Administratoreinstellungen – OpenID Connect-Authentifizierung

Unternehmen verwenden verschiedene OpenID Connect-Anbieter (OPs), um OpenID Connect zu koordinieren (z. B. Okta oder OneLogin). Die Begriffe, die in der folgenden Einrichtungsanleitung und in der Looker-Benutzeroberfläche verwendet werden, stimmen möglicherweise nicht direkt mit denen überein, die von Ihrem OP verwendet werden.

Auf der Seite OpenID Connect im Bereich Authentifizierung des Administratormenüs können Sie Looker so konfigurieren, dass Nutzer mit dem OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie hier eine Anleitung zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und -Berechtigungen.

Voraussetzungen

Die Seite OpenID Connect im Bereich Authentifizierung des Menüs Admin wird in Looker nur angezeigt, wenn die folgenden Bedingungen erfüllt sind:

• Sie haben die Administratorrolle.
• Ihre Looker-Instanz ist für die Verwendung von OpenID Connect aktiviert. Wenden Sie sich an Ihren Account Executive, um OpenID Connect zu aktivieren. Diese Seite ist in Looker (Google Cloud Core)-Instanzen standardmäßig aktiviert.

Wenn diese Bedingungen erfüllt sind und Sie die Seite OpenID Connect nicht sehen, stellen Sie eine Supportanfrage, um OpenID Connect für Ihre Instanz zu aktivieren.

Überlegungen zur Planung

• Mit der Option Alternative Anmeldung für bestimmte Nutzer können Looker-Administratoren auf Looker zugreifen, ohne OpenID Connect zu verwenden.
• Deaktivieren Sie die OpenID Connect-Authentifizierung nicht, während Sie mit OpenID Connect in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich selbst aus der App aussperren.
• Looker kann vorhandene Konten zu OpenID Connect migrieren. Dazu werden E‑Mail-Adressen verwendet, die aus aktuellen E‑Mail- und Passwortkonfigurationen, LDAP, SAML oder Google-Authentifizierung stammen. Sie können dies während der Einrichtung konfigurieren.
• Looker unterstützt die OpenID Connect-Authentifizierung nur mit dem Autorisierungscode-Vorgang von OpenID Connect. Andere Code-Abläufe werden nicht unterstützt.
• Die OpenID Connect-Spezifikation enthält einen optionalen Discovery-Mechanismus. Looker unterstützt diesen Mechanismus nicht. Sie müssen also explizite URLs im Bereich OpenID Connect-Authentifizierungseinstellungen angeben, wie unter OpenID Connect-Authentifizierungseinstellungen konfigurieren beschrieben.

OpenID Connect einrichten

So richten Sie die Verbindung zwischen Looker und OpenID Connect ein:

1. Looker-URL an Ihren OpenID Connect-Anbieter (OP) weitergeben:
2. Erforderliche Informationen von Ihrem OP abrufen
3. OpenID Connect-Authentifizierung in Ihrer Looker-Instanz konfigurieren

Looker in Ihrem OP einrichten

Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Ihr OP kann diesen unter anderem als Weiterleitungs-URI oder Anmelde-Weiterleitungs-URI bezeichnen. Geben Sie auf der Website des OP die URL an, über die Sie normalerweise in einem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect

Informationen von Ihrem OP abrufen

Wenn Sie Looker für die OpenID Connect-Authentifizierung konfigurieren möchten, benötigen Sie die folgenden Informationen von Ihrem OP:

• Eine Clientkennung und ein Clientschlüssel. Diese werden in der Regel vom OP auf seiner Website bereitgestellt, wenn Sie die Weiterleitungs-URI konfigurieren.
• Während der OpenID Connect-Authentifizierung stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Endpunkt für Nutzerinformationen. Sie benötigen die URLs, die Ihr OP für jeden dieser Endpunkte verwendet.
• Jeder OP stellt Nutzerinformationen in Gruppen bereit, die als Bereiche bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. Für OpenID Connect ist der Bereich openid erforderlich. Ihr OP enthält jedoch wahrscheinlich auch andere Bereiche wie email, profile und groups.
• In OpenID Connect werden Attribute, in denen Nutzerdaten gespeichert sind, als Anforderungen bezeichnet. Sie müssen wissen, welche Ansprüche Ihr OP an Looker übergibt, um die gewünschten Nutzerinformationen in Ihrer Looker-Instanz bereitzustellen. Looker erfordert Ansprüche, die E-Mail- und Namensinformationen enthalten. Wenn Sie jedoch andere Nutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch ermitteln, welche Ansprüche diese Informationen enthalten. Ansprüche können entweder im Endpunkt für Nutzerinformationen oder im ID-Token-Endpunkt in die Antwort aufgenommen werden. Looker kann die von beiden Endpunkten zurückgegebenen Anforderungen Looker-Nutzerattributen zuordnen.

Viele OPs stellen Informationen zum Konfigurieren von OpenID Connect in Form eines Discovery-Dokuments bereit. So können Sie einige oder alle Informationen abrufen, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn Sie keinen Zugriff auf ein Discovery-Dokument haben, müssen Sie die erforderlichen Informationen von Ihrem OP oder internen Authentifizierungsteam anfordern.

Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:

{
  "issuer": "https://accounts.google.com",
  "authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
  "token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
  "userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
  "revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
  "jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
  "response_types_supported": [
    "code",
    "token",
    "id_token",
    "code token"
    "code id_token",
    "token id_token",
    "code token id_token",
    "none"
  ],
  "subject_types_supported": [
    "public"
  ],
  "id_token_signing_alg_values_supported": [
    "RS256"
  ],
  "scopes_supported": [
    "openid",
    "email",
    "profile"
  ],
  "token_endpoint_auth_methods_supported": [
    "client_secret_post",
    "client_secret_basic"
  ],
  "claims_supported": [
    "aud",
    "email",
    "email_verified",
    "exp",
    "family_name",
    "given_name",
    "iat",
    "iss",
    "locale",
    "name",
    "picture",
    "sub"
  ],

OpenID Connect-Authentifizierungseinstellungen konfigurieren

Wenn Sie die OpenID Connect-Authentifizierung für Ihre Looker-Instanz konfigurieren möchten, wählen Sie im Bereich Admin im Abschnitt Authentifizierung die Option OpenID Connect aus. Wählen Sie auf der Seite OpenID Connect-Authentifizierung die Option OpenID Connect konfigurieren aus.

Verwenden Sie die Konfigurationsinformationen, die Sie aus dem Discovery-Dokument Ihres OP, von Ihrem OP oder von Ihrem internen Authentifizierungsteam erhalten haben, um die Verbindungseinstellungen in den folgenden Feldern einzugeben:

Kennung: Die Client-Kennung, die für Ihre Looker-Instanz eindeutig ist. Diese Informationen sollten von Ihrem OP bereitgestellt werden.

Secret: Der für Ihre Looker-Instanz eindeutige Clientschlüssel. Diese Informationen sollten von Ihrem OP bereitgestellt werden.

Aussteller: Die sichere URL, die Ihren OP identifiziert.

Zielgruppe: Eine Kennzeichnung, die Ihrem OP angibt, wer der Kunde ist. Dieser Wert ist oft derselbe wie Ihr Identifier-Wert, kann aber auch ein anderer Wert sein.

Autorisierungs-URL: Die URL des OP, an dem die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument oft als authorization_endpoint bezeichnet.

Token-URL: Die URL, unter der Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument oft als token_endpoint bezeichnet.

URL für Nutzerinformationen: Die URL, unter der Looker detaillierte Nutzerinformationen abruft. Wird in einem Discovery-Dokument oft als userinfo_endpoint bezeichnet.

Bereiche: Eine durch Kommas getrennte Liste der Bereiche, die vom OP verwendet werden, um Looker Nutzerinformationen zur Verfügung zu stellen. Sie müssen den Bereich openid und alle Bereiche angeben, die die von Looker benötigten Informationen enthalten, einschließlich E-Mail-Adressen, Nutzernamen und aller in Ihrer Looker-Instanz konfigurierten Nutzerattribute.

Einstellungen für Nutzerattribute konfigurieren

In diesem Abschnitt ordnen Sie die Ansprüche des OP den Nutzerattributen von Looker zu.

Geben Sie im Bereich Einstellungen für Nutzerattribute den Namen des Anspruchs Ihres OP ein, der die entsprechenden Informationen für jedes Feld enthält. Dadurch wird Looker mitgeteilt, wie diese Ansprüche bei der Anmeldung Looker-Nutzerinformationen zugeordnet werden sollen. Looker ist nicht besonders anspruchsvoll, was die Erstellung von Ansprüchen angeht. Es ist nur wichtig, dass die hier eingegebenen Anspruchsinformationen mit der Art und Weise übereinstimmen, wie die Ansprüche in Ihrem OP definiert sind.

Standardansprüche

Für die Nutzerauthentifizierung in Looker sind Nutzername und E-Mail-Adresse erforderlich. Geben Sie in diesem Abschnitt die entsprechenden Anspruchsinformationen des OP ein:

E-Mail-Anspruch: Der Anspruch, den Ihr OP für E-Mail-Adressen von Nutzern verwendet, z. B. email.

Anforderung für Vorname: Die Anforderung, die Ihr OP für Vornamen von Nutzern verwendet, z. B. given_name.

Anforderung für Nachname: Die Anforderung, die Ihr OP für Nachnamen von Nutzern verwendet, z. B. family_name.

Bei einigen OPs wird für Namen nur eine Behauptung verwendet, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem OP der Fall ist, geben Sie den Anspruch ein, in dem Namen in den Feldern First Name Claim (Anspruch für Vornamen) und Last Name Claim (Anspruch für Nachnamen) gespeichert werden. Für jeden Nutzer verwendet Looker den Inhalt bis zum ersten Leerzeichen als „Vorname“ und alles danach als „Nachname“.

Attributpaare

Optional können Sie die Daten in Ihren OpenID Connect-Ansprüchen verwenden, um beim Anmelden eines Nutzers automatisch Werte in Looker-Nutzerattributen einzufügen. Wenn Sie beispielsweise OpenID Connect so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre OpenID Connect-Ansprüche mit Looker-Nutzerattributen kombinieren, um nutzerspezifische Datenbankverbindungen in Looker zu erstellen.

So ordnen Sie Ansprüchen entsprechende Looker-Nutzerattribute zu:

1. Geben Sie die vom OP identifizierte Behauptung in das Feld Claim (Behauptung) und das Looker-Nutzerattribut, das Sie damit verknüpfen möchten, in das Feld Looker User Attributes (Looker-Nutzerattribute) ein.
2. Klicken Sie auf Erforderlich, wenn Sie die Anmeldung für alle Nutzerkonten blockieren möchten, bei denen in diesem Anspruchsfeld kein Wert vorhanden ist.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Anspruchs- und Attributpaare hinzuzufügen.

Einige OPs können „verschachtelte“ Ansprüche haben. Beispiel:

"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
  "street_address": "1234 Main Street",
  "locality": "Anyton",
  "region": "IL",
  "postal_code": "60609",
  "country": "US"
},

Im vorherigen Beispiel ist die locality-Anforderung in der address-Anforderung verschachtelt. Geben Sie für verschachtelte Ansprüche den übergeordneten und den verschachtelten Anspruch an und trennen Sie sie durch einen Schrägstrich ( / ). Um Looker für den locality-Anspruch im Beispiel zu konfigurieren, würden Sie address/locality eingeben.

Gruppen und Rollen

Sie haben die Möglichkeit, Gruppen in Looker erstellen zu lassen, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln. Gruppen können verwendet werden, um Zugriffskontrollen für Inhalte festzulegen und Nutzern Nutzerattribute zuzuweisen, die auf ihren gespiegelten OpenID Connect-Gruppen basieren. Wenn Sie Änderungen an der Mitgliedschaft in Ihrer OpenID Connect-Gruppe vornehmen, werden diese Änderungen automatisch in die Gruppenkonfiguration von Looker übernommen.

Durch das Spiegeln von OpenID Connect-Gruppen können Sie Ihr extern definiertes OpenID Connect-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. So können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.

Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker für jede OpenID Connect-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können im Abschnitt Admin von Looker auf der Seite Gruppen aufgerufen werden.

Standardgruppen und ‑rollen

Standardmäßig ist der Schalter OpenID Connect-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, die neuen Looker-Nutzern zugewiesen werden sollen, wenn sie sich zum ersten Mal in Looker anmelden:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung entfernt werden.

OpenID Connect-Gruppen spiegeln aktivieren

Wenn Sie eine Looker (Google Cloud Core)-Instanz verwenden, empfehlen wir, die Gruppenspiegelung nur für die primäre Authentifizierungsmethode zu aktivieren und nicht für die OAuth-Sicherheitsauthentifizierung. Wenn Sie die Gruppenspiegelung sowohl für die primäre als auch für die sekundäre Authentifizierungsmethode aktivieren, gilt Folgendes:

• Wenn ein Nutzer Identitäten zusammengeführt hat, wird beim Spiegeln von Gruppen die primäre Authentifizierungsmethode verwendet, unabhängig davon, welche Authentifizierungsmethode tatsächlich für die Anmeldung verwendet wurde.
• Wenn ein Nutzer keine zusammengeführten Identitäten hat, wird beim Spiegeln von Gruppen die Authentifizierungsmethode verwendet, mit der er sich angemeldet hat.

Spiegelung von Gruppen aktivieren

Wenn Sie Ihre OpenID Connect-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. In Looker werden diese Einstellungen angezeigt:

Gruppenanforderung: Geben Sie die Anforderung ein, die Ihr OP zum Speichern von Gruppennamen verwendet. Geben Sie dann die Gruppeninformationen ein, um die spezifischen OpenID Connect-Gruppen zu konfigurieren, die in Looker gespiegelt werden sollen. Verwenden Sie dazu die Felder Bevorzugter Gruppenname / Bevorzugte Rollen / Bevorzugter OpenID Connect-Gruppenname. Dieser Schritt ist erforderlich, um die OpenID Connect-Gruppen Looker-Gruppen zuzuordnen.

Schaltfläche Gruppen verwalten: Klicken Sie auf diese Schaltfläche, um die Seitenleiste Gruppen verwalten zu öffnen. Dort können Sie eine benutzerdefinierte Gruppe oder die Rollen, die der Gruppe in Looker zugewiesen sind, hinzufügen, entfernen oder bearbeiten. In der Seitenleiste Gruppen verwalten werden die folgenden Felder angezeigt:

• Das Feld Bevorzugter Gruppenname. Geben Sie in diesem Feld einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dies ist der Name, der in Looker im Bereich Admin auf der Seite Gruppen angezeigt wird.

• Das Feld OpenID Connect-Gruppenname. Geben Sie die OpenID Connect-Gruppe in dieses Feld ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

• Ein Feld Rolle. Wählen Sie in diesem Feld eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.

• Ein Symbol delete Zuordnung entfernen. Klicken Sie auf dieses Symbol, um eine gespiegelte Gruppe aus Ihrer Looker-Instanz zu entfernen. Wenn Sie eine Gruppe löschen, wird sie nicht mehr in Looker gespiegelt und ihre Mitglieder haben nicht mehr die Rollen in Looker, die ihnen über diese Gruppe zugewiesen wurden.

Die Seitenleiste Gruppen verwalten enthält außerdem die folgenden Tools:

• Das Filtermenü Filterliste und die Suchleiste. Mit diesen Tools können Sie nach Gruppen suchen, die Ihrer Instanz bereits hinzugefügt wurden.

• Die Schaltfläche Zuordnung hinzufügen. Klicken Sie auf diese Schaltfläche, um der Instanz eine benutzerdefinierte Gruppe hinzuzufügen.

• Das Drop-down-Menü für die Paginierung Anzeigen. In diesem Menü können Sie auswählen, wie viele Gruppen auf jeder Seite angezeigt werden sollen.

Gespiegelte Gruppen bearbeiten

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie könnten beispielsweise den Looker-Gruppennamen einer Gruppe ändern. Dadurch würde sich die Darstellung der Gruppe auf der Seite Gruppen in Looker ändern, nicht aber die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie den OpenID Connect-Gruppennamen ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe mit dem neuen OpenID Connect-Gruppennamen sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter OpenID Connect-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und ‑Nutzern haben, die von OpenID Connect gespiegelt wurden.

Wenn Ihre Looker-Gruppen- und Nutzerkonfiguration beispielsweise genau mit Ihrer OpenID Connect-Konfiguration übereinstimmen soll, aktivieren Sie diese Optionen. Wenn die ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über gespiegelte OpenID Connect-Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität benötigen, um Ihre Gruppen in Looker weiter anzupassen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration, aber Sie können zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. OpenID Connect-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder OpenID Connect-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder Instanzen, für die noch keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn diese Option aktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern keine Looker-Rollen direkt zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzer Mitgliedschaften in integrierten (nicht gespiegelten) Looker-Gruppen haben dürfen, können sie ihre Rollen weiterhin sowohl von gespiegelten OpenID Connect-Gruppen als auch von integrierten Looker-Gruppen erben. Allen OpenID Connect-Nutzern, denen zuvor Rollen direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entzogen.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzern Looker-Rollen direkt zuweisen, als wären sie Nutzer, die direkt in Looker konfiguriert wurden.

Direkte Mitgliedschaft in nicht von OpenID Connect verwalteten Gruppen verhindern: Wenn diese Option aktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, behalten OpenID Connect-Nutzer möglicherweise die Mitgliedschaft in übergeordneten Looker-Gruppen. Alle OpenID Connect-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Übernahme von Rollen aus nicht von OpenID Connect verwalteten Gruppen verhindern: Wenn Sie diese Option aktivieren, wird verhindert, dass Mitglieder gespiegelter OpenID Connect-Gruppen Rollen von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth Requires Role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, muss OpenID Connect-Nutzern eine Rolle zugewiesen sein. OpenID Connect-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich OpenID Connect-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Ein Nutzer ohne zugewiesene Rolle kann keine Daten sehen und keine Aktionen in Looker ausführen, sich aber in Looker anmelden.

OpenID Connect-Gruppen spiegeln deaktivieren

Wenn Sie das Spiegeln Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Wenn Sie den Schalter deaktivieren, passiert Folgendes:

• Alle gespiegelten OpenID Connect-Gruppen ohne Nutzer werden sofort gelöscht.
• Alle gespiegelten OpenID Connect-Gruppen, die Nutzer enthalten, werden als verwaist markiert. Wenn sich innerhalb von 31 Tagen kein Nutzer dieser Gruppe anmeldet, wird die Gruppe gelöscht. Nutzer können nicht mehr zu verwaisten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen konfigurieren

Wie in diesem Abschnitt erläutert, empfiehlt Looker, Alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für bestehende Nutzer bereitzustellen.

Alternative Anmeldung für bestimmte Nutzer

Die Looker-Anmeldung per E‑Mail-Adresse und Passwort ist für normale Nutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Mit der Option Alternative Anmeldung für bestimmte Nutzer können Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email eine alternative E‑Mail-basierte Anmeldung über /login/email verwenden.

Diese Option ist als Ausweichlösung bei der Einrichtung von OpenID Connect nützlich, wenn später Probleme mit der OpenID Connect-Konfiguration auftreten oder wenn Sie Nutzer unterstützen müssen, die kein Konto in Ihrem OpenID Connect-Verzeichnis haben.

Geben Sie die Methode an, mit der OpenID Connect-Nutzer in ein Looker-Konto zusammengeführt werden.

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, die zum Zusammenführen einer erstmaligen OpenID Connect-Anmeldung mit einem bestehenden Nutzerkonto verwendet werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• Looker-E‑Mail-Adresse/-Passwort (nicht für Looker (Google Cloud Core) verfügbar)
• Google
• LDAP (nicht für Looker (Google Cloud Core) verfügbar)
• SAML

Wenn Sie mehrere Authentifizierungssysteme haben, können Sie in diesem Feld mehr als ein System angeben, das zusammengeführt werden soll. Looker sucht Nutzer in den aufgeführten Systemen in der angegebenen Reihenfolge. Angenommen, Sie haben einige Nutzer mit Looker-E‑Mail-Adresse/Passwort erstellt, dann LDAP aktiviert und möchten nun OpenID Connect verwenden. Im vorherigen Beispiel würde Looker zuerst nach E‑Mail-Adresse und Passwort und dann nach LDAP zusammenführen.

Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird mit dieser Option eine Verbindung zu seinem bestehenden Konto hergestellt, indem das Konto mit einer übereinstimmenden E‑Mail-Adresse gesucht wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzer zusammenführen, wenn Looker (Google Cloud Core) verwendet wird

Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Das ist jedoch nur möglich, wenn eine der folgenden beiden Bedingungen erfüllt ist:

• Bedingung 1: Nutzer authentifizieren sich in Looker (Google Cloud Core) mit ihren Google-Identitäten über das OpenID Connect-Protokoll.

• Bedingung 2: Bevor Sie die Option zum Zusammenführen auswählen, haben Sie die folgenden beiden Schritte ausgeführt:

  1. Identitäten föderierter Nutzer in Google Cloud mit Cloud Identity.
  2. Richten Sie die OAuth-Authentifizierung als Backup-Authentifizierungsmethode für die Verbundnutzer ein.

Wenn die Einrichtung eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen mit nicht verfügbar.

Beim Zusammenführen sucht Looker nach Nutzerdatensätzen mit genau derselben E-Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie beim Festlegen dieser Konfiguration auf die Schaltfläche Test, um Ihre OpenID Connect-Konfiguration zu testen.

Bei Tests werden Sie zu den Endpunkten weitergeleitet und ein neuer Browsertab wird geöffnet. Auf dem Tab wird Folgendes angezeigt:

• Ob Looker mit den verschiedenen Endpunkten kommunizieren und die Daten validieren konnte
• Ein Trace der Antwort des Authentifizierungsendpunkts
• Die Nutzerinformationen, die Looker vom Endpunkt für Nutzerinformationen erhält
• Sowohl decodierte als auch Rohversionen des empfangenen ID-Tokens

Mit diesem Test können Sie überprüfen, ob die von den verschiedenen Endpunkten empfangenen Informationen korrekt sind, und Fehler beheben.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect nur teilweise konfiguriert ist. Das Ausführen eines Tests kann bei der Konfiguration hilfreich sein, um zu sehen, welche Parameter konfiguriert werden müssen.
• Für den Test werden die Einstellungen verwendet, die auf der Seite OpenID Connect-Authentifizierung eingegeben wurden, auch wenn diese Einstellungen nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden sind, setzen Sie ein Häkchen bei Ich habe die obige Konfiguration bestätigt und möchte sie global anwenden und klicken Sie auf Einstellungen aktualisieren, um die Änderungen zu speichern.