Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרות אדמין – אימות SAML

בדף SAML שבקטע אימות בתפריט אדמין אפשר להגדיר את Looker לאימות משתמשים באמצעות Security Assertion Markup Language ‏ (SAML). בדף הזה מוסבר על התהליך ומופיעות הוראות לקישור קבוצות SAML לתפקידים ולהרשאות ב-Looker.

דרישות

הדף SAML מוצג ב-Looker בקטע אימות בתפריט אדמין רק אם התנאים הבאים מתקיימים:

יש לכם תפקיד אדמין.
במכונה של Looker (המקורי) מופעל SAML. כדי להפעיל את SAML, צריך לפנות למנהל החשבון. הדף הזה מופעל כברירת מחדל במופעים של Looker (Google Cloud core).

אם התנאים האלה מתקיימים ואתם לא רואים את הדף SAML, פתחו בקשת תמיכה כדי להפעיל SAML במופע שלכם.

‫SAML וספקי זהויות

חברות משתמשות בספקי זהויות (IdPs) שונים כדי לתאם עם SAML (לדוגמה, Okta או OneLogin). יכול להיות שהמונחים שבהם נעשה שימוש בהוראות ההגדרה הבאות ובממשק המשתמש לא זהים למונחים שבהם נעשה שימוש בספק הזהות שלכם. אם יש לכם שאלות במהלך ההגדרה, אתם יכולים לפנות לצוות הפנימי שלכם שאחראי על SAML או על אימות, או לפנות לתמיכה של Looker.

מערכת Looker מניחה שבקשות וטענות נכונות (assertions) ב-SAML יהיו דחוסות. לכן, חשוב לוודא שה-IdP מוגדר בהתאם. הבקשות של Looker לספק הזהות לא חתומות.

‫Looker תומך בכניסה יזומה של IdP.

חלק מתהליך ההגדרה צריך להתבצע באתר של ספק הזהויות.

Okta מציעה אפליקציית Looker, והיא הדרך המומלצת להגדיר את Looker ו-Okta יחד.

הגדרה של Looker בספק הזהויות

ספק הזהויות (IdP) של SAML יצטרך את כתובת ה-URL של מופע Looker שאליו ספק הזהויות (IdP) של SAML צריך לשלוח טענות נכוֹנוּת (assertions) של SAML. יכול להיות שהשם של השדה הזה ב-IdP יהיה 'כתובת URL של Post Back', 'נמען', 'יעד' או שם אחר.

המידע שצריך לספק הוא כתובת ה-URL שדרכה אתם בדרך כלל ניגשים למופע Looker באמצעות הדפדפן, ואחריה /samlcallback. לדוגמה: none https://instance_name.looker.com/samlcallback

או

https://looker.mycompany.com/samlcallback

חלק מספקי הזהויות (IdPs) גם דורשים להוסיף :9999 אחרי כתובת ה-URL של המופע. לדוגמה:

https://instance_name.looker.com:9999/samlcallback

חשוב לדעת

חשוב לזכור את העובדות הבאות:

‫Looker דורש SAML 2.0.
אל תשביתו את אימות SAML בזמן שאתם מחוברים ל-Looker דרך SAML, אלא אם הגדרתם התחברות לחשבון חלופי. אחרת, יכול להיות שלא תוכלו להיכנס יותר לאפליקציה.
‫Looker יכול להעביר חשבונות קיימים ל-SAML באמצעות כתובות אימייל שמגיעות מהגדרות אימייל וסיסמה נוכחיות או מאימות Google, מ-LDAP או מ-OIDC. בתהליך ההגדרה תוכלו לקבוע איך חשבונות קיימים יועברו.

תחילת העבודה

כדי להגדיר אימות SAML למופע Looker, בוחרים באפשרות SAML בקטע אימות בלוח אדמין. בדף SAML Authentication, בוחרים באפשרות Configure SAML כדי לראות את אפשרויות ההגדרה הבאות.

הגדרות אימות SAML

כדי לאמת את ה-IdP, ‏ Looker דורש את כתובת ה-URL של ה-IdP, את מנפיק ה-IdP ואת האישור של ה-IdP.

יכול להיות שה-IdP יציע מסמך XML של מטא-נתונים של IdP במהלך תהליך ההגדרה של Looker בצד ה-IdP. הקובץ הזה מכיל את כל המידע שנדרש בקטע SAML Auth Settings. אם יש לכם את הקובץ הזה, אתם יכולים להעלות אותו בשדה IdP Metadata, והשדות הנדרשים בקטע הזה יאוכלסו. אפשרות אחרת היא למלא את שדות החובה מתוך הפלט שמתקבל במהלך ההגדרה בצד ספק הזהויות. אם מעלים את קובץ ה-XML, לא צריך למלא את השדות.

מטא-נתונים של IdP (אופציונלי): מדביקים כאן את כתובת ה-URL הציבורית של מסמך ה-XML שמכיל את פרטי ה-IdP, או מדביקים כאן את הטקסט של המסמך במלואו. ‫Looker ינתח את הקובץ כדי למלא את שדות החובה.

אם לא העליתם או הדבקם מסמך XML של מטא-נתונים של IdP, במקום זאת מזינים את פרטי האימות של ה-IdP בשדות כתובת ה-URL של ה-IdP, מנפיק ה-IdP ואישור ה-IdP.

כתובת ה-URL של ה-IdP: כתובת ה-URL שאליה Looker יפנה כדי לאמת משתמשים. ב-Okta, כתובת ה-URL הזו נקראת כתובת URL להפניה אוטומטית.
‫IdP Issuer: המזהה הייחודי של ספק הזהויות. ב-Okta, השדה הזה נקרא External Key (מפתח חיצוני).
אישור IdP: המפתח הציבורי שמאפשר ל-Looker לאמת את החתימה של תשובות IdP.

שלושת השדות האלה מאפשרים ל-Looker לוודא שקבוצה של טענות נכונות (assertions) חתומות ב-SAML באמת הגיעה מ-IdP מהימן.

‫SP Entity/IdP Audience: השדה הזה לא נדרש על ידי Looker, אבל הרבה ספקי זהויות (IdP) ידרשו אותו. אם מזינים ערך בשדה הזה, הערך הזה יישלח לספק הזהויות בתור Entity ID של Looker בבקשות הרשאה. במקרה כזה, Looker יקבל רק תגובות הרשאה שבהן הערך הזה מופיע כ-Audience. אם ה-IdP דורש ערך Audience, מזינים את המחרוזת הזו כאן.

Allowed Clock Drift (הפרש הזמן המותר): מספר השניות של הפרש הזמן (ההבדל בחותמות הזמן בין ספק הזהויות לבין Looker) שמותר. הערך הזה יהיה בדרך כלל ברירת המחדל 0, אבל יכול להיות שספקי זהויות מסוימים ידרשו מרווח זמן גדול יותר כדי שההתחברות תצליח.

הגדרות מאפייני משתמש

בשדות הבאים, מציינים את שם המאפיין בהגדרת ה-SAML של ספק ה-IdP שמכיל את המידע המתאים לכל שדה. הזנת שמות מאפייני SAML מאפשרת ל-Looker למפות את השדות האלה ולחלץ את המידע שלהם בזמן הכניסה. ל-Looker לא משנה איך המידע הזה בנוי, רק חשוב שהאופן שבו אתם מזינים אותו ל-Looker יהיה זהה לאופן שבו המאפיינים מוגדרים בספק הזהויות. ‫Looker מספק הצעות ברירת מחדל לגבי אופן בניית הקלט.

מאפיינים רגילים

תצטרכו לציין את מאפייני התקן האלה:

מאפיין אימייל: שם המאפיין שספק ה-IdP משתמש בו לכתובות האימייל של המשתמשים.
FName Attr: שם המאפיין שמשמש את ספק הזהויות לשמות פרטיים של משתמשים.
LName Attr: שם המאפיין שמשמש את ספק ה-IdP לשמות משפחה של משתמשים.

התאמה בין מאפייני SAML למאפייני משתמש ב-Looker

אופציונלית, אתם יכולים להשתמש בנתונים במאפייני SAML כדי למלא אוטומטית ערכים במאפייני משתמש ב-Looker כשמשתמש מתחבר. לדוגמה, אם הגדרתם SAML כדי ליצור חיבורים ספציפיים למשתמשים למסד הנתונים, תוכלו לשייך את מאפייני ה-SAML למאפייני המשתמש ב-Looker כדי ליצור חיבורים ספציפיים למשתמשים למסד הנתונים ב-Looker.

כדי להתאים מאפייני SAML למאפייני משתמש תואמים ב-Looker, פועלים לפי השלבים הבאים:

מזינים את השם של מאפיין SAML בשדה SAML Attribute (מאפיין SAML) ואת השם של מאפיין המשתמש ב-Looker שרוצים לשייך לו בשדה Looker User Attributes (מאפייני משתמש ב-Looker).
מסמנים את התיבה חובה אם רוצים לדרוש ערך מאפיין SAML כדי לאפשר למשתמש להתחבר.
כדי להוסיף עוד זוגות של מאפיינים, לוחצים על + וחוזרים על השלבים האלה.

כדי להתאים מאפייני משתמש ב-SAML למאפייני משתמש תואמים ב-Looker, או כדי לנהל התאמות קיימות, פועלים לפי השלבים הבאים:

בקטע הגדרות מאפייני משתמש, לוחצים על הלחצן ניהול שיוכים כדי לפתוח את החלונית הצדדית ניהול שיוכים.
בשדה Claim, מזינים את השם של מאפיין SAML שרוצים להתאים. אפשר להזין שמות של תביעות ברשימה רק פעם אחת. אם רוצים לשייך טענה לכמה מאפייני Looker, אפשר להזין כמה מאפיינים בשדה Looker User Attributes (מאפייני משתמש ב-Looker).
בשדה מאפייני משתמשים ב-Looker, מופיעה רשימה נפתחת של מאפייני משתמשים ב-Looker עבור המופע. בוחרים את השם של מאפיין המשתמש ב-Looker שרוצים לשייך למאפיין SAML. אפשר לבחור כמה מאפייני משתמשים ב-Looker. צריך לבחור לפחות מאפיין משתמש אחד ב-Looker.
מסמנים את התיבה נדרש אם רוצים לדרוש ערך מאפיין SAML כדי לאפשר למשתמש להיכנס.
לוחצים על הלחצן הוספת שיוך כדי להוסיף עוד שורת שיוך לרשימה. חוזרים על השלבים האלה כדי להוסיף עוד זוגות של מאפיינים.
משמאל לכל שורה של צימוד מופיע סמל הסרת הצימוד. לוחצים על הסמל הזה כדי להסיר שיוך מאפיינים מהמופע.
לוחצים על סמל הסגירה כדי לצאת מחלונית הצד ניהול שיוכים.
בודקים את הגדרת ה-SAML.
מאמתים את הגדרות ה-SAML, ובחלק התחתון של הדף SAML Authentication (אימות SAML), מסמנים את תיבת הסימון I have verified the SAML configuration (אימתתי את הגדרות ה-SAML).
לוחצים על הלחצן Enable SAML (הפעלת SAML) או על Update SAML Settings (עדכון הגדרות SAML) כדי לשמור את ההתאמות בין מאפייני המשתמש ב-SAML.

חלונית הצד ניהול קישורים כוללת גם את הכלים הבאים:

תפריט המסננים סינון הרשימה וסרגל החיפוש. אפשר להשתמש בכלים האלה כדי לחפש את הזיווגים שכבר נוספו למופע.
התפריט הנפתח של הצגת החלוקה לדפים. בתפריט הזה אפשר לבחור להציג 10, 25, 50 או 100 צמדים בכל דף.

קבוצות ותפקידים

אתם יכולים להגדיר ש-Looker ייצור קבוצות שמשקפות את קבוצות ה-SAML שמנוהלות חיצונית, ואז יקצה למשתמשים האלה תפקידים ב-Looker שמבוססים על קבוצות ה-SAML המשוקפות שלהם. כשמבצעים שינויים בחברות בקבוצת SAML, השינויים האלה יחולו על משתמשים בקבוצת Looker הזו בפעם הבאה שהם יתחברו ל-Looker.

שיקוף קבוצות SAML מאפשר לכם להשתמש בספריית SAML שהוגדרה חיצונית כדי לנהל קבוצות ומשתמשים ב-Looker. כך תוכלו לנהל את חברי הקבוצה שלכם בכמה כלים של תוכנה כשירות (SaaS), כמו Looker, במקום אחד.

אם מפעילים את האפשרות Mirror SAML Groups (שיקוף קבוצות SAML),‏ Looker יוצר קבוצה אחת ב-Looker לכל קבוצת SAML שנוספת למערכת. אפשר לראות את קבוצות Looker האלה בדף קבוצות בקטע Admin ב-Looker. אפשר להשתמש בקבוצות כדי להקצות תפקידים לחברים בקבוצה, להגדיר אמצעי בקרה לגישה לתוכן ולהקצות מאפייני משתמש.

קבוצות ותפקידים שמוגדרים כברירת מחדל

כברירת מחדל, המתג Mirror SAML Groups (שיקוף קבוצות SAML) מושבת. במקרה כזה, אפשר להגדיר קבוצת ברירת מחדל למשתמשי SAML חדשים. בשדות New User Groups (קבוצות משתמשים חדשות) ו-New User Roles (תפקידי משתמשים חדשים), מזינים את השמות של קבוצות או תפקידים ב-Looker שרוצים להקצות למשתמשי Looker חדשים כשהם מתחברים ל-Looker בפעם הראשונה:

הקבוצות והתפקידים האלה מוקצים למשתמשים חדשים בכניסה הראשונית שלהם. הקבוצות והתפקידים לא חלים על משתמשים קיימים, והם לא מוחלים מחדש אם הם מוסרים מהמשתמשים אחרי הכניסה הראשונית שלהם.

אם תפעילו בהמשך שיקוף של קבוצות SAML, הגדרות ברירת המחדל האלה יוסרו מהמשתמשים בכניסה הבאה שלהם ויוחלפו בתפקידים שהוקצו בקטע שיקוף של קבוצות SAML. אפשרויות ברירת המחדל האלה לא יהיו יותר זמינות או מוקצות, והן יוחלפו באופן מלא בהגדרת הקבוצות המשוכפלות.

הפעלת קבוצות SAML משוכפלות

אם אתם משתמשים במופע של Looker (Google Cloud core), מומלץ להפעיל שיקוף קבוצות רק לשיטת האימות הראשית ולא להפעיל שיקוף קבוצות לאימות OAuth לגיבוי. אם מפעילים שיקוף קבוצות גם לשיטת האימות הראשית וגם לשיטת האימות המשנית, יתרחשו ההתנהגויות הבאות:

אם המשתמש מיזג זהויות, שיקוף הקבוצה יתאים לשיטת האימות הראשית, ללא קשר לשיטת האימות בפועל שבה נעשה שימוש כדי להיכנס.
אם למשתמש אין זהויות משולבות, שיקוף הקבוצה יתאים לשיטת האימות שבה נעשה שימוש כדי להיכנס לחשבון.

שלבים להפעלת קבוצות משוכפלות

אם בחרתם לשקף את קבוצות ה-SAML ב-Looker, מפעילים את המתג Mirror SAML Groups (שיקוף קבוצות SAML). ההגדרות הבאות מוצגות ב-Looker:

אסטרטגיית איתור קבוצות: בוחרים את המערכת שספק ה-IdP משתמש בה כדי להקצות קבוצות, בהתאם לספק ה-IdP.

כמעט כל ספקי ה-IdP משתמשים בערך מאפיין יחיד כדי להקצות קבוצות, כמו שמוצג בטענת הנכוֹנוּת (assertion) של SAML לדוגמה הזו: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> במקרה הזה, בוחרים באפשרות Groups as values of single attributes (קבוצות כערכים של מאפיינים יחידים).
חלק מספקי הזהויות משתמשים במאפיין נפרד לכל קבוצה, ואז דורשים מאפיין שני כדי לקבוע אם משתמש הוא חבר בקבוצה. דוגמה לטענת נכוֹנוּת (assertion) של SAML שבה המערכת הזו פועלת: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> במקרה הזה, בוחרים באפשרות Groups as individual attributes with membership value.

מאפיין הקבוצות: השדה הזה מוצג ב-Looker כשהאפשרות קבוצות כערכים של מאפיין יחיד מוגדרת באסטרטגיית איתור קבוצות. מזינים את השם של מאפיין הקבוצות שמשמש את ספק הזהויות.

ערך החברות בקבוצה: השדה הזה מוצג ב-Looker כשהאפשרות אסטרטגיית איתור קבוצות מוגדרת לקבוצות כמאפיינים נפרדים עם ערך חברות. מזינים את הערך שמציין שמשתמש הוא חבר בקבוצה.

הכפתור ניהול קבוצות: לוחצים על הכפתור הזה כדי לפתוח את החלונית הצדדית ניהול קבוצות, שבה אפשר להוסיף, להסיר או לערוך קבוצה בהתאמה אישית או את התפקידים שמוקצים לקבוצה המתאימה ב-Looker. בחלונית הצדדית ניהול קבוצות מוצגים השדות הבאים:

שדה שם קבוצה מועדף. מזינים בשדה הזה שם מותאם אישית לקבוצה המשוכפלת. זה השם שיוצג בדף Groups בקטע Admin ב-Looker.
השדה שם קבוצת SAML. מזינים את קבוצת ה-SAML בשדה הזה. למשתמשי Okta, מזינים את שם קבוצת Okta כמזהה קבוצת SAML. משתמשי SAML שנכללים בקבוצת SAML יתווספו לקבוצה המשוקפת ב-Looker.
שדה תפקיד. בשדה הזה, בוחרים תפקיד אחד או יותר ב-Looker שיוקצו לכל משתמש בקבוצה.
סמל הסרת המיפוי. לוחצים על הסמל הזה כדי להסיר קבוצה משוכפלת ממופע Looker. אם מוחקים קבוצה, היא לא תשוכפל יותר ב-Looker והתפקידים שהוקצו לחברים בה דרך הקבוצה לא יהיו תקפים יותר.

בחלונית הצדדית ניהול קבוצות יש גם את הכלים הבאים:

תפריט המסננים סינון הרשימה וסרגל החיפוש. אפשר להשתמש בכלים האלה כדי לחפש את הקבוצות שכבר נוספו למופע.
הלחצן הוספת מיפוי. לוחצים על הלחצן הזה כדי להוסיף קבוצה בהתאמה אישית למופע.

עריכה של קבוצות משוכפלות

אם תערכו קבוצה משוכפלת שהוגדרה קודם במסך הזה, ההגדרה של הקבוצה תשתנה אבל הקבוצה עצמה תישאר ללא שינוי. לדוגמה, אפשר לשנות את השם של קבוצה ב-Looker, וכך לשנות את האופן שבו הקבוצה מופיעה בדף Groups (קבוצות) ב-Looker, אבל לא לשנות את התפקידים שהוקצו ואת חברי הקבוצה. שינוי השם של קבוצת SAML ישמור את השם והתפקידים של הקבוצה, אבל החברים בקבוצה יוקצו מחדש על סמך המשתמשים שחברים בקבוצת SAML החיצונית עם השם החדש של קבוצת SAML.

כל שינוי שמתבצע בקבוצה משוכפלת יחול על המשתמשים בקבוצה הזו בפעם הבאה שהם יתחברו ל-Looker.

ניהול מתקדם של תפקידים

אם הפעלתם את המתג Mirror SAML Groups, ההגדרות האלה יוצגו ב-Looker. האפשרויות בקטע הזה קובעות את מידת הגמישות של אדמינים ב-Looker בהגדרת קבוצות ומשתמשים ב-Looker שמשוכפלים מ-SAML.

לדוגמה, אם רוצים שההגדרות של הקבוצות והמשתמשים ב-Looker יתאימו בדיוק להגדרות ה-SAML, צריך להפעיל את האפשרויות האלה. אם כל שלוש האפשרויות הראשונות מופעלות, אדמינים ב-Looker לא יכולים לשנות את החברות בקבוצות משוכפלות, והם יכולים להקצות תפקידים למשתמשים רק דרך קבוצות משוכפלות של SAML.

אם אתם רוצים יותר גמישות בהתאמה אישית של הקבוצות ב-Looker, כדאי להשבית את האפשרויות האלה. הקבוצות ב-Looker עדיין ישקפו את הגדרת ה-SAML, אבל תוכלו לבצע פעולות נוספות של ניהול קבוצות ומשתמשים ב-Looker, כמו הוספת משתמשי SAML לקבוצות ספציפיות ב-Looker או הקצאת תפקידים ב-Looker ישירות למשתמשי SAML.

במקרים של מופעי Looker חדשים, או מופעים שלא הוגדרו בהם קודם קבוצות משוכפלות, האפשרויות האלה מושבתות כברירת מחדל.

במקרים של מופעי Looker קיימים שבהם הוגדרו קבוצות משוכפלות, האפשרויות האלה מופעלות כברירת מחדל.

הקטע ניהול מתקדם של תפקידים כולל את האפשרויות הבאות:

מניעת הקצאת תפקידים ישירים למשתמשי SAML פרטיים: הפעלת האפשרות הזו מונעת ממנהלי מערכת ב-Looker להקצות תפקידים ב-Looker ישירות למשתמשי SAML. משתמשי SAML יקבלו תפקידים רק דרך החברות שלהם בקבוצות. אם משתמשי SAML יכולים להיות חברים בקבוצות מובנות (לא משוכפלות) ב-Looker, הם עדיין יכולים לרשת את התפקידים שלהם גם מקבוצות SAML משוכפלות וגם מקבוצות מובנות ב-Looker. תפקידים שהוקצו בעבר ישירות למשתמשי SAML יוסרו כשהם יתחברו בפעם הבאה.

אם האפשרות הזו מושבתת, אדמינים ב-Looker יכולים להקצות תפקידים ב-Looker ישירות למשתמשי SAML, כאילו הם הוגדרו ישירות ב-Looker.

מניעת חברות ישירה בקבוצות שאינן SAML: הפעלת האפשרות הזו מונעת ממנהלי Looker להוסיף משתמשי SAML ישירות לקבוצות מובנות ב-Looker. אם מותר לקבוצות SAML משוכפלות להיות חברות בקבוצות מובנות של Looker, משתמשי SAML יכולים לשמור על החברות שלהם בכל קבוצות ההורה של Looker. כל משתמשי SAML שהוקצו בעבר לקבוצות מובנות ב-Looker יוסרו מהקבוצות האלה בפעם הבאה שהם יתחברו.

אם האפשרות הזו מושבתת, אדמינים של Looker יכולים להוסיף משתמשי SAML ישירות לקבוצות מובנות של Looker.

מניעת ירושת תפקידים מקבוצות שאינן SAML: הפעלת האפשרות הזו מונעת מחברים בקבוצות SAML משוכפלות לרשת תפקידים מקבוצות מובנות ב-Looker. משתמשי SAML שקיבלו בעבר תפקידים בירושה מקבוצת Looker ברמת ההורה יאבדו את התפקידים האלה בכניסה הבאה שלהם.

אם האפשרות הזו מושבתת, קבוצות SAML משוכפלות או משתמשי SAML שמתווספים כחברים בקבוצה מובנית ב-Looker יקבלו בירושה את התפקידים שהוקצו לקבוצת האב ב-Looker.

האימות מחייב תפקיד: אם האפשרות הזו מופעלת, משתמשי SAML נדרשים להקצות תפקיד. משתמשי SAML שלא הוקצה להם תפקיד לא יוכלו להיכנס ל-Looker בכלל.

אם האפשרות הזו מושבתת, משתמשי SAML יכולים לבצע אימות ב-Looker גם אם לא הוקצה להם תפקיד. משתמש שלא הוקצה לו תפקיד לא יוכל לראות נתונים או לבצע פעולות ב-Looker, אבל הוא יוכל להיכנס ל-Looker.

השבתת שיקוף של קבוצות SAML

אם רוצים להפסיק לשקף את קבוצות ה-SAML ב-Looker, משביתים את המתג Mirror SAML Groups (שיקוף קבוצות SAML). השבתת המתג מובילה להתנהגות הבאה:

כל קבוצת SAML משוקפת ללא משתמשים נמחקת באופן מיידי.
כל קבוצת SAML משוכפלת שכן מכילה משתמשים מסומנת כקבוצה יתומה. אם אף משתמש בקבוצה הזו לא יתחבר לחשבון תוך 31 יום, הקבוצה תימחק. אי אפשר יותר להוסיף משתמשים לקבוצות SAML יתומות או להסיר אותם מהן.

אפשרויות העברה

כניסה חלופית לאדמינים ולמשתמשים ספציפיים

הכניסות באמצעות אימייל וסיסמה ל-Looker תמיד מושבתות למשתמשים רגילים כשהאימות באמצעות SAML מופעל. האפשרות הזו מאפשרת לאדמינים ולמשתמשים ספציפיים עם ההרשאה login_special_email להתחבר באמצעות כתובת אימייל חלופית דרך /login/email.

הפעלת האפשרות הזו שימושית כגיבוי במהלך הגדרת אימות SAML, אם יתעוררו בעיות בהגדרת SAML בהמשך, או אם תצטרכו לתמוך במשתמשים מסוימים שאין להם חשבונות בספריית SAML.

ציון השיטה שבה משתמשי SAML ימוזגו לחשבון Looker

בשדה מיזוג משתמשים באמצעות, מציינים את השיטה שבה ישתמשו כדי למזג כניסת SAML ראשונה עם חשבון משתמש קיים. אפשר למזג משתמשים מהמערכות הבאות:

שם משתמש וסיסמה ב-Looker (לא זמין ב-Looker (Google Cloud Core))
Google
‫LDAP (לא זמין ב-Looker (Google Cloud Core))
OIDC

אם יש לכם יותר ממערכת אחת, אתם יכולים לציין בשדה הזה יותר ממערכת אחת למיזוג. ‫Looker יחפש משתמשים במערכות שמופיעות ברשימה לפי הסדר שבו הן מצוינות. לדוגמה, נניח שיצרתם משתמשים באמצעות כתובת אימייל וסיסמה ב-Looker, ואז הפעלתם LDAP ועכשיו אתם רוצים להשתמש ב-SAML. מערכת Looker תמזג קודם לפי כתובת אימייל וסיסמה, ואז לפי LDAP.

כשמשתמש מתחבר בפעם הראשונה דרך SAML, האפשרות הזו מחברת את המשתמש לחשבון הקיים שלו על ידי איתור החשבון עם כתובת אימייל תואמת. אם אין חשבון קיים למשתמש, ייצור חשבון משתמש חדש.

מיזוג משתמשים ב-Looker (Google Cloud Core)‎

כשמשתמשים ב-Looker (Google Cloud core) וב-SAML, המיזוג פועל כמו שמתואר בקטע הקודם. אבל אפשר לעשות את זה רק אם מתקיים אחד משני התנאים הבאים:

תנאי 1: משתמשים מבצעים אימות ב-Looker (ליבת Google Cloud) באמצעות הזהויות שלהם ב-Google דרך פרוטוקול SAML.
תנאי 2: לפני שבוחרים באפשרות המיזוג, צריך להשלים את שני השלבים הבאים:
- זהויות של משתמשים מאוחדים ב- Google Cloud באמצעות Cloud Identity
- מגדירים אימות OAuth כשיטת האימות לגיבוי באמצעות משתמשים מאוחדים.

אם המופע שלכם לא עומד באחד משני התנאים האלה, האפשרות מיזוג משתמשים באמצעות לא תהיה זמינה.

במיזוג, Looker (Google Cloud core) יחפש רשומות משתמשים עם אותה כתובת אימייל בדיוק.

בדיקת אימות משתמשים

לוחצים על הלחצן בדיקה כדי לבדוק את ההגדרות. הבדיקות יפנו לשרת וייפתחו בכרטיסייה בדפדפן. בכרטיסייה מוצגים הפרטים הבאים:

אם Looker הצליח לתקשר עם השרת ולאמת אותו.
השמות ש-Looker מקבל מהשרת. צריך לוודא שהשרת מחזיר את התוצאות הנכונות.
עקבות שמראות איך המידע נמצא. אם המידע שגוי, אפשר להשתמש בנתוני המעקב כדי לפתור את הבעיה. אם אתם צריכים מידע נוסף, אתם יכולים לקרוא את קובץ השרת בפורמט XML.

כדאי לדעת:

אפשר להריץ את הבדיקה הזו בכל שלב, גם אם SAML מוגדר באופן חלקי. הפעלת בדיקה יכולה לעזור במהלך ההגדרה כדי לראות אילו פרמטרים צריך להגדיר.
הבדיקה משתמשת בהגדרות שהוזנו בדף SAML Authentication (אימות SAML), גם אם ההגדרות האלה לא נשמרו. הבדיקה לא תשפיע על ההגדרות בדף הזה ולא תשנה אותן.
במהלך הבדיקה, Looker מעביר מידע לספק הזהויות באמצעות הפרמטר RelayState של SAML. ספק הזהויות צריך להחזיר את הערך RelayState ל-Looker ללא שינוי.

שמירת ההגדרות והחלתן

אחרי שמסיימים להזין את הפרטים וכל הבדיקות עוברות בהצלחה, מסמנים את התיבה I have confirmed the configuration above and want to enable applying it globally (אישרתי את ההגדרה שלמעלה ואני רוצה להחיל אותה באופן גלובלי) ולוחצים על Update Settings (עדכון ההגדרות) כדי לשמור.

התנהגות המשתמשים בהתחברות

כשמשתמש מנסה להיכנס למופע של Looker באמצעות SAML, המערכת פותחת את הדף כניסה ב-Looker. המשתמש צריך ללחוץ על הלחצן אימות כדי להתחיל את האימות באמצעות SAML.

זוהי התנהגות ברירת המחדל אם למשתמש אין כבר סשן פעיל ב-Looker.

אם רוצים שהמשתמשים יתחברו ישירות למופע Looker אחרי שה-IdP יאמת אותם, ויעקפו את הדף Log In, מפעילים את האפשרות Bypass Login Page בקטע Login Behavior.

אם אתם משתמשים ב-Looker (Original), צריך לבקש מ-Looker להפעיל את התכונה Bypass Login Page (דילוג על דף הכניסה). כדי לעדכן את הרישיון שלכם לתכונה הזו, אתם יכולים לפנות ל Google Cloud מומחה מכירות או לפתוח בקשת תמיכה. אם אתם משתמשים ב-Looker (Google Cloud Core), האפשרות Bypass Login Page זמינה באופן אוטומטי אם SAML משמש כשיטת האימות העיקרית, והיא מושבתת כברירת מחדל.

כשהאפשרות דילוג על דף הכניסה מופעלת, רצף הכניסה של המשתמש הוא כזה:

המשתמש מנסה להתחבר לכתובת URL של Looker (לדוגמה, instance_name.looker.com).
מערכת Looker קובעת אם למשתמש כבר יש סשן פעיל. לשם כך, Looker משתמש בקובץ ה-Cookie‏ AUTH-MECHANISM-COOKIE כדי לזהות את שיטת ההרשאה שבה השתמש המשתמש בסשן האחרון שלו. הערך תמיד יהיה אחד מהערכים הבאים: saml, ldap, oidc, google או email.
אם למשתמש יש סשן פעיל, הוא מועבר לכתובת ה-URL המבוקשת.
אם למשתמש אין סשן פעיל, הוא מופנה אל ספק הזהויות. ה-IdP מאמת את המשתמש כשהוא נכנס בהצלחה ל-IdP. לאחר מכן, Looker מאמת את המשתמש כשספק הזהויות שולח את המשתמש בחזרה אל Looker עם מידע שמציין שהמשתמש עבר אימות בספק הזהויות.
אם האימות ב-IdP הצליח, Looker מאמת את הצהרות ה-SAML, מאשר את האימות, מעדכן את פרטי המשתמש ומעביר את המשתמש לכתובת ה-URL המבוקשת, בלי להציג את הדף Log In.
אם המשתמש לא מצליח להיכנס ל-IdP, או אם הוא לא מורשה על ידי ה-IdP להשתמש ב-Looker, הוא יישאר באתר של ה-IdP או יופנה לדף התחברות של Looker, בהתאם ל-IdP.

פתרון בעיות

כדי לפתור בעיות שקשורות לאימות, כדאי לבדוק את מרכז הבקרה לפעילות משתמש בפעילות המערכת. לוח הבקרה הזה כולל משבצות שמציגות כשלים בכניסה לחשבון מהזמן האחרון, וכולל את שיטת האימות שבה נעשה שימוש, את הודעת השגיאה שהוחזרה ואת השעה שבה בוצע הניסיון.

תגובת SAML חורגת מהמגבלה

אם משתמשים שמנסים לבצע אימות מקבלים שגיאות שמציינות שתגובת ה-SAML חרגה מהגודל המקסימלי, אפשר להגדיל את הגודל המקסימלי המותר של תגובת ה-SAML.

במקרים של מופעים שמתארחים ב-Looker, פותחים בקשת תמיכה כדי לעדכן את הגודל המקסימלי של תגובת SAML.

במקרים של מופעי Looker באירוח בצד הלקוח, אפשר להגדיר את הגודל המקסימלי של תגובת SAML במספר בייטים באמצעות משתנה הסביבה MAX_SAML_RESPONSE_BYTESIZE. לדוגמה:

export MAX_SAML_RESPONSE_BYTESIZE=500000

ברירת המחדל לגודל המקסימלי של תגובת SAML היא 250,000 בייטים.