管理員設定 - LDAP 驗證

在「管理」選單的「驗證」部分中,您可以透過「LDAP」頁面設定 Looker,讓 Looker 使用輕量目錄存取協定 (LDAP) 驗證使用者。本頁面將說明該程序,並提供將 LDAP 群組連結至 Looker 角色和權限的操作說明。

需求條件

只有在符合下列條件時,Looker 才會在「管理」選單的「驗證」部分顯示「LDAP」頁面:

  • Looker 執行個體並非 Looker (Google Cloud Core) 執行個體。
  • 您具備「管理員」角色
  • Looker 執行個體已啟用 LDAP。

如果符合上述條件,但您看不到 LDAP 頁面,請提出支援要求,在執行個體中啟用 LDAP。

注意事項

在 Looker 執行個體上設定 LDAP 驗證時,請注意下列事項:

  • Looker 驗證會使用 LDAP 的「簡單」驗證。不支援匿名驗證。
  • 您必須建立一個 LDAP 使用者帳戶,該帳戶具有使用者項目和 Looker 將使用的任何群組項目的讀取權限。
  • Looker 只會讀取 LDAP 目錄 (不寫入)。
  • Looker 可使用電子郵件地址將現有帳戶遷移至 LDAP。
  • Looker API 使用方式不會與 LDAP 驗證互動。
  • 如果 LDAP 伺服器限制 IP 流量,您必須將 Looker 的 IP 位址新增至 LDAP 伺服器的 IP 許可清單或內送流量規則。
  • LDAP 會覆寫雙重驗證。如果您先前已啟用雙重驗證,啟用 LDAP 後,使用者就不會看到雙重驗證登入畫面。

停用 LDAP 驗證時請小心

如果您是使用 LDAP 登入 Looker,且想要停用 LDAP 驗證,請務必先完成下列兩個步驟

  • 確認您有其他登入憑證。
  • 在 LDAP 設定頁面中啟用「Alternate Login」選項。

否則,您和其他使用者可能會無法使用 Looker。

開始使用

前往 Looker 的「管理」部分,然後前往「LDAP 驗證」頁面,查看下列設定選項。

設定連線

Looker 支援透過明文和 LDAP over TLS 的 LDAP 進行傳輸和加密。強烈建議使用 TLS 的 LDAP。不支援 StartTLS 和其他加密方案。

  1. 輸入主機通訊埠資訊。
  2. 如果您使用的是 TLS 上的 LDAP,請勾選「TLS」TLS旁的方塊。
  3. 如果您使用的是透過 TLS 的 LDAP,Looker 會預設強制執行對等憑證驗證。如要停用對等憑證驗證,請勾選「No Verify」
  4. 按一下 [Test Connection]。如果出現任何錯誤,請先修正再繼續。

連線驗證

Looker 需要存取受密碼保護的 LDAP 帳戶。LDAP 帳戶應具有人員項目和新角色項目集合的讀取權限。Looker LDAP 帳戶不需要寫入權限 (也不需要存取目錄的任何其他層面),而且無論帳戶是在哪個命名空間中建立,都不會影響運作。

  1. 輸入密碼
  2. [選用] 如果 LDAP 供應商未提供分頁結果,請選取「Force No Paging」核取方塊。在某些情況下,如果搜尋使用者時沒有任何相符項目,這可能有助於解決問題,但這並非解決這類問題的唯一方法。
  3. 按一下「Test Authentication」按鈕。如果出現任何錯誤,請確認驗證資訊是否正確。如果憑證有效,但仍發生錯誤,請與貴公司的 LDAP 管理員聯絡。

使用者繫結設定

本節的詳細資料會說明 Looker 如何在目錄中尋找使用者、綁定驗證,以及擷取使用者資訊。

  1. 設定 Base DN,這是所有使用者搜尋樹狀結構的基礎
  2. [選用] 指定 使用者物件類別,用於控制 Looker 尋找及傳回的結果類型。如果基準 DN 包含多種物件類型 (使用者、群組、印表機等),且您只想傳回一種類型的項目,這項功能就很實用。
  3. 設定「登入屬性」,定義使用者用於登入的屬性。每位使用者都必須有專屬的 ID,且使用者必須熟悉系統中的 ID。例如,您可以選擇使用者 ID 或完整電子郵件地址。如果您新增的屬性不只一個,Looker 會搜尋兩者,找出適合的使用者。避免使用可能導致帳戶重複的格式,例如姓名。
  4. 指定「Email Attr」、「First Name Attr」和「Last Name Attr」。這項資訊可讓 Looker 瞭解如何對應這些欄位,並在登入期間擷取相關資訊。
  5. 設定 ID 屬性,指出 Looker 用來做為使用者專屬 ID 的欄位。這通常是登入欄位之一。
  6. 您可以視需要輸入選用自訂篩選器,讓您提供任意 LDAP 篩選器,在 LDAP 驗證期間搜尋要繫結的使用者時套用。如果您想篩除一組使用者記錄 (例如停用的使用者或其他機構的使用者),這項功能就很實用。

範例

以下是 ldiff 使用者項目範例,說明如何設定對應的 Looker 設定:

Ldiff 使用者輸入

dn: cn=mward,ou=People,dc=example,dc=com
objectClass: person
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: top
cn: mward
userpassword: normal
givenname: Marcus
telephonenumber: +1 408 555 5688
sn: Ward
mail: mward@example.com
ou: People

對應的 Looker 設定

Base DN: ou=People,dc=looker,dc=com
User Object Class: person
Login Attrs: cn
Email Attr: mail
First Name Attr: givenname
Last Name Attr: sn
ID Attr: cn

將 LDAP 使用者屬性與 Looker 使用者屬性配對

您可以選擇使用 LDAP 使用者屬性中的資料,在使用者登入時自動填入 Looker 使用者屬性中的值。舉例來說,如果您已設定 LDAP 以便與資料庫建立使用者專屬連線,就可以將 LDAP 使用者屬性與 Looker 使用者屬性配對,在 Looker 中建立使用者專屬資料庫連線

請注意,LDAP 屬性必須是使用者屬性,而非群組屬性。

如要將 LDAP 使用者屬性與相應的 Looker 使用者屬性配對,請按照下列步驟操作:

  1. 在「LDAP 使用者屬性」欄位中輸入 LDAP 使用者屬性名稱,然後在「Looker 使用者屬性」欄位中輸入要配對的 Looker 使用者屬性名稱。
  2. 如要要求使用者提供 LDAP 屬性值才能登入,請勾選「必要」
  3. 按一下「+」,然後重複執行這些步驟,即可新增更多屬性組合。

測試使用者資訊

  1. 輸入測試使用者的憑證,然後按一下「測試使用者驗證」按鈕。Looker 會嘗試執行完整的 LDAP 驗證序列,並顯示結果。成功後,Looker 會輸出目錄中的使用者資訊,以及驗證程序的部分追蹤資訊,協助您解決設定問題。
  2. 確認驗證成功且所有欄位都已正確對應。例如,確認 first_name 欄位不含屬於 last_name 的值。

群組和角色

您可以設定 Looker 建立群組,以鏡像外部管理的 LDAP 群組,然後根據鏡像 LDAP 群組,將 Looker 角色指派給使用者。變更 LDAP 群組成員資格後,這些變更會自動套用至 Looker 群組設定。

您可以透過鏡像 LDAP 群組,使用外部定義的 LDAP 目錄來管理 Looker 群組和使用者。這樣一來,您就能集中管理多個軟體即服務 (SaaS) 工具 (例如 Looker) 的群組成員資格。

如果您啟用「Mirror LDAP Groups」,Looker 會為系統中導入的每個 LDAP 群組建立一個 Looker 群組。您可以在 Looker 的「管理」部分,查看「群組」頁面。群組可用於為群組成員指派角色、設定內容存取權控管,以及指派使用者屬性

預設群組和角色

根據預設,「鏡像 LDAP 群組」切換鈕會關閉。在這種情況下,您可以為新 LDAP 使用者設定預設群組。在「新使用者群組」和「新使用者角色」欄位中,輸入您要指派給新 Looker 使用者,以便他們首次登入 Looker 時的任何 Looker 群組或角色名稱。

系統會在使用者首次登入時套用這些群組和角色。這些群組和角色不會套用至既有使用者,如果在使用者首次登入後移除這些群組和角色,就不會再次套用。

如果日後啟用鏡像 LDAP 群組,系統會在使用者下次登入時移除這些預設值,並以「Mirror LDAP Groups」部分指派的角色取代。這些預設選項將不再可用或指派,並由鏡像群組設定完全取代。

啟用鏡像 LDAP 群組

如果您選擇在 Looker 中鏡像 LDAP 群組,請開啟「Mirror LDAP Groups」切換鈕。Looker 會顯示下列設定:

群組搜尋策略:從下拉式選單中選擇一個選項,告訴 Looker 如何尋找使用者的群組:

  • 群組有成員屬性:這是較常見的選項。搜尋群組成員時,Looker 只會傳回使用者直接指派的群組。舉例來說,如果使用者是「資料庫管理員」群組的成員,而「資料庫管理員」群組是「工程」群組的成員,使用者就只會取得與「資料庫管理員」群組相關的權限。

  • 群組具有成員屬性 (深層搜尋):這個選項可讓群組成為其他群組的成員,有時稱為 LDAP 巢狀群組。也就是說,使用者可以擁有多個群組的權限。舉例來說,如果使用者是「資料庫管理員」群組的成員,而「資料庫管理員」群組是「工程」群組的成員,使用者就會取得「兩個」群組的相關權限。部分 LDAP 伺服器 (尤其是 Microsoft Active Directory) 支援自動執行這類深層搜尋,即使呼叫端執行的似乎是淺層搜尋也一樣。這可能是執行深入搜尋的另一種方法。

基準 DN:可讓您縮小搜尋範圍,且可與本說明文件頁面「使用者繫結設定」一節中指定的「基準 DN」相同。

群組物件類別:這項設定為選用。如使用者繫結設定一節所述,這可讓 Looker 傳回的結果受到特定物件類型或一組類型的限制。

Group Member Attr:針對每個群組,決定哪些物件 (在本例中可能是人員) 是成員的屬性。

Group User Attr:LDAP 使用者屬性的名稱,我們會在群組項目中搜尋這個屬性的值,藉此判斷使用者是否屬於該群組。這個屬性預設為 dn (也就是說,空白和設定為 dn 的效果相同),LDAP 會使用完整的辨別名稱 (即 LDAP 搜尋本身會存在的大小寫敏感字串) 搜尋群組項目。

偏好的群組名稱/角色/群組 DN:這組欄位可讓您指派自訂群組名稱和一或多個角色,並指派給 Looker 中的對應 LDAP 群組。

  1. 在「Group DN」欄位中輸入 LDAP 群組 DN。這應該包含完整的識別名稱,也就是 LDAP 搜尋本身會出現的大小寫敏感字串。系統會將 LDAP 群組中的 LDAP 使用者新增至 Looker 中的鏡像群組。

  2. 在「Custom Name」欄位中輸入鏡像群組的自訂名稱。這個名稱會顯示在 Looker 的「管理」部分「群組」頁面中。

  3. 在「自訂名稱」欄位右側的欄位中,選取一或多個 Looker 角色,這些角色會指派給群組中的每位使用者。

  4. 按一下 + 即可新增更多欄位組合,設定其他鏡像群組。如果您已設定多個群組,且想要移除某個群組的設定,請按一下該群組的欄位組旁邊的 X

如果您編輯先前在這個畫面中設定的鏡像群組,群組的設定會變更,但群組本身會保持不變。舉例來說,您可以變更群組的自訂名稱,這會變更群組在 Looker 的「群組」頁面中的顯示方式,但不會變更指派的角色和群組成員。變更群組 DN 會保留群組名稱和角色,但群組成員會根據擁有新 LDAP 群組 DN 的外部 LDAP 群組成員重新指派。

如果您在這個頁面中刪除群組,該群組就不會再同步處理至 Looker,成員也無法再透過該群組在 Looker 中獲得角色。

對鏡像群組所做的任何編輯,都會在該群組使用者下次登入 Looker 時套用。

進階角色管理

如果您已啟用「Mirror LDAP Groups」切換鈕,Looker 會顯示這些設定。本節的選項會決定 Looker 管理員在設定 Looker 群組和從 Looker 鏡像的使用者時,可享有的彈性程度。

舉例來說,如果您希望 Looker 群組和使用者設定與 LDAP 設定完全相符,請開啟這些選項。啟用前三個選項後,Looker 管理員就無法修改鏡像群組的成員資格,只能透過 LDAP 鏡像群組將角色指派給使用者。

如果您希望在 Looker 中更彈性地進一步自訂群組,請關閉這些選項。Looker 群組仍會同步處理您的 LDAP 設定,但您可以在 Looker 中執行其他群組和使用者管理作業,例如將 LDAP 使用者新增至 Looker 群組,或直接將 Looker 角色指派給 LDAP 使用者。

對於新的 Looker 執行個體,或是先前未設定鏡像群組的 Looker 執行個體,這些選項預設為關閉。

對於已設定鏡像群組的現有 Looker 執行個體,這些選項預設為開啟。

「進階角色管理」部分包含下列選項:

防止個別 LDAP 使用者取得直接角色:啟用這個選項可防止 Looker 管理員直接將 Looker 角色指派給 LDAP 使用者。LDAP 使用者只能透過群組成員身分取得角色。如果 LDAP 使用者可加入內建 (非鏡像) Looker 群組,他們仍可從鏡像 LDAP 群組和內建 Looker 群組繼承角色。先前直接指派角色的 LDAP 使用者,會在下次登入時移除這些角色。

如果關閉這個選項,Looker 管理員可以直接將 Looker 角色指派給 LDAP 使用者,就像是直接在 Looker 中設定的使用者一樣。

禁止在非 LDAP 群組中直接取得成員資格:開啟這個選項可防止 Looker 管理員將 LDAP 使用者直接新增至內建 Looker 群組。如果鏡像 LDAP 群組可成為內建 Looker 群組的成員,LDAP 使用者就能保留任何上層 Looker 群組的成員資格。先前已指派至內建 Looker 群組的所有 LDAP 使用者,都會在下次登入時從這些群組中移除。

如果關閉這個選項,Looker 管理員就能直接將 LDAP 使用者新增至內建的 Looker 群組。

禁止從非 LDAP 群組繼承角色:啟用這項選項後,鏡像 LDAP 群組的成員就無法從內建 Looker 群組繼承角色。先前從上層 Looker 群組繼承角色的所有 LDAP 使用者,都會在下次登入時失去這些角色。

如果關閉這個選項,鏡像 LDAP 群組或新增為內建 Looker 群組成員的 LDAP 使用者,都會繼承指派給上層 Looker 群組的角色。

Auth Requires Role:如果啟用這個選項,LDAP 使用者必須指派角色。任何未指派角色的 LDAP 使用者都無法登入 Looker。

如果關閉這項選項,即使 LDAP 使用者未指派角色,也能驗證 Looker。沒有指派角色的使用者無法在 Looker 中查看任何資料或採取任何動作,但可以登入 Looker。

停用鏡像 LDAP 群組

如要停止在 Looker 中鏡像 LDAP 群組,請關閉「Mirror LDAP Groups」切換鈕。系統會刪除所有空白的鏡像 LDAP 群組。

空白以外的鏡像 LDAP 群組仍可用於內容管理和角色建立。不過,使用者無法新增至或移出鏡像 LDAP 群組。

遷移和整合選項

管理員和指定使用者的備用登入方式

  • 允許管理員和具備 login_special_email 權限的使用者,以電子郵件地址做為備用登入方式 (如要進一步瞭解如何設定這項權限,請參閱「角色」說明文件)。如果您已啟用這個選項,且使用者擁有適當的權限,這個選項就會顯示在 Looker 登入頁面上。
  • 如果之後在 LDAP 設定期間發生問題,或是需要支援不在 LDAP 目錄中的使用者,這個選項就能當做備用方案。
  • 啟用 LDAP 之後,一般使用者一律無法以電子郵件地址和密碼登入 Looker。

透過電子郵件合併

  • 這個選項可讓 Looker 根據電子郵件地址,將首次登入的 LDAP 使用者與現有 Looker 帳戶合併。
  • 如果 Looker 找不到相符的電子郵件地址,就會為使用者建立新帳戶。

儲存並套用設定

輸入資訊並通過所有測試後,請勾選「我已確認上述設定,並想將其套用至整個網站」,然後按一下「更新設定」儲存設定。