Configuración del administrador: Autenticación de SAML

La página SAML de la sección Autenticación del menú Administrador te permite configurar Looker para autenticar usuarios con el lenguaje de marcado para confirmaciones de seguridad (SAML). En esta página, se describe ese proceso y se incluyen instrucciones para vincular grupos de SAML a roles y permisos de Looker.

Requisitos

Looker muestra la página SAML en la sección Autenticación del menú Administrador solo si se cumplen las siguientes condiciones:

• Tienes el rol de administrador.
• Tu instancia de Looker está habilitada para usar SAML.

Si se cumplen estas condiciones y no ves la página SAML, abre una solicitud de asistencia para habilitar SAML en tu instancia.

SAML y proveedores de identidad

Las empresas usan diferentes proveedores de identidad (IdP) para coordinar con SAML (por ejemplo, Okta o OneLogin). Es posible que los términos que se usan en las siguientes instrucciones de configuración y en la IU no coincidan directamente con los que usa tu IdP. Si necesitas aclaraciones durante la configuración, comunícate con tu equipo interno de SAML o de autenticación, o bien con el equipo de asistencia de Looker.

Looker supone que las solicitudes y las aserciones de SAML estarán comprimidas. Asegúrate de que tu IdP esté configurado de esa manera. Las solicitudes de Looker al IdP no están firmadas.

Looker admite el acceso iniciado por el IdP.

Parte del proceso de configuración debe completarse en el sitio web del IdP.

Okta ofrece una app de Looker, que es la forma recomendada de configurar Looker y Okta juntos.

Configura Looker en tu proveedor de identidad

Tu IdP de SAML necesitará la URL de la instancia de Looker en la que el IdP de SAML debe publicar aserciones de SAML. En tu IdP, esto se podría llamar "URL de devolución de llamada", "Destinatario" o "Destino", entre otros nombres.

La información que debes proporcionar es la URL con la que sueles acceder a tu instancia de Looker con el navegador, seguida de /samlcallback. Por ejemplo: none https://instance_name.looker.com/samlcallback

o

https://looker.mycompany.com/samlcallback

Algunos IdP también requieren que agregues :9999 después de la URL de tu instancia. Por ejemplo:

https://instance_name.looker.com:9999/samlcallback

Qué debes saber

Ten en cuenta los siguientes datos:

• Looker requiere SAML 2.0.
• No inhabilite la autenticación de SAML mientras haya accedido a Looker a través de SAML, a menos que tenga configurado un acceso alternativo a la cuenta. De lo contrario, podrías quedar fuera de la app.
• Looker puede migrar cuentas existentes a SAML con direcciones de correo electrónico que provienen de configuraciones actuales de correo electrónico y contraseña, o de Google Auth, LDAP o OIDC. Podrás configurar cómo se migran las cuentas existentes en el proceso de configuración.

Cómo comenzar

Navega a la página SAML Authentication en la sección Admin de Looker para ver las siguientes opciones de configuración. Ten en cuenta que los cambios en las opciones de configuración no surtirán efecto hasta que pruebes y guardes la configuración en la parte inferior de la página.

Configuración de autenticación de SAML

Looker requiere la URL del IdP, la entidad emisora del IdP y el certificado del IdP para autenticar tu IdP.

Es posible que tu IdP ofrezca un documento XML de metadatos del IdP durante el proceso de configuración de Looker en el lado del IdP. Este archivo contiene toda la información solicitada en la sección Configuración de autenticación SAML. Si tienes este archivo, puedes subirlo en el campo Metadatos del IdP, que completará los campos obligatorios de esta sección. Como alternativa, puedes completar los campos obligatorios con los datos que obtuviste durante la configuración del IdP. No es necesario que completes los campos si subes el archivo XML.

• Metadatos del IdP (opcional): Pega la URL pública del documento XML que contiene la información del IdP o pega el texto completo del documento aquí. Looker analizará ese archivo para completar los campos obligatorios.

Si no subiste ni pegaste un documento XML de metadatos de IdP, ingresa la información de autenticación del IdP en los campos URL del IdP, Emisor del IdP y Certificado del IdP.

• URL del IdP: Es la URL a la que Looker accederá para autenticar a los usuarios. En Okta, se denomina URL de redireccionamiento.

• Emisor del IdP: Es el identificador único del IdP. En Okta, se denomina "clave externa".

• Certificado de IdP: Es la clave pública que permite que Looker verifique la firma de las respuestas del IdP.

En conjunto, estos tres campos permiten que Looker confirme que un conjunto de aserciones de SAML firmadas provienen de un IdP de confianza.

• SP Entity/IdP Audience: Looker no requiere este campo, pero muchos IdP sí lo harán. Si ingresas un valor en este campo, ese valor se enviará a tu IdP como el Entity ID de Looker en las solicitudes de autorización. En ese caso, Looker solo aceptará las respuestas de autorización que tengan este valor como Audience. Si tu IdP requiere un valor de Audience, ingresa esa cadena aquí.

• Allowed Clock Drift: Es la cantidad de segundos de desvío del reloj (la diferencia en las marcas de tiempo entre el IdP y Looker) que se permiten. Por lo general, este valor será el valor predeterminado de 0, pero algunos IdP pueden requerir una mayor flexibilidad para los inicios de sesión exitosos.

Configuración de atributos de usuario

En los siguientes campos, especifica el nombre del atributo en la configuración de SAML de tu IdP que contiene la información correspondiente para cada campo. Ingresar los nombres de los atributos de SAML le indica a Looker cómo asignar esos campos y extraer su información en el momento del acceso. Looker no es exigente con la forma en que se construye esta información, solo es importante que la forma en que la ingreses en Looker coincida con la forma en que se definen los atributos en tu IdP. Looker proporciona sugerencias predeterminadas sobre cómo construir esas entradas.

Atributos estándares

Deberás especificar los siguientes atributos estándar:

• Email Attr: Es el nombre del atributo que tu IdP usa para las direcciones de correo electrónico de los usuarios.

• FName Attr: Es el nombre del atributo que tu IdP usa para los nombres de los usuarios.

• LName Attr: Es el nombre del atributo que tu IdP usa para los apellidos de los usuarios.

Cómo vincular atributos de SAML con atributos de usuario de Looker

De manera opcional, puedes usar los datos de tus atributos de SAML para completar automáticamente los valores en los atributos del usuario de Looker cuando un usuario accede. Por ejemplo, si configuraste SAML para realizar conexiones específicas del usuario a tu base de datos, podrías vincular tus atributos de SAML con los atributos de usuario de Looker para hacer que tus conexiones de base de datos sean específicas del usuario en Looker.

Para vincular atributos de SAML con atributos de usuario de Looker correspondientes, haz lo siguiente:

1. Ingresa el nombre del atributo SAML en el campo Atributo SAML y el nombre del atributo de usuario de Looker con el que deseas vincularlo en el campo Atributos de usuario de Looker.
2. Marca la casilla Obligatorio si deseas que se requiera un valor de atributo SAML para permitir que un usuario acceda.
3. Haz clic en + y repite estos pasos para agregar más pares de atributos.

Grupos y roles

Tienes la opción de que Looker cree grupos que reflejen tus grupos SAML administrados de forma externa y, luego, asigne roles de Looker a los usuarios según sus grupos SAML reflejados. Cuando realizas cambios en la membresía de tu grupo SAML, esos cambios se propagan automáticamente a la configuración del grupo de Looker.

La duplicación de grupos de SAML te permite usar tu directorio de SAML definido externamente para administrar grupos y usuarios de Looker. Esto, a su vez, te permite administrar tu membresía de grupo para varias herramientas de software como servicio (SaaS), como Looker, en un solo lugar.

Si activas la opción Mirror SAML Groups, Looker creará un grupo de Looker para cada grupo de SAML que se introduzca en el sistema. Esos grupos de Looker se pueden ver en la página Grupos de la sección Administrador de Looker. Los grupos se pueden usar para asignar roles a los miembros del grupo, establecer controles de acceso al contenido y asignar atributos del usuario.

Roles y grupos predeterminados

De forma predeterminada, el interruptor Duplicar grupos de SAML está desactivado. En este caso, puedes establecer un grupo predeterminado para los usuarios nuevos de SAML. En los campos New User Groups y New User Roles, ingresa los nombres de los grupos o roles de Looker a los que deseas asignar usuarios nuevos de Looker cuando accedan a Looker por primera vez:

Estos grupos y roles se aplican a los usuarios nuevos en su acceso inicial. Los grupos y roles no se aplican a los usuarios existentes y no se vuelven a aplicar si se quitan de los usuarios después de su acceso inicial.

Si luego habilitas la opción de duplicar grupos de SAML, estos valores predeterminados se quitarán para los usuarios cuando vuelvan a acceder y se reemplazarán por los roles asignados en la sección Duplicar grupos de SAML. Estas opciones predeterminadas ya no estarán disponibles ni asignadas, y se reemplazarán por completo por la configuración de grupos duplicados.

Cómo habilitar grupos de SAML duplicados

Si usas una instancia de Looker (Google Cloud Core), te recomendamos que habilites la duplicación de grupos solo para el método de autenticación principal y que no la habilites para la autenticación de OAuth de copia de seguridad. Si habilitas la duplicación de grupos para los métodos de autenticación principal y secundario, se producirán los siguientes comportamientos:

• Si un usuario tiene identidades combinadas, la duplicación de grupos coincidirá con el método de autenticación principal, independientemente del método de autenticación real que se use para acceder.
• Si un usuario no tiene identidades combinadas, la duplicación de grupos coincidirá con el método de autenticación que se usó para acceder.

Pasos para habilitar los grupos duplicados

Si decides duplicar tus grupos de SAML en Looker, activa el interruptor Duplicar grupos de SAML. Looker muestra los siguientes parámetros de configuración:

Estrategia de búsqueda de grupos: Selecciona el sistema que usa el IdP para asignar grupos, lo que depende de tu IdP.

• Casi todos los IdP usan un solo valor de atributo para asignar grupos, como se muestra en esta muestra de aserción de SAML: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> En este caso, selecciona Groups as values of single attributes.

• Algunos IdP usan un atributo independiente para cada grupo y, luego, requieren un segundo atributo para determinar si un usuario es miembro de un grupo. A continuación, se muestra una muestra de aserción SAML que sigue este sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> En este caso, selecciona Groups as individual attributes with membership value.

Atributo de grupos: Looker muestra este campo cuando la Estrategia de búsqueda de grupos se establece en Grupos como valores de un solo atributo. Ingresa el nombre del atributo de grupos que usa el IdP.

Valor del miembro del grupo: Looker muestra este campo cuando la Estrategia de búsqueda de grupos se establece en Grupos como atributos individuales con valor de membresía. Ingresa el valor que indica que un usuario es miembro de un grupo.

Nombre del grupo preferido/Roles/ID del grupo de SAML: Este conjunto de campos te permite asignar un nombre de grupo personalizado y uno o más roles que se asignan al grupo de SAML correspondiente en Looker:

1. Ingresa el ID del grupo de SAML en el campo ID del grupo de SAML. En el caso de los usuarios de Okta, ingresa el nombre del grupo de Okta como el ID del grupo de SAML. Los usuarios de SAML que se incluyan en el grupo de SAML se agregarán al grupo duplicado en Looker.

2. Ingresa un nombre personalizado para el grupo duplicado en el campo Nombre personalizado. Este es el nombre que se mostrará en la página Grupos de la sección Administrador de Looker.

3. En el campo a la derecha del campo Nombre personalizado, selecciona uno o más roles de Looker que se asignarán a cada usuario del grupo.

4. Haz clic en + para agregar conjuntos de campos adicionales y configurar grupos duplicados adicionales. Si tienes varios grupos configurados y quieres quitar la configuración de uno de ellos, haz clic en X junto al conjunto de campos de ese grupo.

Si editas un grupo duplicado que se configuró anteriormente en esta pantalla, la configuración del grupo cambiará, pero el grupo en sí permanecerá intacto. Por ejemplo, podrías cambiar el nombre personalizado de un grupo, lo que modificaría la forma en que aparece el grupo en la página Grupos de Looker, pero no cambiaría los roles asignados ni los miembros del grupo. Si se cambia el ID de grupo de SAML, se mantendrán el nombre y los roles del grupo, pero los miembros del grupo se reasignarán en función de los usuarios que sean miembros del grupo de SAML externo que tenga el nuevo ID de grupo de SAML.

Los cambios que se realicen en un grupo duplicado se aplicarán a los usuarios de ese grupo la próxima vez que accedan a Looker.

Administración avanzada de roles

Si habilitaste el interruptor Mirror SAML Groups, Looker mostrará estos parámetros de configuración. Las opciones de esta sección determinan el grado de flexibilidad que tienen los administradores de Looker cuando configuran grupos y usuarios de Looker que se duplicaron desde SAML.

Por ejemplo, si deseas que la configuración de usuarios y grupos de Looker coincida estrictamente con la configuración de SAML, activa estas opciones. Cuando se habilitan las tres primeras opciones, los administradores de Looker no pueden modificar las membresías de los grupos duplicados y solo pueden asignar roles a los usuarios a través de los grupos duplicados de SAML.

Si quieres tener más flexibilidad para personalizar tus grupos en Looker, desactiva estas opciones. Tus grupos de Looker seguirán replicando tu configuración de SAML, pero podrás realizar tareas adicionales de administración de usuarios y grupos en Looker, como agregar usuarios de SAML a grupos específicos de Looker o asignar roles de Looker directamente a usuarios de SAML.

En el caso de las instancias nuevas de Looker o de las instancias que no tienen grupos duplicados configurados previamente, estas opciones están desactivadas de forma predeterminada.

En el caso de las instancias de Looker existentes que tienen configurados grupos duplicados, estas opciones están activadas de forma predeterminada.

La sección Administración avanzada de roles contiene las siguientes opciones:

Impedir que los usuarios individuales de SAML reciban roles directos: Si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de SAML. Los usuarios de SAML recibirán roles solo a través de sus pertenencias a grupos. Si se permite que los usuarios de SAML sean miembros de grupos integrados de Looker (no duplicados), podrán heredar sus roles de los grupos de SAML duplicados y de los grupos integrados de Looker. A los usuarios de SAML a los que se les asignaron roles directamente, se les quitarán esos roles cuando vuelvan a acceder.

Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de SAML como si se hubieran configurado directamente en Looker.

Impedir la pertenencia directa a grupos que no son de SAML: Si activas esta opción, los administradores de Looker no podrán agregar usuarios de SAML directamente a los grupos integrados de Looker. Si se permite que los grupos de SAML duplicados sean miembros de los grupos integrados de Looker, es posible que los usuarios de SAML conserven la membresía en cualquier grupo superior de Looker. Los usuarios de SAML que se hayan asignado previamente a grupos integrados de Looker se quitarán de esos grupos cuando vuelvan a acceder.

Si esta opción está desactivada, los administradores de Looker pueden agregar usuarios de SAML directamente a los grupos integrados de Looker.

Prevent Role Inheritance from non-SAML Groups: Si activas esta opción, se evitará que los miembros de los grupos de SAML duplicados hereden roles de los grupos integrados de Looker. Los usuarios de SAML que anteriormente heredaron roles de un grupo principal de Looker perderán esos roles cuando vuelvan a acceder.

Si esta opción está desactivada, los grupos de SAML duplicados o los usuarios de SAML que se agreguen como miembros de un grupo integrado de Looker heredarán los roles asignados al grupo principal de Looker.

Auth Requires Role: Si esta opción está activada, los usuarios de SAML deben tener un rol asignado. Los usuarios de SAML que no tengan un rol asignado no podrán acceder a Looker.

Si esta opción está desactivada, los usuarios de SAML pueden autenticarse en Looker incluso si no tienen ningún rol asignado. Un usuario sin un rol asignado no podrá ver ningún dato ni realizar ninguna acción en Looker, pero podrá acceder a Looker.

Cómo inhabilitar la duplicación de grupos de SAML

Si quieres dejar de duplicar tus grupos de SAML en Looker, desactiva el botón de activación Duplicar grupos de SAML. Si desactivas el interruptor, se producirá el siguiente comportamiento:

• Cualquier grupo de SAML duplicado que no tenga usuarios se borrará de inmediato.
• Cualquier grupo de SAML duplicado que contenga usuarios se marcará como huérfano. Si ningún usuario de este grupo accede en un plazo de 31 días, el grupo se borrará. Ya no se pueden agregar ni quitar usuarios de los grupos SAML huérfanos.

Opciones de migración

Acceso alternativo para administradores y usuarios especificados

Los accesos con correo electrónico y contraseña de Looker siempre están inhabilitados para los usuarios normales cuando se habilita la autenticación de SAML. Esta opción permite el acceso alternativo basado en correo electrónico con /login/email para los administradores y los usuarios especificados con el permiso login_special_email.

Activar esta opción es útil como alternativa durante la configuración de autenticación de SAML si se producen problemas de configuración de SAML más adelante o si necesitas admitir a algunos usuarios que no tienen cuentas en tu directorio de SAML.

Especifica el método que se usa para combinar usuarios de SAML en una cuenta de Looker

En el campo Merge Users Using, especifica el método que se usará para combinar un acceso de SAML por primera vez con una cuenta de usuario existente. Puedes combinar usuarios de los siguientes sistemas:

• Correo electrónico y contraseña de Looker (no disponible para Looker (Google Cloud Core))
• Google
• LDAP (no disponible para Looker (Google Cloud Core))
• OIDC

Si tienes más de un sistema implementado, puedes especificar más de un sistema para combinar en este campo. Looker buscará usuarios en los sistemas que se indican en el orden en que se especifican. Por ejemplo, supongamos que creaste algunos usuarios con el correo electrónico y la contraseña de Looker, luego habilitaste LDAP y ahora quieres usar SAML. Looker primero combinaría los datos por correo electrónico y contraseña, y luego por LDAP.

Cuando un usuario accede por primera vez a través de SAML, esta opción lo conectará a su cuenta existente buscando la cuenta con una dirección de correo electrónico coincidente. Si no existe una cuenta para el usuario, se creará una nueva.

Cómo combinar usuarios cuando se usa Looker (Google Cloud Core)

Cuando usas Looker (Google Cloud Core) y SAML, la combinación funciona como se describe en la sección anterior. Sin embargo, solo es posible si se cumple una de las siguientes dos condiciones:

1. Condición 1: Los usuarios se autentican en Looker (Google Cloud Core) con sus identidades de Google a través del protocolo SAML.

2. Condición 2: Antes de seleccionar la opción de combinación, debes completar los siguientes dos pasos:

   • Identidades de usuarios federados en Google Cloud con Cloud Identity
   • Configura la autenticación de OAuth como método de autenticación de copia de seguridad con los usuarios federados.

Si tu instancia no cumple con una de estas dos condiciones, la opción Merge Users Using no estará disponible.

Cuando se realice la combinación, Looker (Google Cloud Core) buscará registros de usuarios que compartan la misma dirección de correo electrónico exacta.

Probar la autenticación de usuarios

Haz clic en el botón Probar para probar la configuración. Las pruebas redireccionarán al servidor y abrirán una pestaña del navegador. En la pestaña, se muestra lo siguiente:

• Indica si Looker pudo comunicarse con el servidor y realizar la validación.
• Son los nombres que Looker obtiene del servidor. Debes validar que el servidor devuelva los resultados adecuados.
• Es un registro para mostrar cómo se encontró la información. Usa el registro para solucionar problemas si la información es incorrecta. Si necesitas información adicional, puedes leer el archivo sin procesar del servidor XML.

Sugerencias:

• Puedes ejecutar esta prueba en cualquier momento, incluso si SAML está configurado parcialmente. Ejecutar una prueba puede ser útil durante la configuración para ver qué parámetros deben configurarse.
• La prueba usa la configuración ingresada en la página Autenticación de SAML, incluso si no se guardó. La prueba no afectará ni cambiará ninguna de las opciones de configuración de esa página.
• Durante la prueba, Looker pasa información al IdP a través del parámetro RelayState de SAML. El IdP debe devolver este valor de RelayState a Looker sin modificaciones.

Guardar y aplicar la configuración

Cuando termines de ingresar tu información y todas las pruebas se aprueben, marca la casilla de verificación I have confirmed the configuration above and want to enable applying it globally y haz clic en Update Settings para guardar los cambios.

Comportamiento de acceso del usuario

Cuando un usuario intenta acceder a una instancia de Looker con SAML, Looker abre la página Acceder. El usuario debe hacer clic en el botón Autenticar para iniciar la autenticación a través de SAML.

Este es el comportamiento predeterminado si el usuario aún no tiene una sesión de Looker activa.

Si quieres que tus usuarios accedan directamente a tu instancia de Looker después de que el IdP los autentique y omitan la página Acceder, activa Omitir página de acceso en Comportamiento de acceso.

Si usas Looker (original), Looker debe habilitar la función Bypass Login Page. Para actualizar tu licencia y poder usar esta función, comunícate con un Google Cloud especialista en ventas o abre una solicitud de asistencia. Si usas Looker (Google Cloud Core), la opción Bypass Login Page está disponible automáticamente si se usa SAML como método de autenticación principal y está inhabilitada de forma predeterminada.

Cuando la opción Bypass Login Page está habilitada, la secuencia de acceso del usuario es la siguiente:

1. El usuario intenta conectarse a una URL de Looker (por ejemplo, instance_name.looker.com).

2. Looker determina si el usuario ya tiene habilitada una sesión activa. Para ello, Looker usa la cookie AUTH-MECHANISM-COOKIE para identificar el método de autorización que usó el usuario en su última sesión. El valor siempre es uno de los siguientes: saml, ldap, oidc, google o email.

3. Si el usuario tiene habilitada una sesión activa, se lo dirigirá a la URL solicitada.

4. Si el usuario no tiene una sesión activa habilitada, se lo redireccionará al IdP. El IdP autentica al usuario cuando accede correctamente al IdP. Luego, Looker autentica al usuario cuando el IdP lo envía de vuelta a Looker con información que indica que el usuario se autenticó con el IdP.

5. Si la autenticación en el IdP se realizó correctamente, Looker valida las aserciones de SAML, acepta la autenticación, actualiza la información del usuario y reenvía al usuario a la URL solicitada, sin pasar por la página Acceder.

6. Si el usuario no puede acceder al IdP o si el IdP no lo autoriza a usar Looker, según el IdP, permanecerá en el sitio del IdP o se lo redireccionará a la página Acceder de Looker.

La respuesta de SAML supera el límite

Si los usuarios que intentan autenticarse reciben errores que indican que la respuesta de SAML excedió el tamaño máximo, puedes aumentar el tamaño máximo permitido de la respuesta de SAML.

En el caso de las instancias alojadas en Looker, abre una solicitud de asistencia para actualizar el tamaño máximo de la respuesta de SAML.

En el caso de las instancias de Looker alojadas por el cliente, puedes establecer el tamaño máximo de la respuesta SAML en cantidad de bytes con la variable de entorno MAX_SAML_RESPONSE_BYTESIZE. Por ejemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

El valor predeterminado para el tamaño máximo de la respuesta SAML es de 250,000 bytes.