Looker fornisce l'autenticazione a due fattori (2FA) come livello di sicurezza aggiuntivo per proteggere i dati accessibili tramite Looker. Con l'autenticazione a due fattori attiva, ogni utente che accede deve autenticarsi con un codice monouso generato dal proprio dispositivo mobile. Non è possibile attivare l'autenticazione a due fattori per un sottoinsieme di utenti.
La pagina Autenticazione a due fattori nella sezione Autenticazione del menu Amministrazione ti consente di attivare e configurare l'autenticazione a due fattori.
Utilizzo dell'autenticazione a due fattori
Di seguito è riportato il flusso di lavoro generale per la configurazione e l'utilizzo dell'autenticazione a due fattori. Tieni presente i requisiti di sincronizzazione dell'ora, necessari per il corretto funzionamento di 2FA.
L'amministratore attiva l'autenticazione a due fattori nelle impostazioni di amministrazione di Looker.
Quando abiliti l'autenticazione a due fattori, tutti gli utenti che hanno eseguito l'accesso a Looker verranno disconnessi e dovranno accedere di nuovo utilizzando l'autenticazione a due fattori.
I singoli utenti installano l'app per iPhone o l'app per Android Google Authenticator sui propri dispositivi mobili.
Al primo accesso, all'utente viene presentata sullo schermo del computer l'immagine di un codice QR, che dovrà scansionare con il proprio smartphone utilizzando l'app Google Authenticator.
Se l'utente non riesce a scansionare un codice QR con lo smartphone, è disponibile anche un'opzione per generare un codice di testo che può inserire sullo smartphone.
Dopo aver completato questo passaggio, gli utenti potranno generare chiavi di autenticazione per Looker.
Nei successivi accessi a Looker, l'utente dovrà inserire una chiave di autenticazione dopo aver inviato il nome utente e la password.
Se un utente attiva l'opzione Questo è un computer attendibile, la chiave autentica il browser di accesso per una finestra di 30 giorni. Durante questo periodo l'utente può accedere utilizzando solo nome utente e password. Ogni 30 giorni, Looker richiede che ogni utente esegua nuovamente l'autenticazione del browser con Google Authenticator.
Requisiti per la sincronizzazione dell'ora
Google Authenticator produce token basati sull'ora, che richiedono la sincronizzazione dell'ora tra il server Looker e ogni dispositivo mobile per far funzionare i token. Se il server Looker e un dispositivo mobile non sono sincronizzati, è possibile che l'utente del dispositivo mobile non riesca ad autenticarsi con l'autenticazione a due fattori (2FA). Per sincronizzare le fonti temporali:
- Imposta i dispositivi mobili per la sincronizzazione automatica dell'ora con la rete.
- Per i deployment di Looker ospitati dal cliente, assicurati che NTP sia in esecuzione e configurata sul server. Se viene eseguito il provisioning del server su AWS, potrebbe essere necessario consentire esplicitamente NTP nell'ACL di rete AWS.
- Un amministratore di Looker può impostare la deviazione temporale massima consentita nel pannello di amministrazione di Looker, che definisce la quantità di differenza consentita tra il server e i dispositivi mobili. Se l'impostazione dell'ora di un dispositivo mobile è disattivata per un valore superiore alla deviazione consentita, le chiavi di autenticazione non funzioneranno. Il valore predefinito è 90 secondi.
Reimpostazione dell'autenticazione a due fattori
Se un utente deve eseguire la reimpostazione dell'autenticazione a due fattori (ad esempio, se ha un nuovo dispositivo mobile):
- Nella pagina Utenti nella sezione Amministrazione di Looker, fai clic su Modifica sul lato destro della riga dell'utente per modificare i dati dell'account dell'utente.
- Nella sezione Segreto a due fattori, fai clic su Reimposta. In questo modo, al successivo tentativo di accedere all'istanza di Looker, Looker chiede all'utente di eseguire nuovamente la scansione di un codice QR con l'app Google Authenticator.
Considerazioni
Durante la configurazione dell'autenticazione a due fattori, tieni presente quanto segue:
- L'autenticazione a due fattori non influisce sull'utilizzo dell'API Looker.
- L'autenticazione a due fattori non influisce sull'autenticazione attraverso sistemi esterni come LDAP, SAML, Google OAuth o OpenID Connect. L'autenticazione a due fattori influisce sulle credenziali di accesso alternative utilizzate con questi sistemi.