Looker 提供雙重驗證 (2FA) 做為額外的安全防護機制,保護透過 Looker 存取的資料。啟用兩步驟驗證後,每位登入的使用者都必須使用行動裝置產生的一次性驗證碼進行驗證。無法為部分使用者啟用 2FA。
您可以在「管理」選單的「驗證」部分,找到「雙重驗證」頁面,啟用及設定雙重驗證。
使用雙重驗證
以下是設定及使用雙重驗證功能的整體工作流程。請注意時間同步處理規定,這項規定是確保 2SV 正常運作所需的必要條件。
管理員在 Looker 的管理員設定中啟用 2FA。
啟用 2FA 後,所有已登入 Looker 的使用者都會登出,並必須使用 2FA 重新登入。
個別使用者在行動裝置上安裝 Google Authenticator iPhone 版應用程式或 Android 版應用程式。
首次登入時,使用者會在電腦螢幕上看到 QR code 圖片,需要使用 Google Authenticator 應用程式掃描手機上的 QR code。
如果使用者無法用手機掃描 QR code,系統也會提供產生文字代碼的選項,讓使用者在手機上輸入代碼。
完成這個步驟後,使用者就能為 Looker 產生驗證金鑰。
日後登入 Looker 時,使用者必須在提交使用者名稱和密碼後輸入驗證金鑰。
如果使用者啟用「這是可信任的電腦」選項,金鑰會在 30 天的期間內驗證登入瀏覽器。在這個期間,使用者只要輸入使用者名稱和密碼即可登入。Looker 每隔 30 天就會要求使用者透過 Google Authenticator 重新驗證瀏覽器。
時間同步處理規定
Google Authenticator 會產生時間戳記,而 Looker 伺服器和各行動裝置之間的時間必須保持同步,戳記才能運作。如果 Looker 伺服器和行動裝置未同步,行動裝置使用者可能無法透過雙重驗證驗證。如要同步處理時間來源,請按照下列步驟操作:
- 設定行動裝置,讓裝置自動與網路同步時間。
- 如果是客戶代管的 Looker 部署作業,請確認 NTP 已在伺服器上執行及設定。如果伺服器是在 AWS 上佈建,您可能需要在 AWS 網路 ACL 中明確允許 NTP。
- Looker 管理員可以在 Looker 管理面板中設定允許的時間偏移上限,藉此定義伺服器和行動裝置之間允許的差異值。如果行動裝置的時間設定與實際時間差距超過允許的誤差值,驗證金鑰就會失效。預設值為 90 秒。
重設雙重驗證
如果使用者需要重設 2SV (例如換了新的行動裝置):
- 在 Looker 的「管理」部分,點選「使用者」頁面中使用者資料列右側的「編輯」,即可編輯使用者的帳戶資訊。
- 在「雙重驗證密鑰」部分,按一下「重設」。這會導致 Looker 在使用者下次嘗試登入 Looker 執行個體時,提示使用者使用 Google Authenticator 應用程式重新掃描 QR code。
注意事項
設定雙重驗證時,請注意下列事項:
- 雙重驗證不會影響 Looker API 的使用情形。
- 兩步驟驗證不會影響透過外部系統 (例如 LDAP、SAML、Google OAuth 或 OpenID Connect) 進行的驗證。2SV 會影響這些系統使用的任何其他登入憑證。