Impostazioni amministratore - Autenticazione Google

La pagina Autenticazione Google nella sezione Autenticazione del menu Amministrazione consente di configurare Google OAuth sul lato Looker.

Panoramica delle funzioni

Se vuole, Looker può eseguire l'autenticazione tramite Google OAuth per gli utenti che hanno account registrati su Google Workspace.

• Le organizzazioni che utilizzano Google Workspace possono autenticare gli utenti Looker tramite Account Google.
• Per accedere a Looker, gli utenti vengono autenticati con il proprio Account Google.
• I nuovi Account Google hanno automaticamente accesso a Looker. Non è necessario invitare separatamente gli utenti in Looker. Puoi impostare il ruolo predefinito per i nuovi utenti, il che può limitare il loro accesso a funzionalità e dati.
• Quando questa opzione è abilitata, Looker autentica gli utenti solo con Google OAuth, a meno che non sia selezionata l'opzione "Accesso alternativo" (consulta ulteriori istruzioni di seguito).
• L'avatar di Google di un utente viene visualizzato nella barra di navigazione al posto del simbolo dell'utente standard.

• Quando si abilita Google OAuth, l'istanza di Looker può unire gli account utente esistenti al dominio registrato da Google, ma solo per gli account il cui indirizzo email corrisponde al dominio. Tutti gli altri account non amministratore non potranno più accedere.
• Tutti gli utenti del dominio specificato hanno accesso all'istanza di Looker.
• Per impostazione predefinita, le autorizzazioni per i nuovi utenti Google sono relative all'accesso di base a un elenco specifico di modelli (che potrebbe, facoltativamente, consentire l'accesso a zero modelli). Le autorizzazioni possono essere aggiornate da un amministratore dopo la creazione dell'account.
• I nuovi account Looker che eseguono l'autenticazione tramite Google OAuth non possono passare all'autenticazione tramite password, anche se OAuth è disabilitato per l'istanza di Looker.

Requisiti preliminari

L'utilizzo di Google OAuth richiede quanto segue:

• Un account Google Workspace per l'organizzazione.
• Un dominio controllato dall'organizzazione e registrato con l'account Google Workspace.
• Utenti con indirizzi email nel dominio associato all'Account Google.
• Ogni utente deve avere un account utente gestito in Google Workspace. Per trovare ed eseguire la migrazione degli utenti con account utente non gestiti, utilizza lo Strumento di trasferimento per gli utenti non gestiti.

Attivare l'autenticazione con Google OAuth

Per abilitare l'autenticazione con Google OAuth, un amministratore deve eseguire una procedura sia sul lato Google sia sul lato Looker, come descritto nelle sezioni seguenti.

Configurazione sul lato Google

Di seguito sono descritti i passaggi per attivare Google OAuth sul lato Google. La descrizione generica di questi passaggi è disponibile nella pagina dell'Assistenza Google relativa alla configurazione di OAuth 2.0. Puoi trovare la documentazione nella console per gli sviluppatori di Google nella pagina della Guida della console Google Cloud.

1. Vai alla console Google Cloud.

2. Fai clic sulla Freccia giù nel menu a discesa Seleziona un progetto. È possibile che nell'elenco a discesa venga visualizzato il nome di un progetto esistente. Se fai clic sulla freccia verso il basso, verrà visualizzata l'opzione che consente di creare un nuovo progetto.

3. Nella pagina Seleziona un progetto, fai clic su Nuovo progetto.

   Google visualizza la pagina Nuovo progetto.

4. Compila le informazioni nella pagina Nuovo progetto e fai clic su Crea.

   Quando Google ha finito di creare il nuovo progetto, ti riporta alla console Google Cloud e mostra il nuovo progetto.

5. Nel menu a sinistra, seleziona API e servizi > Credenziali.

6. Nella pagina Credenziali, fai clic sul pulsante Crea credenziali e seleziona ID client OAuth dal menu a discesa.

   Google visualizza la pagina Crea ID client OAuth.

7. Google richiede di configurare una schermata per il consenso OAuth, che consente agli utenti di scegliere come concedere l'accesso ai propri dati privati e fornisce un link ai termini di servizio e alle norme sulla privacy della tua organizzazione. Fai clic su Configura schermata per il consenso. Se hai configurato il consenso OAuth per un progetto precedente, non vedrai questa opzione e puoi andare al passaggio 13.

   Google mostra la pagina Schermata consenso OAuth.

8. Inserisci il dominio dell'istanza di Looker nel campo Domini autorizzati. Ad esempio, se Looker ospita la tua istanza all'indirizzo https://mycompany.looker.com, il dominio è looker.com. Per i deployment di Looker ospitati dal cliente, inserisci il dominio in cui ospiti Looker.

9. Configura la schermata per il consenso OAuth e fai clic su Salva e continua.

10. Nella pagina Ambiti, fai clic su Salva e continua. Non è richiesta alcuna ulteriore configurazione dell'ambito.

11. Nella pagina Riepilogo, fai clic su Torna alla dashboard.

    Google torna alla pagina Crea ID client OAuth.

12. In Tipo di applicazione, seleziona Applicazione web.

13. Nel campo Nome, inserisci un nome per il tuo ID client OAuth.

14. Nel campo Origini JavaScript autorizzate, inserisci l'URL dell'istanza di Looker, incluso https://. Ad esempio:

    • Se Looker ospita la tua istanza: https://mycompany.looker.com
    • Se hai un'istanza Looker ospitata dal cliente: https://looker.mycompany.com
    • Se la tua istanza di Looker richiede un numero di porta: https://looker.mycompany.com:9999

15. Nel campo URI di reindirizzamento autorizzati, inserisci l'URL dell'istanza di Looker, seguito da /oauth2callback. Ad esempio: https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Fai clic su Crea.

17. Copia i valori del tuo ID client e del client secret: ti serviranno per configurare Looker.

Configurazione sul lato Looker

Per attivare Google OAuth su Looker, segui questi passaggi.

1. Dall'applicazione Looker, dopo aver eseguito l'accesso come amministratore, fai clic sul menu a discesa Amministratore per aprire il menu Amministratore.

2. Nel gruppo Authentication (Autenticazione), fai clic su Google. Looker visualizza la pagina Autenticazione Google.

3. Fai clic su Attivato per visualizzare e modificare le impostazioni OAuth di Google. Questa operazione non abilita immediatamente l'autenticazione di Google; devi confermare la tua scelta in seguito.

4. Inserisci le impostazioni di autenticazione di Google.

   • ID client e client secret: copia e incolla questi valori dalla pagina Client OAuth di Google, come spiegato nelle precedenti istruzioni di configurazione di Google.
   • Domini: i nomi di dominio gestiti da Google della tua organizzazione. Qualsiasi utente Google nel dominio specificato può accedere alla tua istanza Looker. Se controlli più domini Google, puoi inserirli separati da virgole.

5. Inserisci le Opzioni di migrazione, che controllano il comportamento dell'istanza di Looker durante la transizione a Google OAuth.

   • Accesso alternativo per gli amministratori: consente agli amministratori di continuare ad accedere con email e password, utile in caso di problemi di configurazione di Google OAuth. Questa impostazione è consigliata ed è descritta più dettagliatamente di seguito.
   • Unisci per email: consente di convertire tutti gli utenti esistenti con indirizzi email nei domini specificati in modo che utilizzino Google OAuth al loro successivo accesso. Questa impostazione è consigliata.
   • Ruoli per i nuovi utenti: consente di specificare la funzionalità e il modello di accesso dei nuovi utenti non amministratori. Questo elenco può essere aggiornato in un secondo momento. Se il campo viene lasciato vuoto, i nuovi utenti autenticati da Google avranno funzionalità limitate all'interno della piattaforma Looker, fino a quando un amministratore non aggiunge un ruolo al loro account. Poiché tutti gli utenti all'interno del tuo dominio Google potranno accedere a Looker, valuta la possibilità di specificare un ruolo predefinito per i nuovi utenti che limiti l'accesso in modo appropriato.

6. Fai clic su Test Google Authentication (Prova autenticazione Google) per utilizzare le impostazioni correnti e prova ad autenticare il browser corrente in una nuova finestra. Questa azione non salva le impostazioni correnti né le applica all'istanza di Looker.

   Se non hai eseguito l'accesso a Google, ti viene richiesto di eseguire l'accesso e di acconsentire all'utilizzo dei dati del tuo Account Google. Questo flusso utilizza le impostazioni personalizzate della Schermata per il consenso che hai utilizzato nella configurazione lato Google.

   Se l'operazione va a buon fine, viene visualizzata una sezione Informazioni utente con il tuo nome, l'indirizzo email e il dominio. La presenza di questa sezione Informazioni utente indica che l'utente verrà autenticato correttamente da Looker.

   In caso di errore, vengono visualizzate le descrizioni degli errori. Di seguito sono riportati alcuni problemi comuni:

   • Client secret o ID client errati. Questi dati devono essere copiati e incollati completamente e con cura.
   • L'utente è esterno al dominio. Se vedi una sezione Informazioni sulla persona, ma non le Informazioni utente, probabilmente l'utente non si trova nel dominio specificato. Questo messaggio indica che l'utente si è autenticato correttamente su Google, ma non sta utilizzando un Account Google che hai scelto di consentire nell'istanza di Looker.
   • Un URL di Looker o di reindirizzamento non è configurato correttamente in Google per la tua istanza Looker.

7. Per salvare e applicare le modifiche, seleziona Ho confermato la configurazione qui sopra e voglio abilitare l'applicazione a livello globale. Fai clic su Aggiorna.

Suggerimenti

• Per sperimentare il ciclo di autenticazione completo, puoi uscire da Google e vedere che Google ti chiede di eseguire di nuovo l'accesso quando tenti di accedere a Looker.

• In Google puoi fare clic su Account nel menu a discesa personale (accanto al tuo indirizzo email in alto a destra in una pagina di Google Workspace) per gestire il tuo account personale.

  Nella pagina di gestione c'è una scheda Sicurezza con una sezione Autorizzazioni account. Se fai clic su App e siti web Visualizza tutto, come utente puoi visualizzare e gestire i servizi e le app a cui hai concesso le autorizzazioni.

  Se fai clic sulle autorizzazioni di Looker che hai concesso per accedere, vengono visualizzati i dettagli che gli utenti vedono nella schermata per il consenso che hai personalizzato sopra. Puoi anche fare clic su Revoca accesso in modo che al successivo accesso a Looker (o all'autorizzazione di test) venga visualizzata nuovamente la schermata per il consenso. Puoi usare questo flusso di lavoro per personalizzare la schermata per il consenso e vedere ciò che vedranno gli utenti.

Risoluzione dei problemi

• Se il tentativo di accesso di un utente non va a buon fine, assicurati innanzitutto che nell'Account Google siano presenti sia un nome che un cognome. Se l'utente ha eliminato il nome o il cognome dall'Account Google, Looker potrebbe non essere in grado di autenticare l'utente con Google OAuth.

• Se il tentativo di accesso di un utente non va a buon fine e Looker visualizza un errore come User not in the authorized domain, controlla il campo hd della risposta JSON. Se il campo hd contiene un dominio, assicurati che il dominio sia registrato nel tuo account Google Workspace. Se il campo hd è vuoto, utilizza lo Strumento di trasferimento per gli utenti non gestiti per invitare l'utente a convertire il proprio account in un account gestito all'interno del tuo dominio.

• Se il tentativo di accesso di un utente non va a buon fine, ma Looker non visualizza un messaggio di errore, l'utente potrebbe aver modificato il nome dell'account Google Workspace ed eliminato il nome o il cognome. In questo caso, il nome dell'account Google Workspace potrebbe comunque sembrare completo nella Console di amministrazione e ciò potrebbe non mostrare le modifiche dell'utente. Per evitare questo problema, gli amministratori di Google Workspace possono disattivare l'opzione Consenti agli utenti di personalizzare questa impostazione.

Abilitazione degli accessi alle email mentre è abilitata Google Auth

I nuovi Account Google ottengono automaticamente l'accesso a Looker, quindi non è necessario aggiungere utenti che fanno parte del tuo dominio Google.

Per aggiungere un utente tramite un indirizzo email che non appartiene al tuo dominio Google:

1. Attiva l'opzione Accesso alternativo per amministratori e utenti specificati nella pagina Google Auth
2. Crea o modifica un ruolo utente esistente per aggiungere l'autorizzazione login_special_email
3. Vai ad Add Users (Aggiungi utenti) dal riquadro degli utenti (/admin/users/new)
4. Aggiungi gli indirizzi email che vuoi includere e i ruoli che dovrebbero avere questi utenti, che devono includere un ruolo con l'autorizzazione login_special_email
5. Ora questi utenti possono accedere tramite https://mycompany.looker.com/login/email (URL nascosto)

Disattivazione di Google Auth dopo l'abilitazione

Se vuoi disabilitare l'autenticazione Google per la tua istanza Looker dopo averla abilitata, devi tenere in considerazione alcuni aspetti:

• Gli utenti creati prima dell'aggiunta dell'autenticazione Google e che hanno già configurato i normali dati di accesso e una password email continueranno a funzionare.
• Gli utenti che sono stati creati dopo l'aggiunta dell'autenticazione Google non potranno più accedere. Anche se i loro account esistono ancora, non hanno modo di accedervi e i loro account rimangono effettivamente orfani.

Per questo motivo consigliamo di evitare questo percorso. Se devi seguire questo percorso, potrebbe esserci un metodo per correggere gli account orfani utilizzando l'API Looker. Contatta l'assistenza di Looker per ulteriori indicazioni.