Looker bietet eine 2-Faktor-Authentifizierung (2FA) als zusätzliche Sicherheitsebene zum Schutz der über Looker zugänglichen Daten. Wenn 2FA aktiviert ist, muss sich jeder Nutzer, der sich anmeldet, mit einem einmaligen Code authentifizieren, der von seinem Mobilgerät generiert wird. Es gibt keine Option, 2FA für eine Untergruppe von Nutzern zu aktivieren.
Im Abschnitt Authentifizierung des Menüs Admin können Sie auf der Seite 2-Faktor-Authentifizierung die 2FA aktivieren und konfigurieren.
Zwei-Faktor-Authentifizierung verwenden
Im Folgenden wird der allgemeine Workflow zur Einrichtung und Verwendung von 2FA erläutert. Bitte beachten Sie die Anforderungen für die Zeitsynchronisierung, die für den korrekten Betrieb von 2FA erforderlich sind.
Der Administrator aktiviert 2FA in den Administratoreinstellungen von Looker.
Wenn Sie 2FA aktivieren, werden alle bei Looker angemeldeten Benutzer abgemeldet und müssen sich wieder mit 2FA anmelden.
Die Nutzer installieren die iPhone-App oder die Android-App von Google Authenticator auf ihren Mobilgeräten.
Bei der ersten Anmeldung wird dem Nutzer auf seinem Computerbildschirm ein Bild eines QR-Codes angezeigt, den er mithilfe der Google Authenticator App mit seinem Smartphone scannen muss.
Wenn der Nutzer mit seinem Smartphone keinen QR-Code scannen kann, gibt es die Möglichkeit, einen Textcode zu generieren, den er auf dem Smartphone eingeben kann.
Nach Abschluss dieses Schritts können die Benutzer Authentifizierungsschlüssel für Looker generieren.
Bei nachfolgenden Anmeldungen bei Looker muss der Benutzer nach Eingabe seines Benutzernamens und Passworts einen Authentifizierungsschlüssel eingeben.
Wenn ein Nutzer die Option Dies ist ein vertrauenswürdiger Computer aktiviert, authentifiziert der Schlüssel den Anmeldebrowser 30 Tage lang. Während dieses Zeitraums kann sich der Nutzer nur mit seinem Nutzernamen und Passwort anmelden. Jeder Nutzer muss den Browser alle 30 Tage mit Google Authenticator neu authentifizieren.
Anforderungen an die Zeitsynchronisierung
Google Authenticator erstellt zeitbasierte Tokens, die eine Zeitsynchronisierung zwischen dem Looker-Server und jedem Mobilgerät erfordern, damit die Tokens funktionieren. Wenn der Looker-Server und ein Mobilgerät nicht synchronisiert sind, kann dies dazu führen, dass sich der Benutzer des Mobilgeräts nicht mit 2FA authentifizieren kann. So synchronisieren Sie Zeitquellen:
- Mobilgeräte für die automatische Zeitsynchronisierung mit dem Netzwerk einrichten
- Achten Sie bei von Kunden gehosteten Looker-Bereitstellungen darauf, dass NTP ausgeführt und auf dem Server konfiguriert ist. Wenn der Server in AWS bereitgestellt wird, müssen Sie NTP möglicherweise in der AWS-Netzwerk-ACL explizit zulassen.
- Looker-Administratoren können die maximal zulässige Zeitverschiebung im Looker-Bereich Admin festlegen. Damit wird definiert, wie groß der Unterschied zwischen dem Server und den Mobilgeräten ist. Wenn die Zeiteinstellung eines Mobilgeräts um mehr als die zulässige Abweichung deaktiviert ist, funktionieren Authentifizierungsschlüssel nicht. Der Standardwert beträgt 90 Sekunden.
Zurücksetzen der 2-Faktor-Authentifizierung
Wenn ein Nutzer die 2FA zurücksetzen lassen möchte, z. B. wenn er ein neues Mobilgerät verwendet, ist Folgendes zu beachten:
- Klicken Sie in Looker im Bereich Admin auf der Seite Nutzer rechts in der Zeile des Nutzers auf Bearbeiten, um die Kontoinformationen des Nutzers zu bearbeiten.
- Klicken Sie im Abschnitt Zwei-Faktor-Secret auf Zurücksetzen. Dadurch werden Benutzer in Looker aufgefordert, einen neuen QR-Code mit der Google Authenticator-App zu scannen, wenn sie sich das nächste Mal bei der Looker-Instanz anmelden.
Hinweise
Beachten Sie bei der Konfiguration der 2-Faktor-Authentifizierung Folgendes:
- Die 2-Faktor-Authentifizierung wirkt sich nicht auf die Verwendung der Looker API aus.
- Die 2-Faktor-Authentifizierung wirkt sich nicht auf die Authentifizierung über externe Systeme wie LDAP, SAML, Google OAuth oder OpenID Connect aus. Die Bestätigung in zwei Schritten wirkt sich jedoch auf alle alternativen Anmeldedaten aus, die mit diesen Systemen verwendet werden.