisci l'iscrizione diretta ai gruppi non LDAP: se attivi questa opzione, gli amministratori di Looker non potranno aggiungere utenti LDAP direttamente ai gruppi Looker integrati. Se i gruppi LDAP di cui è stato eseguito il mirroring possono essere membri di gruppi Looker integrati, gli utenti LDAP possono mantenere l'iscrizione a qualsiasi gruppo Looker principale. Gli utenti LDAP precedentemente assegnati a gruppi Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti LDAP direttamente ai gruppi Looker integrati.

Impedisci l'ereditarietà dei ruoli dai gruppi non LDAP: se attivi questa opzione, i membri dei gruppi LDAP sottoposti a mirroring non ereditano i ruoli dai gruppi Looker integrati. Gli utenti LDAP che in precedenza hanno ereditato i ruoli da un gruppo Looker principale perderanno questi ruoli al successivo accesso.

Se questa opzione è disattivata, i gruppi LDAP sottoposti a mirroring o gli utenti LDAP aggiunti come membri di un gruppo Looker integrato ereditano i ruoli assegnati al gruppo Looker principale.

Auth Requires Role: se questa opzione è attiva, gli utenti LDAP devono avere un ruolo assegnato. Gli utenti LDAP a cui non è assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti LDAP possono autenticarsi in Looker anche se non hanno ruoli assegnati. Un utente senza un ruolo assegnato non potrà visualizzare alcun dato o eseguire alcuna azione in Looker, ma potrà accedere a Looker.

Disattivazione del mirroring dei gruppi LDAP

Se vuoi interrompere il mirroring dei gruppi LDAP in Looker, disattiva l'opzione Esegui il mirroring dei gruppi LDAP. La disattivazione dell'opzione comporta il seguente comportamento:

  • Qualsiasi gruppo LDAP mirror senza utenti viene eliminato immediatamente.
  • Qualsiasi gruppo LDAP mirror che contiene utenti viene contrassegnato come orfano. Se nessun utente di questo gruppo esegue l'accesso entro 31 giorni, il gruppo viene eliminato. Gli utenti non possono più essere aggiunti o rimossi dai gruppi LDAP orfani.

Opzioni di migrazione e integrazione

Accesso alternativo per amministratori e utenti specificati

  • Consenti un accesso alternativo basato sull'email per gli amministratori e per gli utenti con l'autorizzazione login_special_email (scopri di più su come impostare questa autorizzazione nella documentazione sui ruoli). Questa opzione viene visualizzata nella pagina di accesso a Looker se l'hai attivata e l'utente dispone dell'autorizzazione appropriata.
  • Questa opzione è utile come alternativa durante la configurazione LDAP, se in un secondo momento si verificano problemi di configurazione con LDAP o se devi supportare alcuni utenti che non sono presenti nella tua directory LDAP.
  • Gli accessi con email e password di Looker sono sempre disattivati per gli utenti regolari quando è attivato LDAP.

Unione in base all'email

  • Questa opzione consente a Looker di unire gli utenti LDAP che accedono per la prima volta ai loro account Looker esistenti, in base all'indirizzo email.
  • Se Looker non riesce a trovare un indirizzo email corrispondente, per l'utente verrà creato un nuovo account.

Salva e applica le impostazioni

Una volta inserite le informazioni e superati tutti i test, seleziona Ho confermato la configurazione riportata sopra e voglio abilitarne l'applicazione a livello globale e fai clic su Aggiorna impostazioni per salvare.