Configuración de administrador: autenticación SAML

La página SAML de la sección Autenticación del menú Administrador te permite configurar Looker para autenticar a los usuarios mediante el lenguaje de marcado para confirmaciones de seguridad (SAML). En esta página se describe ese proceso y se incluyen instrucciones para vincular grupos de SAML a roles y permisos de Looker.

Requisitos

Looker muestra la página SAML en la sección Autenticación del menú Administrar solo si se cumplen las siguientes condiciones:

• Tienes el rol de administrador.
• Tu instancia de Looker tiene habilitado el uso de SAML.

Si se cumplen estas condiciones y no ves la página SAML, abre una solicitud de asistencia para habilitar SAML en tu instancia.

SAML y proveedores de identidades

Las empresas usan diferentes proveedores de identidades (IdPs) para coordinarse con SAML (por ejemplo, Okta o OneLogin). Es posible que los términos que se usan en las siguientes instrucciones de configuración y en la interfaz de usuario no coincidan directamente con los que usa tu proveedor de identidades. Si tienes alguna duda durante la configuración, ponte en contacto con tu equipo interno de SAML o de autenticación, o con el equipo de Asistencia de Looker.

Looker da por hecho que las solicitudes y las aserciones SAML estarán comprimidas, por lo que debe asegurarse de que su IdP esté configurado de esta forma. Las solicitudes de Looker al IdP no están firmadas.

Looker admite el inicio de sesión iniciado por el IdP.

Parte del proceso de configuración debe completarse en el sitio web del proveedor de identidades.

Okta ofrece una aplicación de Looker, que es la forma recomendada de configurar Looker y Okta conjuntamente.

Configurar Looker en tu proveedor de identidades

Tu proveedor de identidades SAML necesitará la URL de la instancia de Looker a la que debe enviar las aserciones SAML. En tu proveedor de identidades, puede que se llame "URL de respuesta", "Destinatario" o "Destino", entre otros nombres.

La información que debe proporcionar es la URL con la que suele acceder a su instancia de Looker mediante el navegador, seguida de /samlcallback. Por ejemplo: none https://instance_name.looker.com/samlcallback

o

https://looker.mycompany.com/samlcallback

Algunos proveedores de identidades también requieren que añadas :9999 después de la URL de tu instancia. Por ejemplo:

https://instance_name.looker.com:9999/samlcallback

Puntos a tener en cuenta

Ten en cuenta los siguientes datos:

• Looker requiere SAML 2.0.
• No inhabilite la autenticación SAML mientras haya iniciado sesión en Looker a través de SAML, a menos que haya configurado un inicio de sesión con una cuenta alternativa. De lo contrario, no podrás acceder a la aplicación.
• Looker puede migrar cuentas a SAML usando direcciones de correo que procedan de configuraciones de correo y contraseña actuales o de autenticación de Google, LDAP u OIDC. Podrás configurar cómo se migran las cuentas en el proceso de configuración.

Primeros pasos

Ve a la página Autenticación SAML de la sección Administrador de Looker para ver las siguientes opciones de configuración. Ten en cuenta que los cambios que hagas en las opciones de configuración no se aplicarán hasta que pruebes y guardes los ajustes en la parte inferior de la página.

Configuración de autenticación SAML

Looker requiere la URL del proveedor de identidades, el emisor del proveedor de identidades y el certificado del proveedor de identidades para autenticar tu proveedor de identidades.

Tu proveedor de identidades puede ofrecer un documento XML de metadatos del proveedor de identidades durante el proceso de configuración de Looker en el lado del proveedor de identidades. Este archivo contiene toda la información solicitada en la sección SAML Auth Settings (Ajustes de autenticación SAML). Si tienes este archivo, puedes subirlo al campo Metadatos del IdP, que rellenará los campos obligatorios de esta sección. También puedes rellenar los campos obligatorios con la información que obtengas durante la configuración del proveedor de identidades. No es necesario que rellene los campos si sube el archivo XML.

• Metadatos del proveedor de identidades (opcional): Pega la URL pública del documento XML que contiene la información del proveedor de identidades o pega el texto completo del documento. Looker analizará ese archivo para rellenar los campos obligatorios.

Si no has subido ni pegado un documento XML de metadatos del IdP, introduce la información de autenticación del IdP en los campos URL del IdP, Emisor del IdP y Certificado del IdP.

• URL del IdP: la URL a la que irá Looker para autenticar a los usuarios. En Okta, se denomina URL de redirección.

• IdP Issuer (Emisor del IdP): el identificador único del IdP. En Okta, se denomina "clave externa".

• Certificado de IdP: la clave pública para que Looker verifique la firma de las respuestas del IdP.

En conjunto, estos tres campos permiten a Looker confirmar que un conjunto de aserciones SAML firmadas procede realmente de un IdP de confianza.

• Entidad de SP/Audiencia de IdP: Looker no requiere este campo, pero muchos IdPs sí lo hacen. Si introduce un valor en este campo, se enviará a su proveedor de identidades como Entity ID de Looker en las solicitudes de autorización. En ese caso, Looker solo aceptará respuestas de autorización que tengan este valor como Audience. Si tu proveedor de identidades requiere un valor Audience, introduce esa cadena aquí.

• Desfase de reloj permitido: número de segundos de desfase de reloj (la diferencia entre las marcas de tiempo del IdP y Looker) permitidos. Este valor suele ser el predeterminado (0), pero algunos IdPs pueden requerir un margen adicional para que los inicios de sesión se realicen correctamente.

Configuración de atributos de usuario

En los campos siguientes, especifica el nombre del atributo de la configuración SAML de tu proveedor de identidades que contenga la información correspondiente a cada campo. Al introducir los nombres de los atributos SAML, se indica a Looker cómo asignar esos campos y extraer su información en el momento de iniciar sesión. Looker no tiene ninguna preferencia sobre cómo se construye esta información, solo es importante que la forma en que la introduces en Looker coincida con la forma en que se definen los atributos en tu IdP. Looker ofrece sugerencias predeterminadas sobre cómo crear esas entradas.

Atributos estándar

Deberá especificar los siguientes atributos estándar:

• Email Attr: el nombre del atributo que usa tu IdP para las direcciones de correo de los usuarios.

• FName Attr: nombre del atributo que usa tu proveedor de identidades para los nombres de los usuarios.

• LName Attr: nombre del atributo que usa tu IdP para los apellidos de los usuarios.

Emparejar atributos de SAML con atributos de usuario de Looker

También puede usar los datos de sus atributos SAML para rellenar automáticamente los valores de los atributos de usuario de Looker cuando un usuario inicie sesión. Por ejemplo, si has configurado SAML para establecer conexiones específicas de cada usuario con tu base de datos, puedes emparejar tus atributos de SAML con los atributos de usuario de Looker para que las conexiones de tu base de datos sean específicas de cada usuario en Looker.

Para emparejar atributos de SAML con los atributos de usuario de Looker correspondientes, sigue estos pasos:

1. Introduce el nombre del atributo SAML en el campo SAML Attribute (Atributo SAML) y el nombre del atributo de usuario de Looker con el que quieras emparejarlo en el campo Looker User Attributes (Atributos de usuario de Looker).
2. Marca Obligatorio si quieres que se requiera un valor de atributo SAML para que un usuario pueda iniciar sesión.
3. Haz clic en + y repite estos pasos para añadir más pares de atributos.

Grupos y roles

Looker puede crear grupos que reflejen tus grupos SAML gestionados externamente y, a continuación, asignar roles de Looker a los usuarios en función de sus grupos SAML reflejados. Cuando haces cambios en la pertenencia a grupos de SAML, esos cambios se propagan automáticamente a la configuración de grupos de Looker.

La creación de reflejos de grupos de SAML te permite usar tu directorio de SAML definido externamente para gestionar grupos y usuarios de Looker. Esto, a su vez, te permite gestionar la pertenencia a grupos de varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas Mirror SAML Groups (Duplicar grupos de SAML), Looker creará un grupo de Looker por cada grupo de SAML que se introduzca en el sistema. Estos grupos de Looker se pueden ver en la página Grupos de la sección Administración de Looker. Los grupos se pueden usar para asignar roles a los miembros del grupo, configurar controles de acceso al contenido y asignar atributos de usuario.

Grupos y roles predeterminados

De forma predeterminada, el interruptor Duplicar grupos SAML está desactivado. En este caso, puedes definir un grupo predeterminado para los nuevos usuarios de SAML. En los campos New User Groups (Nuevos grupos de usuarios) y New User Roles (Nuevos roles de usuario), introduce los nombres de los grupos o roles de Looker a los que quieras asignar nuevos usuarios de Looker cuando inicien sesión por primera vez en Looker:

Estos grupos y roles se aplican a los nuevos usuarios cuando inician sesión por primera vez. Los grupos y los roles no se aplican a los usuarios que ya existían, y no se vuelven a aplicar si se quitan a los usuarios después de que estos hayan iniciado sesión por primera vez.

Si habilitas la opción de reflejar grupos SAML más adelante, estos valores predeterminados se eliminarán para los usuarios en su próximo inicio de sesión y se sustituirán por los roles asignados en la sección Reflejar grupos SAML. Estas opciones predeterminadas dejarán de estar disponibles o asignadas y se sustituirán por completo por la configuración de grupos reflejados.

Habilitar grupos SAML reflejados

Si usas una instancia de Looker (Google Cloud core), te recomendamos que habilites la réplica de grupos solo para el método de autenticación principal y que no lo hagas para la autenticación OAuth alternativa. Si habilitas la creación de reflejo de grupos para los métodos de autenticación principal y secundario, se producirán los siguientes comportamientos:

• Si un usuario ha combinado identidades, la creación de reflejo de grupos se corresponderá con el método de autenticación principal, independientemente del método de autenticación que se haya usado para iniciar sesión.
• Si un usuario no tiene identidades combinadas, la creación de reflejo de grupos se corresponderá con el método de autenticación utilizado para iniciar sesión.

Pasos para habilitar grupos reflejados

Si decides replicar tus grupos de SAML en Looker, activa el interruptor Replicar grupos de SAML. Looker muestra estos ajustes:

Estrategia de búsqueda de grupos: selecciona el sistema que usa el IdP para asignar grupos, que depende de tu IdP.

• Casi todos los proveedores de identidades usan un único valor de atributo para asignar grupos, como se muestra en esta aserción SAML de ejemplo: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> En este caso, seleccione Grupos como valores de atributos únicos.

• Algunos IdPs usan un atributo independiente para cada grupo y, a continuación, requieren un segundo atributo para determinar si un usuario es miembro de un grupo. A continuación, se muestra un ejemplo de aserción SAML que sigue este sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> En este caso, selecciona Grupos como atributos individuales con valor de pertenencia.

Atributo de grupos: Looker muestra este campo cuando la opción Estrategia de búsqueda de grupos está definida como Grupos como valores de un solo atributo. Introduce el nombre del atributo de grupos que usa el proveedor de identidades.

Valor de miembro del grupo: Looker muestra este campo cuando la opción Estrategia de búsqueda de grupos está definida como Grupos como atributos individuales con valor de pertenencia. Introduce el valor que indica que un usuario es miembro de un grupo.

Nombre de grupo, roles o ID de grupo de SAML preferidos: este conjunto de campos le permite asignar un nombre de grupo personalizado y uno o varios roles que se asignan al grupo de SAML correspondiente en Looker:

1. Introduce el ID del grupo SAML en el campo SAML Group ID (ID de grupo SAML). En el caso de los usuarios de Okta, introduce el nombre del grupo de Okta como ID de grupo de SAML. Los usuarios de SAML que se incluyan en el grupo de SAML se añadirán al grupo reflejado en Looker.

2. Escriba un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administración de Looker.

3. En el campo situado a la derecha del campo Nombre personalizado, selecciona uno o varios roles de Looker que se asignarán a cada usuario del grupo.

4. Haga clic en + para añadir más conjuntos de campos y configurar más grupos reflejados. Si tienes varios grupos configurados y quieres quitar la configuración de uno de ellos, haz clic en X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se haya configurado previamente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, puedes cambiar el nombre personalizado de un grupo, lo que modificaría la forma en que aparece el grupo en la página Grupos de Looker, pero no cambiaría los roles asignados ni los miembros del grupo. Si se cambia el ID de grupo de SAML, se mantendrán el nombre y los roles del grupo, pero los miembros del grupo se reasignarán en función de los usuarios que sean miembros del grupo de SAML externo que tenga el nuevo ID de grupo de SAML.

Los cambios que se hagan en un grupo reflejado se aplicarán a los usuarios de ese grupo la próxima vez que inicien sesión en Looker.

Gestión avanzada de roles

Si has habilitado el interruptor Duplicar grupos de SAML, Looker muestra estos ajustes. Las opciones de esta sección determinan la flexibilidad que tienen los administradores de Looker a la hora de configurar grupos y usuarios de Looker que se han replicado desde SAML.

Por ejemplo, si quieres que la configuración de grupos y usuarios de Looker coincida exactamente con la configuración de SAML, activa estas opciones. Cuando las tres primeras opciones están habilitadas, los administradores de Looker no pueden modificar las pertenencias a grupos reflejados y solo pueden asignar roles a los usuarios a través de grupos reflejados de SAML.

Si quieres tener más flexibilidad para personalizar tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán reflejando tu configuración de SAML, pero podrás gestionar grupos y usuarios adicionales en Looker, como añadir usuarios de SAML a grupos específicos de Looker o asignar roles de Looker directamente a usuarios de SAML.

En las instancias de Looker nuevas o en las que no tengan grupos reflejados configurados previamente, estas opciones están desactivadas de forma predeterminada.

En las instancias de Looker que ya tengan configurados grupos reflejados, estas opciones estarán activadas de forma predeterminada.

La sección Gestión avanzada de roles contiene estas opciones:

Impedir que los usuarios de SAML reciban roles directamente: si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de SAML. Los usuarios de SAML solo recibirán roles a través de su pertenencia a grupos. Si se permite que los usuarios de SAML sean miembros de grupos de Looker integrados (no reflejados), podrán seguir heredando sus roles tanto de los grupos de SAML reflejados como de los grupos de Looker integrados. A los usuarios de SAML que tuvieran roles asignados directamente se les quitarán esos roles la próxima vez que inicien sesión.

Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de SAML como si estuvieran configurados directamente en Looker.

Impedir la pertenencia directa a grupos que no sean de SAML: si activas esta opción, los administradores de Looker no podrán añadir usuarios de SAML directamente a grupos de Looker integrados. Si se permite que los grupos SAML reflejados sean miembros de grupos de Looker integrados, los usuarios de SAML pueden conservar la pertenencia a cualquier grupo de Looker superior. Los usuarios de SAML que se hayan asignado previamente a grupos de Looker integrados se eliminarán de esos grupos la próxima vez que inicien sesión.

Si esta opción está desactivada, los administradores de Looker pueden añadir usuarios de SAML directamente a grupos de Looker integrados.

Evitar la herencia de roles de grupos que no son de SAML: si activas esta opción, los miembros de los grupos de SAML reflejados no heredarán roles de los grupos de Looker integrados. Los usuarios de SAML que hayan heredado roles de un grupo de Looker principal perderán esos roles la próxima vez que inicien sesión.

Si esta opción está desactivada, los grupos de SAML duplicados o los usuarios de SAML que se añadan como miembros de un grupo de Looker integrado heredarán los roles asignados al grupo de Looker principal.

Autenticación requiere rol: si esta opción está activada, los usuarios de SAML deben tener un rol asignado. Los usuarios de SAML que no tengan ningún rol asignado no podrán iniciar sesión en Looker.

Si esta opción está desactivada, los usuarios de SAML pueden autenticarse en Looker aunque no tengan ningún rol asignado. Un usuario sin ningún rol asignado no podrá ver ningún dato ni realizar ninguna acción en Looker, pero sí podrá iniciar sesión en Looker.

Inhabilitar la replicación de grupos SAML

Si quieres dejar de replicar tus grupos de SAML en Looker, desactiva el interruptor Replicar grupos de SAML. Si desactivas el interruptor, ocurrirá lo siguiente:

• Los grupos SAML reflejados que no tengan usuarios se eliminarán inmediatamente.
• Cualquier grupo SAML reflejado que no contenga usuarios se marcará como huérfano. Si ningún usuario de este grupo inicia sesión en un plazo de 31 días, el grupo se elimina. Ya no se pueden añadir ni quitar usuarios de grupos SAML huérfanos.

Opciones de migración

Inicio de sesión alternativo para administradores y usuarios especificados

Los inicios de sesión con correo y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando la autenticación SAML está habilitada. Esta opción permite que los administradores y los usuarios especificados con el permiso login_special_email inicien sesión con una dirección de correo alternativa mediante /login/email.

Activar esta opción es útil como alternativa durante la configuración de la autenticación SAML si se producen problemas de configuración de SAML más adelante o si necesitas admitir a algunos usuarios que no tienen cuentas en tu directorio SAML.

Especificar el método usado para combinar usuarios de SAML en una cuenta de Looker

En el campo Combinar usuarios mediante, especifica el método que se usará para combinar un inicio de sesión SAML por primera vez con una cuenta de usuario ya creada. Puedes combinar usuarios de los siguientes sistemas:

• Correo y contraseña de Looker (no disponible en Looker [servicio principal de Google Cloud])
• Google
• LDAP (no disponible en Looker [servicio principal de Google Cloud])
• OIDC

Si tienes más de un sistema, puedes especificar más de uno para combinar en este campo. Looker buscará usuarios en los sistemas que se indican en el orden en que se especifican. Por ejemplo, supongamos que has creado algunos usuarios con el correo y la contraseña de Looker, has habilitado LDAP y ahora quieres usar SAML. Looker combinaría los usuarios por correo y contraseña primero y, después, por LDAP.

Cuando un usuario inicia sesión por primera vez a través de SAML, esta opción le permite acceder a su cuenta buscando la cuenta con una dirección de correo electrónico coincidente. Si no hay ninguna cuenta para el usuario, se creará una.

Combinar usuarios al usar Looker (Google Cloud Core)

Si usas Looker (Google Cloud core) y SAML, la combinación funciona como se describe en la sección anterior. Sin embargo, solo es posible si se cumple una de las dos condiciones siguientes:

1. Condición 1: Los usuarios se autentican en Looker (en la infraestructura de Google Cloud) con sus identidades de Google a través del protocolo SAML.

2. Condición 2: Antes de seleccionar la opción de combinar, debes haber completado los dos pasos siguientes:

   • Identidades de usuarios federados en Google Cloud con Cloud Identity
   • Configura la autenticación OAuth como método de autenticación de respaldo mediante los usuarios federados.

Si tu instancia no cumple una de estas dos condiciones, la opción Combinar usuarios mediante no estará disponible.

Al combinar, Looker (principal de Google Cloud) buscará registros de usuarios que compartan exactamente la misma dirección de correo electrónico.

Probar la autenticación de usuarios

Haz clic en el botón Probar para probar la configuración. Las pruebas redirigirán al servidor y abrirán una pestaña del navegador. En la pestaña se muestra lo siguiente:

• Si Looker ha podido comunicarse con el servidor y validar.
• Los nombres que Looker obtiene del servidor. Debes validar que el servidor devuelva los resultados adecuados.
• Una traza que muestra cómo se ha encontrado la información. Usa el seguimiento para solucionar el problema si la información es incorrecta. Si necesitas más información, puedes leer el archivo de servidor XML sin procesar.

Notas:

• Puedes realizar esta prueba en cualquier momento, incluso si SAML está configurado parcialmente. Realizar una prueba puede ser útil durante la configuración para ver qué parámetros necesitan configurarse.
• La prueba usa los ajustes introducidos en la página Autenticación SAML, aunque no se hayan guardado. La prueba no afectará ni cambiará ninguno de los ajustes de esa página.
• Durante la prueba, Looker transmite información al IdP mediante el parámetro RelayState de SAML. El IdP debe devolver este valor RelayState a Looker sin modificar.

Guardar y aplicar la configuración

Cuando hayas terminado de introducir la información y todas las pruebas se hayan superado, marca la casilla He confirmado la configuración anterior y quiero habilitarla de forma global y haz clic en Actualizar configuración para guardar los cambios.

Comportamiento de inicio de sesión de los usuarios

Cuando un usuario intenta iniciar sesión en una instancia de Looker mediante SAML, se abre la página Iniciar sesión de Looker. El usuario debe hacer clic en el botón Autenticar para iniciar la autenticación a través de SAML.

Este es el comportamiento predeterminado si el usuario aún no tiene una sesión de Looker activa.

Si quieres que tus usuarios inicien sesión directamente en tu instancia de Looker después de que tu proveedor de identidades los haya autenticado y que se salten la página Iniciar sesión, activa Saltar página de inicio de sesión en Comportamiento de inicio de sesión.

Si usas Looker (Original), Looker debe habilitar la función Saltar página de inicio de sesión. Para actualizar tu licencia de esta función, ponte en contacto con un Google Cloud especialista de ventas o abre una solicitud de asistencia. Si usas Looker (Google Cloud core), la opción Bypass Login Page (Omitir página de inicio de sesión) está disponible automáticamente si SAML se usa como método de autenticación principal y está inhabilitada de forma predeterminada.

Si la opción Saltar página de inicio de sesión está habilitada, la secuencia de inicio de sesión del usuario es la siguiente:

1. El usuario intenta conectarse a una URL de Looker (por ejemplo, instance_name.looker.com).

2. Looker determina si el usuario ya tiene una sesión activa habilitada. Para ello, Looker usa la cookie AUTH-MECHANISM-COOKIE para identificar el método de autorización que ha usado el usuario en su última sesión. El valor siempre es uno de los siguientes: saml, ldap, oidc, google o email.

3. Si el usuario tiene una sesión activa, se le redirige a la URL solicitada.

4. Si el usuario no tiene una sesión activa habilitada, se le redirige al IdP. El proveedor de identidades autentica al usuario cuando inicia sesión correctamente en él. A continuación, Looker autentica al usuario cuando el proveedor de identidades lo envía de vuelta a Looker con información que indica que el usuario se ha autenticado con el proveedor de identidades.

5. Si la autenticación en el proveedor de identidades se ha realizado correctamente, Looker valida las aserciones SAML, acepta la autenticación, actualiza la información del usuario y lo reenvía a la URL solicitada, omitiendo la página Iniciar sesión.

6. Si el usuario no puede iniciar sesión en el proveedor de identidades o si este no le autoriza a usar Looker, se quedará en el sitio del proveedor de identidades o se le redirigirá a la página Iniciar sesión de Looker, según el proveedor de identidades.

La respuesta SAML supera el límite

Si los usuarios que intentan autenticarse reciben errores que indican que la respuesta de SAML ha superado el tamaño máximo, puedes aumentar el tamaño máximo permitido de la respuesta de SAML.

En el caso de las instancias alojadas en Looker, abre una solicitud de asistencia para actualizar el tamaño máximo de la respuesta SAML.

En las instancias de Looker alojadas por el cliente, puede definir el tamaño máximo de la respuesta SAML en número de bytes con la variable de entorno MAX_SAML_RESPONSE_BYTESIZE. Por ejemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

El valor predeterminado del tamaño máximo de respuesta SAML es de 250.000 bytes.