Configuración del administrador: Autenticación de dos factores

Looker proporciona la autenticación de dos factores (2FA) como una capa de seguridad adicional para proteger los datos a los que se puede acceder a través de Looker. Con la 2FA habilitada, cada usuario que accede debe autenticarse con un código único generado por su dispositivo móvil. No hay ninguna opción para habilitar la 2FA para un subconjunto de usuarios.

La página Autenticación de dos factores en la sección Autenticación del menú Administrador te permite habilitar y configurar la 2FA.

Usa la autenticación de dos factores

A continuación, se muestra el flujo de trabajo de alto nivel para configurar y usar la 2FA. Ten en cuenta los requisitos de sincronización de hora, que son necesarios para el funcionamiento correcto de la 2FA.

  1. El administrador habilita la 2FA en la configuración de administrador de Looker.

    Cuando habilites la 2FA, se cerrará la sesión de todos los usuarios que accedieron a Looker y deberán volver a acceder con la 2FA.

  2. Los usuarios individuales instalan la app del Autenticador de Google para iPhone o Android en sus dispositivos móviles, o cualquier app de Autenticador de terceros.

  3. La primera vez que acceda, el usuario verá una imagen de un código QR en la pantalla de su computadora, que deberá escanear con su teléfono usando la app del Autenticador.

    Si el usuario no puede escanear un código QR con su teléfono, también hay una opción para generar un código de texto que puede ingresar en su teléfono.

    Después de completar este paso, los usuarios podrán generar claves de autenticación para Looker.

  4. En los accesos posteriores a Looker, el usuario deberá ingresar una clave de autenticación después de enviar su nombre de usuario y contraseña.

    Si un usuario habilita la opción Esta es una computadora de confianza, la clave autentica el navegador de acceso durante un período de 30 días. Durante este período, el usuario puede acceder solo con el nombre de usuario y la contraseña. Cada 30 días, Looker requiere que cada usuario vuelva a autenticar el navegador con su app del Autenticador.

Requisitos de sincronización de hora

Una app del Autenticador produce tokens basados en el tiempo, que requieren la sincronización de hora entre el servidor de Looker y cada dispositivo móvil para que funcionen. Si el servidor de Looker y un dispositivo móvil no están sincronizados, es posible que el usuario del dispositivo móvil no pueda autenticarse con la 2FA. Para sincronizar las fuentes de hora, haz lo siguiente:

  • Configura los dispositivos móviles para la sincronización automática de hora con la red.
  • Para las implementaciones de Looker alojadas por el cliente, asegúrate de que NTP se esté ejecutando y configurado en el servidor. Si el servidor se aprovisiona en AWS, es posible que debas permitir NTP de forma explícita en la ACL de red de AWS.
  • Un administrador de Looker puede establecer el desvío de hora máximo permitido en el panel Administrador de Looker, que define la diferencia permitida entre el servidor y los dispositivos móviles. Si la configuración de hora de un dispositivo móvil está desactivada por más del desvío permitido, las claves de autenticación no funcionarán. El valor predeterminado es de 90 segundos.

Restablece la autenticación de dos factores

Si un usuario necesita restablecer su 2FA (por ejemplo, si tiene un dispositivo móvil nuevo), haz lo siguiente:

  1. En la página Usuarios de la sección Administrador de Looker, haz clic en Editar en el lado derecho de la fila del usuario para editar la información de la cuenta del usuario.
  2. En la sección Secreto de dos factores, haz clic en Restablecer. Esto hace que Looker le solicite al usuario que vuelva a escanear un código QR con la app del Autenticador de Google la próxima vez que intente acceder a la instancia de Looker.

Consideraciones

Cuando configures la autenticación de dos factores, ten en cuenta las siguientes consideraciones: