Unternehmen verwenden für die Koordination mit OpenID Connect unterschiedliche OpenID Connect-Anbieter (OPs), z. B. Okta oder OneLogin. Die in den folgenden Einrichtungsanweisungen und der Looker-Benutzeroberfläche verwendeten Begriffe stimmen möglicherweise nicht direkt mit den in Ihrem OP verwendeten Begriffen überein.
Im Bereich Authentifizierung des Admin-Menüs können Sie auf der Seite OpenID Connect Looker so konfigurieren, dass Nutzer über das OpenID Connect-Protokoll authentifiziert werden. Auf dieser Seite wird dieser Prozess beschrieben und Sie finden Anweisungen zum Verknüpfen von OpenID Connect-Gruppen mit Looker-Rollen und -Berechtigungen.
Überlegungen zur Planung
- Mit der Option Alternative Anmeldung für angegebene Nutzer können Sie Looker-Administratoren ohne OpenID Connect Zugriff auf Looker gewähren.
- Deaktivieren Sie die OpenID Connect-Authentifizierung nur dann, wenn Sie über OpenID Connect bei Looker angemeldet sind, es sei denn, Sie haben ein alternatives Konto eingerichtet. Andernfalls könntest du die App für dich sperren.
- Looker kann vorhandene Konten zu OpenID Connect migrieren, indem E-Mail-Adressen aus aktuellen E-Mail- und Passworteinstellungen, LDAP, SAML oder Google Auth verwendet werden. Sie können dies während der Einrichtung konfigurieren.
- Looker unterstützt nur die OpenID Connect-Authentifizierung mithilfe des Autorisierungscode-Vorgangs von OpenID Connect. Andere Codeflüsse werden nicht unterstützt.
- Die OpenID Connect-Spezifikation enthält einen optionalen Erkennungsmechanismus. Looker unterstützt diesen Mechanismus nicht. Sie müssen daher explizite URLs im Abschnitt OpenID Connect-Authentifizierungseinstellungen angeben, wie unter Authentifizierungseinstellungen für OpenID Connect konfigurieren beschrieben.
OpenID Connect einrichten
Führen Sie die folgenden Aufgaben aus, um die Verbindung zwischen Looker und OpenID Connect einzurichten:
- Geben Sie die Looker-URL an Ihr OpenID Connect-Anbieter (OP) weiter.
- Die erforderlichen Informationen findest du in deinem OP.
Looker für Ihr OP einrichten
Ihr OpenID Connect-Anbieter (OP) benötigt die URL Ihrer Looker-Instanz. Ihr OP kann diese unter anderem als Weiterleitungs-URI oder Login-Weiterleitungs-URI nennen. Geben Sie auf der Website Ihres Vorgangs die URL an, unter der Sie normalerweise in einem Browser auf Ihre Looker-Instanz zugreifen, gefolgt von /openidconnect. Beispiel: https://instance_name.looker.com/openidconnect
Informationen aus deinem OP werden abgerufen
Um Looker für die OpenID Connect-Authentifizierung zu konfigurieren, benötigen Sie die folgenden Informationen aus Ihrem OP:
- Client-ID und Clientschlüssel. Diese werden normalerweise vom OP auf der Website bereitgestellt, wenn du den Weiterleitungs-URI konfigurierst.
- Während des OpenID Connect-Authentifizierungsprozesses stellt Looker eine Verbindung zu drei verschiedenen Endpunkten her: einem Authentifizierungsendpunkt, einem ID-Token-Endpunkt und einem Nutzerinformationsendpunkt. Du benötigst die URLs, die dein OP für jeden dieser Endpunkte verwendet.
- Jedes OP stellt Nutzerinformationen in Sätzen bereit, die als Bereiche bezeichnet werden. Sie müssen die Namen der Bereiche kennen, die Ihr OP verwendet. Für OpenID Connect ist der Bereich
openiderforderlich. Ihr OP enthält jedoch wahrscheinlich andere Bereiche, z. B.email,profileundgroups. - In OpenID Connect werden Attribute, die Nutzerdaten speichern, als Anforderungen bezeichnet. Sie müssen wissen, welche Anforderungen Ihr OP an Looker übergibt, um die gewünschten Benutzerinformationen in Ihrer Looker-Instanz bereitzustellen. Looker erfordert Anforderungen, die E-Mail- und Namensinformationen enthalten. Wenn Sie jedoch andere Benutzerattribute wie Zeitzone oder Abteilung haben, muss Looker auch angeben, welche Anforderungen diese Informationen enthalten. Ansprüche können in der Antwort entweder vom Endpunkt für Nutzerinformationen oder vom Endpunkt des ID-Tokens enthalten sein. Looker kann die von jedem Endpunkt zurückgegebenen Anforderungen den Looker-Benutzerattributen zuordnen.
Viele OPs bieten Informationen zur Konfiguration von OpenID Connect in Form eines Discovery-Dokuments, mit dem Sie einige oder alle Informationen erfassen können, die Sie zum Konfigurieren von Looker für OpenID Connect benötigen. Wenn du keinen Zugriff auf ein Discovery-Dokument hast, musst du die erforderlichen Informationen von deinem OP- oder internen Authentifizierungsteam einholen.
Der folgende Abschnitt stammt aus einem Beispiel für ein Discovery-Dokument:
{
"issuer": "https://accounts.google.com",
"authorization_endpoint": "https://accounts.google.com/o/oauth2/v2/auth",
"token_endpoint": "https://www.googleapis.com/oauth2/v4/token",
"userinfo_endpoint": "https://www.googleapis.com/oauth2/v3/userinfo",
"revocation_endpoint": "https://accounts.google.com/o/oauth2/revoke",
"jwks_uri": "https://www.googleapis.com/oauth2/v3/certs",
"response_types_supported": [
"code",
"token",
"id_token",
"code token"
"code id_token",
"token id_token",
"code token id_token",
"none"
],
"subject_types_supported": [
"public"
],
"id_token_signing_alg_values_supported": [
"RS256"
],
"scopes_supported": [
"openid",
"email",
"profile"
],
"token_endpoint_auth_methods_supported": [
"client_secret_post",
"client_secret_basic"
],
"claims_supported": [
"aud",
"email",
"email_verified",
"exp",
"family_name",
"given_name",
"iat",
"iss",
"locale",
"name",
"picture",
"sub"
],
Authentifizierungseinstellungen für OpenID Connect konfigurieren
Verwende die Konfigurationsinformationen, die du dem Discovery-Dokument deines OP, deinem OP oder deinem internen Authentifizierungsteam erhalten hast, um in die folgenden Felder Verbindungseinstellungen einzugeben:
ID: Die für Ihre Looker-Instanz eindeutige Client-ID. Diese sollte von deinem OP bereitgestellt werden.
Secret: Der für Ihre Looker-Instanz eindeutige Clientschlüssel. Diese sollte von deinem OP bereitgestellt werden.
Aussteller: Die sichere URL, die Ihr OP identifiziert.
Audience: Eine Kennung, die Ihrem OP angibt, wer der Kunde ist. Dieser Wert entspricht häufig dem Wert für ID, kann aber auch einen anderen Wert haben.
Autorisierungs-URL: URL des Vorgangs, bei dem die Authentifizierungssequenz beginnt. Wird in einem Discovery-Dokument häufig authorization_endpoint genannt.
Token-URL: Die URL, unter der Looker ein OAuth-Token abruft, nachdem Looker autorisiert wurde. Wird in einem Discovery-Dokument häufig token_endpoint genannt.
User Info URL (URL für Nutzerinformationen): Die URL, unter der Looker detaillierte Nutzerinformationen abruft. Wird in einem Discovery-Dokument häufig userinfo_endpoint genannt.
Bereiche: Eine durch Kommas getrennte Liste von Bereichen, die vom OP verwendet werden, um Nutzerinformationen für Looker bereitzustellen. Sie müssen den Bereich openid und alle Bereiche angeben, die die für Looker erforderlichen Informationen enthalten. Dazu gehören E-Mail-Adressen, Nutzernamen und Nutzerattribute, die in Ihrer Looker-Instanz konfiguriert sind.
Einstellungen für Nutzerattribute konfigurieren
In diesem Abschnitt ordnen Sie die Anforderungen Ihres OPs den Nutzerattributen von Looker zu.
Gib im Abschnitt User Attribute Settings (Benutzerattribut-Einstellungen) den Namen des Anspruchs deines OP ein, der die entsprechenden Informationen für jedes Feld enthält. So wird Looker mitgeteilt, wie diese Anforderungen bei der Anmeldung den Looker-Benutzerinformationen zugeordnet werden können. Bei Looker geht es nicht speziell darum, wie Anforderungen aufgebaut werden. Es ist nur wichtig, dass die hier eingegebenen Anspruchsinformationen der Art und Weise entsprechen, wie die Anforderungen in Ihrem OP definiert sind.
Standardansprüche
Looker erfordert für die Nutzerauthentifizierung einen Nutzernamen und eine E-Mail-Adresse. Gib in diesem Abschnitt die entsprechenden Anspruchsinformationen zu deinem OP ein:
E-Mail-Anspruch: Der Anspruch, den dein OP für die E-Mail-Adressen von Nutzern verwendet, z. B. email.
First Name Claim (Anspruch auf den Vornamen): Der Anspruch, den dein OP für Vornamen von Nutzern wie given_name verwendet.
Anspruch auf Nachnamen: Der Anspruch, den dein OP für Nachnamen von Nutzern verwendet, z. B. family_name.
Beachte, dass einige Operationen eine einzige Anforderung für Namen verwenden, anstatt Vor- und Nachnamen zu trennen. Wenn dies bei Ihrem OP der Fall ist, geben Sie die Anforderung, die Namen speichert, sowohl in das Feld First Name Claim als auch das Last Name Claim-Feld ein. Für jeden Benutzer verwendet Looker den Inhalt bis zum ersten Leerzeichen als Vorname und alle nachfolgenden Zeichen als Nachname.
Attributpaare
Optional können Sie die Daten in Ihren OpenID Connect-Anforderungen verwenden, um Werte in Looker-Nutzerattributen automatisch auszufüllen, wenn sich ein Nutzer anmeldet. Wenn Sie beispielsweise OpenID Connect so konfiguriert haben, dass benutzerspezifische Verbindungen zu Ihrer Datenbank hergestellt werden, können Sie Ihre OpenID Connect-Anforderungen mit Looker-Nutzerattributen koppeln, um Ihre Datenbankverbindungen in Looker nutzerspezifisch zu machen.
So kombinieren Sie Anforderungen mit entsprechenden Looker-Benutzerattributen:
- Geben Sie den in Ihrem OP angegebenen Anspruch in das Feld Anspruch und das Looker-Nutzerattribut, mit dem Sie sie koppeln möchten, im Feld Looker-Nutzerattribute ein.
- Aktivieren Sie Erforderlich, wenn Sie die Anmeldung für ein Nutzerkonto blockieren möchten, für das ein Wert im Anspruchsfeld fehlt.
- Klicken Sie auf + und wiederholen Sie diese Schritte, um weitere Anspruchs- und Attributpaare hinzuzufügen.
Beachte, dass einige OPs „verschachtelte“ Ansprüche haben können. Beispiel:
"zoneinfo": "America/Los Angeles",
"phone_number": "555-1235",
"address": {
"street_address": "1234 Main Street",
"locality": "Anyton",
"region": "IL",
"postal_code": "60609",
"country": "US"
},
Im vorherigen Beispiel ist die Anforderung locality in der Anforderung address verschachtelt. Bei verschachtelten Ansprüchen gib die übergeordneten und verschachtelten Ansprüche durch einen Schrägstrich ( / ) getrennt an. Zum Konfigurieren von Looker für die locality-Anforderung in diesem Beispiel geben Sie address/locality ein.
Gruppen und Rollen
Sie haben die Möglichkeit, Gruppen zu erstellen, die Ihre extern verwalteten OpenID Connect-Gruppen spiegeln, und Nutzern dann Looker-Rollen auf Grundlage ihrer gespiegelten OpenID Connect-Gruppen zuzuweisen. Wenn Sie Änderungen an Ihrer OpenID Connect-Gruppenmitgliedschaft vornehmen, werden diese automatisch in die Looker-Gruppenkonfiguration übernommen
Wenn Sie OpenID Connect-Gruppen spiegeln, können Sie Ihr extern definiertes OpenID Connect-Verzeichnis verwenden, um Looker-Gruppen und -Nutzer zu verwalten. Dadurch können Sie wiederum Ihre Gruppenmitgliedschaft für verschiedene SaaS-Tools (Software as a Service) wie Looker an einem Ort verwalten.
Wenn Sie OpenID Connect-Gruppen spiegeln aktivieren, erstellt Looker für jede OpenID Connect-Gruppe, die in das System eingeführt wird, eine Looker-Gruppe. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Mithilfe von Gruppen können Sie Gruppenmitgliedern Rollen zuweisen, Zugriffssteuerungen für Inhalte festlegen und Nutzerattribute zuweisen.
Standardgruppen und -rollen
Der Schalter OpenID Connect-Gruppen spiegeln ist standardmäßig deaktiviert. In diesem Fall können Sie eine Standardgruppe für neue OpenID Connect-Nutzer festlegen. Geben Sie in den Feldern Neue Nutzergruppen und Neue Nutzerrollen die Namen aller Looker-Gruppen oder -Rollen ein, denen Sie neuen Looker-Nutzern bei der ersten Anmeldung in Looker zuweisen möchten:
Diese Gruppen und Rollen werden neuen Nutzern bei der ersten Anmeldung zugewiesen. Sie werden nicht auf bereits vorhandene Nutzer angewendet und nicht noch einmal, wenn sie nach der ersten Anmeldung von Nutzern entfernt werden.
Spiegel-OpenID Connect-Gruppen aktivieren
Aktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln, um Ihre OpenID Connect-Gruppen in Looker zu spiegeln:
Gruppenanspruch: Gib den Anspruch ein, den dein OP zum Speichern von Gruppennamen verwendet. Looker erstellt eine Looker-Gruppe für jede OpenID Connect-Gruppe, die durch die Groups-Anforderung in das System eingeführt wird. Diese Looker-Gruppen können in Looker im Bereich Admin auf der Seite Gruppen eingesehen werden. Gruppen können zum Einrichten von Zugriffssteuerungen für Inhalte und zum Zuweisen von Nutzerattributen verwendet werden.
Bevorzugter Gruppenname / Rollen / OpenID Connect-Gruppenname: Mit dieser Gruppe von Feldern können Sie einen benutzerdefinierten Gruppennamen und eine oder mehrere Rollen zuweisen, die der entsprechenden OpenID Connect-Gruppe in Looker zugewiesen sind:
Geben Sie den Namen der OpenID Connect-Gruppe in das Feld Name der OpenID Connect-Gruppe ein. OpenID Connect-Nutzer, die in der OpenID Connect-Gruppe enthalten sind, werden der gespiegelten Gruppe in Looker hinzugefügt.
Geben Sie im Feld Benutzerdefinierter Name einen benutzerdefinierten Namen für die gespiegelte Gruppe ein. Dieser Name wird in Looker im Bereich Admin auf der Seite Gruppen angezeigt.
Wählen Sie im Feld rechts neben dem Feld Benutzerdefinierter Name eine oder mehrere Looker-Rollen aus, die jedem Nutzer in der Gruppe zugewiesen werden.
Klicken Sie auf
+, um weitere Felder hinzuzufügen und so weitere gespiegelte Gruppen zu konfigurieren. Wenn Sie mehrere Gruppen konfiguriert haben und die Konfiguration für eine Gruppe entfernen möchten, klicken Sie neben den Feldern dieser Gruppe aufX.
Wenn Sie eine gespiegelte Gruppe bearbeiten, die zuvor in diesem Bildschirm konfiguriert wurde, ändert sich die Konfiguration der Gruppe, die Gruppe selbst bleibt jedoch erhalten. Wenn Sie beispielsweise den benutzerdefinierten Namen einer Gruppe ändern, ändert sich dadurch die Darstellung der Gruppe auf der Looker-Seite Gruppen. Die zugewiesenen Rollen und Gruppenmitglieder bleiben jedoch bestehen. Durch das Ändern der OpenID Connect-Gruppen-ID werden der Gruppenname und die Rollen beibehalten. Die Mitglieder der Gruppe werden jedoch basierend auf den Nutzern neu zugewiesen, die Mitglieder der externen OpenID Connect-Gruppe mit der neuen OpenID Connect-Gruppen-ID sind.
Wenn Sie eine Gruppe auf dieser Seite löschen, wird diese Gruppe nicht mehr in Looker gespiegelt und ihren Mitgliedern haben die Rollen in Looker nicht mehr, die ihnen über diese Gruppe zugewiesen wurden.
Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf Benutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker anmelden.
Erweiterte Rollenverwaltung
Wenn Sie den Schalter OpenID Connect-Gruppen spiegeln aktiviert haben, werden diese Einstellungen in Looker angezeigt. Die Optionen in diesem Abschnitt bestimmen, wie viel Flexibilität Looker-Administratoren bei der Konfiguration von Looker-Gruppen und Benutzern haben, die von OpenID Connect gespiegelt wurden.
Wenn beispielsweise Ihre Looker-Gruppe und Ihre Benutzerkonfiguration genau Ihrer OpenID Connect-Konfiguration entsprechen sollen, aktivieren Sie diese Optionen. Wenn alle ersten drei Optionen aktiviert sind, können Looker-Administratoren die Mitgliedschaft in gespiegelten Gruppen nicht ändern und Nutzern nur über die gespiegelten OpenID Connect-Gruppen Rollen zuweisen.
Wenn Sie mehr Flexibilität bei der Anpassung Ihrer Gruppen in Looker haben möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen spiegeln weiterhin Ihre OpenID Connect-Konfiguration wider, Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung innerhalb von Looker durchführen, z. B. OpenID Connect-Nutzer zu Looker-spezifischen Gruppen hinzufügen oder Looker-Rollen direkt OpenID Connect-Nutzern zuweisen.
Bei neuen Looker-Instanzen oder Instanzen, die keine zuvor konfigurierten gespiegelten Gruppen haben, sind diese Optionen standardmäßig deaktiviert.
Bei vorhandenen Looker-Instanzen, für die gespiegelte Gruppen konfiguriert wurden, sind diese Optionen standardmäßig aktiviert.
Im Abschnitt Erweiterte Rollenverwaltung sind folgende Optionen verfügbar:
Verhindern, dass einzelne OpenID Connect-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren OpenID Connect-Nutzern keine Looker-Rollen direkt zuweisen. OpenID Connect-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn OpenID Connect-Nutzer die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen zulassen, können sie ihre Rollen sowohl von gespiegelten OpenID Connect-Gruppen als auch von integrierten Looker-Gruppen übernehmen. Allen OpenID Connect-Nutzern, denen Rollen zuvor direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.
Wenn diese Option deaktiviert ist, können Looker-Administratoren Looker-Rollen OpenID Connect-Nutzern direkt zuweisen, so als wären sie Nutzer, die direkt in Looker konfiguriert wurden.
Direkte Mitgliedschaft in Nicht-OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Looker-Administratoren keine OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen. Wenn gespiegelte OpenID Connect-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können OpenID Connect-Nutzer die Mitgliedschaft in einer beliebigen übergeordneten Looker-Gruppe behalten. Alle OpenID Connect-Benutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, werden bei der nächsten Anmeldung aus diesen Gruppen entfernt.
Wenn diese Option deaktiviert ist, können Looker-Administratoren OpenID Connect-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.
Rollenübernahme von Nicht-OpenID Connect-Gruppen verhindern: Wenn Sie diese Option aktivieren, können Mitglieder von gespiegelten OpenID Connect-Gruppen keine Rollen von integrierten Looker-Gruppen übernehmen. Alle OpenID Connect-Nutzer, die zuvor Rollen von einer übergeordneten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.
Wenn diese Option deaktiviert ist, übernehmen gespiegelte OpenID Connect-Gruppen oder OpenID Connect-Nutzer, die als Mitglied einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der übergeordneten Looker-Gruppe zugewiesen sind.
Auth erfordert Rolle: Wenn diese Option aktiviert ist, muss OpenID Connect-Nutzern eine Rolle zugewiesen sein. OpenID Connect-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht bei Looker anmelden.
Wenn diese Option deaktiviert ist, können sich OpenID Connect-Nutzer bei Looker authentifizieren, auch wenn sie keine Rolle zugewiesen haben. Ein Benutzer ohne zugewiesene Rolle kann in Looker keine Daten sehen und keine Aktionen ausführen, er kann sich jedoch in Looker anmelden.
Spiegel-OpenID Connect-Gruppen deaktivieren
Wenn Sie die Spiegelung Ihrer OpenID Connect-Gruppen in Looker beenden möchten, deaktivieren Sie den Schalter OpenID Connect-Gruppen spiegeln. Alle leeren gespiegelten OpenID Connect-Gruppen werden gelöscht.
Die nicht leeren Spiegel-OpenID Connect-Gruppen sind weiterhin für das Content-Management und die Rollenerstellung verfügbar. Nutzer können jedoch nicht zu gespiegelten OpenID Connect-Gruppen hinzugefügt oder daraus entfernt werden.
Migrationsoptionen konfigurieren
Wie in diesem Abschnitt erläutert, empfiehlt Looker, die alternative Anmeldung zu aktivieren und eine Zusammenführungsstrategie für bestehende Nutzer bereitzustellen.
Alternative Anmeldung für bestimmte Nutzer
Anmeldungen mit E-Mail-Adresse und Passwort für Looker sind für normale Nutzer immer deaktiviert, wenn die OpenID Connect-Authentifizierung aktiviert ist. Die Option Alternative Anmeldung für angegebene Nutzer aktiviert eine alternative E-Mail-basierte Anmeldung mit /login/email für Administratoren und für bestimmte Nutzer mit der Berechtigung login_special_email.
Das Aktivieren dieser Option ist als Fallback während der Einrichtung von OpenID Connect nützlich, falls später Probleme bei der OpenID Connect-Konfiguration auftreten oder Sie einige Nutzer unterstützen müssen, die keine Konten in Ihrem OpenID Connect-Verzeichnis haben.
Geben Sie die Methode an, mit der OpenID Connect-Nutzer mit einem Looker-Konto zusammengeführt werden
Geben Sie im Feld Merge Users Using (Nutzer zusammenführen über) die Methode an, die verwendet werden soll, um eine erstmalige OpenID Connect-Anmeldung mit einem vorhandenen Nutzerkonto zusammenzuführen. Sie können Nutzer aus den folgenden Systemen zusammenführen:
- Looker-E-Mail-Adresse/-Passwort (nicht verfügbar für Looker (Google Cloud Core))
- LDAP (nicht verfügbar für Looker (Google Cloud Core))
- SAML
Wenn Sie mehrere Authentifizierungssysteme eingerichtet haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker sucht nach Nutzern aus den aufgeführten Systemen in der Reihenfolge, in der sie angegeben sind. Angenommen, Sie haben einige Benutzer mit der E-Mail-Adresse und dem Passwort von Looker erstellt, dann haben Sie LDAP aktiviert und möchten nun OpenID Connect verwenden. Im vorherigen Beispiel hat Looker zuerst nach E-Mail-Adresse und Passwort und dann nach LDAP zusammengeführt.
Wenn sich ein Nutzer zum ersten Mal mit OpenID Connect anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verknüpft, indem das Konto mit einer passenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues erstellt.
Benutzer bei der Verwendung von Looker (Google Cloud Core) zusammenführen
Wenn Sie Looker (Google Cloud Core) und OpenID Connect verwenden, funktioniert die Zusammenführung wie im vorherigen Abschnitt beschrieben. Dies ist jedoch nur möglich, wenn eine der folgenden zwei Bedingungen erfüllt ist:
- Bedingung 1: Nutzer authentifizieren sich mit ihrer Google-Identität über das OpenID Connect-Protokoll bei Looker (Google Cloud Core).
Bedingung 2: Bevor Sie die Zusammenführungsoption ausgewählt haben, haben Sie die folgenden zwei Schritte ausgeführt:
- Identitäten von föderierten Nutzern in Google Cloud mit Cloud Identity.
- Richten Sie die OAuth-Authentifizierung als Sicherungsmethode für die föderierten Nutzer ein.
Wenn eine dieser beiden Bedingungen bei der Einrichtung nicht erfüllt wird, ist die Option Nutzer zusammenführen über nicht verfügbar.
Bei der Zusammenführung sucht Looker nach Benutzerdatensätzen, die genau dieselbe E-Mail-Adresse haben.
Nutzerauthentifizierung testen
Klicken Sie beim Festlegen dieser Konfiguration auf die Schaltfläche Test, um Ihre OpenID Connect-Konfiguration zu testen.
Tests leiten an die Endpunkte weiter und öffnen einen neuen Browsertab. Auf dem Tab wird Folgendes angezeigt:
- Ob Looker mit den verschiedenen Endpunkten kommunizieren und validieren konnte
- Trace der Antwort des Authentifizierungsendpunkts
- Die Nutzerinformationen, die Looker vom Endpunkt für Nutzerinformationen erhält
- Sowohl die decodierte als auch die Rohversionen des erhaltenen ID-Tokens
Mit diesem Test können Sie überprüfen, ob die von den verschiedenen Endpunkten erhaltenen Informationen korrekt sind, und Fehler beheben.
Tipps:
- Sie können diesen Test jederzeit ausführen, auch wenn OpenID Connect nur teilweise konfiguriert ist. Ein Test kann während der Konfiguration hilfreich sein, um herauszufinden, welche Parameter konfiguriert werden müssen.
- Für den Test werden die auf der Seite OpenID Connect-Authentifizierung eingegebenen Einstellungen verwendet, auch wenn sie nicht gespeichert wurden. Der Test wirkt sich nicht auf die Einstellungen auf dieser Seite aus.
Speichern und Einstellungen anwenden
Wenn Sie Ihre Informationen eingegeben haben und alle Tests bestanden wurden, aktivieren Sie die Option Ich habe die oben genannte Konfiguration bestätigt und möchte die globale Anwendung aktivieren. Klicken Sie dann zum Speichern auf Einstellungen aktualisieren.