Configuración de administrador: autenticación de Google

La página Autenticación de Google de la sección Autenticación del menú Administrar te permite configurar OAuth de Google en Looker.

Información general sobre la función

Looker puede realizar la autenticación mediante OAuth de Google para los usuarios que tengan cuentas registradas en Google Workspace.

• Las organizaciones que usan Google Workspace pueden autenticar a los usuarios de Looker que tengan cuentas de Google.
• Los usuarios inician sesión en Looker autenticándose con su cuenta de Google.
• Las nuevas cuentas de Google obtienen acceso automáticamente a Looker. No es necesario invitar a los usuarios a Looker por separado. Puedes definir el rol predeterminado de los usuarios nuevos, lo que puede limitar su acceso a funciones y datos.
• Cuando está habilitada, Looker autentica a los usuarios solo con OAuth de Google a menos que se seleccione la opción de inicio de sesión alternativo (consulta la siguiente sección sobre cómo habilitar los inicios de sesión con correo electrónico cuando la autenticación de Google esté habilitada).
• El avatar de Google del usuario aparece en la barra de navegación en lugar del símbolo de usuario estándar.

• Cuando se habilita OAuth de Google, la instancia de Looker puede combinar las cuentas de usuario con el dominio registrado en Google, pero solo en el caso de las cuentas cuya dirección de correo coincida con el dominio. Todas las demás cuentas que no sean de administrador perderán la capacidad de iniciar sesión.
• Todos los usuarios del dominio especificado tienen acceso a la instancia de Looker.
• Los permisos de los nuevos usuarios de Google se definen de forma predeterminada como acceso básico a una lista de modelos especificada (que, opcionalmente, puede ser acceso a ningún modelo). Un administrador puede actualizar los permisos después de crear la cuenta.
• Las nuevas cuentas de Looker que se autentiquen mediante OAuth de Google no podrán cambiar a la autenticación con contraseña, aunque OAuth esté inhabilitado en la instancia de Looker.

Requisitos preliminares

Para usar OAuth de Google, necesitas lo siguiente:

• Una cuenta de Google Workspace para la organización.
• Un dominio controlado por la organización y registrado en la cuenta de Google Workspace.
• Usuarios con direcciones de correo del dominio asociado a la cuenta de Google.
• Cada usuario debe tener una cuenta de usuario gestionada en Google Workspace. Para buscar y migrar usuarios con cuentas de usuario no gestionadas, utiliza la herramienta de transferencia de usuarios no gestionados.

Habilitar la autenticación con OAuth de Google

Para habilitar la autenticación con Google OAuth, un administrador debe seguir los pasos que se indican en las siguientes secciones, tanto en Google como en Looker.

Configuración en Google

En esta sección se describen los pasos para habilitar OAuth de Google en Google. En la página de asistencia de Google sobre cómo configurar OAuth 2.0 se describe de forma genérica cómo llevar a cabo estos pasos. También puedes consultar la documentación de la Google Cloud ayuda de la consola.

1. Ve a la Google Cloud consola.

2. Haz clic en la flecha hacia abajo del menú desplegable Seleccionar un proyecto. Es posible que veas el nombre de un proyecto en el menú desplegable. Haz clic en la flecha hacia abajo y se te mostrará la opción para crear un proyecto.

3. En la página Seleccionar un proyecto, haz clic en Nuevo proyecto.

   Google muestra la página Nuevo proyecto.

4. Rellena la información de la página Nuevo proyecto y haz clic en Crear.

   Cuando Google termine de crear el proyecto, volverá a la Google Cloud consola y mostrará el nuevo proyecto.

5. En el menú de la izquierda, selecciona APIs y servicios > Credenciales.

6. En la página Credenciales, haz clic en el botón Crear credenciales y selecciona ID de cliente de OAuth en el menú desplegable.

   Google muestra la página Crear ID de cliente de OAuth.

7. Google requiere que configures una pantalla de consentimiento de OAuth, que permite a tus usuarios elegir cómo conceder acceso a sus datos privados y proporciona un enlace a los términos del servicio y a la política de privacidad de tu organización. Haz clic en Configurar pantalla de consentimiento. Si ya has configurado el consentimiento de OAuth en un proyecto anterior, no verás esta opción y podrás saltar al paso 13.

   Google muestra la página Pantalla de consentimiento de OAuth.

8. Introduce el dominio de tu instancia de Looker en el campo Dominios autorizados. Por ejemplo, si Looker aloja tu instancia en https://mycompany.looker.com, el dominio es looker.com. En las implementaciones de Looker alojadas por el cliente, introduce el dominio en el que alojas Looker.

9. Configura la pantalla de consentimiento de OAuth y haz clic en Guardar y continuar.

10. En la página Ámbitos, haga clic en Guardar y continuar. No es necesario configurar ningún ámbito adicional.

11. En la página Resumen, haz clic en Volver al panel de control.

    Google te redirigirá a la página Crear ID de cliente de OAuth.

12. En Tipo de aplicación, selecciona Aplicación web.

13. En el campo Nombre, introduce el nombre de tu ID de cliente de OAuth.

14. En el campo Orígenes de JavaScript autorizados, introduce la URL de tu instancia de Looker, incluido el https://. Por ejemplo:

    • Si Looker aloja tu instancia: https://mycompany.looker.com
    • Si tienes una instancia de Looker alojada por el cliente, sigue estos pasos: https://looker.mycompany.com
    • Si tu instancia de Looker requiere un número de puerto, haz lo siguiente: https://looker.mycompany.com:9999

15. En el campo URIs de redirección autorizados, introduce la URL de tu instancia de Looker seguida de /oauth2callback. Por ejemplo, https://mycompany.looker.com/oauth2callback o https://looker.mycompany.com:9999/oauth2callback.

16. Haz clic en Crear.

17. Copia los valores de ID de cliente y secreto de cliente, ya que los necesitarás para configurar Looker.

Configuración en Looker

.

Para habilitar OAuth de Google en Looker, sigue estos pasos.

1. En la aplicación Looker, inicia sesión como administrador y haz clic en el menú desplegable Administrar para abrir el menú Administrar.

2. En el grupo Autenticación, haz clic en Google. Looker muestra la página Autenticación de Google.

3. Haga clic en Habilitado para ver y editar la configuración de OAuth de Google. (Esto no habilita inmediatamente la autenticación de Google; debes confirmar tu elección más adelante).

4. Introduce la configuración de autenticación de Google.

   • ID de cliente y secreto de cliente: copia y pega estos valores de la página del cliente de OAuth de Google, tal como se explica en las instrucciones de configuración de Google anteriores.
   • Dominios: nombre(s) de dominio gestionado(s) por Google de tu organización. Cualquier usuario de Google del dominio indicado puede iniciar sesión en tu instancia de Looker. Si controlas varios dominios de Google, puedes introducirlos separados por comas.

5. Introduce Opciones de migración, que controlan el comportamiento de la instancia de Looker durante la transición a Google OAuth.

   • Inicio de sesión alternativo para administradores: permite a los administradores seguir iniciando sesión con su correo y contraseña, lo que resulta útil en caso de que haya problemas al configurar OAuth de Google. Esta opción se recomienda y se describe con más detalle en el artículo Habilitar los inicios de sesión con correo electrónico cuando la autenticación de Google esté habilitada.
   • Combinar por correo electrónico: convierte a los usuarios que tengan direcciones de correo de los dominios indicados para que usen OAuth de Google la próxima vez que inicien sesión. Te recomendamos que uses esta opción.
   • Roles de los nuevos usuarios: especifica las funciones y el acceso al modelo que tienen los nuevos usuarios que no son administradores. Esta lista se puede actualizar más adelante. Si se deja en blanco, los nuevos usuarios autenticados con Google tendrán funciones limitadas en la plataforma de Looker hasta que un administrador añada un rol a su cuenta. Como todos los usuarios de tu dominio de Google podrán iniciar sesión en Looker, te recomendamos que especifiques un rol predeterminado para los usuarios nuevos que limite el acceso de forma adecuada.

6. Haga clic en Probar autenticación de Google para usar la configuración actual e intentar autenticar el navegador actual en una ventana nueva. Esta acción no guarda los ajustes actuales ni los aplica a la instancia de Looker.

   Si no has iniciado sesión en Google, se te pedirá que lo hagas y que des tu consentimiento para usar la información de tu cuenta de Google. Este flujo usa los ajustes personalizados de la pantalla de consentimiento que hayas utilizado en la configuración del lado de Google.

   Si la operación se realiza correctamente, se mostrará la sección Información del usuario con tu nombre, tu correo y tu dominio. La presencia de la sección Información del usuario indica que Looker autenticará correctamente a este usuario.

   Si se produce un error, se mostrarán las descripciones correspondientes. Estos son algunos de los problemas habituales:

   • El ID de cliente o el secreto de cliente se han copiado incorrectamente. Deben copiarse y pegarse con cuidado y por completo.
   • El usuario está fuera del dominio. Si ves la sección Información personal, pero no la sección Información del usuario, probablemente se deba a que el usuario no pertenece al dominio que has especificado. Esto indica que la persona se ha autenticado correctamente en Google, pero no está usando una cuenta de Google a la que hayas dado acceso a tu instancia de Looker.
   • Una URL de Looker o una URL de redirección no se ha configurado correctamente en Google para tu instancia de Looker.

7. Para guardar y aplicar los cambios, marca la casilla He confirmado la configuración anterior y quiero habilitarla de forma global. Haz clic en Actualizar.

Consejos

• Para probar el ciclo de autenticación completo, puedes cerrar sesión en Google y ver que Google te pide que vuelvas a iniciar sesión cuando intentes iniciar sesión en Looker.

• En Google, puedes hacer clic en Cuenta en el menú desplegable personal (junto a tu dirección de correo en la parte superior derecha de una página de Google Workspace) para gestionar tu cuenta personal.

  En esa página de gestión, hay una pestaña Seguridad con una sección Permisos de la cuenta. Si haces clic en Aplicaciones y sitios web Ver todo, podrás ver y gestionar los servicios y las aplicaciones a los que has concedido permisos.

  Si haces clic en los permisos de Looker que has concedido para iniciar sesión, se muestran los detalles que ven los usuarios en la pantalla de consentimiento que has personalizado anteriormente. También puedes hacer clic en Revocar acceso para que, la próxima vez que inicies sesión en Looker (o pruebes la autorización), se te vuelva a mostrar la pantalla de consentimiento. Puede usar este flujo de trabajo para personalizar su pantalla de consentimiento y ver lo que verán los usuarios.

Solución de problemas

• Si un usuario no puede iniciar sesión, comprueba primero que haya indicado tanto el nombre como los apellidos en su cuenta de Google. Si el usuario ha eliminado su nombre o sus apellidos de su cuenta de Google, es posible que Looker no pueda autenticarlo con OAuth de Google.

• Si un usuario no puede iniciar sesión y Looker muestra un error como User not in the authorized domain, comprueba el campo hd de la respuesta JSON. Si el campo hd contiene un dominio, asegúrate de que esté registrado en tu cuenta de Google Workspace. Si el campo hd está vacío, usa la herramienta de transferencia de usuarios no gestionados para invitar al usuario a convertir su cuenta en una cuenta gestionada de tu dominio.

• Si un usuario no puede iniciar sesión, pero Looker no muestra ningún mensaje de error, es posible que haya editado el nombre de su cuenta de Google Workspace y haya eliminado su nombre o sus apellidos. En esta situación, el nombre de la cuenta de Google Workspace puede seguir apareciendo completo en la consola de administración, que puede que no muestre los cambios del usuario. Para evitar este problema, los administradores de Google Workspace pueden inhabilitar la opción Permitir a los usuarios personalizar esta opción.

Habilitar los inicios de sesión con correo electrónico cuando la autenticación de Google está habilitada

Las cuentas de Google nuevas obtienen acceso a Looker automáticamente, por lo que no es necesario añadir usuarios que estén en tu dominio de Google.

Para añadir un usuario con una dirección de correo que no esté en tu dominio de Google, sigue estos pasos:

1. Habilita la opción Inicio de sesión alternativo para administradores y usuarios especificados en la página de autenticación de Google.
2. Crea o modifica un rol de usuario para añadir el permiso login_special_email
3. Ve a Añadir usuarios en el panel de usuarios (/admin/users/new).
4. Añade las direcciones de correo que quieras incluir y los roles que deben tener esos usuarios, que deben incluir un rol con el permiso login_special_email.
5. Ahora, esos usuarios pueden iniciar sesión con https://mycompany.looker.com/login/email (URL oculta).

Inhabilitar la autenticación de Google una vez que se ha habilitado

Si quieres inhabilitar la autenticación de Google en tu instancia de Looker después de haberla habilitado, debes tener en cuenta lo siguiente:

• Los usuarios que se crearon antes de que se añadiera la autenticación de Google y que ya configuraron un nombre de usuario y una contraseña de correo electrónico normales seguirán funcionando.
• Los usuarios que se crearon después de que se añadiera la autenticación de Google ya no podrán iniciar sesión. Aunque sus cuentas sigan existiendo, no tienen forma de acceder a ellas, por lo que se consideran huérfanas.

Por eso te recomendamos que evites esta ruta. Si tienes que seguir este proceso, puede que haya un método para corregir las cuentas huérfanas mediante la API de Looker. Ponte en contacto con el equipo de Asistencia de Looker para obtener más ayuda.