Definições de administrador: autenticação SAML

A página SAML na secção Autenticação do menu Administração permite-lhe configurar o Looker para autenticar utilizadores através da Linguagem de marcação de declaração de segurança (SAML). Esta página descreve esse processo e inclui instruções para associar grupos SAML a funções e autorizações do Looker.

Requisitos

O Looker apresenta a página SAML na secção Autenticação do menu Admin apenas se as seguintes condições forem cumpridas:

• Tem a função de administrador.
• A sua instância do Looker está ativada para usar SAML.

Se estas condições forem cumpridas e não vir a página SAML, abra um pedido de apoio técnico para ativar o SAML na sua instância.

SAML e fornecedores de identidade

As empresas usam diferentes fornecedores de identidade (IdPs) para coordenar com o SAML (por exemplo, Okta ou OneLogin). Os termos usados nas seguintes instruções de configuração e na IU podem não corresponder diretamente aos usados pelo seu IdP. Para esclarecimentos durante a configuração, contacte a sua equipa interna de SAML ou autenticação, ou contacte o apoio técnico do Looker.

O Looker pressupõe que os pedidos e as afirmações SAML estão comprimidos. Certifique-se de que o seu IdP está configurado como tal. Os pedidos do Looker ao IdP não estão assinados.

O Looker suporta o início de sessão iniciado pelo IdP.

Parte do processo de configuração tem de ser concluída no Website do IdP.

A Okta oferece uma app Looker, que é a forma recomendada de configurar o Looker e o Okta em conjunto.

Configurar o Looker no seu fornecedor de identidade

O seu IdP SAML vai precisar do URL da instância do Looker para o qual o IdP SAML deve POSTAR declarações SAML. No seu IdP, isto pode ser denominado "URL de publicação", "Destinatário" ou "Destino", entre outros nomes.

As informações a fornecer são o URL onde acede normalmente à sua instância do Looker através do navegador, seguido de /samlcallback. Por exemplo: none https://instance_name.looker.com/samlcallback

ou

https://looker.mycompany.com/samlcallback

Alguns IdPs também exigem que adicione :9999 após o URL da instância. Por exemplo:

https://instance_name.looker.com:9999/samlcallback

Factos importantes

Tenha em atenção os seguintes factos:

• O Looker requer SAML 2.0.
• Não desative a autenticação SAML enquanto tiver sessão iniciada no Looker através de SAML, a menos que tenha configurado um início de sessão alternativo na conta. Caso contrário, pode perder o acesso à app.
• O Looker pode migrar contas existentes para SAML através de endereços de email provenientes das configurações atuais de email e palavra-passe ou do Google Auth, LDAP ou OIDC. Pode configurar a forma como as contas existentes são migradas no processo de configuração.

Começar

Navegue para a página Autenticação SAML na secção Administração do Looker para ver as seguintes opções de configuração. Tenha em atenção que as alterações às opções de configuração só entram em vigor depois de testar e guardar as definições na parte inferior da página.

Definições de autenticação SAML

O Looker requer o URL do IdP, o emissor do IdP e o certificado do IdP para autenticar o seu IdP.

O seu IdP pode oferecer um documento XML de metadados do IdP durante o processo de configuração do Looker no lado do IdP. Este ficheiro contém todas as informações pedidas na secção Definições de autenticação SAML. Se tiver este ficheiro, pode carregá-lo no campo Metadados do IdP, que preenche os campos obrigatórios nesta secção. Em alternativa, pode preencher os campos obrigatórios a partir do resultado obtido durante a configuração do IdP. Não tem de preencher os campos se carregar o ficheiro XML.

• Metadados do IdP (opcional): cole o URL público do documento XML que contém as informações do IdP ou cole o texto do documento na íntegra aqui. O Looker analisa esse ficheiro para preencher os campos obrigatórios.

Se não carregou nem colou um documento XML de metadados do IdP, introduza as informações de autenticação do IdP nos campos URL do IdP, Emissor do IdP e Certificado do IdP.

• URL do IdP: o URL para o qual o Looker acede para autenticar os utilizadores. Este é o URL de redirecionamento no Okta.

• Emissor do IdP: o identificador exclusivo do IdP. Isto chama-se "Chave externa" no Okta.

• Certificado de IdP: a chave pública para permitir que o Looker valide a assinatura das respostas de IdP.

Em conjunto, estes três campos permitem ao Looker confirmar que um conjunto de afirmações SAML assinadas é realmente proveniente de um IdP fidedigno.

• Entidade SP/público-alvo do IdP: este campo não é obrigatório para o Looker, mas muitos IdPs exigem-no. Se introduzir um valor neste campo, esse valor é enviado para o seu IdP como o Entity ID do Looker em pedidos de autorização. Nesse caso, o Looker só aceita respostas de autorização que tenham este valor como Audience. Se o seu IdP exigir um valor Audience, introduza essa string aqui.

• Desvio de tempo permitido: o número de segundos de desvio de tempo (a diferença nas datas/horas entre o IdP e o Looker) permitido. Normalmente, este valor é o predefinido de 0, mas alguns IdPs podem exigir uma margem adicional para inícios de sessão bem-sucedidos.

Definições de atributos do utilizador

Nos campos seguintes, especifique o nome do atributo na configuração SAML do seu IdP que contém as informações correspondentes para cada campo. A introdução dos nomes dos atributos SAML indica ao Looker como mapear esses campos e extrair as respetivas informações no momento do início de sessão. O Looker não é específico sobre a forma como estas informações são construídas. É apenas importante que a forma como as introduz no Looker corresponda à forma como os atributos são definidos no seu IdP. O Looker fornece sugestões predefinidas sobre como criar essas entradas.

Atributos padrão

Tem de especificar estes atributos padrão:

• Email Attr: o nome do atributo que o seu IdP usa para endereços de email dos utilizadores.

• FName Attr: o nome do atributo que o seu IdP usa para os primeiros nomes dos utilizadores.

• LName Attr: o nome do atributo que o seu IdP usa para os apelidos dos utilizadores.

Sincronizar atributos SAML com atributos do utilizador do Looker

Opcionalmente, pode usar os dados nos seus atributos SAML para preencher automaticamente os valores nos atributos do utilizador do Looker quando um utilizador inicia sessão. Por exemplo, se tiver configurado o SAML para fazer ligações específicas do utilizador à sua base de dados, pode sincronizar os atributos SAML com os atributos do utilizador do Looker para tornar as ligações à base de dados específicas do utilizador no Looker.

Para sincronizar atributos SAML com atributos de utilizador do Looker correspondentes:

1. Introduza o nome do atributo SAML no campo Atributo SAML e o nome do atributo de utilizador do Looker com o qual o quer sincronizar no campo Atributos de utilizador do Looker.
2. Selecione Obrigatório se quiser exigir um valor de atributo SAML para permitir que um utilizador inicie sessão.
3. Clique em + e repita estes passos para adicionar mais pares de atributos.

Grupos e funções

Tem a opção de o Looker criar grupos que refletem os seus grupos SAML geridos externamente e, em seguida, atribuir funções do Looker aos utilizadores com base nos respetivos grupos SAML refletidos. Quando faz alterações à sua associação a grupos SAML, essas alterações são propagadas automaticamente para a configuração de grupos do Looker.

A sincronização de grupos SAML permite-lhe usar o seu diretório SAML definido externamente para gerir grupos e utilizadores do Looker. Isto, por sua vez, permite-lhe gerir a sua associação a grupos para várias ferramentas de software como serviço (SaaS), como o Looker, num único local.

Se ativar a opção Refletir grupos SAML, o Looker cria um grupo do Looker para cada grupo SAML introduzido no sistema. Pode ver esses grupos do Looker na página Grupos da secção Administração do Looker. Os grupos podem ser usados para atribuir funções aos membros do grupo, definir controlos de acesso ao conteúdo e atribuir atributos do utilizador.

Grupos e funções predefinidos

Por predefinição, o interruptor Refletir grupos SAML está desativado. Neste caso, pode definir um grupo predefinido para novos utilizadores SAML. Nos campos Novos grupos de utilizadores e Novas funções de utilizadores, introduza os nomes de quaisquer grupos ou funções do Looker aos quais quer atribuir novos utilizadores do Looker quando iniciarem sessão no Looker pela primeira vez:

Estes grupos e funções são aplicados aos novos utilizadores no respetivo início de sessão inicial. Os grupos e as funções não são aplicados a utilizadores pré-existentes e não são reaplicados se forem removidos dos utilizadores após o início de sessão inicial dos utilizadores.

Se ativar posteriormente a sincronização de grupos SAML, estas predefinições são removidas para os utilizadores no respetivo início de sessão seguinte e substituídas por funções atribuídas na secção Sincronizar grupos SAML. Estas opções predefinidas vão deixar de estar disponíveis ou atribuídas e vão ser totalmente substituídas pela configuração de grupos espelhados.

Ativar grupos SAML espelhados

Se estiver a usar uma instância do Looker (Google Cloud core), recomendamos que ative a sincronização de grupos apenas para o método de autenticação principal e não ative a sincronização de grupos para a autenticação OAuth de cópia de segurança. Se ativar a sincronização de grupos para os métodos de autenticação principal e secundário, ocorrem os seguintes comportamentos:

• Se um utilizador tiver identidades unidas, a sincronização de grupos vai corresponder ao método de autenticação principal, independentemente do método de autenticação real usado para iniciar sessão.
• Se um utilizador não tiver identidades unidas, a sincronização de grupos vai corresponder ao método de autenticação usado para iniciar sessão.

Passos para ativar grupos espelhados

Se optar por espelhar os seus grupos SAML no Looker, ative o interrutor Espelhar grupos SAML. O Looker apresenta estas definições:

Estratégia de localização de grupos: selecione o sistema que o IdP usa para atribuir grupos, que depende do seu IdP.

• Quase todos os IdPs usam um único valor de atributo para atribuir grupos, conforme mostrado nesta declaração SAML de exemplo: none <saml2:Attribute Name='Groups'> <saml2:AttributeValue >Everyone</saml2:AttributeValue> <saml2:AttributeValue >Admins</saml2:AttributeValue> </saml2:Attribute> Neste caso, selecione Grupos como valores de atributos únicos.

• Alguns IdPs usam um atributo separado para cada grupo e, em seguida, exigem um segundo atributo para determinar se um utilizador é membro de um grupo. Segue-se um exemplo de uma afirmação SAML que mostra este sistema: none <saml2:Attribute Name='group_everyone'> <saml2:AttributeValue >yes</saml2:AttributeValue> </saml2:Attribute> <saml2:Attribute Name='group_admins'> <saml2:AttributeValue >no</saml2:AttributeValue> </saml2:Attribute> Neste caso, selecione Grupos como atributos individuais com valor de associação.

Atributo de grupos: o Looker apresenta este campo quando a Estratégia de localização de grupos está definida como Grupos como valores de um único atributo. Introduza o nome do atributo de grupos usado pelo IdP.

Valor do membro do grupo: o Looker apresenta este campo quando a Estratégia de localização de grupos está definida como Grupos como atributos individuais com valor de membro. Introduza o valor que indica que um utilizador é membro de um grupo.

Nome do grupo/funções/ID do grupo SAML preferencial: este conjunto de campos permite-lhe atribuir um nome de grupo personalizado e uma ou mais funções que são atribuídas ao grupo SAML correspondente no Looker:

1. Introduza o ID do grupo SAML no campo ID do grupo SAML. Para utilizadores do Okta, introduza o nome do grupo do Okta como o ID do grupo SAML. Os utilizadores SAML incluídos no grupo SAML são adicionados ao grupo espelhado no Looker.

2. Introduza um nome personalizado para o grupo duplicado no campo Nome personalizado. Este é o nome que é apresentado na página Grupos da secção Administração do Looker.

3. No campo à direita do campo Nome personalizado, selecione uma ou mais funções do Looker que vão ser atribuídas a cada utilizador no grupo.

4. Clique em + para adicionar conjuntos de campos adicionais para configurar grupos espelhados adicionais. Se tiver vários grupos configurados e quiser remover a configuração de um grupo, clique em X junto ao conjunto de campos desse grupo.

Se editar um grupo espelhado que foi configurado anteriormente neste ecrã, a configuração do grupo é alterada, mas o próprio grupo permanece intacto. Por exemplo, pode alterar o nome personalizado de um grupo, o que alteraria a forma como o grupo aparece na página Grupos do Looker, mas não alteraria as funções atribuídas nem os membros do grupo. A alteração do ID do grupo SAML manteria o nome e as funções do grupo, mas os membros do grupo seriam reatribuídos com base nos utilizadores que são membros do grupo SAML externo com o novo ID do grupo SAML.

As edições feitas a um grupo espelhado são aplicadas aos utilizadores desse grupo quando iniciarem sessão no Looker da próxima vez.

Gestão avançada de funções

Se tiver ativado o interruptor Refletir grupos SAML, o Looker apresenta estas definições. As opções nesta secção determinam a flexibilidade que os administradores do Looker têm ao configurar grupos e utilizadores do Looker que foram replicados a partir do SAML.

Por exemplo, se quiser que a configuração de utilizadores e grupos do Looker corresponda rigorosamente à configuração SAML, ative estas opções. Quando todas as três primeiras opções estão ativadas, os administradores do Looker não podem modificar as associações de grupos espelhados e só podem atribuir funções aos utilizadores através de grupos espelhados SAML.

Se quiser ter mais flexibilidade para personalizar os seus grupos no Looker, desative estas opções. Os seus grupos do Looker continuam a refletir a sua configuração SAML, mas pode fazer a gestão adicional de grupos e utilizadores no Looker, como adicionar utilizadores SAML a grupos específicos do Looker ou atribuir funções do Looker diretamente a utilizadores SAML.

Para novas instâncias do Looker ou instâncias que não tenham grupos espelhados configurados anteriormente, estas opções estão desativadas por predefinição.

Para instâncias do Looker existentes que tenham configurado grupos espelhados, estas opções estão ativadas por predefinição.

A secção Gestão avançada de funções contém estas opções:

Impedir que utilizadores SAML individuais recebam funções diretas: a ativação desta opção impede que os administradores do Looker atribuam funções do Looker diretamente a utilizadores SAML. Os utilizadores SAML recebem funções apenas através das respetivas associações a grupos. Se os utilizadores SAML tiverem autorização para serem membros de grupos Looker incorporados (não espelhados), podem continuar a herdar as respetivas funções de grupos SAML espelhados e de grupos Looker incorporados. As funções atribuídas diretamente a utilizadores SAML são removidas no próximo início de sessão.

Se esta opção estiver desativada, os administradores do Looker podem atribuir funções do Looker diretamente a utilizadores SAML como se estivessem configuradas diretamente no Looker.

Impedir associação direta em grupos não SAML: a ativação desta opção impede que os administradores do Looker adicionem utilizadores SAML diretamente a grupos do Looker incorporados. Se os grupos SAML espelhados puderem ser membros de grupos do Looker incorporados, os utilizadores SAML podem manter a associação a quaisquer grupos do Looker principais. Todos os utilizadores SAML que foram atribuídos anteriormente a grupos incorporados do Looker são removidos desses grupos no próximo início de sessão.

Se esta opção estiver desativada, os administradores do Looker podem adicionar utilizadores SAML diretamente a grupos do Looker incorporados.

Impedir a herança de funções de grupos não SAML: a ativação desta opção impede que os membros de grupos SAML espelhados herdem funções de grupos Looker incorporados. Todos os utilizadores SAML que herdaram anteriormente funções de um grupo principal do Looker perdem essas funções no próximo início de sessão.

Se esta opção estiver desativada, os grupos SAML espelhados ou os utilizadores SAML adicionados como membros de um grupo do Looker incorporado herdam as funções atribuídas ao grupo do Looker principal.

A autenticação requer função: se esta opção estiver ativada, os utilizadores SAML têm de ter uma função atribuída. Os utilizadores SAML aos quais não tenha sido atribuída uma função não vão poder iniciar sessão no Looker.

Se esta opção estiver desativada, os utilizadores SAML podem autenticar-se no Looker, mesmo que não tenham nenhuma função atribuída. Um utilizador sem uma função atribuída não pode ver dados nem realizar ações no Looker, mas pode iniciar sessão no Looker.

Desativar grupos SAML espelhados

Se quiser parar de espelhar os seus grupos SAML no Looker, desative o interrutor Espelhar grupos SAML. A desativação do interruptor resulta no seguinte comportamento:

• Qualquer grupo SAML espelhado sem utilizadores é eliminado imediatamente.
• Qualquer grupo SAML espelhado que não contenha utilizadores é marcado como órfão. Se nenhum utilizador deste grupo iniciar sessão no prazo de 31 dias, o grupo é eliminado. Já não é possível adicionar nem remover utilizadores de grupos SAML órfãos.

Opções de migração

Início de sessão alternativo para administradores e utilizadores especificados

Os inícios de sessão com email e palavra-passe do Looker estão sempre desativados para utilizadores normais quando a autenticação SAML está ativada. Esta opção permite o início de sessão alternativo baseado em email através do /login/email para administradores e utilizadores especificados com a autorização login_special_email.

Ativar esta opção é útil como alternativa durante a configuração da autenticação SAML, caso ocorram problemas de configuração SAML mais tarde ou se precisar de oferecer suporte a alguns utilizadores que não têm contas no seu diretório SAML.

Especifique o método usado para unir utilizadores SAML a uma conta do Looker

No campo Unir utilizadores através de, especifique o método a usar para unir um início de sessão SAML pela primeira vez a uma conta de utilizador existente. Pode unir utilizadores dos seguintes sistemas:

• Email/palavra-passe do Looker (não disponível para o Looker [Google Cloud Core])
• Google
• LDAP (não disponível para o Looker [Google Cloud Core])
• OIDC

Se tiver mais do que um sistema implementado, pode especificar mais do que um sistema para unir neste campo. O Looker procura utilizadores nos sistemas indicados pela ordem em que são especificados. Por exemplo, suponha que criou alguns utilizadores com o email e a palavra-passe do Looker, ativou o LDAP e agora quer usar o SAML. O Looker faria a união por email e palavra-passe primeiro e, em seguida, por LDAP.

Quando um utilizador inicia sessão pela primeira vez através do SAML, esta opção associa o utilizador à respetiva conta existente encontrando a conta com um endereço de email correspondente. Se não existir uma conta para o utilizador, é criada uma nova conta de utilizador.

Unir utilizadores quando usa o Looker (Google Cloud Core)

Quando usa o Looker (Google Cloud core) e o SAML, a união funciona conforme descrito na secção anterior. No entanto, só é possível se uma das duas condições seguintes for cumprida:

1. Condição 1: os utilizadores estão a autenticar-se no Looker (essencial para o Google Cloud) através das respetivas identidades Google através do protocolo SAML.

2. Condição 2: antes de selecionar a opção de união, concluiu os dois passos seguintes:

   • Identidades de utilizadores federadas em Google Cloud através do Cloud ID
   • Configure a autenticação OAuth como o método de autenticação alternativo através dos utilizadores federados.

Se a sua instância não cumprir uma destas duas condições, a opção Unir utilizadores através de fica indisponível.

Quando faz a união, o Looker (essencial para o Google Cloud) procura registos de utilizadores que partilham exatamente o mesmo endereço de email.

Teste a autenticação de utilizadores

Clique no botão Testar para testar as definições. Os testes são redirecionados para o servidor e abrem um separador do navegador. O separador apresenta:

• Se o Looker conseguiu comunicar com o servidor e validar.
• Os nomes que o Looker recebe do servidor. Tem de validar se o servidor devolve os resultados adequados.
• Um rastreio para mostrar como as informações foram encontradas. Use o rastreio para resolver problemas se as informações estiverem incorretas. Se precisar de informações adicionais, pode ler o ficheiro de servidor XML não processado.

Sugestões:

• Pode executar este teste em qualquer altura, mesmo que o SAML esteja parcialmente configurado. A execução de um teste pode ser útil durante a configuração para ver que parâmetros precisam de configuração.
• O teste usa as definições introduzidas na página Autenticação SAML, mesmo que essas definições não tenham sido guardadas. O teste não afeta nem altera nenhuma das definições nessa página.
• Durante o teste, o Looker transmite informações ao IdP através do parâmetro RelayState SAML. O IdP deve devolver este valor RelayState ao Looker sem modificações.

Guardar e aplicar definições

Quando terminar de introduzir as suas informações e todos os testes forem aprovados, selecione Confirmei a configuração acima e quero ativá-la globalmente e clique em Atualizar definições para guardar.

Comportamento de início de sessão do utilizador

Quando um utilizador tenta iniciar sessão numa instância do Looker através do SAML, o Looker abre a página Iniciar sessão. O utilizador tem de clicar no botão Autenticar para iniciar a autenticação através de SAML.

Este é o comportamento predefinido se o utilizador ainda não tiver uma sessão do Looker ativa.

Se quiser que os seus utilizadores iniciem sessão diretamente na sua instância do Looker depois de o IdP os autenticar e contornar a página Iniciar sessão, ative a opção Contornar página de início de sessão em Comportamento de início de sessão.

Se estiver a usar o Looker (original), a funcionalidade Ignorar página de início de sessão tem de ser ativada pelo Looker. Para atualizar a sua licença para esta funcionalidade, contacte um Google Cloud especialista de vendas ou abra um pedido de apoio técnico. Se estiver a usar o Looker (Google Cloud Core), a opção Ignorar página de início de sessão está disponível automaticamente se o SAML for usado como o método de autenticação principal e está desativada por predefinição.

Quando a opção Ignorar página de início de sessão está ativada, a sequência de início de sessão do utilizador é a seguinte:

1. O utilizador tenta estabelecer ligação a um URL do Looker (por exemplo, instance_name.looker.com).

2. O Looker determina se o utilizador já tem uma sessão ativa ativada. Para tal, o Looker usa o cookie AUTH-MECHANISM-COOKIE para identificar o método de autorização usado pelo utilizador na última sessão. O valor é sempre um dos seguintes: saml, ldap, oidc, google ou email.

3. Se o utilizador tiver uma sessão ativa ativada, é direcionado para o URL pedido.

4. Se o utilizador não tiver uma sessão ativa ativada, é redirecionado para o IdP. O IdP autentica o utilizador quando este inicia sessão com êxito no IdP. Em seguida, o Looker autentica o utilizador quando o IdP envia o utilizador de volta para o Looker com informações que indicam que o utilizador está autenticado com o IdP.

5. Se a autenticação no IdP tiver sido bem-sucedida, o Looker valida as afirmações SAML, aceita a autenticação, atualiza as informações do utilizador e encaminha o utilizador para o URL pedido, ignorando a página Iniciar sessão.

6. Se o utilizador não conseguir iniciar sessão no IdP ou não tiver autorização do IdP para usar o Looker, dependendo do IdP, permanece no site do IdP ou é redirecionado para a página Iniciar sessão do Looker.

Resposta SAML que excede o limite

Se os utilizadores que estão a tentar autenticar estão a receber erros que indicam que a resposta SAML excedeu o tamanho máximo, pode aumentar o tamanho máximo permitido da resposta SAML.

Para instâncias alojadas no Looker, abra um pedido de apoio técnico para atualizar o tamanho máximo da resposta SAML.

Para instâncias do Looker alojadas pelo cliente, pode definir o tamanho máximo da resposta SAML em número de bytes com a variável de ambiente MAX_SAML_RESPONSE_BYTESIZE. Por exemplo:

export MAX_SAML_RESPONSE_BYTESIZE=500000

O valor predefinido para o tamanho máximo da resposta SAML é de 250 000 bytes.