Looker 提供双重身份验证 (2FA) 作为额外的安全保障,以保护可通过 Looker 访问的数据。启用 2FA 后,每个登录的用户都必须使用其移动设备生成的一次性验证码进行身份验证。无法为部分用户启用 2FA。
您可以通过 Admin(管理)菜单中 Authentication(身份验证)部分的 Two-Factor Authentication 页面启用和配置 2FA。
使用双重身份验证
以下是设置和使用 2FA 的概要工作流程。请注意时间同步要求,这些要求是正确运行 2FA 所必需的。
管理员在 Looker 的管理员设置中启用双重身份验证。
启用 2FA 后,任何登录 Looker 的用户都将被退出,并且必须使用 2FA 重新登录。
个别用户在移动设备上安装了 Google 身份验证器 iPhone 应用或 Android 应用。
首次登录时,用户在计算机屏幕上将看到一张二维码图片,用户需要使用自己的手机使用 Google 身份验证器应用扫描该图片。
如果用户无法使用手机扫描二维码,还可以选择生成文本代码,然后在手机上输入该代码。
完成此步骤后,用户将能够为 Looker 生成身份验证密钥。
后续登录 Looker 时,用户需要在提交用户名和密码后输入身份验证密钥。
如果用户启用了这是受信任的计算机选项,则相应密钥会在 30 天内对登录浏览器进行身份验证。在此时段内,用户仅能使用用户名和密码登录。Looker 每 30 天会要求每位用户使用 Google 身份验证器重新对浏览器进行身份验证。
时间同步要求
Google 身份验证器会生成基于时间的令牌,这需要在 Looker 服务器和每台移动设备之间实现时间同步,才能使令牌生效。如果 Looker 服务器和移动设备未同步,可能会导致移动设备用户无法使用 2FA 进行身份验证。如需同步时间源,请执行以下操作:
- 将移动设备设置为自动与网络同步时间。
- 对于客户托管的 Looker 部署,请确保 NTP 在服务器上运行和配置。如果服务器是在 AWS 上配置的,您可能需要在 AWS 网络 ACL 中明确允许 NTP。
- Looker 管理员可以在 Looker 管理面板中设置允许的时间偏移上限,该面板中定义了服务器和移动设备之间允许的时间偏移值。如果移动设备的时间设置的偏差超过允许的偏移值,则身份验证密钥将不起作用。默认值是 90 秒。
重置双重身份验证
如果用户需要重置 2FA(例如,如果用户有新的移动设备),请执行以下操作:
- 在 Looker 管理部分的用户页面中,点击用户所在行右侧的修改,以修改用户的账号信息。
- 在 Two-Factor Secret 部分中,点击 Reset。这样一来,当用户下次尝试登录 Looker 实例时,Looker 会提示用户使用 Google 身份验证器应用重新扫描二维码。
注意事项
配置双重身份验证时,请注意以下几点:
- 双重身份验证不会影响 Looker API 的使用。
- 双重身份验证不会影响通过 LDAP、SAML、Google OAuth 或 OpenID Connect 等外部系统进行的身份验证。2FA 会影响用于这些系统的所有备用登录凭据。