Configuración del administrador: Autenticación de dos factores

Looker proporciona la autenticación de dos factores (2FA) como capa adicional de seguridad para proteger los datos a los que se puede acceder a través de Looker. Con 2FA habilitada, todos los usuarios que accedan deben autenticarse con un código de uso único generado por su dispositivo móvil. No hay opción para habilitar 2FA para un subconjunto de usuarios.

La página Autenticación de dos factores en la sección Autenticación del menú Administrador te permite habilitar y configurar 2FA.

Usa la autenticación de dos factores

A continuación, se detalla el flujo de trabajo de alto nivel para configurar y usar la 2FA. Ten en cuenta los requisitos de sincronización de hora, que son necesarios para el funcionamiento correcto de la 2FA.

  1. El administrador habilita la 2FA en la configuración del administrador de Looker.

    Cuando habilitas 2FA, todos los usuarios que hayan accedido a Looker saldrán de la cuenta y tendrán que volver a acceder con 2FA.

  2. Los usuarios individuales instalan la app para iPhone o la app para Android del Autenticador de Google en sus dispositivos móviles.

  3. Cuando accede por primera vez, se le muestra a un usuario una imagen de un código QR en la pantalla de su computadora, que deberá escanear con su teléfono mediante la aplicación Autenticador de Google.

    Si el usuario no puede escanear un código QR con su teléfono, también hay una opción para generar un código de texto que puede ingresar en su teléfono.

    Después de completar este paso, los usuarios podrán generar claves de autenticación para Looker.

  4. En los accesos posteriores a Looker, el usuario deberá ingresar una clave de autenticación después de enviar su nombre de usuario y contraseña.

    Si un usuario habilita la opción Esta es una computadora de confianza, la clave autentica el navegador de acceso durante un período de 30 días. Durante esta ventana, el usuario puede acceder solo con el nombre de usuario y la contraseña. Cada 30 días, Looker requiere que cada usuario vuelva a autenticar el navegador con el Autenticador de Google.

Requisitos de sincronización de hora

El Autenticador de Google produce tokens basados en el tiempo, que requieren sincronización de tiempo entre el servidor de Looker y cada dispositivo móvil para que funcionen los tokens. Si el servidor de Looker y un dispositivo móvil no están sincronizados, es posible que el usuario del dispositivo móvil no pueda autenticarse con 2FA. Para sincronizar fuentes de horas, haz lo siguiente:

  • Configura los dispositivos móviles para la sincronización automática de la hora con la red.
  • En el caso de las implementaciones de Looker alojadas por el cliente, asegúrate de que NTP se esté ejecutando y configurado en el servidor. Si el servidor se aprovisiona en AWS, es posible que debas permitir explícitamente NTP en la LCA de la red de AWS.
  • Un administrador de Looker puede establecer el desvío de tiempo máximo permitido en el panel Admin de Looker, que define cuánta diferencia se permite entre el servidor y los dispositivos móviles. Si la configuración de horario de un dispositivo móvil está desactivada por más de la desviación permitida, las claves de autenticación no funcionarán. El valor predeterminado es 90 segundos.

Restablece la autenticación de dos factores

Si un usuario necesita restablecer su 2FA (por ejemplo, si tiene un nuevo dispositivo móvil), haz lo siguiente:

  1. En la página Usuarios de la sección Administrador de Looker, haz clic en Editar a la derecha de la fila del usuario para editar la información de su cuenta.
  2. En la sección Secret de dos factores, haz clic en Restablecer. Esto hace que Looker le solicite al usuario que vuelva a escanear un código QR con la app del Autenticador de Google la próxima vez que intente acceder a la instancia de Looker.

Consideraciones

Cuando configures la autenticación de dos factores, ten en cuenta las siguientes consideraciones: