Configurações de administrador: autenticação de dois fatores

O Looker oferece autenticação de dois fatores (2FA) como uma camada extra de segurança para proteger os dados acessíveis pelo Looker. Com a 2FA ativada, todos os usuários que fizerem login precisarão se autenticar com um código único gerado pelo dispositivo móvel. Não é possível ativar a autenticação de dois fatores para um subconjunto de usuários.

A página Autenticação de dois fatores na seção Autenticação do menu Administrador permite ativar e configurar a 2FA.

Como usar a autenticação de dois fatores

Confira a seguir o fluxo de trabalho detalhado para configurar e usar a autenticação de dois fatores. Observe os requisitos de sincronização de tempo, que são necessários para a operação correta da autenticação de dois fatores.

  1. O administrador ativa a 2FA nas configurações de administrador do Looker.

    Quando você ativa a autenticação de dois fatores, todos os usuários que fazem login no Looker são desconectados e precisam fazer login novamente usando a autenticação de dois fatores.

  2. Os usuários individuais instalam o app Google Authenticator para iPhone ou Android nos próprios dispositivos móveis.

  3. No primeiro login, o usuário verá uma imagem de um QR code na tela do computador, que deverá ser lido com o telefone usando o aplicativo Google Authenticator.

    Se o usuário não conseguir ler um QR code no smartphone, também há a opção de gerar um código de texto para ser inserido.

    Depois de concluir essa etapa, os usuários poderão gerar chaves de autenticação para o Looker.

  4. Nos próximos logins no Looker, o usuário vai precisar inserir uma chave de autenticação depois de enviar o nome de usuário e a senha.

    Se um usuário ativar a opção Este é um computador confiável, a chave vai autenticar o navegador de login por uma janela de 30 dias. Durante essa janela, o usuário pode fazer login apenas com o nome de usuário e a senha. A cada 30 dias, o Looker exige que cada usuário autentique novamente o navegador com o Google Authenticator.

Requisitos de sincronização de tempo

O Google Authenticator produz tokens baseados em tempo, que exigem sincronização de tempo entre o servidor do Looker e cada dispositivo móvel para que os tokens funcionem. Se o servidor do Looker e um dispositivo móvel não estiverem sincronizados, talvez o usuário do dispositivo móvel não consiga fazer a autenticação com a autenticação de dois fatores. Para sincronizar origens de horário:

  • Configurar dispositivos móveis para sincronização automática de tempo com a rede.
  • Para implantações do Looker hospedadas pelo cliente, verifique se o NTP está em execução e configurado no servidor. Se o servidor estiver provisionado na AWS, talvez seja necessário permitir explicitamente o NTP na ACL de rede da AWS.
  • Um administrador do Looker pode definir o deslocamento máximo permitido no painel Administrador do Looker, que define quanta diferença é permitida entre o servidor e os dispositivos móveis. Se a configuração de horário de um dispositivo móvel estiver fora do deslocamento permitido, as chaves de autenticação não vão funcionar. O padrão é 90 segundos.

Como redefinir a autenticação de dois fatores

Se um usuário precisar redefinir a 2FA (por exemplo, se tiver um novo dispositivo móvel):

  1. Na página Usuários da seção Administrador do Looker, clique em Editar no lado direito da linha do usuário para editar as informações da conta dele.
  2. Na seção Chave secreta de dois fatores, clique em Redefinir. Isso faz com que o Looker solicite que o usuário leia novamente um QR code com o app Google Authenticator na próxima vez que ele tentar fazer login na instância do Looker.

Considerações

Ao configurar a autenticação de dois fatores, lembre-se do seguinte: