Impostazioni amministrazione - Autenticazione SAML

La pagina SAML nella sezione Autenticazione del menu Amministrazione consente di configurare Looker per autenticare gli utenti utilizzando SAML (Security Assertion Markup Language). Questa pagina descrive il processo e include istruzioni per collegare i gruppi SAML a ruoli e autorizzazioni di Looker.

Requisiti

Looker mostra la pagina SAML nella sezione Autenticazione del menu Amministrazione solo se vengono soddisfatte le seguenti condizioni:

• Devi disporre del ruolo di amministratore.
• La tua istanza di Looker è abilitata all'utilizzo di SAML.

Se queste condizioni sono soddisfatte e non visualizzi la pagina SAML, apri una richiesta di assistenza per attivare SAML nella tua istanza.

SAML e provider di identità

Le aziende utilizzano diversi provider di identità (IdP) per coordinarsi con SAML (ad esempio Okta o OneLogin). I termini utilizzati nelle seguenti istruzioni di configurazione e nell'interfaccia utente potrebbero non corrispondere direttamente a quelli utilizzati dal tuo IdP. Per chiarimenti durante la configurazione, contatta il team interno SAML o di autenticazione oppure l'assistenza di Looker.

Looker presuppone che le richieste e le asserzioni SAML vengano compresse. Assicurati che il tuo IdP sia configurato in questo modo. Le richieste di Looker all'IdP non sono firmate.

Looker supporta l'accesso avviato da IdP.

Parte della procedura di configurazione deve essere completata sul sito web del fornitore di servizi di identità.

Okta offre un'app Looker, che è il modo consigliato per configurare Looker e Okta insieme.

Configurazione di Looker sul tuo provider di identità

L'IdP SAML avrà bisogno dell'URL dell'istanza Looker a cui deve inviare le asserzioni SAML. Nel tuo IdP, questo potrebbe essere chiamato "URL di postback", "Destinatario" o "Destinazione", tra gli altri nomi.

Le informazioni da fornire sono l'URL in cui in genere accedi all'istanza di Looker utilizzando il browser, seguito da /samlcallback. Ad esempio: none https://instance_name.looker.com/samlcallback

o

https://looker.mycompany.com/samlcallback

Alcuni IdP richiedono anche di aggiungere :9999 dopo l'URL dell'istanza. Ad esempio:

https://instance_name.looker.com:9999/samlcallback

Aspetti da tenere presenti

Tieni presente quanto segue:

• Looker richiede SAML 2.0.
• Non disattivare l'autenticazione SAML mentre hai eseguito l'accesso a Looker tramite SAML, a meno che tu non abbia configurato un accesso alternativo all'account. In caso contrario, potresti non riuscire più ad accedere all'app.
• Looker può eseguire la migrazione degli account esistenti a SAML utilizzando indirizzi email provenienti dalle attuali configurazioni di email e password o da Google Auth, LDAP o OIDC. Potrai configurare la modalità di migrazione degli account esistenti durante la procedura di configurazione.

Per iniziare

Vai alla pagina Autenticazione SAML nella sezione Amministrazione di Looker per visualizzare le seguenti opzioni di configurazione. Tieni presente che le modifiche alle opzioni di configurazione non vengono applicate finché non testi e salvi le impostazioni nella parte inferiore della pagina.

Impostazioni di autenticazione SAML

Looker richiede l'URL IdP, l'emittente IdP e il certificato IdP per autenticare l'IdP.

Il tuo IdP potrebbe offrire un documento XML di metadati IdP durante la procedura di configurazione di Looker sul lato IdP. Questo file contiene tutte le informazioni richieste nella sezione Impostazioni di autenticazione SAML. Se hai questo file, puoi caricarlo nel campo Metadati IdP, che compilerà i campi obbligatori in questa sezione. In alternativa, puoi compilare i campi obbligatori con l'output ottenuto durante la configurazione lato IdP. Non è necessario compilare i campi se carichi il file XML.

• Metadati IdP (facoltativo): Incolla l'URL pubblico del documento XML che contiene le informazioni dell'IdP oppure incolla qui il testo completo del documento. Looker analizzerà il file per compilare i campi obbligatori.

Se non hai caricato o incollato un documento XML dei metadati IdP, inserisci invece i dati di autenticazione dell'IdP nei campi URL IdP, Emittente IdP e Certificato IdP.

• URL IdP: l'URL a cui Looker si connette per autenticare gli utenti. In Okta, questo è chiamato URL di reindirizzamento.

• IdP Issuer (Emittente IdP): l'identificatore univoco dell'IdP. In Okta, questa operazione è chiamata "Chiave esterna".

• Certificato IdP: la chiave pubblica per consentire a Looker di verificare la firma delle risposte IdP.

Presi insieme, questi tre campi consentono a Looker di confermare che un insieme di asserzioni SAML firmate provenga effettivamente da un IdP attendibile.

• Entità SP/Pubblico IdP: questo campo non è obbligatorio per Looker, ma molti IdP lo richiedono. Se inserisci un valore in questo campo, questo valore verrà inviato al tuo IdP come Entity ID di Looker nelle richieste di autorizzazione. In questo caso, Looker accetterà solo le risposte di autorizzazione che hanno questo valore come Audience. Se il tuo IdP richiede un valore Audience, inserisci la stringa qui.

• Deriva dell'orologio consentita: il numero di secondi di deriva dell'orologio (la differenza nei timestamp tra l'IdP e Looker) consentita. In genere questo valore è 0 per impostazione predefinita, ma alcuni IdP potrebbero richiedere un margine di tolleranza maggiore per gli accessi riusciti.

Impostazioni degli attributi utente

Nei campi seguenti, specifica il nome dell'attributo nella configurazione SAML del tuo IdP che contiene le informazioni corrispondenti per ogni campo. L'inserimento dei nomi degli attributi SAML indica a Looker come mappare questi campi ed estrarre le relative informazioni al momento dell'accesso. Looker non ha preferenze su come vengono strutturate queste informazioni. L'importante è che il modo in cui le inserisci in Looker corrisponda al modo in cui gli attributi sono definiti nel tuo IdP. Looker fornisce suggerimenti predefiniti su come costruire questi input.

Attributi standard

Devi specificare i seguenti attributi standard:

• Email Attr (Attributo email): il nome dell'attributo utilizzato dal tuo IdP per gli indirizzi email degli utenti.

• FName Attr (Attributo nome): il nome dell'attributo utilizzato dall'IdP per i nomi degli utenti.

• LName Attr (Attributo cognome): il nome dell'attributo utilizzato dall'IdP per i cognomi degli utenti.

Associazione degli attributi SAML agli attributi utente Looker

Se vuoi, puoi utilizzare i dati degli attributi SAML per compilare automaticamente i valori negli attributi utente di Looker quando un utente esegue l'accesso. Ad esempio, se hai configurato SAML per creare connessioni specifiche per gli utenti al tuo database, puoi accoppiare gli attributi SAML agli attributi utente di Looker per rendere specifiche per gli utenti le connessioni al database in Looker.

Per accoppiare gli attributi SAML agli attributi utente di Looker corrispondenti:

1. Inserisci il nome dell'attributo SAML nel campo Attributo SAML e il nome dell'attributo utente di Looker a cui vuoi associarlo nel campo Attributi utente di Looker.
2. Seleziona Obbligatorio se vuoi richiedere un valore dell'attributo SAML per consentire a un utente di accedere.
3. Fai clic su + e ripeti questi passaggi per aggiungere altre coppie di attributi.

Gruppi e ruoli

Puoi fare in modo che Looker crei gruppi che rispecchiano i tuoi gruppi SAML gestiti esternamente e poi assegni ruoli di Looker agli utenti in base ai loro gruppi SAML rispecchiati. Quando apporti modifiche all'appartenenza al gruppo SAML, queste vengono propagate automaticamente nella configurazione del gruppo di Looker.

Il mirroring dei gruppi SAML ti consente di utilizzare la directory SAML definita esternamente per gestire i gruppi e gli utenti di Looker. In questo modo, puoi gestire la tua iscrizione al gruppo per più strumenti Software as a Service (SaaS), come Looker, in un unico posto.

Se attivi l'opzione Mirror SAML Groups (Duplica gruppi SAML), Looker creerà un gruppo Looker per ogni gruppo SAML introdotto nel sistema. Questi gruppi Looker possono essere visualizzati nella pagina Gruppi della sezione Amministrazione di Looker. I gruppi possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare controlli di accesso ai contenuti e assegnare attributi utente.

Gruppi e ruoli predefiniti

Per impostazione predefinita, l'opzione Duplica gruppi SAML è disattivata. In questo caso, puoi impostare un gruppo predefinito per i nuovi utenti SAML. Nei campi Nuovi gruppi di utenti e Nuovi ruoli utente, inserisci i nomi di eventuali gruppi o ruoli di Looker a cui vuoi assegnare i nuovi utenti di Looker al primo accesso a Looker:

Questi gruppi e ruoli vengono applicati ai nuovi utenti al primo accesso. I gruppi e i ruoli non vengono applicati agli utenti esistenti e non vengono riapplicati se vengono rimossi dagli utenti dopo il loro accesso iniziale.

Se in un secondo momento attivi i gruppi SAML mirror, questi valori predefiniti verranno rimossi per gli utenti al successivo accesso e sostituiti dai ruoli assegnati nella sezione Gruppi SAML mirror. Queste opzioni predefinite non saranno più disponibili o assegnate e verranno sostituite completamente dalla configurazione dei gruppi speculari.

Attivazione dei gruppi SAML mirror

Se utilizzi un'istanza di Looker (Google Cloud core), ti consigliamo di attivare il mirroring dei gruppi solo per il metodo di autenticazione principale e di non attivarlo per l'autenticazione OAuth di backup. Se abiliti il mirroring dei gruppi sia per il metodo di autenticazione principale che per quello secondario, si verificano i seguenti comportamenti:

• Se un utente ha unito le identità, il mirroring dei gruppi corrisponderà al metodo di autenticazione principale, indipendentemente dal metodo di autenticazione effettivo utilizzato per accedere.
• Se un utente non ha identità unite, il mirroring dei gruppi corrisponderà al metodo di autenticazione utilizzato per accedere.

Procedura per attivare i gruppi speculari

Se scegli di eseguire il mirroring dei gruppi SAML in Looker, attiva l'opzione Mirror SAML Groups (Esegui il mirroring dei gruppi SAML). Looker visualizza le seguenti impostazioni:

Strategia di ricerca dei gruppi: seleziona il sistema utilizzato dall'IdP per assegnare i gruppi, a seconda dell'IdP.

• Quasi tutti gli IdP utilizzano un singolo valore dell'attributo per assegnare i gruppi, come mostrato in questa asserzione SAML di esempio: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come valori di singoli attributi.

• Alcuni IdP utilizzano un attributo separato per ogni gruppo e poi richiedono un secondo attributo per determinare se un utente è membro di un gruppo. Di seguito è riportata un'asserzione SAML di esempio che mostra questo sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> In questo caso, seleziona Gruppi come attributi individuali con valore di appartenenza.

Attributo Gruppi: Looker visualizza questo campo quando la Strategia di ricerca dei gruppi è impostata su Gruppi come valori di un singolo attributo. Inserisci il nome dell'attributo Gruppi utilizzato dal provider di identità.

Valore membro del gruppo: Looker visualizza questo campo quando la strategia di ricerca dei gruppi è impostata su Gruppi come attributi individuali con valore di appartenenza. Inserisci il valore che indica che un utente è membro di un gruppo.

Nome gruppo preferito/Ruoli/ID gruppo SAML: questo insieme di campi consente di assegnare un nome gruppo personalizzato e uno o più ruoli assegnati al gruppo SAML corrispondente in Looker:

1. Inserisci l'ID gruppo SAML nel campo ID gruppo SAML. Per gli utenti Okta, inserisci il nome del gruppo Okta come ID gruppo SAML. Gli utenti SAML inclusi nel gruppo SAML verranno aggiunti al gruppo sottoposto a mirroring in Looker.

2. Inserisci un nome personalizzato per il gruppo sottoposto a mirroring nel campo Nome personalizzato. Questo è il nome che verrà visualizzato nella pagina Gruppi della sezione Amministrazione di Looker.

3. Nel campo a destra del campo Nome personalizzato, seleziona uno o più ruoli di Looker che verranno assegnati a ogni utente del gruppo.

4. Fai clic su + per aggiungere altri set di campi per configurare altri gruppi speculari. Se hai configurato più gruppi e vuoi rimuovere la configurazione per un gruppo, fai clic su X accanto al set di campi del gruppo.

Se modifichi un gruppo sottoposto a mirroring precedentemente configurato in questa schermata, la configurazione del gruppo cambierà, ma il gruppo stesso rimarrà intatto. Ad esempio, puoi modificare il nome personalizzato di un gruppo, il che cambierà il modo in cui il gruppo viene visualizzato nella pagina Gruppi di Looker, ma non cambierà i ruoli assegnati e i membri del gruppo. Se modifichi l'ID gruppo SAML, il nome e i ruoli del gruppo vengono mantenuti, ma i membri del gruppo vengono riassegnati in base agli utenti che fanno parte del gruppo SAML esterno con il nuovo ID gruppo SAML.

Le modifiche apportate a un gruppo sottoposto a mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker.

Gestione avanzata dei ruoli

Se hai attivato l'opzione Mirror SAML Groups, Looker mostra queste impostazioni. Le opzioni in questa sezione determinano la flessibilità degli amministratori di Looker durante la configurazione di gruppi e utenti di Looker sottoposti a mirroring da SAML.

Ad esempio, se vuoi che la configurazione di utenti e gruppi di Looker corrisponda esattamente alla configurazione SAML, attiva queste opzioni. Quando tutte e tre le prime opzioni sono abilitate, gli amministratori di Looker non possono modificare le appartenenze ai gruppi sottoposti a mirroring e possono assegnare ruoli agli utenti solo tramite i gruppi sottoposti a mirroring SAML.

Se vuoi avere maggiore flessibilità per personalizzare i gruppi in Looker, disattiva queste opzioni. I gruppi Looker continueranno a rispecchiare la configurazione SAML, ma potrai eseguire ulteriori operazioni di gestione di gruppi e utenti in Looker, ad esempio aggiungere utenti SAML a gruppi specifici di Looker o assegnare ruoli Looker direttamente agli utenti SAML.

Per le nuove istanze di Looker o per quelle che non hanno gruppi mirroring configurati in precedenza, queste opzioni sono disattivate per impostazione predefinita.

Per le istanze di Looker esistenti che hanno configurato gruppi sottoposti a mirroring, queste opzioni sono attive per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

Impedisci ai singoli utenti SAML di ricevere ruoli diretti: se attivi questa opzione, gli amministratori di Looker non possono assegnare ruoli di Looker direttamente agli utenti SAML. Gli utenti SAML riceveranno i ruoli solo tramite le iscrizioni ai gruppi. Se agli utenti SAML è consentita l'iscrizione a gruppi Looker integrati (non sottoposti a mirroring), possono comunque ereditare i ruoli sia dai gruppi SAML sottoposti a mirroring sia dai gruppi Looker integrati. A tutti gli utenti SAML a cui erano stati assegnati direttamente dei ruoli verranno rimossi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono assegnare ruoli di Looker direttamente agli utenti SAML come se fossero configurati direttamente in Looker.

Impedisci l'iscrizione diretta ai gruppi non SAML: se attivi questa opzione, gli amministratori di Looker non possono aggiungere utenti SAML direttamente ai gruppi Looker integrati. Se i gruppi SAML sottoposti a mirroring possono essere membri di gruppi Looker integrati, gli utenti SAML possono mantenere l'iscrizione a qualsiasi gruppo Looker principale. Gli utenti SAML precedentemente assegnati a gruppi Looker integrati verranno rimossi da questi gruppi al successivo accesso.

Se questa opzione è disattivata, gli amministratori di Looker possono aggiungere utenti SAML direttamente ai gruppi Looker integrati.

Impedisci l'ereditarietà dei ruoli dai gruppi non SAML: se attivi questa opzione, i membri dei gruppi SAML sottoposti a mirroring non ereditano i ruoli dai gruppi Looker integrati. Gli utenti SAML che in precedenza hanno ereditato ruoli da un gruppo Looker principale perderanno questi ruoli al successivo accesso.

Se questa opzione è disattivata, i gruppi SAML sottoposti a mirroring o gli utenti SAML aggiunti come membri di un gruppo Looker integrato ereditano i ruoli assegnati al gruppo Looker principale.

Auth Requires Role (L'autenticazione richiede un ruolo): se questa opzione è attiva, gli utenti SAML devono avere un ruolo assegnato. Gli utenti SAML a cui non è assegnato un ruolo non potranno accedere a Looker.

Se questa opzione è disattivata, gli utenti SAML possono autenticarsi in Looker anche se non hanno alcun ruolo assegnato. Un utente senza un ruolo assegnato non potrà visualizzare alcun dato o eseguire alcuna azione in Looker, ma potrà accedere a Looker.

Disattivazione dei gruppi SAML di mirroring

Se vuoi interrompere il mirroring dei gruppi SAML in Looker, disattiva l'opzione Mirror SAML Groups (Mirror SAML Groups). La disattivazione dell'opzione comporta il seguente comportamento:

• Qualsiasi gruppo SAML mirror senza utenti viene eliminato immediatamente.
• Qualsiasi gruppo SAML mirror che contiene utenti viene contrassegnato come orfano. Se nessun utente di questo gruppo esegue l'accesso entro 31 giorni, il gruppo viene eliminato. Gli utenti non possono più essere aggiunti o rimossi dai gruppi SAML orfani.

Opzioni di migrazione

Accesso alternativo per amministratori e utenti specificati

Gli accessi con email e password di Looker sono sempre disattivati per gli utenti regolari quando è attivata l'autenticazione SAML. Questa opzione consente l'accesso alternativo con un indirizzo email utilizzando /login/email per gli amministratori e gli utenti specificati con l'autorizzazione login_special_email.

L'attivazione di questa opzione è utile come alternativa durante la configurazione dell'autenticazione SAML se in un secondo momento si verificano problemi di configurazione con SAML o se devi supportare alcuni utenti che non hanno account nella tua directory SAML.

Specifica il metodo utilizzato per unire gli utenti SAML a un account Looker

Nel campo Unisci utenti utilizzando, specifica il metodo da utilizzare per unire un accesso SAML alla prima volta a un account utente esistente. Puoi unire gli utenti dei seguenti sistemi:

• Email/password di Looker (non disponibile per Looker (Google Cloud core))
• Google
• LDAP (non disponibile per Looker (Google Cloud core))
• OIDC

Se hai più di un sistema in atto, puoi specificare più di un sistema da unire in questo campo. Looker cercherà gli utenti nei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, supponiamo di aver creato alcuni utenti utilizzando l'email e la password di Looker, poi di aver attivato LDAP e ora di voler utilizzare SAML. Looker esegue l'unione prima in base a email e password e poi in base a LDAP.

Quando un utente accede per la prima volta tramite SAML, questa opzione lo connette al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Unione degli utenti quando utilizzi Looker (Google Cloud core)

Quando utilizzi Looker (Google Cloud core) e SAML, l'unione funziona come descritto nella sezione precedente. Tuttavia, è possibile solo se è soddisfatta una delle due condizioni seguenti:

1. Condizione 1: gli utenti eseguono l'autenticazione in Looker (Google Cloud core) utilizzando le proprie identità Google tramite il protocollo SAML.

2. Condizione 2: prima di selezionare l'opzione di unione, hai completato i due passaggi seguenti:

   • Identità degli utenti federati in Google Cloud utilizzando Cloud Identity
   • Configura l'autenticazione OAuth come metodo di autenticazione di backup utilizzando gli utenti federati.

Se la tua istanza non soddisfa una di queste due condizioni, l'opzione Unisci utenti utilizzando non sarà disponibile.

Durante l'unione, Looker (Google Cloud core) cercherà i record utente che condividono lo stesso indirizzo email.

Testare l'autenticazione utente

Fai clic sul pulsante Testa per testare le impostazioni. I test reindirizzeranno al server e apriranno una scheda del browser. La scheda mostra:

• Se Looker è riuscito a comunicare con il server e a eseguire la convalida.
• I nomi che Looker riceve dal server. Devi verificare che il server restituisca i risultati corretti.
• Una traccia per mostrare come sono state trovate le informazioni. Utilizza la traccia per risolvere il problema se le informazioni non sono corrette. Se hai bisogno di ulteriori informazioni, puoi leggere il file XML server non elaborato.

Suggerimenti:

• Puoi eseguire questo test in qualsiasi momento, anche se SAML è configurato parzialmente. L'esecuzione di un test può essere utile durante la configurazione per vedere quali parametri devono essere configurati.
• Il test utilizza le impostazioni inserite nella pagina Autenticazione SAML, anche se non sono state salvate. Il test non influirà né modificherà alcuna impostazione della pagina.
• Durante il test, Looker trasmette le informazioni all'IdP utilizzando il parametro SAML RelayState. Il fornitore di identità deve restituire questo valore RelayState a Looker senza modifiche.

Salva e applica le impostazioni

Una volta inserite le informazioni e superati tutti i test, seleziona Ho confermato la configurazione precedente e voglio attivarla a livello globale e fai clic su Aggiorna impostazioni per salvare.

Comportamento di accesso degli utenti

Quando un utente tenta di accedere a un'istanza di Looker utilizzando SAML, Looker si apre nella pagina Accedi. L'utente deve fare clic sul pulsante Autentica per avviare l'autenticazione tramite SAML.

Questo è il comportamento predefinito se l'utente non ha già una sessione Looker attiva.

Se vuoi che gli utenti accedano direttamente alla tua istanza di Looker dopo l'autenticazione dell'IdP e bypassino la pagina Accedi, attiva l'opzione Bypassa pagina di accesso in Comportamento di accesso.

Se utilizzi Looker (originale), la funzionalità Ignora pagina di accesso deve essere attivata da Looker. Per aggiornare la licenza per questa funzionalità, contatta uno Google Cloud specialista delle vendite o apri una richiesta di assistenza. Se utilizzi Looker (Google Cloud core), l'opzione Ignora pagina di accesso è disponibile automaticamente se SAML viene utilizzato come metodo di autenticazione principale ed è disattivata per impostazione predefinita.

Quando l'opzione Ignora pagina di accesso è attivata, la sequenza di accesso dell'utente è la seguente:

1. L'utente tenta di connettersi a un URL di Looker (ad esempio instance_name.looker.com).

2. Looker determina se l'utente ha già una sessione attiva abilitata. A questo scopo, Looker utilizza il cookie AUTH-MECHANISM-COOKIE per identificare il metodo di autorizzazione utilizzato dall'utente nella sua ultima sessione. Il valore è sempre uno tra saml, ldap, oidc, google o email.

3. Se l'utente ha una sessione attiva abilitata, viene indirizzato all'URL richiesto.

4. Se l'utente non ha una sessione attiva abilitata, viene reindirizzato all'IdP. L'IdP autentica l'utente quando esegue l'accesso. Looker autentica quindi l'utente quando l'IdP lo reindirizza a Looker con informazioni che indicano che l'utente è autenticato con l'IdP.

5. Se l'autenticazione presso l'IdP è andata a buon fine, Looker convalida le asserzioni SAML, accetta l'autenticazione, aggiorna le informazioni utente e inoltra l'utente all'URL richiesto, ignorando la pagina Accedi.

6. Se l'utente non riesce ad accedere all'IdP o se non è autorizzato dall'IdP a utilizzare Looker, a seconda dell'IdP, rimarrà sul sito dell'IdP o verrà reindirizzato alla pagina di accesso di Looker.

Risposta SAML che supera il limite

Se gli utenti che tentano di autenticarsi ricevono errori che indicano che la risposta SAML ha superato la dimensione massima, puoi aumentare la dimensione massima consentita della risposta SAML.

Per le istanze ospitate da Looker, apri una richiesta di assistenza per aggiornare la dimensione massima della risposta SAML.

Per le istanze di Looker ospitate dal cliente, puoi impostare le dimensioni massime della risposta SAML in numero di byte con la variabile di ambiente MAX_SAML_RESPONSE_BYTESIZE. Ad esempio:

export MAX_SAML_RESPONSE_BYTESIZE=500000

Il valore predefinito per la dimensione massima della risposta SAML è 250.000 byte.