Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Paramètres Admin – Authentification à deux facteurs

Looker fournit l'authentification à deux facteurs (2FA) comme couche de sécurité supplémentaire pour protéger les données accessibles via Looker. Lorsque l'A2F est activée, chaque utilisateur qui se connecte doit s'authentifier à l'aide d'un code unique généré par son appareil mobile. Il n'est pas possible d'activer l'authentification à deux facteurs pour un sous-ensemble d'utilisateurs.

La page Authentification à deux facteurs de la section Authentification du menu Admin vous permet d'activer et de configurer l'A2F.

Utiliser l'authentification à deux facteurs

Voici le workflow de haut niveau pour configurer et utiliser l'authentification à deux facteurs. Veuillez noter les exigences de synchronisation horaire, qui sont nécessaires au bon fonctionnement de l'A2F.

L'administrateur active l'A2F dans les paramètres d'administration de Looker.

Lorsque vous activez l'A2F, tous les utilisateurs connectés à Looker sont déconnectés et doivent se reconnecter à l'aide de l'A2F.
Les utilisateurs individuels installent l'appli d'authentification Google Authenticator iPhone app ou l'application Android Android app sur leurs appareils mobiles, ou toute autre appli d'authentification tierce.
Lors de la première connexion, un utilisateur voit une image d'un code QR sur l'écran de son ordinateur, qu'il doit scanner avec son téléphone à l'aide de l'appli d'authentification.

Si l'utilisateur ne peut pas scanner de code QR avec son téléphone, il peut également générer un code texte qu'il peut saisir sur son téléphone.

Une fois cette étape terminée, les utilisateurs pourront générer des clés d'authentification pour Looker.
Lors des connexions suivantes à Looker, l'utilisateur devra saisir une clé d'authentification après avoir envoyé son nom d'utilisateur et son mot de passe.

Si un utilisateur active l'option Il s'agit d'un ordinateur de confiance, la clé authentifie le navigateur de connexion pendant 30 jours. Pendant cette période, l'utilisateur peut se connecter uniquement avec son nom d'utilisateur et son mot de passe. Tous les 30 jours, Looker demande à chaque utilisateur de réauthentifier le navigateur avec son appli d'authentification.

Exigences de synchronisation horaire

Une appli d'authentification génère des mots de passe à usage unique basés sur le temps, qui nécessitent une synchronisation horaire entre le serveur Looker et chaque appareil mobile pour que les jetons fonctionnent. Si le serveur Looker et un appareil mobile ne sont pas synchronisés, l'utilisateur de l'appareil mobile peut ne pas être en mesure de s'authentifier avec l'A2F. Pour synchroniser les sources de temps :

Configurez les appareils mobiles pour qu'ils synchronisent automatiquement l'heure avec le réseau.
Pour les déploiements Looker hébergés par le client, assurez-vous que NTP est en cours d'exécution et configuré sur le serveur. Si le serveur est provisionné sur AWS, vous devrez peut-être autoriser explicitement NTP dans la liste de contrôle d'accès au réseau AWS.
Un administrateur Looker peut définir la dérive temporelle maximale autorisée dans le panneau Admin de Looker, qui définit la différence autorisée entre le serveur et les appareils mobiles. Si le paramètre d'heure d'un appareil mobile est désactivé de plus que la dérive autorisée, les clés d'authentification ne fonctionneront pas. La valeur par défaut est de 90 secondes.

Réinitialiser l'authentification à deux facteurs

Si un utilisateur doit réinitialiser son authentification à deux facteurs (par exemple, s'il possède un nouvel appareil mobile) :

Sur la page Utilisateurs de la section Admin de Looker, cliquez sur Modifier à droite de la ligne de l'utilisateur pour modifier les informations de son compte.
Dans la section Secret à deux facteurs, cliquez sur Réinitialiser. Looker invite alors l'utilisateur à scanner à nouveau un code QR avec l'application Google Authenticator lors de la tentative suivante de connexion à l'instance Looker.

Remarques

Lorsque vous configurez l'authentification à deux facteurs, tenez compte des points suivants :

L'authentification à deux facteurs n'a pas d'incidence sur l'utilisation de l'API Looker.
L'authentification à deux facteurs n'a pas d'incidence sur l'authentification via des systèmes externes tels que LDAP, SAML, Google OAuth ou OpenID Connect. L'authentification à deux facteurs affecte tous les autres identifiants de connexion utilisés avec ces systèmes.