Attivare l'opzione di accesso alternativo

Looker può autenticare gli utenti tramite uno dei diversi tipi di server di autenticazione, ad esempio LDAP, SAML o Google OAuth. L'attivazione di uno di questi metodi di autenticazione comporterà la disattivazione di altri sistemi di autenticazione, ad esempio email/password.

Gli amministratori possono offrire agli utenti un'opzione di accesso alternativa che utilizza il loro indirizzo email se l'utente o gli utenti dispongono di un ruolo amministratore o delle autorizzazioni login_special_email.

Passaggio 1: attiva l'accesso alternativo nell'istanza di Looker

Innanzitutto, l'istanza Looker deve essere configurata per accettare le credenziali email. Per configurare Looker in modo che accetti le credenziali email:

  1. Vai alla scheda Autenticazione del pannello Amministrazione e seleziona il tipo di autenticazione attualmente abilitato. Alcuni esempi includono LDAP, SAML e Google OAuth.
  2. Attiva l'opzione Accesso alternativo per amministratori e utenti specificati nella sezione Opzioni di migrazione.

Passaggio 2: concedi all'utente l'autorizzazione a utilizzare l'accesso alternativo

Solo gli utenti con il ruolo Amministratore o con l'autorizzazione login_special_email possono utilizzare l'accesso alternativo. Un modo per concedere l'autorizzazione login_special_email a un utente non amministratore è creare prima un nuovo ruolo contenente questa autorizzazione e poi assegnare il ruolo all'utente, nel seguente modo:

  1. Vai alla pagina Ruoli, che si trova nella scheda Utenti del pannello Amministrazione.
  2. Fai clic sul pulsante Nuovo insieme di autorizzazioni nella parte superiore della pagina.
  3. Inserisci un nome per il nuovo insieme di autorizzazioni, ad esempio "Accesso alternativo".
  4. Seleziona la casella con l'etichetta login_special_email.
  5. Fai clic sul pulsante Salva nella parte inferiore della pagina.
  6. Fai clic sul pulsante Nuovo ruolo nella parte superiore della pagina.
  7. Inserisci un nome per il nuovo ruolo, ad esempio "Ruolo di accesso alternativo".
  8. Nella sezione Permission Set (Set di autorizzazioni), seleziona il nuovo set di autorizzazioni dall'elenco.
  9. Nella sezione Set di modelli, seleziona Tutti.
  10. Nella sezione Utenti, seleziona l'utente a cui deve essere concessa l'autorizzazione di accesso alternativo.
  11. Fai clic sul pulsante Nuovo ruolo nella parte inferiore della pagina per salvare il nuovo ruolo.
  12. Fai clic sul pulsante Conferma nella finestra di dialogo popup.

Passaggio 3: crea le credenziali email per l'utente

Ora che l'utente è stato abilitato all'utilizzo delle credenziali email, queste devono essere create. Per creare queste credenziali, un amministratore di Looker può utilizzare l'API Looker per effettuare una richiesta POST oppure utilizzare l'SDK dell'API Looker nel linguaggio di programmazione scelto dall'amministratore.

Opzione 1: invio di una richiesta POST all'API Looker

A causa della sua natura manuale, questo è un metodo migliore da utilizzare quando hai un numero limitato di utenti per i quali vuoi configurare l'opzione di accesso alternativa.

Questo esempio utilizza un comando curl per effettuare una richiesta POST all'endpoint API create_user_credentials_email utilizzando un token di accesso temporaneo:

  1. Per generare il token temporaneo (ACCESS_TOKEN), segui i passaggi riportati nella pagina di documentazione Autenticazione API nella sezione Autenticazione senza SDK.
  2. Utilizzando questo token temporaneo nell'intestazione di autorizzazione, invia una richiesta POST all'API Looker utilizzando user_id dell'utente e includi il suo indirizzo email nel corpo della richiesta. 
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. Nella pagina Utenti della sezione Amministrazione, individua l'account utente e fai clic su Modifica.
  4. Fai clic sul pulsante Invia link di reimpostazione. Verrà inviata un'email all'indirizzo specificato nella richiesta POST.

Per utilizzare il metodo di accesso alternativo, quando l'utente accede a Looker deve fare clic sul link Accesso alternativo e poi inserire il proprio nome e indirizzo email. Possono comunque autenticarsi utilizzando le credenziali SAML, LDAP o OAuth tramite il pulsante Autentica.

Opzione 2: utilizzo dell'SDK dell'API Looker

Anziché eseguire i passaggi manuali per inviare richieste direttamente all'API Looker, puoi utilizzare un SDK fornito da Looker per interagire con l'API nel linguaggio di programmazione che preferisci. Dopo aver importato l'SDK API di Looker e stabilito una connessione client, segui questi passaggi:

  1. Utilizza la funzione create_user_credentials_email(user_id, body), inserendo user_id e body come specificato nella documentazione dell'API Looker. Puoi seguire un esempio simile in questo post della community di Looker sul provisioning automatico degli utenti con l'API Looker.
  2. Una volta aggiornati gli account utente utilizzando il metodo SDK, nella pagina Utenti della sezione Amministrazione, individua l'account utente e fai clic su Modifica.
  3. Fai clic sul pulsante Invia link di reimpostazione. Verrà inviata un'email all'indirizzo specificato nella richiesta POST.

Per utilizzare il metodo di accesso alternativo, quando l'utente accede a Looker, deve fare clic sul link Accesso alternativo e poi inserire il proprio nome e indirizzo email. Possono comunque autenticarsi utilizzando le credenziali SAML, LDAP o OAuth tramite il pulsante Autentica.