Paramètres d'administration – Authentification SAML

La page SAML de la section Authentification du menu Admin vous permet de configurer Looker pour authentifier les utilisateurs à l'aide du protocole SAML (Security Assertion Markup Language). Cette page décrit ce processus et inclut des instructions pour associer des groupes SAML à des rôles et autorisations Looker.

Conditions requises

Looker n'affiche la page SAML dans la section Authentification du menu Admin que si les conditions suivantes sont remplies :

Si ces conditions sont remplies et que la page SAML ne s'affiche pas, déposez une demande d'assistance pour activer SAML sur votre instance.

SAML et fournisseurs d'identité

Les entreprises utilisent différents fournisseurs d'identité (IdP) pour coordonner avec SAML (par exemple, Okta ou OneLogin). Il est possible que les termes utilisés dans les instructions de configuration suivantes et dans l'UI ne correspondent pas directement à ceux utilisés par votre fournisseur d'identité. Pour obtenir des éclaircissements lors de la configuration, contactez votre équipe interne SAML ou d'authentification, ou contactez l'assistance Looker.

Looker part du principe que les requêtes et assertions SAML seront compressées. Assurez-vous que votre fournisseur d'identité est configuré en conséquence. Les requêtes de Looker envoyées au fournisseur d'identité ne sont pas signées.

Looker est compatible avec la connexion initiée par le fournisseur d'identité.

Une partie du processus de configuration doit être effectuée sur le site Web du fournisseur d'identité.

Okta propose une application Looker, qui est la méthode recommandée pour configurer Looker et Okta ensemble.

Configurer Looker sur votre fournisseur d'identité

Votre IdP SAML aura besoin de l'URL de l'instance Looker à laquelle il doit envoyer les assertions SAML. Dans votre fournisseur d'identité, ce champ peut être appelé "URL de renvoi", "Destinataire" ou "Destination", entre autres.

Vous devez fournir l'URL à laquelle vous accédez habituellement à votre instance Looker à l'aide du navigateur, suivie de /samlcallback. Exemple : none https://instance_name.looker.com/samlcallback.

ou

https://looker.mycompany.com/samlcallback

Certains fournisseurs d'identité exigent également que vous ajoutiez :9999 après l'URL de votre instance. Exemple :

https://instance_name.looker.com:9999/samlcallback

Bon à savoir

Gardez les informations suivantes à l'esprit :

  • Looker nécessite SAML 2.0.
  • Ne désactivez pas l'authentification SAML lorsque vous êtes connecté à Looker via SAML, sauf si vous avez configuré une autre méthode de connexion à votre compte. Sinon, vous risquez de perdre l'accès à l'application.
  • Looker peut migrer les comptes existants vers SAML en utilisant des adresses e-mail provenant de configurations actuelles avec adresse e-mail et mot de passe, ou de l'authentification Google, LDAP ou OIDC. Vous pourrez configurer la migration des comptes existants lors de la configuration.

Premiers pas

Accédez à la page Authentification SAML dans la section Admin de Looker pour afficher les options de configuration suivantes. Notez que les modifications apportées aux options de configuration ne prennent effet que lorsque vous testez et enregistrez vos paramètres en bas de la page.

Paramètres d'authentification SAML

Looker a besoin de l'URL de l'IdP, de l'émetteur de l'IdP et du certificat de l'IdP pour authentifier votre IdP.

Votre IdP peut proposer un document XML de métadonnées IdP lors de la configuration de Looker côté IdP. Ce fichier contient toutes les informations demandées dans la section Paramètres d'authentification SAML. Si vous disposez de ce fichier, vous pouvez l'importer dans le champ Métadonnées IdP, ce qui remplira les champs obligatoires de cette section. Vous pouvez également renseigner les champs requis à partir du résultat obtenu lors de la configuration côté IdP. Vous n'avez pas besoin de remplir les champs si vous importez le fichier XML.

  • Métadonnées IdP (facultatif) : collez l'URL publique du document XML contenant les informations IdP ou collez le texte complet du document ici. Looker analysera ce fichier pour remplir les champs obligatoires.

Si vous n'avez pas importé ni collé de document XML de métadonnées IdP, saisissez plutôt les informations d'authentification de votre IdP dans les champs URL de l'IdP, Émetteur de l'IdP et Certificat de l'IdP.

  • URL du fournisseur d'identité : URL vers laquelle Looker redirige les utilisateurs pour les authentifier. Dans Okta, on parle d'URL de redirection.

  • IdP Issuer (Émetteur IdP) : identifiant unique du fournisseur d'identité. Dans Okta, on parle de "clé externe".

  • Certificat du fournisseur d'identité : clé publique permettant à Looker de valider la signature des réponses du fournisseur d'identité.

Ensemble, ces trois champs permettent à Looker de confirmer qu'un ensemble d'assertions SAML signées provient bien d'un IdP de confiance.

  • Audience de l'entité SP/de l'IdP : Looker n'exige pas ce champ, mais de nombreux IdP le demandent. Si vous saisissez une valeur dans ce champ, elle sera envoyée à votre fournisseur d'identité en tant que Entity ID Looker dans les demandes d'autorisation. Dans ce cas, Looker n'acceptera que les réponses d'autorisation dont la valeur Audience est celle-ci. Si votre fournisseur d'identité requiert une valeur Audience, saisissez cette chaîne ici.
  • Dérive d'horloge autorisée : nombre de secondes de dérive d'horloge (différence d'horodatage entre le fournisseur d'identité et Looker) autorisé. Cette valeur est généralement définie sur 0 par défaut, mais certains IdP peuvent nécessiter une marge de manœuvre supplémentaire pour que les utilisateurs puissent se connecter.

Paramètres des attributs utilisateur

Dans les champs suivants, spécifiez le nom de l'attribut dans la configuration SAML de votre IdP qui contient les informations correspondantes pour chaque champ. En saisissant les noms des attributs SAML, vous indiquez à Looker comment mapper ces champs et extraire leurs informations lors de la connexion. Looker n'est pas particulièrement regardant sur la façon dont ces informations sont structurées. L'important est que la façon dont vous les saisissez dans Looker corresponde à la façon dont les attributs sont définis dans votre fournisseur d'identité. Looker fournit des suggestions par défaut sur la façon de construire ces entrées.

Attributs standards

Vous devrez spécifier les attributs standards suivants :

  • Attr. e-mail : nom de l'attribut utilisé par votre IdP pour les adresses e-mail des utilisateurs.

  • Attribut du prénom : nom de l'attribut utilisé par votre IdP pour les prénoms des utilisateurs.

  • Attribut Nom : nom de l'attribut utilisé par votre IdP pour les noms de famille des utilisateurs.

Associer des attributs SAML à des attributs utilisateur Looker

Vous pouvez également utiliser les données de vos attributs SAML pour renseigner automatiquement les valeurs des attributs utilisateur Looker lorsqu'un utilisateur se connecte. Par exemple, si vous avez configuré SAML pour établir des connexions spécifiques aux utilisateurs à votre base de données, vous pouvez associer vos attributs SAML à des attributs utilisateur Looker pour rendre vos connexions à la base de données spécifiques aux utilisateurs dans Looker.

Pour associer des attributs SAML aux attributs utilisateur Looker correspondants :

  1. Saisissez le nom de l'attribut SAML dans le champ Attribut SAML et le nom de l'attribut utilisateur Looker auquel vous souhaitez l'associer dans le champ Attributs utilisateur Looker.
  2. Cochez Required (Obligatoire) si vous souhaitez qu'une valeur d'attribut SAML soit requise pour qu'un utilisateur puisse se connecter.
  3. Cliquez sur + et répétez ces étapes pour ajouter d'autres paires d'attributs.

Groupes et rôles

Vous pouvez demander à Looker de créer des groupes qui reflètent vos groupes SAML gérés en externe, puis d'attribuer des rôles Looker aux utilisateurs en fonction de leurs groupes SAML reflétés. Lorsque vous modifiez l'appartenance à un groupe SAML, ces modifications sont automatiquement propagées à la configuration des groupes Looker.

La mise en miroir des groupes SAML vous permet d'utiliser votre annuaire SAML défini en externe pour gérer les groupes et les utilisateurs Looker. Cela vous permet de gérer vos appartenances à des groupes pour plusieurs outils Software as a Service (SaaS), tels que Looker, en un seul endroit.

Si vous activez l'option Mettre en miroir les groupes SAML, Looker créera un groupe Looker pour chaque groupe SAML introduit dans le système. Vous pouvez consulter ces groupes Looker sur la page Groupes de la section Admin de Looker. Les groupes peuvent être utilisés pour attribuer des rôles aux membres, définir des contrôles d'accès au contenu et attribuer des attributs utilisateur.

Groupes et rôles par défaut

Par défaut, le bouton Mirror SAML Groups (Miroir des groupes SAML) est désactivé. Dans ce cas, vous pouvez définir un groupe par défaut pour les nouveaux utilisateurs SAML. Dans les champs Nouveaux groupes d'utilisateurs et Nouveaux rôles d'utilisateur, saisissez les noms des groupes ou rôles Looker auxquels vous souhaitez attribuer les nouveaux utilisateurs Looker lors de leur première connexion à Looker :

Ces groupes et rôles sont appliqués aux nouveaux utilisateurs lors de leur première connexion. Les groupes et les rôles ne sont pas appliqués aux utilisateurs existants, et ils ne sont pas appliqués une nouvelle fois s'ils sont supprimés des utilisateurs après leur première connexion.

Si vous activez ultérieurement la mise en miroir des groupes SAML, ces valeurs par défaut seront supprimées pour les utilisateurs lors de leur prochaine connexion et remplacées par les rôles attribués dans la section Mise en miroir des groupes SAML. Ces options par défaut ne seront plus disponibles ni attribuées. Elles seront entièrement remplacées par la configuration des groupes mis en miroir.

Activer la mise en miroir des groupes SAML

Si vous utilisez une instance Looker (Google Cloud Core), nous vous recommandons d'activer la mise en miroir des groupes uniquement pour la méthode d'authentification principale et de ne pas l'activer pour l'authentification OAuth de secours. Si vous activez la mise en miroir des groupes pour les méthodes d'authentification principale et secondaire, les comportements suivants se produiront :

  • Si un utilisateur a fusionné des identités, la mise en miroir des groupes correspondra à la méthode d'authentification principale, quelle que soit la méthode d'authentification utilisée pour se connecter.
  • Si un utilisateur n'a pas fusionné ses identités, la mise en miroir des groupes correspondra à la méthode d'authentification utilisée pour se connecter.

Procédure à suivre pour activer les groupes mis en miroir

Si vous choisissez de refléter vos groupes SAML dans Looker, activez le bouton Refléter les groupes SAML. Looker affiche les paramètres suivants :

Stratégie de recherche de groupe : sélectionnez le système utilisé par l'IdP pour attribuer des groupes. Cela dépend de votre IdP.

  • Presque tous les IdP utilisent une seule valeur d'attribut pour attribuer des groupes, comme le montre cet exemple d'assertion SAML : none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant que valeurs d'attributs uniques.

  • Certains IdP utilisent un attribut distinct pour chaque groupe, puis exigent un deuxième attribut pour déterminer si un utilisateur est membre d'un groupe. Voici un exemple d'assertion SAML montrant ce système : none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Dans ce cas, sélectionnez Groupes en tant qu'attributs individuels avec valeur d'appartenance.

Attribut "Groupes" : Looker affiche ce champ lorsque la stratégie de recherche de groupes est définie sur Groupes en tant que valeurs d'un seul attribut. Saisissez le nom de l'attribut Groupes utilisé par le fournisseur d'identité.

Valeur du membre du groupe : Looker affiche ce champ lorsque la stratégie de recherche de groupe est définie sur Groupes en tant qu'attributs individuels avec valeur d'appartenance. Saisissez la valeur qui indique qu'un utilisateur est membre d'un groupe.

Nom du groupe préféré/Rôles/ID du groupe SAML : cet ensemble de champs vous permet d'attribuer un nom de groupe personnalisé et un ou plusieurs rôles qui sont attribués au groupe SAML correspondant dans Looker :

  1. Saisissez l'ID du groupe SAML dans le champ SAML Group ID (ID du groupe SAML). Pour les utilisateurs Okta, saisissez le nom du groupe Okta comme ID de groupe SAML. Les utilisateurs SAML inclus dans le groupe SAML seront ajoutés au groupe mis en miroir dans Looker.

  2. Saisissez un nom personnalisé pour le groupe mis en miroir dans le champ Nom personnalisé. Il s'agit du nom qui s'affichera sur la page Groupes de la section Admin de Looker.

  3. Dans le champ à droite du champ Nom personnalisé, sélectionnez un ou plusieurs rôles Looker qui seront attribués à chaque utilisateur du groupe.

  4. Cliquez sur + pour ajouter des ensembles de champs et configurer d'autres groupes mis en miroir. Si vous avez configuré plusieurs groupes et que vous souhaitez supprimer la configuration d'un groupe, cliquez sur X à côté de l'ensemble de champs de ce groupe.

Si vous modifiez un groupe mis en miroir qui a été configuré précédemment sur cet écran, la configuration du groupe changera, mais le groupe lui-même restera intact. Par exemple, vous pouvez modifier le nom personnalisé d'un groupe, ce qui changera la façon dont il s'affiche sur la page Groupes de Looker, mais pas les rôles et les membres qui lui sont attribués. Si vous modifiez l'ID de groupe SAML, le nom et les rôles du groupe seront conservés, mais les membres du groupe seront réattribués en fonction des utilisateurs qui sont membres du groupe SAML externe associé au nouvel ID de groupe SAML.

Toute modification apportée à un groupe mis en miroir sera appliquée aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker.

Gestion avancée des rôles

Si vous avez activé le bouton Mirror SAML Groups (Miroir des groupes SAML), Looker affiche ces paramètres. Les options de cette section déterminent la flexibilité dont disposent les administrateurs Looker lorsqu'ils configurent des groupes et des utilisateurs Looker qui ont été mis en miroir à partir de SAML.

Par exemple, si vous souhaitez que la configuration de vos groupes et utilisateurs Looker corresponde exactement à votre configuration SAML, activez ces options. Lorsque les trois premières options sont activées, les administrateurs Looker ne peuvent pas modifier les appartenances aux groupes mis en miroir et ne peuvent attribuer des rôles aux utilisateurs que par le biais des groupes mis en miroir SAML.

Si vous souhaitez personnaliser vos groupes dans Looker de manière plus flexible, désactivez ces options. Vos groupes Looker continueront de refléter votre configuration SAML, mais vous pourrez gérer les groupes et les utilisateurs dans Looker, par exemple en ajoutant des utilisateurs SAML à des groupes spécifiques à Looker ou en attribuant des rôles Looker directement aux utilisateurs SAML.

Pour les nouvelles instances Looker ou celles qui n'ont pas de groupes mis en miroir précédemment configurés, ces options sont désactivées par défaut.

Pour les instances Looker existantes qui ont configuré des groupes mis en miroir, ces options sont activées par défaut.

La section Gestion avancée des rôles contient les options suivantes :

Empêcher les utilisateurs SAML individuels de recevoir des rôles directs : si vous activez cette option, les administrateurs Looker ne pourront pas attribuer de rôles Looker directement aux utilisateurs SAML. Les utilisateurs SAML ne recevront des rôles que via les groupes dont ils sont membres. Si les utilisateurs SAML sont autorisés à être membres de groupes Looker intégrés (non mis en miroir), ils peuvent toujours hériter de leurs rôles à la fois des groupes SAML mis en miroir et des groupes Looker intégrés. Les rôles qui étaient auparavant attribués directement aux utilisateurs SAML seront supprimés lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs SAML, comme s'ils étaient configurés directement dans Looker.

Empêcher l'adhésion directe à des groupes non SAML : si vous activez cette option, les administrateurs Looker ne pourront pas ajouter directement des utilisateurs SAML à des groupes Looker intégrés. Si les groupes SAML en miroir sont autorisés à être membres de groupes Looker intégrés, les utilisateurs SAML peuvent conserver leur appartenance à des groupes Looker parents. Tous les utilisateurs SAML qui étaient auparavant attribués à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.

Si cette option est désactivée, les administrateurs Looker peuvent ajouter des utilisateurs SAML directement aux groupes Looker intégrés.

Empêcher l'héritage des rôles depuis des groupes non SAML : si vous activez cette option, les membres des groupes SAML mis en miroir n'hériteront pas des rôles des groupes Looker intégrés. Les utilisateurs SAML qui ont précédemment hérité de rôles d'un groupe Looker parent perdront ces rôles lors de leur prochaine connexion.

Si cette option est désactivée, les groupes SAML ou les utilisateurs SAML mis en miroir qui sont ajoutés en tant que membres d'un groupe Looker intégré hériteront des rôles attribués au groupe Looker parent.

Auth Requires Role (Authentification requiert un rôle) : si cette option est activée, les utilisateurs SAML doivent disposer d'un rôle attribué. Les utilisateurs SAML auxquels aucun rôle n'a été attribué ne pourront pas se connecter à Looker.

Si cette option est désactivée, les utilisateurs SAML peuvent s'authentifier auprès de Looker même si aucun rôle ne leur est attribué. Un utilisateur sans rôle attribué ne pourra pas voir de données ni effectuer d'actions dans Looker, mais il pourra se connecter à Looker.

Désactiver les groupes SAML de mise en miroir

Si vous ne souhaitez plus mettre en miroir vos groupes SAML dans Looker, désactivez le bouton Mettre en miroir les groupes SAML. Si vous désactivez le bouton bascule, le comportement suivant se produit :

  • Tout groupe SAML miroir sans utilisateur est supprimé immédiatement.
  • Tout groupe SAML miroir qui contient des utilisateurs est marqué comme orphelin. Si aucun utilisateur de ce groupe ne se connecte dans un délai de 31 jours, le groupe est supprimé. Il n'est plus possible d'ajouter ni de supprimer des utilisateurs des groupes SAML orphelins.

Options de migration

Méthode de connexion alternative pour les administrateurs et les utilisateurs spécifiés

Les connexions Looker par combinaison adresse e-mail/mot de passe sont toujours désactivées pour les utilisateurs standards lorsque l'authentification SAML est activée. Cette option permet une méthode de connexion alternative basée sur l'adresse e-mail avec /login/email pour les administrateurs et les utilisateurs spécifiés disposant de l'autorisation login_special_email.

L'activation de cette option est utile comme solution de secours lors de la configuration de l'authentification SAML si des problèmes de configuration SAML surviennent ultérieurement ou si vous devez assister des utilisateurs qui n'ont pas de compte dans votre annuaire SAML.

Spécifier la méthode utilisée pour fusionner les utilisateurs SAML avec un compte Looker

Dans le champ Fusionner les utilisateurs à l'aide de, spécifiez la méthode à utiliser pour fusionner une première connexion SAML avec un compte utilisateur existant. Vous pouvez fusionner des utilisateurs à partir des systèmes suivants :

  • Adresse e-mail/Mot de passe Looker (non disponible pour Looker (Google Cloud Core))
  • Google
  • LDAP (non disponible pour Looker (Google Cloud Core))
  • OIDC

Si vous avez plusieurs systèmes en place, vous pouvez en spécifier plusieurs à fusionner dans ce champ. Looker recherche les utilisateurs dans les systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, supposons que vous ayez créé des utilisateurs à l'aide de l'adresse e-mail et du mot de passe Looker, puis que vous ayez activé LDAP et que vous souhaitiez maintenant utiliser SAML. Looker fusionne d'abord les comptes par adresse e-mail et mot de passe, puis par LDAP.

Lorsqu'un utilisateur se connecte pour la première fois via SAML, cette option le connecte à son compte existant en recherchant le compte dont l'adresse e-mail correspond. S'il n'existe aucun compte pour l'utilisateur, un nouveau compte sera créé.

Fusionner des utilisateurs lorsque vous utilisez Looker (Google Cloud Core)

Lorsque vous utilisez Looker (Google Cloud Core) et SAML, la fusion fonctionne comme décrit dans la section précédente. Toutefois, cela n'est possible que si l'une des deux conditions suivantes est remplie :

  1. Condition 1 : Les utilisateurs s'authentifient dans Looker (Google Cloud Core) à l'aide de leurs identités Google via le protocole SAML.

  2. Condition 2 : Avant de sélectionner l'option de fusion, vous avez effectué les deux étapes suivantes :

Si votre instance ne remplit pas l'une de ces deux conditions, l'option Fusionner les utilisateurs à l'aide de ne sera pas disponible.

Lors de la fusion, Looker (Google Cloud Core) recherche les enregistrements utilisateur qui partagent exactement la même adresse e-mail.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester pour tester vos paramètres. Les tests redirigent vers le serveur et ouvrent un onglet de navigateur. L'onglet affiche les éléments suivants :

  • Indique si Looker a pu communiquer avec le serveur et effectuer la validation.
  • Noms que Looker obtient du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
  • Trace indiquant comment les informations ont été trouvées. Utilisez la trace pour résoudre le problème si les informations sont incorrectes. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier serveur XML brut.

Astuces :

  • Vous pouvez exécuter ce test à tout moment, même si SAML est partiellement configuré. Il peut être utile d'exécuter un test lors de la configuration pour identifier les paramètres à configurer.
  • Le test utilise les paramètres saisis sur la page Authentification SAML, même s'ils n'ont pas été enregistrés. Le test n'aura aucune incidence sur les paramètres de cette page, qui resteront inchangés.
  • Lors du test, Looker transmet des informations au fournisseur d'identité à l'aide du paramètre SAML RelayState. Le FAI doit renvoyer cette valeur RelayState à Looker sans la modifier.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que tous les tests sont réussis, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement, puis cliquez sur Mettre à jour les paramètres pour enregistrer.

Comportement de connexion des utilisateurs

Lorsqu'un utilisateur tente de se connecter à une instance Looker à l'aide de SAML, Looker ouvre la page Log In (Se connecter). L'utilisateur doit cliquer sur le bouton Authenticate (S'authentifier) pour lancer l'authentification via SAML.

Il s'agit du comportement par défaut si l'utilisateur n'a pas déjà de session Looker active.

Si vous souhaitez que vos utilisateurs se connectent directement à votre instance Looker après que votre IdP les a authentifiés, et qu'ils ignorent la page Se connecter, activez l'option Ignorer la page de connexion sous Comportement de connexion.

Si vous utilisez Looker (version initiale), la fonctionnalité Ignorer la page de connexion doit être activée par Looker. Pour mettre à jour votre licence pour cette fonctionnalité, contactez un spécialiste Google Cloud ou ouvrez une demande d'assistance. Si vous utilisez Looker (Google Cloud Core), l'option Ignorer la page de connexion est disponible automatiquement si SAML est utilisé comme méthode d'authentification principale. Elle est désactivée par défaut.

Lorsque l'option Ignorer la page de connexion est activée, la séquence de connexion de l'utilisateur est la suivante :

  1. L'utilisateur tente de se connecter à une URL Looker (par exemple, instance_name.looker.com).

  2. Looker détermine si l'utilisateur a déjà une session active. Pour ce faire, Looker utilise le cookie AUTH-MECHANISM-COOKIE pour identifier la méthode d'autorisation utilisée par l'utilisateur lors de sa dernière session. La valeur est toujours l'une des suivantes : saml, ldap, oidc, google ou email.

  3. Si l'utilisateur dispose d'une session active, il est redirigé vers l'URL demandée.

  4. Si l'utilisateur n'a pas de session active, il est redirigé vers l'IdP. Le fournisseur d'identité authentifie l'utilisateur lorsqu'il se connecte à celui-ci. Looker authentifie ensuite l'utilisateur lorsque le fournisseur d'identité le renvoie vers Looker avec des informations indiquant qu'il est authentifié auprès du fournisseur d'identité.

  5. Si l'authentification auprès du fournisseur d'identité a réussi, Looker valide ensuite les assertions SAML, accepte l'authentification, met à jour les informations utilisateur et redirige l'utilisateur vers l'URL demandée, en ignorant la page Se connecter.

  6. Si l'utilisateur ne parvient pas à se connecter au fournisseur d'identité ou s'il n'est pas autorisé par le fournisseur d'identité à utiliser Looker, il restera sur le site du fournisseur d'identité ou sera redirigé vers la page Se connecter de Looker, selon le fournisseur d'identité.

Réponse SAML dépassant la limite

Si les utilisateurs qui tentent de s'authentifier reçoivent des erreurs indiquant que la réponse SAML a dépassé la taille maximale, vous pouvez augmenter la taille maximale autorisée pour les réponses SAML.

Pour les instances hébergées par Looker, ouvrez une demande d'assistance afin de mettre à jour la taille maximale de la réponse SAML.

Pour les instances Looker hébergées par le client, vous pouvez définir la taille maximale de la réponse SAML en nombre d'octets avec la variable d'environnement MAX_SAML_RESPONSE_BYTESIZE. Exemple :

export MAX_SAML_RESPONSE_BYTESIZE=500000

La taille maximale par défaut de la réponse SAML est de 250 000 octets.