Setelan admin - Autentikasi 2 langkah

Looker menyediakan autentikasi 2 langkah (2FA) sebagai lapisan keamanan tambahan untuk melindungi data yang dapat diakses melalui Looker. Dengan mengaktifkan 2FA, setiap pengguna yang login harus melakukan autentikasi dengan kode sekali pakai yang dibuat oleh perangkat seluler mereka. Tidak ada opsi untuk mengaktifkan 2FA untuk sebagian pengguna.

Halaman Autentikasi 2 Langkah di bagian Authentication pada menu Admin memungkinkan Anda mengaktifkan dan mengonfigurasi 2FA.

Menggunakan autentikasi 2 langkah

Berikut ini adalah alur kerja tingkat tinggi untuk menyiapkan dan menggunakan 2FA. Perhatikan persyaratan sinkronisasi waktu, yang diperlukan untuk pengoperasian 2FA yang benar.

1. Administrator mengaktifkan 2FA di setelan admin Looker.

   Saat Anda mengaktifkan 2FA, semua pengguna yang login ke Looker akan logout dan harus login kembali menggunakan 2FA.

2. Setiap pengguna menginstal aplikasi iPhone atau aplikasi Android Google Authenticator di perangkat seluler mereka.

3. Saat login pertama, pengguna akan melihat gambar kode QR di layar komputer, yang perlu dipindai dengan ponsel menggunakan aplikasi Google Authenticator.

   

   Jika pengguna tidak dapat memindai kode QR dengan ponsel, ada juga opsi untuk membuat kode teks yang dapat dimasukkan ke ponsel.

   Setelah menyelesaikan langkah ini, pengguna akan dapat membuat kunci autentikasi untuk Looker.

   

4. Saat login berikutnya ke Looker, pengguna harus memasukkan kunci autentikasi setelah mengirimkan nama pengguna dan sandi.

   

   Jika pengguna mengaktifkan opsi This is a trusted computer, kunci tersebut akan mengautentikasi browser login selama periode 30 hari. Selama jendela ini, pengguna hanya dapat login dengan nama pengguna dan sandi. Setiap 30 hari Looker mengharuskan setiap pengguna mengautentikasi ulang browser dengan Google Authenticator.

Persyaratan sinkronisasi waktu

Google Authenticator menghasilkan token berbasis waktu, yang memerlukan sinkronisasi waktu antara server Looker dan setiap perangkat seluler agar token dapat berfungsi. Jika server Looker dan perangkat seluler tidak disinkronkan, hal ini dapat menyebabkan pengguna perangkat seluler tidak dapat melakukan autentikasi dengan 2FA. Untuk menyinkronkan sumber waktu:

• Menyetel perangkat seluler untuk sinkronisasi waktu otomatis dengan jaringan.
• Untuk deployment Looker yang dihosting pelanggan, pastikan NTP berjalan dan dikonfigurasi di server. Jika server disediakan di AWS, Anda mungkin perlu secara eksplisit mengizinkan NTP di ACL Jaringan AWS.
• Admin Looker dapat menetapkan penyimpangan waktu maksimum yang diizinkan di panel Admin Looker, yang menentukan jumlah perbedaan yang diizinkan antara server dan perangkat seluler. Jika setelan waktu perangkat seluler nonaktif lebih dari penyimpangan yang diizinkan, kunci autentikasi tidak akan berfungsi. Defaultnya adalah 90 detik.

Mereset autentikasi 2 langkah

Jika pengguna perlu mereset 2FA mereka (misalnya, jika mereka memiliki perangkat seluler baru):

1. Di halaman Pengguna pada bagian Admin Looker, klik Edit di sebelah kanan baris pengguna untuk mengedit informasi akun pengguna.
2. Di bagian Rahasia Dua Faktor, klik Reset. Hal ini menyebabkan Looker meminta pengguna untuk memindai ulang kode QR dengan aplikasi Google Authenticator saat mereka mencoba login kembali ke instance Looker.

Pertimbangan

Saat mengonfigurasi autentikasi 2 langkah, perhatikan hal-hal berikut:

• Autentikasi 2 langkah tidak memengaruhi penggunaan Looker API.
• Autentikasi 2 langkah tidak memengaruhi autentikasi melalui sistem eksternal seperti LDAP, SAML, Google OAuth, atau OpenID Connect. 2FA memengaruhi kredensial login alternatif apa pun yang digunakan dengan sistem ini.