Setelan admin - Autentikasi Google

Halaman Autentikasi Google di bagian Autentikasi pada menu Admin memungkinkan Anda menyiapkan Google OAuth di sisi Looker.

Ringkasan fitur

Jika diinginkan, Looker dapat melakukan autentikasi melalui Google OAuth, untuk pengguna yang memiliki akun yang terdaftar di Google Workspace.

• Organisasi yang menggunakan Google Workspace dapat mengautentikasi pengguna Looker melalui Akun Google.
• Pengguna login ke Looker dengan melakukan autentikasi menggunakan Akun Google mereka.
• Akun Google baru otomatis mendapatkan akses ke Looker. Tidak perlu mengundang pengguna secara terpisah ke Looker. Anda dapat menetapkan peran default untuk pengguna baru, yang dapat membatasi akses mereka ke fungsi dan data.
• Jika diaktifkan, Looker akan mengautentikasi pengguna hanya dengan Google OAuth, kecuali jika opsi "login alternatif" dipilih (lihat petunjuk lebih lanjut di bawah).
• Avatar Google pengguna muncul di menu navigasi, bukan di simbol pengguna standar.

Perilaku berikut dapat memengaruhi keputusan Anda untuk menggunakan Google OAuth:

• Saat mengaktifkan Google OAuth, instance Looker dapat menggabungkan akun pengguna yang ada dengan domain yang terdaftar di Google, tetapi hanya untuk akun yang alamat emailnya cocok dengan domain. Semua akun non-admin lainnya akan kehilangan kemampuan untuk login.
• Semua pengguna di domain yang ditentukan mendapatkan akses ke instance Looker.
• Izin bagi pengguna Google baru ditetapkan secara default ke akses dasar untuk daftar model tertentu (yang dapat, secara opsional, berupa akses ke model nol). Izin dapat diperbarui oleh admin setelah pembuatan akun.
• Akun Looker baru yang melakukan autentikasi melalui Google OAuth tidak dapat beralih ke autentikasi sandi, meskipun OAuth dinonaktifkan untuk instance Looker.

Persyaratan awal

Penggunaan Google OAuth memerlukan hal-hal berikut:

• Akun Google Workspace untuk organisasi.
• Domain yang dikontrol oleh organisasi dan didaftarkan ke akun Google Workspace.
• Pengguna dengan alamat email di domain yang terkait dengan Akun Google.
• Setiap pengguna harus memiliki akun pengguna terkelola di Google Workspace. Untuk menemukan dan memigrasikan pengguna yang memiliki akun pengguna yang tidak dikelola, gunakan Alat transfer untuk pengguna yang tidak dikelola.

Mengaktifkan autentikasi dengan Google OAuth

Untuk mengaktifkan autentikasi dengan Google OAuth, administrator harus melakukan langkah-langkah di sisi Google dan Looker, seperti yang dijelaskan di bagian berikut.

Penyiapan di sisi Google

Langkah-langkah untuk mengaktifkan Google OAuth pada sistem Google dijelaskan di bawah. Deskripsi umum langkah-langkah ini ada di halaman dukungan Google tentang menyiapkan OAuth 2.0. Anda dapat menemukan dokumentasi di konsol Google Dev dari halaman Bantuan Google Cloud Console.

1. Buka Konsol Google Cloud.

2. Klik panah bawah di drop-down Select a project. Anda dapat melihat nama project yang ada di menu drop-down; tetap klik panah bawah, dan Anda akan diarahkan ke opsi untuk membuat project baru.

3. Di halaman Select a project, klik New Project.

   Google akan menampilkan halaman New Project.

4. Isi informasi di halaman Project Baru, lalu klik Buat.

   Setelah Google selesai membuat project baru Anda, Google akan mengembalikan Anda ke konsol Google Cloud dan menampilkan project baru Anda.

5. Di menu sebelah kiri, pilih API & Layanan > Kredensial.

6. Pada halaman Credentials, klik tombol Create credentials, dan pilih OAuth client ID dari menu drop-down.

   Google akan menampilkan halaman Create OAuth client ID.

7. Google mewajibkan Anda mengonfigurasi layar izin OAuth, yang memungkinkan pengguna memilih cara memberikan akses ke data pribadi mereka dan menyediakan link ke persyaratan layanan dan kebijakan privasi organisasi Anda. Klik Konfigurasi layar izin. (Jika telah mengonfigurasi izin OAuth untuk project sebelumnya, Anda tidak akan melihat opsi ini, dan dapat langsung ke langkah 13.)

   Google akan menampilkan halaman OAuth consent screen.

8. Masukkan domain instance Looker Anda di kolom Domain yang diotorisasi. Misalnya, jika Looker menghosting instance Anda di http://mycompany.looker.com, domainnya adalah looker.com. Untuk deployment Looker yang dihosting pelanggan, masukkan domain tempat Anda menghosting Looker.

   

9. Konfigurasikan layar izin OAuth Anda, lalu klik Simpan dan Lanjutkan.

   Untuk mengetahui informasi tentang cara mengonfigurasi Layar izin OAuth Google, lihat halaman dukungan Google Menyiapkan OAuth 2.0.

10. Di halaman Scopes, klik Save and Continue. Tidak ada konfigurasi cakupan tambahan yang diperlukan.

11. Di halaman Ringkasan, klik Kembali ke Dasbor.

    Google akan menampilkan Anda ke halaman Buat client ID OAuth.

12. Di bagian Jenis aplikasi, pilih Aplikasi web.

13. Di kolom Nama, masukkan nama untuk client ID OAuth Anda.

14. Di kolom Asal JavaScript resmi, masukkan URL ke instance Looker Anda, termasuk http://. Contoh:

    • Jika Looker menghosting instance Anda: http://mycompany.looker.com
    • Jika Anda memiliki instance Looker yang dihosting oleh pelanggan: http://looker.mycompany.com
    • Jika instance Looker Anda memerlukan nomor port: http://looker.mycompany.com:9999

15. Di kolom URI pengalihan yang diizinkan, masukkan URL ke instance Looker Anda, diikuti dengan /oauth2callback. Misalnya: http://mycompany.looker.com/oauth2callback atau http://looker.mycompany.com:9999/oauth2callback.

16. Klik Create.

17. Salin nilai client ID dan rahasia klien Anda — Anda akan membutuhkannya untuk mengonfigurasi Looker.

Menyiapkan di sisi Looker

Langkah-langkah untuk mengaktifkan Google OAuth di sisi Looker adalah sebagai berikut.

1. Dari aplikasi Looker, saat login sebagai administrator, klik drop-down Admin untuk membuka menu Admin.

2. Di bagian grup Autentikasi, klik Google. Looker menampilkan halaman Autentikasi Google.

   

3. Klik Enabled untuk menampilkan dan mengedit setelan Google OAuth. (Tindakan ini tidak langsung mengaktifkan autentikasi Google; Anda harus mengonfirmasi pilihan Anda nanti).

4. Masukkan Google Auth Settings Anda.

   

   • Client ID dan Rahasia Klien - Salin dan tempel nilai ini dari halaman klien OAuth Google, seperti yang dibahas dalam petunjuk penyiapan Google di atas.
   • Domain - Nama domain organisasi yang dikelola Google. Semua pengguna Google di domain tertentu dapat login ke instance Looker Anda. Jika Anda mengontrol beberapa domain Google, Anda dapat memasukkannya dengan dipisahkan koma.

   PERINGATAN: Hanya masukkan domain Google yang dikontrol oleh organisasi Anda. Memasukkan domain lain dapat membuka akses bagi pengguna domain yang tidak Anda kontrol.

5. Masukkan Opsi Migrasi, yang mengontrol perilaku instance Looker selama transisi ke Google OAuth.

   

   • Login alternatif untuk admin - Memungkinkan admin melanjutkan login dengan email dan sandi, yang dapat berfungsi kembali jika terjadi masalah saat menyiapkan Google OAuth. Setelan ini direkomendasikan dan dijelaskan lebih lanjut di bawah.
   • Gabungkan menurut email - Mengonversi semua pengguna yang ada dengan alamat email di Domain tertentu untuk menggunakan Google OAuth, pada saat login berikutnya. Setelan ini direkomendasikan.
   • Peran untuk pengguna baru - Menentukan fungsi dan akses model yang dimiliki pengguna non-admin baru. Daftar ini dapat diperbarui nanti. Jika dibiarkan kosong, pengguna baru yang diautentikasi dengan Google akan memiliki fungsi terbatas di dalam platform Looker hingga admin menambahkan peran ke akun mereka. Karena semua pengguna dalam domain Google Anda akan dapat login ke Looker, pertimbangkan untuk menentukan peran default bagi pengguna baru yang membatasi akses dengan tepat.

6. Klik Test Google Authentication untuk menggunakan setelan saat ini dan mencoba mengautentikasi browser saat ini di jendela baru. Tindakan ini tidak menyimpan setelan saat ini atau menerapkannya ke instance Looker.

   

   Jika Anda tidak login ke Google, Anda akan diminta untuk login dan meminta izin untuk menggunakan informasi Akun Google Anda. Alur ini menggunakan setelan Layar izin kustom yang Anda gunakan dalam penyiapan sisi Google.

   Setelah berhasil, bagian Info Pengguna akan ditampilkan dengan nama, email, domain, dll. Kehadiran bagian Info Pengguna ini menunjukkan bahwa pengguna ini akan berhasil diautentikasi oleh Looker.

   Jika gagal, deskripsi error akan muncul. Berikut adalah beberapa masalah umum:

   • Client ID atau Rahasia Klien Salah. Judul dan deskripsi harus disalin dan ditempelkan dengan cermat.
   • Pengguna berada di luar domain. Jika Anda melihat bagian Info Orang, namun tidak melihat Info Pengguna, hal itu mungkin karena pengguna tidak berada dalam domain yang Anda tentukan. Hal ini menunjukkan bahwa orang tersebut telah mengautentikasi dirinya ke Google dengan benar, tetapi dia tidak menggunakan Akun Google yang telah Anda pilih untuk diizinkan ke instance Looker Anda.
   • URL Looker dan/atau URL alihan tidak disiapkan dengan benar di Google untuk Looker Anda.

7. Untuk menyimpan dan menerapkan perubahan, centang Saya telah mengonfirmasi konfigurasi di atas dan ingin mengaktifkan penerapannya secara global. Klik Perbarui.

Setelah Anda mengaktifkan autentikasi Google, pengguna hanya dapat melakukan autentikasi melalui Google OAuth. Jika Anda tidak mengaktifkan setelan Gabungkan dengan email untuk akun yang sudah ada, setiap login baru yang diautentikasi Google akan membuat pengguna Looker baru. Login email/sandi yang ada tidak dapat digunakan pada saat autentikasi Google diaktifkan.

Tips

• Untuk bereksperimen dengan siklus autentikasi penuh, Anda dapat logout dari Google dan melihat bahwa Google meminta Anda untuk login lagi saat Anda mencoba login ke Looker.

• Di Google, Anda dapat mengklik Akun di menu drop-down pribadi (di samping alamat email di kanan atas halaman Google Workspace) untuk mengelola akun pribadi.

  Pada halaman pengelolaan tersebut, ada tab Keamanan dengan bagian Izin Akun. Mengklik Aplikasi dan situs Lihat semua memungkinkan Anda (sebagai pengguna) melihat dan mengelola layanan serta aplikasi yang telah Anda berikan izin.

  Mengklik izin Looker yang Anda berikan untuk login akan menampilkan detail yang dilihat pengguna di layar izin yang Anda sesuaikan di atas. Anda juga dapat mengklik Cabut akses sehingga saat login kembali ke Looker (atau otorisasi pengujian), Anda akan diminta kembali dengan layar izin. Anda dapat menggunakan alur kerja ini untuk membantu menyesuaikan layar izin dan melihat apa yang akan dilihat pengguna.

Pemecahan masalah

• Jika pengguna gagal login, pertama-tama pastikan bahwa pengguna memiliki nama depan dan nama belakang di akun Google-nya. Jika pengguna menghapus nama depan atau nama belakangnya dari Akun Google, Looker mungkin tidak dapat mengautentikasi pengguna dengan Google OAuth.

• Jika upaya pengguna untuk login gagal, dan Looker menampilkan error seperti User not in the authorized domain, periksa kolom hd respons JSON. Jika kolom hd berisi domain, pastikan domain tersebut terdaftar ke akun Google Workspace Anda. Jika kolom hd kosong, gunakan Alat transfer untuk pengguna yang tidak dikelola guna mengundang pengguna untuk mengonversi akun mereka menjadi akun terkelola dalam domain Anda.

• Jika pengguna gagal login, tetapi Looker tidak menampilkan pesan error, pengguna tersebut mungkin telah mengedit nama akun Google Workspace dan menghapus nama depan atau belakangnya. Dalam situasi ini, nama akun Google Workspace mungkin masih terlihat lengkap di konsol Admin, yang mungkin tidak menampilkan hasil edit pengguna. Untuk mencegah masalah ini, admin Google Workspace dapat menonaktifkan opsi Izinkan pengguna menyesuaikan setelan ini.

Mengaktifkan login email saat Google Auth diaktifkan

Akun Google baru otomatis mendapatkan akses ke Looker, sehingga Anda tidak perlu menambahkan pengguna yang ada di Domain Google Anda.

Untuk menambahkan pengguna melalui alamat email yang tidak ada di Domain Google Anda:

1. Mengaktifkan opsi Login alternatif untuk admin dan pengguna yang ditentukan di halaman Google Auth
2. Buat atau ubah peran pengguna yang ada untuk menambahkan izin login_special_email
3. Buka Tambahkan Pengguna dari panel pengguna (/admin/users/new)
4. Tambahkan alamat email yang ingin Anda sertakan, dan peran yang harus dimiliki pengguna tersebut, yang harus menyertakan peran dengan izin login_special_email
5. Pengguna tersebut kini dapat login melalui http://mycompany.looker.com/login/email (URL tersembunyi)

Untuk mengaktifkan login alternatif menggunakan Looker API, lihat halaman dokumentasi Mengaktifkan opsi login alternatif.

Menonaktifkan Google Auth setelah diaktifkan

Jika Anda ingin menonaktifkan Autentikasi Google untuk instance Looker setelah diaktifkan, ada beberapa hal yang perlu dipertimbangkan:

• Pengguna yang dibuat sebelum Autentikasi Google ditambahkan, dan sudah menyiapkan login email serta sandi normal, akan tetap berfungsi.
• Pengguna yang dibuat setelah Autentikasi Google ditambahkan tidak akan dapat login lagi. Ketika akun mereka masih ada, mereka tidak memiliki cara untuk mengaksesnya, dan akun mereka secara efektif menjadi usang.

Oleh karena itu, saat ini, sebaiknya hindari rute ini. Jika Anda harus memilih jalur ini, mungkin ada metode untuk memperbaiki akun usang menggunakan Looker API. Hubungi Dukungan Looker untuk mendapatkan panduan tambahan.