Paramètres Admin – Authentification à deux facteurs

Looker fournit une authentification à deux facteurs (2FA) qui constitue une couche de sécurité supplémentaire pour protéger les données accessibles via Looker. Lorsque l'authentification à deux facteurs est activée, chaque utilisateur qui se connecte doit s'authentifier à l'aide d'un code unique généré par son appareil mobile. Il n'est pas possible d'activer l'authentification à deux facteurs pour un sous-ensemble d'utilisateurs.

La page Authentification à deux facteurs de la section Authentification du menu Admin vous permet d'activer et de configurer l'authentification à deux facteurs.

Utiliser l'authentification à deux facteurs

Vous trouverez ci-dessous le workflow général de configuration et d'utilisation de l'authentification à deux facteurs. Veuillez prendre en compte les exigences de synchronisation de l'heure, qui sont requises pour le bon fonctionnement de l'authentification à deux facteurs.

1. L'administrateur active l'authentification à deux facteurs dans les paramètres d'administration de Looker.

   Lorsque vous activez l'authentification à deux facteurs, tous les utilisateurs connectés à Looker seront déconnectés et devront se reconnecter avec cette méthode.

2. Les utilisateurs individuels installent l'application iPhone ou l'application Android Google Authenticator sur leur appareil mobile.

3. Lors de la première connexion, l'utilisateur voit s'afficher un code QR sur l'écran de son ordinateur. Il doit ensuite le scanner avec son téléphone à l'aide de l'application Google Authenticator.

   

   Si l'utilisateur ne parvient pas à scanner de code QR avec son téléphone, il est également possible de générer un code qu'il pourra saisir sur son téléphone.

   Une fois cette étape terminée, les utilisateurs pourront générer des clés d'authentification pour Looker.

   

4. Lors des connexions suivantes à Looker, l'utilisateur devra saisir une clé d'authentification après avoir saisi son nom d'utilisateur et son mot de passe.

   

   Si un utilisateur active l'option This is a Trusted computer (Il s'agit d'un ordinateur de confiance), la clé authentifie le navigateur de connexion pendant une période de 30 jours. Pendant cette fenêtre, l'utilisateur peut se connecter avec son nom d'utilisateur et son mot de passe uniquement. Tous les 30 jours, Looker exige que chaque utilisateur authentifie de nouveau le navigateur avec Google Authenticator.

Exigences concernant la synchronisation de l'heure

Google Authenticator produit des jetons temporels, qui nécessitent une synchronisation temporelle entre le serveur Looker et chaque appareil mobile pour que les jetons fonctionnent. Si le serveur Looker et un appareil mobile ne sont pas synchronisés, l'utilisateur de l'appareil mobile risque de ne pas pouvoir s'authentifier avec l'A2F. Pour synchroniser des sources temporelles:

• Configurer les appareils mobiles de sorte qu'ils se synchronisent automatiquement avec le réseau dans le temps
• Pour les déploiements Looker hébergés par un client, assurez-vous que NTP est en cours d'exécution et configuré sur le serveur. Si le serveur est provisionné sur AWS, vous devrez peut-être autoriser explicitement NTP dans la LCA du réseau AWS.
• Un administrateur Looker peut définir la dérive maximale autorisée dans le panneau Administration de Looker, ce qui permet de définir l'écart autorisé entre le serveur et les appareils mobiles. Si le paramètre de temps d'un appareil mobile est désactivé de plus que la dérive autorisée, les clés d'authentification ne fonctionneront pas. La valeur par défaut est de 90 secondes.

Réinitialiser l'authentification à deux facteurs

Si un utilisateur doit réinitialiser l'authentification à deux facteurs (par exemple, s'il possède un nouvel appareil mobile):

1. Sur la page Utilisateurs de la section Administration de Looker, cliquez sur Modifier à droite de la ligne de l'utilisateur pour modifier ses informations.
2. Dans la section Code secret à deux facteurs, cliquez sur Réinitialiser. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.

Remarques

Lorsque vous configurez l'authentification à deux facteurs, tenez compte des considérations suivantes:

• L'authentification à deux facteurs n'affecte pas l'utilisation de l'API Looker.
• L'authentification à deux facteurs n'a aucune incidence sur l'authentification via des systèmes externes tels que LDAP, SAML, Google OAuth ou OpenID Connect. Elle a toutefois une incidence sur les autres identifiants de connexion utilisés avec ces systèmes.