O Looker oferece autenticação de dois fatores (2FA) como uma camada extra de segurança para proteger os dados acessíveis pelo Looker. Com a 2FA ativada, todos os usuários que fizerem login precisarão se autenticar com um código único gerado pelo dispositivo móvel. Não é possível ativar a autenticação de dois fatores para um subconjunto de usuários.
A página Autenticação de dois fatores na seção Autenticação do menu Administrador permite ativar e configurar a 2FA.
Como usar a autenticação de dois fatores
Confira a seguir o fluxo de trabalho detalhado para configurar e usar a autenticação de dois fatores. Observe os requisitos de sincronização de tempo, que são necessários para a operação correta da autenticação de dois fatores.
O administrador ativa a 2FA nas configurações de administrador do Looker.
Quando você ativa a autenticação de dois fatores, todos os usuários que fazem login no Looker são desconectados e precisam fazer login novamente usando a autenticação de dois fatores.
Os usuários individuais instalam o app Google Authenticator para iPhone ou Android nos próprios dispositivos móveis.
No primeiro login, o usuário verá uma imagem de um QR code na tela do computador, que deverá ser lido com o telefone usando o aplicativo Google Authenticator.
Se o usuário não conseguir ler um QR code no smartphone, também há a opção de gerar um código de texto para ser inserido.
Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.
Nos próximos logins no Looker, o usuário vai precisar inserir uma chave de autenticação depois de enviar o nome de usuário e a senha.
Se um usuário ativar a opção Este é um computador confiável, a chave vai autenticar o navegador de login por uma janela de 30 dias. Durante essa janela, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário autentique novamente o navegador com o Google Authenticator.
Requisitos de sincronização de tempo
O Google Authenticator produz tokens baseados em tempo, que exigem sincronização de tempo entre o servidor do Looker e cada dispositivo móvel para que os tokens funcionem. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, talvez o usuário do dispositivo móvel não consiga fazer a autenticação com a autenticação de dois fatores. Para sincronizar origens de horário:
- Configurar dispositivos móveis para sincronização automática de tempo com a rede.
- Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor estiver provisionado na AWS, talvez seja necessário permitir explicitamente o NTP na ACL de rede da AWS.
- Um administrador do Looker pode definir o deslocamento máximo permitido no painel Administrador do Looker, que define quanta diferença é permitida entre o servidor e os dispositivos móveis. Se a configuração de horário de um dispositivo móvel estiver fora do deslocamento permitido, as chaves de autenticação não vão funcionar. O padrão é 90 segundos.
Como redefinir a autenticação de dois fatores
Se um usuário precisar redefinir a 2FA (por exemplo, se tiver um novo dispositivo móvel):
- Na página Usuários da seção Administrador do Looker, clique em Editar no lado direito da linha do usuário para editar as informações da conta dele.
- Na seção Chave secreta de dois fatores, clique em Redefinir. Isso faz com que o Looker solicite que o usuário leia novamente um QR code com o app Google Authenticator na próxima vez que ele tentar fazer login na instância do Looker.
Considerações
Ao configurar a autenticação de dois fatores, lembre-se do seguinte:
- A autenticação de dois fatores não afeta o uso da API Looker.
- A autenticação de dois fatores não afeta a autenticação por sistemas externos, como LDAP, SAML, Google OAuth ou OpenID Connect. A autenticação de dois fatores afeta todas as credenciais de login alternativas usadas nesses sistemas.