Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
Looker bietet eine 2-Faktor-Authentifizierung (2FA) als zusätzliche Sicherheitsebene zum Schutz der über Looker zugänglichen Daten. Wenn 2FA aktiviert ist, muss sich jeder Nutzer, der sich anmeldet, mit einem einmaligen Code authentifizieren, der von seinem Mobilgerät generiert wird. Es gibt keine Option, 2FA für eine Untergruppe von Nutzern zu aktivieren.
Im Abschnitt Authentifizierung des Menüs Admin können Sie auf der Seite 2-Faktor-Authentifizierung die 2FA aktivieren und konfigurieren.
Zwei-Faktor-Authentifizierung verwenden
Im Folgenden wird der allgemeine Workflow zur Einrichtung und Verwendung von 2FA erläutert. Bitte beachten Sie die Anforderungen für die Zeitsynchronisierung, die für den korrekten Betrieb von 2FA erforderlich sind.
Der Administrator aktiviert 2FA in den Administratoreinstellungen von Looker.
Wenn Sie 2FA aktivieren, werden alle bei Looker angemeldeten Benutzer abgemeldet und müssen sich wieder mit 2FA anmelden.
Die Nutzer installieren die iPhone-App oder die Android-App von Google Authenticator auf ihren Mobilgeräten.
Bei der ersten Anmeldung wird dem Nutzer auf seinem Computerbildschirm ein Bild eines QR-Codes angezeigt, den er mithilfe der Google Authenticator App mit seinem Smartphone scannen muss.
Wenn der Nutzer mit seinem Smartphone keinen QR-Code scannen kann, gibt es die Möglichkeit, einen Textcode zu generieren, den er auf dem Smartphone eingeben kann.
Nach Abschluss dieses Schritts können die Benutzer Authentifizierungsschlüssel für Looker generieren.
Bei nachfolgenden Anmeldungen bei Looker muss der Benutzer nach Eingabe seines Benutzernamens und Passworts einen Authentifizierungsschlüssel eingeben.
Wenn ein Nutzer die Option Dies ist ein vertrauenswürdiger Computer aktiviert, authentifiziert der Schlüssel den Anmeldebrowser 30 Tage lang. Während dieses Zeitraums kann sich der Nutzer nur mit seinem Nutzernamen und Passwort anmelden. Jeder Nutzer muss den Browser alle 30 Tage mit Google Authenticator neu authentifizieren.
Anforderungen an die Zeitsynchronisierung
Google Authenticator erstellt zeitbasierte Tokens, die eine Zeitsynchronisierung zwischen dem Looker-Server und jedem Mobilgerät erfordern, damit die Tokens funktionieren. Wenn der Looker-Server und ein Mobilgerät nicht synchronisiert sind, kann dies dazu führen, dass sich der Benutzer des Mobilgeräts nicht mit 2FA authentifizieren kann. So synchronisieren Sie Zeitquellen:
Mobilgeräte für die automatische Zeitsynchronisierung mit dem Netzwerk einrichten
Achten Sie bei von Kunden gehosteten Looker-Bereitstellungen darauf, dass NTP ausgeführt und auf dem Server konfiguriert ist. Wenn der Server in AWS bereitgestellt wird, müssen Sie NTP möglicherweise in der AWS-Netzwerk-ACL explizit zulassen.
Looker-Administratoren können die maximal zulässige Zeitverschiebung im Looker-Bereich Admin festlegen. Damit wird definiert, wie groß der Unterschied zwischen dem Server und den Mobilgeräten ist. Wenn die Zeiteinstellung eines Mobilgeräts um mehr als die zulässige Abweichung deaktiviert ist, funktionieren Authentifizierungsschlüssel nicht. Der Standardwert beträgt 90 Sekunden.
Zurücksetzen der 2-Faktor-Authentifizierung
Wenn ein Nutzer die 2FA zurücksetzen lassen möchte, z. B. wenn er ein neues Mobilgerät verwendet, ist Folgendes zu beachten:
Klicken Sie in Looker im Bereich Admin auf der Seite Nutzer rechts in der Zeile des Nutzers auf Bearbeiten, um die Kontoinformationen des Nutzers zu bearbeiten.
Klicken Sie im Abschnitt Zwei-Faktor-Secret auf Zurücksetzen. Dadurch werden Benutzer in Looker aufgefordert, einen neuen QR-Code mit der Google Authenticator-App zu scannen, wenn sie sich das nächste Mal bei der Looker-Instanz anmelden.
Hinweise
Beachten Sie bei der Konfiguration der 2-Faktor-Authentifizierung Folgendes:
Die 2-Faktor-Authentifizierung wirkt sich nicht auf die Verwendung der Looker API aus.
Die 2-Faktor-Authentifizierung wirkt sich nicht auf die Authentifizierung über externe Systeme wie LDAP, SAML, Google OAuth oder OpenID Connect aus. Die Bestätigung in zwei Schritten wirkt sich jedoch auf alle alternativen Anmeldedaten aus, die mit diesen Systemen verwendet werden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-25 (UTC)."],[],[],null,["# Admin settings - Two-factor authentication\n\nLooker provides two-factor authentication (2FA) as an additional layer of security to protect data that is accessible through Looker. With 2FA enabled, every user who logs in must authenticate with a one-time code generated by their mobile device. There is no option to enable 2FA for a subset of users.\n\nThe **Two-Factor Authentication** page in the **Authentication** section of the **Admin** menu lets you enable and configure 2FA.\n| **Note:** If you have a permission that provides access to only select pages in the Admin panel, such as [`manage_schedules`](/looker/docs/admin-panel-users-roles#manage_schedules), [`manage_themes`](/looker/docs/admin-panel-users-roles#manage_themes), or [`see_admin`](/looker/docs/admin-panel-users-roles#see_admin), but you don't have the [Admin role](/looker/docs/admin-panel-users-roles#default_roles), the page or pages that are described here may not be visible to you in the Admin panel.\n\nUsing two-factor authentication\n-------------------------------\n\nFollowing is the high-level workflow for setting up and using 2FA. Please note the [time synchronization requirements](#time_synchronization_requirements), which are required for correct operation of 2FA.\n\n1. Administrator enables 2FA in Looker's admin settings.\n\n \u003e When you enable 2FA, any users logged in to Looker will be logged out and will have to log back in using 2FA.\n2. Individual users install the Google Authenticator [iPhone app](https://itunes.apple.com/us/app/google-authenticator/id388497605) or [Android app](https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2) on their mobile devices.\n\n3. At first login, a user will be presented with a picture of a QR code on their computer screen, which they will need to scan with their phone using the Google Authenticator app.\n\n If the user can't scan a QR code with their phone, there is also an option to generate a text code that they can enter on their phone.\n\n After completing this step, the users will be able to generate authentication keys for Looker.\n\n4. On subsequent logins to Looker, the user will need to enter an authentication key after submitting their username and password.\n\n If a user enables the **This is a trusted computer** option, the key authenticates the login browser for a 30-day window. During this window the user can log in with username and password alone. Every 30 days Looker requires each user to re-authenticate the browser with Google Authenticator.\n\nTime synchronization requirements\n---------------------------------\n\nGoogle Authenticator produces time-based tokens, which require time synchronization between the Looker server and each mobile device in order for the tokens to work. If the Looker server and a mobile device are not synchronized, this can cause the mobile device user to be unable to authenticate with 2FA. To synchronize time sources:\n\n- Set mobile devices for automatic time synchronization with the network.\n- For customer-hosted Looker deployments, ensure that NTP is running and configured on the server. If the server is provisioned on AWS, you might need to explicitly allow NTP in the AWS Network ACL.\n- A Looker admin can set the maximum allowed time-drift in the Looker **Admin** panel, which defines how much of a difference is permitted between the server and mobile devices. If a mobile device's time setting is off by more than the allowed drift, authentication keys will not work. The default is 90 seconds.\n\nResetting two-factor authentication\n-----------------------------------\n\nIf a user needs to have their 2FA reset (for example, if they have a new mobile device):\n\n1. In the [**Users**](/looker/docs/admin-panel-users-users) page in the **Admin** section of Looker, click **Edit** on the right-hand side of the user's row to edit the user's account information.\n2. In the [**Two-Factor Secret**](/looker/docs/admin-panel-users-users#two-factor_secret) section, click **Reset**. This causes Looker to prompt the user to rescan a QR code with the Google Authenticator app the next time they attempt to log in to the Looker instance.\n\nConsiderations\n--------------\n\nWhile configuring two-factor authentication, keep the following considerations in mind:\n\n- Two-factor authentication does not affect [Looker API](/looker/docs/reference/looker-api/latest) use.\n- Two-factor authentication does not affect authentication through external systems such as [LDAP](/looker/docs/admin-panel-authentication-ldap), [SAML](/looker/docs/admin-panel-authentication-saml), [Google OAuth](/looker/docs/admin-panel-authentication-google), or [OpenID Connect](/looker/docs/admin-panel-authentication-openid-connect). 2FA does affect any [alternate login credentials](/looker/docs/best-practices/how-to-alternate-login-option) that are used with these systems."]]
