Administratoreinstellungen – Google-Authentifizierung

Auf der Seite Google Authentication (Google-Authentifizierung) im Bereich Authentication (Authentifizierung) des Menüs Admin können Sie Google OAuth für Looker einrichten.

Features

Looker kann die Authentifizierung mit Google OAuth für Nutzer durchführen, deren Konten bei Google Workspace registriert sind.

  • Organisationen, die Google Workspace verwenden, können Looker-Nutzer mit Google-Konten authentifizieren.
  • Nutzer melden sich bei Looker an, indem sie sich mit ihrem Google-Konto authentifizieren.
  • Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen Nutzer nicht separat zu Looker einladen. Sie legen die Standardrolle für neue Nutzer fest, wodurch ihr Zugriff auf Funktionen und Daten eingeschränkt werden kann.
  • Wenn diese Option aktiviert ist, authentifiziert Looker Nutzer nur mit Google OAuth, es sei denn, die Option „Alternative Anmeldung“ ist ausgewählt. Weitere Informationen finden Sie im folgenden Abschnitt zum Aktivieren von E-Mail-Anmeldungen bei aktivierter Google Auth.
  • Der Google-Avatar eines Nutzers wird anstelle des Standardnutzersymbols in der Navigationsleiste angezeigt.
  • Wenn Sie Google OAuth aktivieren, kann die Looker-Instanz vorhandene Nutzerkonten mit der von Google registrierten Domain zusammenführen. Dies gilt jedoch nur für Konten, deren E-Mail-Adresse mit der Domain übereinstimmt. Alle anderen Konten ohne Administratorberechtigungen können sich dann nicht mehr anmelden.
  • Alle Nutzer in der angegebenen Domain erhalten Zugriff auf die Looker-Instanz.
  • In den Berechtigungen für neue Google-Nutzer wird standardmäßig der Basiszugriff auf eine bestimmte Liste von Modellen festgelegt. Optional kann der Zugriff auf null Modelle sein. Berechtigungen können nach der Kontoerstellung von einem Administrator aktualisiert werden.
  • Neue Looker-Konten, die sich mit Google OAuth authentifizieren, können nicht zur Passwortauthentifizierung wechseln, auch wenn OAuth für die Looker-Instanz deaktiviert ist.

Vorläufige Anforderungen

Für die Verwendung von Google OAuth ist Folgendes erforderlich:

Authentifizierung mit Google OAuth aktivieren

Für die Aktivierung der Authentifizierung mit Google OAuth muss ein Administrator die in den folgenden Abschnitten beschriebenen Schritte sowohl auf Google-Seite als auch auf Looker-Seite ausführen.

Einrichtung auf der Google-Seite

In diesem Abschnitt werden die Schritte zur Aktivierung von Google OAuth auf Google-Seite beschrieben. Eine allgemeine Beschreibung dieser Schritte finden Sie auf der Google-Supportseite zum Einrichten von OAuth 2.0. Weitere Informationen finden Sie in der Hilfe zur Google Cloud Console.

  1. Öffnen Sie die Google Cloud Console.

  2. Klicken Sie im Drop-down-Menü Projekt auswählen auf den Abwärtspfeil. Möglicherweise wird der Name eines vorhandenen Projekts im Drop-down-Menü angezeigt. Wenn Sie trotzdem auf den Abwärtspfeil klicken, werden Sie zur Option zum Erstellen eines neuen Projekts weitergeleitet.

  3. Klicken Sie auf der Seite Projekt auswählen auf Neues Projekt.

    Die Seite Neues Projekt wird angezeigt.

  4. Geben Sie auf der Seite New Project (Neues Projekt) die Informationen ein und klicken Sie auf Create (Erstellen).

    Wenn Google das neue Projekt erstellt hat, kehrt Google zur Google Cloud Console zurück und zeigt es an.

  5. Wählen Sie im Menü auf der linken Seite APIs und Dienste > Anmeldedaten aus.

  6. Klicken Sie auf der Seite Anmeldedaten auf die Schaltfläche Anmeldedaten erstellen und wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.

    Google zeigt die Seite OAuth-Client-ID erstellen an.

  7. Google setzt voraus, dass Sie einen OAuth-Zustimmungsbildschirm konfigurieren, auf dem Nutzer auswählen können, wie sie Zugriff auf ihre privaten Daten gewähren. Außerdem enthält die Seite einen Link zu den Nutzungsbedingungen und der Datenschutzerklärung Ihrer Organisation. Klicken Sie auf Zustimmungsbildschirm konfigurieren. Wenn Sie die OAuth-Einwilligung für ein früheres Projekt konfiguriert haben, wird diese Option nicht angezeigt und Sie können mit Schritt 13 fortfahren.

    Google zeigt die Seite OAuth-Zustimmungsbildschirm an.

  8. Geben Sie die Domain Ihrer Looker-Instanz in das Feld Autorisierte Domains ein. Wenn Looker Ihre Instanz beispielsweise unter http://mycompany.looker.com hostet, lautet die Domain looker.com. Geben Sie bei von Kunden gehosteten Looker-Bereitstellungen die Domain ein, auf der Sie Looker hosten.

  9. Konfigurieren Sie den OAuth-Zustimmungsbildschirm und klicken Sie auf Speichern und fortfahren.

  10. Klicken Sie auf der Seite Bereiche auf Speichern und fortfahren. Es ist keine zusätzliche Bereichskonfiguration erforderlich.

  11. Klicken Sie auf der Seite Zusammenfassung auf Zurück zum Dashboard.

    Google kehrt zur Seite OAuth-Client-ID erstellen zurück.

  12. Wählen Sie unter Anwendungstyp die Option Webanwendung aus.

  13. Geben Sie im Feld Name einen Namen für die OAuth-Client-ID ein.

  14. Geben Sie im Feld Autorisierte JavaScript-Quellen die URL zu Ihrer Looker-Instanz ein, einschließlich der http://. Beispiel:

    • Wenn Looker Ihre Instanz hostet: http://mycompany.looker.com
    • Wenn Sie eine vom Kunden gehostete Looker-Instanz haben: http://looker.mycompany.com
    • Wenn für Ihre Looker-Instanz eine Portnummer erforderlich ist: http://looker.mycompany.com:9999

  15. Geben Sie im Feld Autorisierte Weiterleitungs-URIs die URL zu Ihrer Looker-Instanz gefolgt von /oauth2callback ein. Beispiel: http://mycompany.looker.com/oauth2callback oder http://looker.mycompany.com:9999/oauth2callback.

  16. Klicken Sie auf Erstellen.

  17. Kopieren Sie die Werte für Ihre Client-ID und Ihren Clientschlüssel. Sie benötigen sie zum Konfigurieren von Looker.

Einrichtung auf der Looker-Seite

So aktivieren Sie Google OAuth in Looker:

  1. Wenn Sie als Administrator angemeldet sind, klicken Sie in der Looker-Anwendung auf das Drop-down-Menü Verwaltung, um das Menü Verwaltung zu öffnen.

  2. Klicken Sie in der Gruppe Authentication (Authentifizierung) auf Google. In Looker wird die Seite Google Authentication (Google-Authentifizierung) angezeigt.

  3. Klicken Sie auf Aktiviert, um die Google OAuth-Einstellungen aufzurufen und zu bearbeiten. Hierdurch wird die Google-Authentifizierung nicht sofort aktiviert. Sie müssen Ihre Auswahl später bestätigen.

  4. Geben Sie Ihre Google Auth Settings (Google-Authentifizierungseinstellungen) ein.

    • Client-ID und Clientschlüssel: Kopieren Sie diese Werte wie in der vorherigen Einrichtungsanleitung von Google beschrieben von der Google-Seite OAuth-Client und fügen Sie sie ein.
    • Domains: die von Google verwalteten Domainnamen Ihrer Organisation. Jeder Google-Nutzer in der angegebenen Domain kann sich bei Ihrer Looker-Instanz anmelden. Wenn Sie mehrere Google-Domains verwalten, können Sie diese durch Kommas getrennt eingeben.

  5. Geben Sie Migrationsoptionen ein, mit denen das Verhalten der Looker-Instanz während der Umstellung auf Google OAuth gesteuert wird.

    • Alternative Anmeldung für Administratoren – Ermöglicht es Administratoren, sich weiterhin mit E-Mail-Adresse und Passwort anzumelden – eine nützliche Hilfe, falls Probleme beim Einrichten von Google OAuth auftreten sollten. Diese Einstellung wird empfohlen und wird unten näher beschrieben.
    • Per E-Mail zusammenführen: Vorhandene Nutzer mit E-Mail-Adressen in den angegebenen Domains werden bei der nächsten Anmeldung auf Google OAuth umgestellt. Diese Einstellung wird empfohlen.
    • Rollen für neue Nutzer: Gibt die Funktionalität und den Modellzugriff für neue Nutzer an, die keine Administratoren sind. Diese Liste kann später aktualisiert werden. Wenn das Feld leer gelassen wird, haben neue mit Google authentifizierte Nutzer nur eingeschränkte Funktionen auf der Looker-Plattform, bis ein Administrator ihrem Konto eine Rolle hinzufügt. Da sich alle Nutzer innerhalb Ihrer Google-Domain bei Looker anmelden können, sollten Sie erwägen, für neue Nutzer eine Standardrolle festzulegen, die den Zugriff entsprechend einschränkt.

  6. Klicken Sie auf Google-Authentifizierung testen, um die aktuellen Einstellungen zu verwenden und den aktuellen Browser in einem neuen Fenster zu authentifizieren. Durch diese Aktion werden die aktuellen Einstellungen nicht gespeichert oder auf die Looker-Instanz angewendet.

    Wenn Sie nicht bei Google angemeldet sind, werden Sie aufgefordert, sich anzumelden und Ihre Google-Kontoinformationen zu verwenden. Bei diesem Ablauf werden die benutzerdefinierten Einstellungen für den Zustimmungsbildschirm verwendet, die Sie bei der Einrichtung von Google verwendet haben.

    Bei Erfolg wird der Bereich Nutzerinformationen mit Ihrem Namen, Ihrer E-Mail-Adresse und Ihrer Domain angezeigt. Das Vorhandensein des Bereichs User Info (Nutzerinformationen) zeigt an, dass dieser Nutzer erfolgreich von Looker authentifiziert werden würde.

    Bei einem Fehler werden Fehlerbeschreibungen angezeigt. Zu den häufigsten Problemen gehören:

    • Falsch kopierte Client-ID oder falscher Clientschlüssel. Sie müssen sorgfältig kopiert und vollständig eingefügt werden.
    • Der Nutzer befindet sich außerhalb der Domain. Wenn der Abschnitt Personeninformationen, aber keine Nutzerinformationen angezeigt wird, befindet sich der Nutzer wahrscheinlich nicht in der von Ihnen angegebenen Domain. Hier sehen Sie, dass sich die Person bei Google korrekt authentifiziert hat, aber kein Google-Konto verwendet, das Sie für Ihre Looker-Instanz zugelassen haben.
    • Eine Looker-URL oder Weiterleitungs-URL ist in Google für Ihre Looker-Instanz nicht richtig eingerichtet.

  7. Klicken Sie auf das Kästchen Ich habe die obige Konfiguration bestätigt und möchte die globale Anwendung aktivieren, um die Änderungen zu speichern und anzuwenden. Klicken Sie auf Aktualisieren.

Tipps

  • Wenn Sie mit dem gesamten Authentifizierungszyklus experimentieren möchten, können Sie sich von Google abmelden. Wenn Sie versuchen, sich bei Looker anzumelden, werden Sie dann von Google aufgefordert, sich noch einmal anzumelden.

  • In Google können Sie im privaten Drop-down-Menü oben rechts auf einer Google Workspace-Seite neben Ihrer E-Mail-Adresse auf Konto klicken, um Ihr privates Konto zu verwalten.

    Dort befindet sich der Tab Sicherheit mit dem Bereich Kontoberechtigungen. Wenn Sie auf Apps und Websites Alle ansehen klicken, können Sie als Nutzer die Dienste und Apps aufrufen und verwalten, denen Sie Berechtigungen gewährt haben.

    Wenn Sie auf die Looker-Berechtigungen klicken, die Sie zum Anmelden erteilt haben, werden die Details angezeigt, die Benutzer auf dem Zustimmungsbildschirm sehen, den Sie zuvor angepasst haben. Sie können auch auf Zugriff widerrufen klicken. Wenn Sie sich dann das nächste Mal in Looker anmelden oder die Autorisierung testen, wird wieder ein Zustimmungsbildschirm angezeigt. Mit diesem Workflow können Sie Ihren Zustimmungsbildschirm anpassen und sehen, was Nutzern angezeigt wird.

Fehlerbehebung

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt, überprüfen Sie zuerst, ob der Nutzer in den Google-Konten sowohl einen Vor- als auch einen Nachnamen hat. Wenn der Nutzer entweder seinen Vor- oder Nachnamen aus seinem Google-Konto gelöscht hat, kann Looker den Nutzer möglicherweise nicht mit Google OAuth authentifizieren.

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt und Looker einen Fehler wie User not in the authorized domain anzeigt, prüfen Sie das Feld hd der JSON-Antwort. Wenn das Feld hd eine Domain enthält, muss die Domain für Ihr Google Workspace-Konto registriert sein. Wenn das Feld „hd“ leer ist, laden Sie den Nutzer mit dem Übertragungstool für nicht verwaltete Nutzer dazu ein, sein Konto in ein verwaltetes Konto innerhalb Ihrer Domain umzuwandeln.

  • Wenn der Anmeldeversuch eines Nutzers fehlschlägt, in Looker aber keine Fehlermeldung angezeigt wird, hat der Nutzer möglicherweise den Namen seines Google Workspace-Kontos bearbeitet und entweder seinen Vor- oder Nachnamen gelöscht. In diesem Fall wird der Name des Google Workspace-Kontos in der Admin-Konsole möglicherweise noch vollständig angezeigt, sodass die Änderungen des Nutzers möglicherweise nicht zu sehen sind. Google Workspace-Administratoren können die Option Nutzern erlauben, diese Einstellung anzupassen deaktivieren, um dieses Problem zu vermeiden.

E-Mail-Anmeldungen aktivieren, während Google Auth aktiviert ist

Neue Google-Konten erhalten automatisch Zugriff auf Looker. Sie müssen also keine Nutzer hinzufügen, die sich in Ihrer Google-Domain befinden.

So fügen Sie einen Nutzer mit einer E-Mail-Adresse hinzu, die nicht zu Ihrer Google-Domain gehört:

  1. Option Alternative Anmeldung für Administratoren und bestimmte Nutzer auf der Google Auth-Seite aktivieren
  2. Erstellen oder ändern Sie eine vorhandene Nutzerrolle, um die Berechtigung login_special_email hinzuzufügen
  3. Klicken Sie im Steuerfeld „Nutzer“ auf Nutzer hinzufügen (/admin/users/new).
  4. Fügen Sie die E-Mail-Adresse(n) hinzu, die Sie aufnehmen möchten, sowie die Rollen, die diese Nutzer haben sollen. Dazu muss eine Rolle mit der Berechtigung login_special_email gehören.
  5. Diese Nutzer können sich jetzt über http://mycompany.looker.com/login/email (verborgene URL) anmelden.

Google Auth nach dem Aktivieren deaktivieren

Wenn Sie die Google-Authentifizierung für Ihre Looker-Instanz deaktivieren möchten, nachdem sie bereits aktiviert wurde, müssen Sie Folgendes bedenken:

  • Nutzer, die vor dem Hinzufügen von Google Authentication erstellt wurden und bereits einen normalen E-Mail-Log-in und ein normales Passwort eingerichtet haben, können weiterhin verwendet werden.
  • Nutzer, die nach dem Hinzufügen der Google-Authentifizierung erstellt wurden, können sich nicht mehr anmelden. Ihre Konten sind zwar noch vorhanden, haben jedoch keine Möglichkeit, darauf zuzugreifen, und ihre Konten sind praktisch verwaist.

Aus diesem Grund empfehlen wir, diese Route zu vermeiden. Wenn Sie diesen Pfad verwenden müssen, können Sie die verwaisten Konten möglicherweise mithilfe der Looker API korrigieren. Wenden Sie sich an den Looker-Support, um weitere Informationen zu erhalten.