Activer l'option de connexion alternative

Looker peut authentifier les utilisateurs à l'aide de différents types de serveurs d'authentification, tels que Google OAuth, LDAP, SAML ou OpenID Connect. Si vous activez l'une de ces méthodes d'authentification, les autres systèmes d'authentification (par exemple, l'adresse e-mail et le mot de passe) seront désactivés.

Les administrateurs Looker peuvent proposer à un utilisateur une autre option de connexion utilisant son adresse e-mail s'il dispose d'un rôle d'administrateur ou de l'autorisation login_special_email.

Activer la connexion alternative sur l'instance Looker

Avant de pouvoir activer l'option de connexion alternative pour un utilisateur, l'instance Looker doit être configurée pour accepter les identifiants d'adresse e-mail :

  1. Accédez à la section Authentification du panneau Admin, puis sélectionnez le type d'authentification actuellement activé : Google OAuth, LDAP, SAML ou OpenID Connect.
  2. Dans la section Options de migration, activez l'option Méthode de connexion alternative pour les administrateurs et les utilisateurs spécifiés.

Accorder à l'utilisateur l'autorisation d'utiliser une autre méthode de connexion

Seuls les utilisateurs disposant du rôle d'administrateur ou de l'autorisation login_special_email peuvent utiliser une autre méthode de connexion. Pour accorder l'autorisation login_special_email à un utilisateur non administrateur, vous pouvez créer un rôle contenant cette autorisation, puis l'attribuer à l'utilisateur. Voici comment procéder :

  1. Accédez à la page Rôles, qui se trouve dans la section Utilisateurs du panneau Admin.
  2. Cliquez sur le bouton Nouvel ensemble d'autorisations.
  3. Saisissez un nom pour le nouvel ensemble d'autorisations, par exemple Connexion alternative.
  4. Cochez la case login_special_email.
  5. Cliquez sur Nouvel ensemble d'autorisations.
  6. Cliquez sur Nouveau rôle.
  7. Saisissez un nom pour le nouveau rôle, par exemple Rôle de connexion alternatif.
  8. Dans la liste Ensemble d'autorisations, sélectionnez votre nouvel ensemble d'autorisations.
  9. Dans la liste Ensemble de modèles, sélectionnez Tous.
  10. Dans la liste Utilisateurs, sélectionnez l'utilisateur auquel vous souhaitez accorder l'autorisation de se connecter avec une autre méthode.
  11. Cliquez sur le bouton Nouveau rôle pour enregistrer le nouveau rôle.
  12. Cliquez sur Confirmer.

Créer des identifiants d'adresse e-mail pour l'utilisateur

Une fois que l'utilisateur a été autorisé à utiliser les identifiants de messagerie, l'étape suivante consiste à créer les identifiants. Pour créer des identifiants d'adresse e-mail, un administrateur Looker peut utiliser l'API Looker pour effectuer une requête POST ou utiliser le SDK de l'API Looker dans le langage de programmation de son choix.

Envoyer une requête POST à l'API Looker

Étant donné qu'elle est manuelle, cette méthode est plus adaptée si vous ne souhaitez configurer l'option de connexion alternative que pour un nombre limité d'utilisateurs.

Cet exemple utilise une commande curl pour envoyer une requête POST au point de terminaison de l'API create_user_credentials_email à l'aide d'un jeton d'accès temporaire :

  1. Pour générer le jeton temporaire (ACCESS_TOKEN), suivez les instructions de la section Authentification sans SDK sur la page de documentation Authentification de l'API Looker.

  2. À l'aide de ce jeton temporaire dans l'en-tête d'autorisation, envoyez une requête POST à l'API Looker en utilisant le user_id de l'utilisateur et en incluant son adresse e-mail dans le corps de la requête.

    curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/4.0/users/{user_id}/credentials_email

  3. Sur la page Utilisateurs du panneau Admin, recherchez le compte utilisateur, puis cliquez sur Modifier.

  4. Cliquez sur le bouton Envoyer le lien de réinitialisation. Un e-mail sera envoyé à l'adresse e-mail que vous avez spécifiée dans votre demande POST.

Pour utiliser la méthode de connexion alternative, l'utilisateur doit cliquer sur le lien Alternate Login (Connexion alternative) lorsqu'il se connecte à Looker, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants OAuth, LDAP, SAML ou OpenID Connect en cliquant sur le bouton S'authentifier.

Utiliser le SDK de l'API Looker

Au lieu d'effectuer manuellement les étapes pour envoyer des requêtes directement à l'API Looker, vous pouvez utiliser un SDK fourni par Looker pour interagir avec l'API dans le langage de programmation de votre choix. Après avoir importé le SDK de l'API Looker et établi une connexion client, procédez comme suit :

  1. Utilisez la fonction create_user_credentials_email(user_id, body) en insérant user_id et body comme indiqué dans la documentation de l'API Looker. Vous pouvez suivre un exemple similaire dans ce post de la communauté Looker sur le provisionnement automatique des utilisateurs avec l'API Looker.
  2. Une fois les comptes utilisateur mis à jour à l'aide de la méthode SDK, sur la page Utilisateurs du panneau Admin, recherchez le compte utilisateur et cliquez sur Modifier.
  3. Cliquez sur le bouton Envoyer le lien de réinitialisation. Un e-mail sera envoyé à l'adresse e-mail que vous avez spécifiée dans votre demande POST.

Pour utiliser la méthode de connexion alternative, l'utilisateur doit cliquer sur le lien Alternate Login (Connexion alternative) lorsqu'il se connecte à Looker, puis saisir son nom et son adresse e-mail. Ils peuvent toujours s'authentifier à l'aide de leurs identifiants OAuth, LDAP, SAML ou OpenID Connect en cliquant sur le bouton S'authentifier.