Administratoreinstellungen – SAML-Authentifizierung

Auf der Seite SAML im Bereich Authentifizierung des Menüs Administrator können Sie Looker so konfigurieren, dass Nutzer mithilfe von Security Assertion Markup Language (SAML) authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben. Außerdem finden Sie hier eine Anleitung zum Verknüpfen von SAML-Gruppen mit Looker-Rollen und -Berechtigungen.

Voraussetzungen

Looker zeigt die Seite SAML im Abschnitt Authentifizierung des Menüs Admin nur an, wenn die folgenden Bedingungen erfüllt sind:

• Sie haben die Administratorrolle.
• Ihre Looker-Instanz ist für die Verwendung von SAML aktiviert.

Wenn diese Bedingungen erfüllt sind und Sie die Seite SAML nicht sehen, stellen Sie eine Supportanfrage, um SAML für Ihre Instanz zu aktivieren.

SAML und Identitätsanbieter

Unternehmen verwenden verschiedene Identitätsanbieter (IdPs) zur Koordination mit SAML (z. B. Okta oder OneLogin). Die Begriffe, die in der folgenden Einrichtungsanleitung und in der Benutzeroberfläche verwendet werden, stimmen möglicherweise nicht direkt mit denen Ihres Identitätsanbieters überein. Wenn Sie während der Einrichtung Fragen haben, wenden Sie sich an Ihr internes SAML- oder Authentifizierungsteam oder an den Looker-Support.

Looker geht davon aus, dass SAML-Anfragen und -Assertions komprimiert werden. Achten Sie darauf, dass Ihr IdP entsprechend konfiguriert ist. Looker-Anfragen an den IdP werden nicht signiert.

Looker unterstützt die vom IdP initiierte Anmeldung.

Einige Schritte der Einrichtung müssen auf der Website des Identitätsanbieters ausgeführt werden.

Okta bietet eine Looker-App, die die empfohlene Methode zum Konfigurieren von Looker und Okta ist.

Looker in Ihrem Identitätsanbieter einrichten

Ihr SAML-IdP benötigt die Looker-Instanz-URL, an die der SAML-IdP SAML-Assertions senden soll. Bei Ihrem IdP kann das Feld unter anderem „Postback-URL“, „Empfänger“ oder „Ziel“ heißen.

Geben Sie die URL ein, über die Sie normalerweise mit dem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /samlcallback. Beispiel: none https://instance_name.looker.com/samlcallback

oder

https://looker.mycompany.com/samlcallback

Bei einigen IdPs müssen Sie nach der Instanz-URL auch :9999 hinzufügen. Beispiel:

https://instance_name.looker.com:9999/samlcallback

Wichtige Punkte

Beachten Sie Folgendes:

• Für Looker ist SAML 2.0 erforderlich.
• Deaktivieren Sie die SAML-Authentifizierung nicht, während Sie über SAML in Looker angemeldet sind, es sei denn, Sie haben eine alternative Kontoanmeldung eingerichtet. Andernfalls könnten Sie sich selbst aus der App aussperren.
• Looker kann vorhandene Konten zu SAML migrieren. Dazu werden E‑Mail-Adressen verwendet, die entweder aus aktuellen E‑Mail- und Passwortkonfigurationen oder aus Google-Authentifizierung, LDAP oder OIDC stammen. Sie können im Einrichtungsprozess konfigurieren, wie vorhandene Konten migriert werden.

Erste Schritte

Rufen Sie in Looker im Bereich Admin die Seite SAML Authentication (SAML-Authentifizierung) auf, um die folgenden Konfigurationsoptionen zu sehen. Änderungen an Konfigurationsoptionen werden erst wirksam, wenn Sie Ihre Einstellungen unten auf der Seite testen und speichern.

SAML-Authentifizierungseinstellungen

Für die Authentifizierung Ihres IdP sind die IdP-URL, der IdP-Aussteller und das IdP-Zertifikat erforderlich.

Ihr IdP bietet möglicherweise ein XML-Dokument mit IdP-Metadaten während der Konfiguration von Looker auf der IdP-Seite an. Diese Datei enthält alle Informationen, die im Abschnitt SAML Auth Settings (SAML-Authentifizierungseinstellungen) angefordert werden. Wenn Sie diese Datei haben, können Sie sie in das Feld IdP Metadata (IdP-Metadaten) hochladen. Dadurch werden die erforderlichen Felder in diesem Abschnitt ausgefüllt. Alternativ können Sie die erforderlichen Felder mit der Ausgabe ausfüllen, die Sie bei der Konfiguration auf IdP-Seite erhalten haben. Wenn Sie die XML-Datei hochladen, müssen Sie die Felder nicht ausfüllen.

• IdP-Metadaten (optional): Fügen Sie entweder die öffentliche URL des XML-Dokuments mit den IdP-Informationen oder den gesamten Text des Dokuments hier ein. Looker parst die Datei, um die Pflichtfelder auszufüllen.

Wenn Sie kein XML-Dokument mit IdP-Metadaten hochgeladen oder eingefügt haben, geben Sie stattdessen die Authentifizierungsinformationen Ihres IdP in die Felder IdP URL (IdP-URL), IdP Issuer (IdP-Aussteller) und IdP Certificate (IdP-Zertifikat) ein.

• IdP-URL: Die URL, die Looker verwendet, um Nutzer zu authentifizieren. In Okta wird dies als Weiterleitungs-URL bezeichnet.

• IdP Issuer (Aussteller des Identitätsanbieters): Die eindeutige Kennung des Identitätsanbieters. In Okta wird dies als „External Key“ bezeichnet.

• IdP-Zertifikat: Der öffentliche Schlüssel, mit dem Looker die Signatur von IdP-Antworten verifizieren kann.

Mithilfe dieser drei Felder kann Looker bestätigen, dass eine Reihe signierter SAML-Assertions tatsächlich von einem vertrauenswürdigen IdP stammt.

• SP-Entität/IdP-Zielgruppe: Dieses Feld ist für Looker nicht erforderlich, wird aber von vielen IdPs verlangt. Wenn Sie einen Wert in dieses Feld eingeben, wird dieser Wert in Autorisierungsanfragen als Entity ID von Looker an Ihren IdP gesendet. In diesem Fall akzeptiert Looker nur Autorisierungsantworten, die diesen Wert als Audience haben. Wenn Ihr IdP einen Audience-Wert erfordert, geben Sie den String hier ein.

• Zulässiger Zeitversatz: Die Anzahl der Sekunden, um die die Uhrzeit abweichen darf (der Unterschied zwischen den Zeitstempeln des Identitätsanbieters und von Looker). Dieser Wert ist in der Regel der Standardwert 0. Einige IdPs erfordern jedoch möglicherweise einen zusätzlichen Spielraum für erfolgreiche Anmeldungen.

Einstellungen für Nutzerattribute

Geben Sie in den folgenden Feldern den Attributnamen in der SAML-Konfiguration Ihres IdP an, der die entsprechenden Informationen für jedes Feld enthält. Wenn Sie die Namen der SAML-Attribute eingeben, wird Looker mitgeteilt, wie diese Felder zugeordnet und ihre Informationen bei der Anmeldung extrahiert werden sollen. Looker ist nicht besonders anspruchsvoll, was die Struktur dieser Informationen angeht. Es ist nur wichtig, dass die Art und Weise, wie Sie sie in Looker eingeben, mit der Art und Weise übereinstimmt, wie die Attribute in Ihrem Identitätsanbieter definiert sind. Looker bietet Standardsuggestionen für die Erstellung dieser Eingaben.

Standardattribute

Sie müssen die folgenden Standardattribute angeben:

• Email Attr (E-Mail-Attribut): Der Attributname, den Ihr IdP für E-Mail-Adressen von Nutzern verwendet.

• FName Attr: Der Attributname, den Ihr IdP für die Vornamen der Nutzer verwendet.

• LName Attr: Der Attributname, den Ihr IdP für die Nachnamen der Nutzer verwendet.

SAML-Attribute mit Looker-Nutzerattributen verknüpfen

Sie können die Daten in Ihren SAML-Attributen optional verwenden, um Werte in Nutzerattributen in Looker automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise SAML so konfiguriert haben, dass nutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre SAML-Attribute mit Looker-Nutzerattributen kombinieren, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu gestalten.

So ordnen Sie SAML-Attribute den entsprechenden Looker-Nutzerattributen zu:

1. Geben Sie im Feld SAML Attribute den Namen des SAML-Attributs und im Feld Looker User Attributes den Namen des Looker-Nutzerattributs ein, das Sie damit verknüpfen möchten.
2. Klicken Sie auf Erforderlich, wenn ein SAML-Attributwert erforderlich sein soll, damit sich ein Nutzer anmelden kann.
3. Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Attributpaare hinzuzufügen.

Gruppen und Rollen

Sie haben die Möglichkeit, dass Looker Gruppen erstellt, die Ihre extern verwalteten SAML-Gruppen spiegeln, und diesen Nutzern dann Looker-Rollen zuweist, die auf ihren gespiegelten SAML-Gruppen basieren. Wenn Sie Änderungen an Ihrer SAML-Gruppenmitgliedschaft vornehmen, werden diese Änderungen auf Nutzer dieser Looker-Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Durch das Spiegeln von SAML-Gruppen können Sie Ihr extern definiertes SAML-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. So können Sie Ihre Gruppenmitgliedschaft für mehrere SaaS-Tools (Software-as-a-Service) wie Looker an einem Ort verwalten.

Wenn Sie SAML-Gruppen spiegeln aktivieren, erstellt Looker für jede SAML-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können im Abschnitt Admin von Looker auf der Seite Gruppen aufgerufen werden. Gruppen können verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen und Nutzerattribute zuzuweisen.

Standardgruppen und ‑rollen

Standardmäßig ist der Schalter SAML-Gruppen spiegeln deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue SAML-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen der Looker-Gruppen oder -Rollen ein, denen Sie neue Looker-Nutzer bei der ersten Anmeldung in Looker zuweisen möchten:

Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Die Gruppen und Rollen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung der Nutzer entfernt werden.

Wenn Sie später die Spiegelung von SAML-Gruppen aktivieren, werden diese Standardeinstellungen bei der nächsten Anmeldung für Nutzer entfernt und durch Rollen ersetzt, die im Abschnitt SAML-Gruppen spiegeln zugewiesen sind. Diese Standardoptionen sind nicht mehr verfügbar oder zugewiesen und werden vollständig durch die Konfiguration der gespiegelten Gruppen ersetzt.

SAML-Gruppen spiegeln aktivieren

Wenn Sie eine Looker (Google Cloud Core)-Instanz verwenden, empfehlen wir, die Gruppenspiegelung nur für die primäre Authentifizierungsmethode zu aktivieren und nicht für die OAuth-Sicherheitsauthentifizierung. Wenn Sie die Gruppenspiegelung sowohl für die primäre als auch für die sekundäre Authentifizierungsmethode aktivieren, gilt Folgendes:

• Wenn ein Nutzer Identitäten zusammengeführt hat, wird beim Spiegeln von Gruppen die primäre Authentifizierungsmethode verwendet, unabhängig davon, welche Authentifizierungsmethode tatsächlich für die Anmeldung verwendet wurde.
• Wenn ein Nutzer keine zusammengeführten Identitäten hat, wird beim Spiegeln von Gruppen die Authentifizierungsmethode verwendet, mit der er sich angemeldet hat.

Spiegelung von Gruppen aktivieren

Wenn Sie Ihre SAML-Gruppen in Looker spiegeln möchten, aktivieren Sie den Schalter SAML-Gruppen spiegeln. In Looker werden diese Einstellungen angezeigt:

Group Finder Strategy (Strategie für die Gruppensuche): Wählen Sie das System aus, das der IdP zum Zuweisen von Gruppen verwendet. Das hängt von Ihrem IdP ab.

• Fast alle IdPs verwenden einen einzelnen Attributwert, um Gruppen zuzuweisen, wie in dieser Beispiel-SAML-Assertion zu sehen ist: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als Werte einzelner Attribute aus.

• Einige IdPs verwenden für jede Gruppe ein separates Attribut und erfordern dann ein zweites Attribut, um festzustellen, ob ein Nutzer Mitglied einer Gruppe ist. Ein Beispiel für eine SAML-Assertion, die diesem System folgt: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Wählen Sie in diesem Fall Gruppen als einzelne Attribute mit Mitgliedschaftswert aus.

Attribut „Gruppen“: Dieses Feld wird in Looker angezeigt, wenn die Strategie für die Gruppensuche auf Gruppen als Werte eines einzelnen Attributs festgelegt ist. Geben Sie den Namen des Gruppenattributs ein, das vom IdP verwendet wird.

Gruppenmitgliedswert: Dieses Feld wird in Looker angezeigt, wenn die Strategie für die Gruppensuche auf Gruppen als einzelne Attribute mit Mitgliedschaftswert festgelegt ist. Geben Sie den Wert ein, der angibt, dass ein Nutzer Mitglied einer Gruppe ist.

Bevorzugter Gruppenname/Bevorzugte Rollen/Bevorzugte SAML-Gruppen-ID: Mit dieser Gruppe von Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden SAML-Gruppe in Looker zugewiesen werden:

1. Geben Sie die SAML-Gruppen-ID in das Feld SAML Group ID (SAML-Gruppen-ID) ein. Geben Sie für Okta-Nutzer den Okta-Gruppennamen als SAML-Gruppen-ID ein. SAML-Nutzer, die in der SAML-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.

2. Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dies ist der Name, der im Bereich Admin von Looker auf der Seite Gruppen angezeigt wird.

3. Wählen Sie im Feld rechts neben Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.

4. Klicken Sie auf +, um weitere Feldgruppen hinzuzufügen und zusätzliche gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe auf X.

Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor auf diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch unverändert. Sie könnten beispielsweise den benutzerdefinierten Namen einer Gruppe ändern. Dadurch ändert sich die Darstellung der Gruppe auf der Seite Gruppen in Looker, aber nicht die zugewiesenen Rollen und Gruppenmitglieder. Wenn Sie die SAML-Gruppen-ID ändern, bleiben der Gruppenname und die Rollen erhalten. Die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen SAML-Gruppe mit der neuen SAML-Gruppen-ID sind.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.

Erweiterte Rollenverwaltung

Wenn Sie den Schalter SAML-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Mit den Optionen in diesem Bereich wird festgelegt, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und ‑Nutzern haben, die aus SAML gespiegelt wurden.

Wenn Sie beispielsweise möchten, dass Ihre Looker-Gruppen- und Nutzerkonfiguration genau mit Ihrer SAML-Konfiguration übereinstimmt, aktivieren Sie diese Optionen. Wenn die ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaften in gespiegelten Gruppen nicht ändern und Nutzern nur über gespiegelte SAML-Gruppen Rollen zuweisen.

Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre SAML-Konfiguration, aber Sie können zusätzliche Gruppen- und Nutzerverwaltung in Looker vornehmen, z. B. SAML-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder SAML-Nutzern direkt Looker-Rollen zuweisen.

Bei neuen Looker-Instanzen oder Instanzen, für die noch keine gespiegelten Gruppen konfiguriert wurden, sind diese Optionen standardmäßig deaktiviert.

Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert sind, sind diese Optionen standardmäßig aktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

Verhindern, dass einzelne SAML-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren SAML-Nutzern keine Looker-Rollen direkt zuweisen. SAML-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn SAML-Nutzer Mitgliedschaften in integrierten (nicht gespiegelten) Looker-Gruppen haben dürfen, können sie ihre Rollen weiterhin sowohl von gespiegelten SAML-Gruppen als auch von integrierten Looker-Gruppen erben. Allen SAML-Nutzern, denen zuvor Rollen direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entzogen.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzern Looker-Rollen direkt zuweisen, als wären sie direkt in Looker konfiguriert.

Direkte Mitgliedschaft in Nicht-SAML-Gruppen verhindern: Wenn diese Option aktiviert ist, können Looker-Administratoren SAML-Nutzer nicht direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte SAML-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, behalten SAML-Nutzer möglicherweise die Mitgliedschaft in übergeordneten Looker-Gruppen bei. Alle SAML-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.

Wenn diese Option deaktiviert ist, können Looker-Administratoren SAML-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

Übernahme von Rollen aus Nicht-SAML-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten SAML-Gruppen keine Rollen aus integrierten Looker-Gruppen übernehmen. Alle SAML-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

Wenn diese Option deaktiviert ist, erben gespiegelte SAML-Gruppen oder SAML-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.

Auth Requires Role (Rolle für die Authentifizierung erforderlich): Wenn diese Option aktiviert ist, muss SAML-Nutzern eine Rolle zugewiesen sein. SAML-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht in Looker anmelden.

Wenn diese Option deaktiviert ist, können sich SAML-Nutzer bei Looker authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Ein Nutzer ohne zugewiesene Rolle kann keine Daten sehen und keine Aktionen in Looker ausführen, sich aber in Looker anmelden.

SAML-Gruppen spiegeln deaktivieren

Wenn Sie die Spiegelung Ihrer SAML-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter SAML-Gruppen spiegeln. Wenn Sie den Schalter deaktivieren, passiert Folgendes:

• Alle SAML-Spiegelgruppen ohne Nutzer werden sofort gelöscht.
• Alle SAML-Spiegelgruppen, die Nutzer enthalten, werden als verwaist markiert. Wenn sich innerhalb von 31 Tagen kein Nutzer dieser Gruppe anmeldet, wird die Gruppe gelöscht. Nutzer können nicht mehr zu verwaisten SAML-Gruppen hinzugefügt oder daraus entfernt werden.

Migrationsoptionen

Alternative Anmeldung für Administratoren und bestimmte Nutzer

Die Looker-Anmeldung per E‑Mail-Adresse und Passwort ist für normale Nutzer immer deaktiviert, wenn die SAML-Authentifizierung aktiviert ist. Mit dieser Option können Sie eine alternative Anmeldung per E‑Mail über /login/email für Administratoren und bestimmte Nutzer mit der Berechtigung login_special_email zulassen.

Diese Option ist als Ausweichlösung bei der Einrichtung der SAML-Authentifizierung nützlich, wenn später Probleme mit der SAML-Konfiguration auftreten oder wenn Sie Nutzer unterstützen müssen, die kein Konto in Ihrem SAML-Verzeichnis haben.

Methode zum Zusammenführen von SAML-Nutzern in einem Looker-Konto angeben

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, die zum Zusammenführen einer erstmaligen SAML-Anmeldung mit einem bestehenden Nutzerkonto verwendet werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• Looker-E‑Mail-Adresse/-Passwort (nicht für Looker (Google Cloud Core) verfügbar)
• Google
• LDAP (nicht für Looker (Google Cloud Core) verfügbar)
• OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehr als ein System angeben, das zusammengeführt werden soll. Looker sucht Nutzer in den aufgeführten Systemen in der angegebenen Reihenfolge. Angenommen, Sie haben einige Nutzer mit Looker-E‑Mail-Adresse und ‑Passwort erstellt, dann LDAP aktiviert und möchten jetzt SAML verwenden. Looker würde zuerst anhand von E‑Mail-Adresse und Passwort und dann anhand von LDAP zusammenführen.

Wenn sich ein Nutzer zum ersten Mal über SAML anmeldet, wird mit dieser Option eine Verbindung zum bestehenden Konto des Nutzers hergestellt, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gesucht wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzer zusammenführen, wenn Looker (Google Cloud Core) verwendet wird

Wenn Sie Looker (Google Cloud Core) und SAML verwenden, funktioniert das Zusammenführen wie im vorherigen Abschnitt beschrieben. Das ist jedoch nur möglich, wenn eine der beiden folgenden Bedingungen erfüllt ist:

1. Bedingung 1: Nutzer authentifizieren sich in Looker (Google Cloud Core) mit ihren Google-Identitäten über das SAML-Protokoll.

2. Bedingung 2: Bevor Sie die Option zum Zusammenführen auswählen, haben Sie die folgenden beiden Schritte ausgeführt:

   • Identitäten föderierter Nutzer in Google Cloud mit Cloud Identity
   • Richten Sie die OAuth-Authentifizierung als Backup-Authentifizierungsmethode für die Verbundnutzer ein.

Wenn Ihre Instanz eine dieser beiden Bedingungen nicht erfüllt, ist die Option Nutzer zusammenführen mit nicht verfügbar.

Beim Zusammenführen sucht Looker (Google Cloud Core) nach Nutzerdatensätzen mit genau derselben E‑Mail-Adresse.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Testen, um Ihre Einstellungen zu testen. Bei Tests wird eine Weiterleitung zum Server durchgeführt und ein Browsertab geöffnet. Auf dem Tab wird Folgendes angezeigt:

• Ob Looker mit dem Server kommunizieren und die Anfrage validieren konnte.
• Die Namen, die Looker vom Server erhält. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
• Ein Trace, der zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace, um Fehler zu beheben, wenn die Informationen falsch sind. Wenn Sie weitere Informationen benötigen, können Sie die XML-Serverdatei im Rohformat lesen.

Tipps:

• Sie können diesen Test jederzeit ausführen, auch wenn SAML teilweise konfiguriert ist. Das Ausführen eines Tests kann bei der Konfiguration hilfreich sein, um zu sehen, welche Parameter konfiguriert werden müssen.
• Für den Test werden die Einstellungen verwendet, die auf der Seite SAML-Authentifizierung eingegeben wurden, auch wenn sie nicht gespeichert wurden. Der Test hat keine Auswirkungen auf die Einstellungen auf dieser Seite und ändert sie auch nicht.
• Während des Tests übergibt Looker Informationen an den IdP über den SAML-Parameter RelayState. Der IdP sollte diesen RelayState-Wert unverändert an Looker zurückgeben.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden sind, setzen Sie ein Häkchen bei Ich habe die obige Konfiguration bestätigt und möchte sie global anwenden und klicken Sie auf Einstellungen aktualisieren, um die Änderungen zu speichern.

Anmeldeverhalten von Nutzern

Wenn ein Nutzer versucht, sich mit SAML in einer Looker-Instanz anzumelden, wird die Seite Anmelden in Looker geöffnet. Der Nutzer muss auf die Schaltfläche Authentifizieren klicken, um die Authentifizierung über SAML zu starten.

Das ist das Standardverhalten, wenn der Nutzer noch keine aktive Looker-Sitzung hat.

Wenn sich Ihre Nutzer nach der Authentifizierung durch Ihren IdP direkt in Ihrer Looker-Instanz anmelden und die Seite Anmelden umgehen sollen, aktivieren Sie unter Anmeldeverhalten die Option Anmeldeseite umgehen.

Wenn Sie Looker (Original) verwenden, muss die Funktion Anmeldeseite umgehen von Looker aktiviert werden. Wenn Sie Ihre Lizenz für diese Funktion aktualisieren möchten, wenden Sie sich an einen Google Cloud Vertriebsspezialisten oder erstellen Sie eine Supportanfrage. Wenn Sie Looker (Google Cloud Core) verwenden, ist die Option Anmeldeseite umgehen automatisch verfügbar, wenn SAML als primäre Authentifizierungsmethode verwendet wird. Sie ist standardmäßig deaktiviert.

Wenn Anmeldeseite umgehen aktiviert ist, sieht die Nutzeranmeldung so aus:

1. Der Nutzer versucht, eine Verbindung zu einer Looker-URL herzustellen (z. B. instance_name.looker.com).

2. Looker ermittelt, ob der Nutzer bereits eine aktive Sitzung hat. Dazu verwendet Looker das Cookie AUTH-MECHANISM-COOKIE, um die Autorisierungsmethode zu identifizieren, die der Nutzer in seiner letzten Sitzung verwendet hat. Der Wert ist immer einer der folgenden: saml, ldap, oidc, google oder email.

3. Wenn der Nutzer eine aktive Sitzung hat, wird er zur angeforderten URL weitergeleitet.

4. Wenn der Nutzer keine aktive Sitzung hat, wird er zum IdP weitergeleitet. Der IdP authentifiziert den Nutzer, wenn er sich erfolgreich beim IdP anmeldet. Looker authentifiziert den Nutzer dann, wenn der IdP den Nutzer mit Informationen, die darauf hinweisen, dass der Nutzer beim IdP authentifiziert ist, an Looker zurücksendet.

5. Wenn die Authentifizierung beim IdP erfolgreich war, validiert Looker die SAML-Assertions, akzeptiert die Authentifizierung, aktualisiert die Nutzerinformationen und leitet den Nutzer an die angeforderte URL weiter. Die Seite Anmelden wird dabei umgangen.

6. Wenn sich der Nutzer nicht beim IdP anmelden kann oder vom IdP nicht autorisiert ist, Looker zu verwenden, verbleibt er je nach IdP entweder auf der Website des IdP oder wird zur Looker-Seite Anmelden weitergeleitet.

SAML-Antwort überschreitet das Limit

Wenn Nutzer, die sich authentifizieren möchten, Fehlermeldungen erhalten, die darauf hinweisen, dass die SAML-Antwort die maximale Größe überschritten hat, können Sie die maximal zulässige SAML-Antwortgröße erhöhen.

Bei von Looker gehosteten Instanzen stellen Sie eine Supportanfrage, um die maximale SAML-Antwortgröße zu aktualisieren.

Bei von Kunden gehosteten Looker-Instanzen können Sie die maximale SAML-Antwortgröße in Byte mit der Umgebungsvariable MAX_SAML_RESPONSE_BYTESIZE festlegen. Beispiel:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Die Standardeinstellung für die maximale SAML-Antwortgröße ist 250.000 Byte.