代替ログイン オプションの有効化

Looker では、複数の認証サーバータイプ(LDAPSAMLGoogle OAuth など)のいずれかを使用してユーザーを認証できます。こうした認証方法を有効にすると、メールやパスワードなどの他の認証システムは無効になります。

ユーザーまたはユーザーが管理者ロールまたは login_special_email 権限を持っている場合、管理者はメールアドレスを使用する代替ログイン オプションをユーザーに提供できます。

ステップ 1: Looker インスタンスで代替ログインを有効にする

まず、メール認証情報を受け入れるように Looker インスタンスを構成する必要があります。メール認証情報を受け入れるように Looker を構成する手順は次のとおりです。

  1. [Admin] パネルの [Authentication] タブに移動し、現在有効になっている認証タイプを選択します。たとえば、LDAPSAMLGoogle OAuth などがあります。
  2. [移行オプション] セクションで、[管理者と指定ユーザーの代替ログイン] スイッチを有効にします。

ステップ 2: 代替ログインを使用するユーザー権限を付与する

代替ログインを使用できるのは、管理者ロールまたは login_special_email 権限を持つユーザーのみです。管理者以外のユーザーに login_special_email 権限を付与する方法の 1 つは、次のように、最初にその権限を含む新しいロールを作成し、そのロールをユーザーに割り当てることです。

  1. [管理] パネルの [ユーザー] タブにある [ロール] ページに移動します。
  2. ページの上部にある [新しい権限セット] ボタンをクリックします。
  3. 新しい権限セットの名前を入力します(例: 「代替ログイン」)。
  4. login_special_email というラベルの付いたチェックボックスをオンにします。
  5. ページ下部にある [SAVE] ボタンをクリックします。
  6. ページの上部にある [新しいロール] ボタンをクリックします。
  7. 新しいロールの名前を入力します(例: 「代替ログインロール」)。
  8. [権限セット] セクションで、権限セットのリストから新しい権限セットを選択します。
  9. [モデルセット] セクションで、[すべて] を選択します。
  10. [ユーザー] セクションで、代替ログイン権限を付与するユーザーを選択します。
  11. ページ下部の [新しいロールを作成] ボタンをクリックして、新しいロールを保存します。
  12. ポップアップ ダイアログ ボックスで [確認] ボタンをクリックします。

ステップ 3: ユーザーのメール認証情報を作成する

ユーザーがメールの認証情報を使用できるようにしたら、メールの認証情報を作成する必要があります。このような認証情報を作成するには、Looker 管理者が、Looker API を使用して リクエストを行うか、管理者が選択したプログラミング言語で Looker API SDK を使用します。

オプション 1: Looker API に対して POST リクエストを行う

手動であるため、この方法は、代替ログイン オプションを設定するユーザーの数が少ない場合に適しています。

この例では、curl コマンドを使用して、一時アクセス トークンを使用して create_user_credentials_email API エンドポイントに POST リクエストを行います。

  1. 一時トークン(ACCESS_TOKEN)を生成するには、API 認証のドキュメント ページの SDK を使用しない認証セクションの手順を行ってください。
  2. この一時トークンを認証ヘッダーで使い、ユーザーの user_id を使用して POST リクエストを Looker API に送信し、そのユーザーをリクエストの本文に含めます。
     curl -H "Authorization: token ACCESS_TOKEN" -H 'Content-Type: application/json' -X POST -d '{ "email": "example_name@example_email.com" }' https://<instance_name<.api.looker.com/api/3.1/users/{user_id}/credentials_email
  3. [管理] セクションの [ユーザー] ページで、ユーザー アカウントを見つけて [編集] をクリックします。
  4. [リセットリンクを送信] ボタンをクリックします。これにより、POST リクエストで指定したメールアドレスにメールが送信されます。

代替のログイン方法を使用するには、ユーザーが Looker にログインするときに、[代替ログイン] をクリックして名前とメールアドレスを入力する必要があります。認証は、認証ボタンで SAML、LDAP、OAuth の認証情報を使用して引き続き行えます。

オプション 2: Looker API SDK を使用する

Looker API に直接リクエストを送信する手動の手順を行うのではなく、Looker が提供する SDK を使用して、任意のプログラミング言語で API を操作できます。Looker API SDK をインポートしてクライアント接続を確立した後、次の手順を行います。

  1. Looker API ドキュメントの指定に従って user_idbody をセットし、create_user_credentials_email(user_id, body) 関数を使用します。Looker API を使用したユーザーの自動プロビジョニングについては、Looker コミュニティの投稿による同様の例に沿って行えます。
  2. SDK メソッドを使用してユーザー アカウントを更新したら、[管理] セクションの [ユーザー] ページで、ユーザー アカウントを見つけて [編集] をクリックします。
  3. [リセットリンクを送信] ボタンをクリックします。これにより、POST リクエストで指定したメールアドレスにメールが送信されます。

代替のログイン方法を使用するには、ユーザーが Looker にログインするときに、[代替ログイン] をクリックして名前とメールアドレスを入力する必要があります。認証は、認証ボタンで SAML、LDAP、OAuth の認証情報を使用して引き続き行えます。