Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרות אדמין – אימות דו-שלבי

‫Looker מספק אימות דו-שלבי (2FA) כשכבת אבטחה נוספת להגנה על נתונים שאפשר לגשת אליהם דרך Looker. כשהאימות הדו-שלבי מופעל, כל משתמש שנכנס לחשבון צריך לאמת את הכניסה באמצעות קוד חד-פעמי שנוצר במכשיר הנייד שלו. אין אפשרות להפעיל אימות דו-שלבי לקבוצת משנה של משתמשים.

בדף אימות דו-שלבי שבקטע אימות בתפריט אדמין אפשר להפעיל ולהגדיר אימות דו-שלבי.

שימוש באימות דו-שלבי

בהמשך מפורט תהליך העבודה הכללי להגדרה ולשימוש באימות דו-שלבי. חשוב לשים לב לדרישות לסנכרון הזמן, שנדרשות כדי שהאימות הדו-שלבי יפעל בצורה תקינה.

האדמין מפעיל אימות דו-שלבי בהגדרות האדמין של Looker.

כשמפעילים אימות דו-שלבי, כל המשתמשים שמחוברים ל-Looker ינותקו ויידרשו להתחבר מחדש באמצעות אימות דו-שלבי.
משתמשים פרטיים מתקינים את אפליקציית מאמת החשבונות של Google לאייפון או את אפליקציית מאמת החשבונות של Google ל-Android במכשירים הניידים שלהם, או כל אפליקציית מאמת חשבונות של צד שלישי.
בכניסה הראשונה לחשבון, תופיע למשתמש תמונה של קוד QR במסך המחשב, והוא יצטרך לסרוק אותה באמצעות הטלפון שלו עם אפליקציה לאימות חשבונות.

אם המשתמש לא יכול לסרוק קוד QR באמצעות הטלפון, יש גם אפשרות ליצור קוד טקסט שהוא יכול להזין בטלפון.

אחרי השלמת השלב הזה, המשתמשים יוכלו ליצור מפתחות אימות ל-Looker.
בכניסות הבאות ל-Looker, המשתמש יצטרך להזין מפתח אימות אחרי שהוא ישלח את שם המשתמש והסיסמה.

אם משתמש מפעיל את האפשרות זהו מחשב מהימן, המפתח מאמת את דפדפן הכניסה למשך 30 יום. במהלך התקופה הזו, המשתמש יכול להיכנס לחשבון רק באמצעות שם המשתמש והסיסמה. פעם ב-30 יום, Looker דורש מכל משתמש לבצע מחדש אימות של הדפדפן באמצעות אפליקציה לאימות חשבונות.

דרישות לסנכרון זמן

אפליקציית מאמת החשבונות יוצרת טוקנים מבוססי-זמן, שנדרש סנכרון זמן בין שרת Looker לבין כל מכשיר נייד כדי שהטוקנים יפעלו. אם שרת Looker ומכשיר נייד לא מסונכרנים, יכול להיות שמשתמש המכשיר הנייד לא יוכל לעבור אימות באמצעות אימות דו-שלבי. כדי לסנכרן מקורות זמן:

הגדרת מכשירים ניידים לסנכרון אוטומטי של השעה עם הרשת.
בפריסות של Looker באירוח בצד הלקוח, צריך לוודא ש-NTP פועל ומוגדר בשרת. אם השרת מוקצה ב-AWS, יכול להיות שתצטרכו לאפשר במפורש את NTP ב-AWS Network ACL.
אדמין ב-Looker יכול להגדיר את סטיית הזמן המקסימלית המותרת בחלונית Admin ב-Looker, שמגדירה את ההפרש המותר בין השרת לבין המכשירים הניידים. אם הגדרת השעה במכשיר נייד שונה ביותר מהסטייה המותרת, מפתחות האימות לא יפעלו. ברירת המחדל היא 90 שניות.

איפוס אימות דו-שלבי

אם צריך לאפס את האימות הדו-שלבי של משתמש (לדוגמה, אם יש לו מכשיר נייד חדש):

בדף Users בקטע Admin ב-Looker, לוחצים על Edit בצד שמאל של השורה של המשתמש כדי לערוך את פרטי החשבון שלו.
בקטע Two-Factor Secret (סוד לאימות דו-שלבי), לוחצים על Reset (איפוס). במקרה כזה, בפעם הבאה שהמשתמש ינסה להיכנס למופע Looker, המערכת תבקש ממנו לסרוק מחדש קוד QR באמצעות אפליקציית מאמת החשבונות של Google.

לתשומת ליבכם

כשמגדירים אימות דו-שלבי, חשוב לזכור את הנקודות הבאות:

אימות דו-שלבי לא משפיע על השימוש ב-Looker API.
אימות דו-שלבי לא משפיע על אימות דרך מערכות חיצוניות כמו LDAP,‏ SAML,‏ Google OAuth או OpenID Connect. אימות דו-שלבי משפיע על פרטי כניסה חלופיים שמשמשים במערכות האלה.