LookerのGoogle認証を有効化してみた
投稿者:鈴木
本稿は Looker Advent Calendar 2021 の17日目の記事です。
前回、Google認証の「Test Google Authentication」までを検証したブログを書きましたが、本稿では実際にGoogle認証を有効化させたところについてご紹介いたします。
目次
- はじめに
- 有効化してみる
- 結果
- まとめ
1.はじめに
Google認証の概要や手順については関連記事の「LookerのGoogle認証を “Test Google Authentication” 機能で検証してみた」で説明しておりますのでこちらをご覧ください。
本稿では、Google認証を設定し”Test Google Authentication”が成功した後、実際に有効化した際の挙動や注意点について記載しております。
2.有効化してみる
Looker画面上部の [管理] > 認証の [Google] をクリックし、Google Authentication画面に遷移します。
設定値を入力後、[Test Google Authentication] をクリックし認証のテストを行います。
このように “successfully” と成功した表記が出ていれば正常に認証されることを示します。
(ちなみに、「権限が設定されていない」、「emailや名前が異なっている」といった警告文が表示されています。権限はあえて今回設定しておらず、またemailや名前はGoogleとLookerで設定が異なっていましたが、そのままでも問題なく有効化することができました。)
テストが完了したので、実際に有効化していきます。
上記までの設定を再度確認し、チェックボックスを押下後 [Update] をクリックします。
適用が完了すると、画面上部に水色のバーで適用されたことが表示されます。
以上で設定は完了です。
3.結果
Google認証適用後、画面や挙動が異なる点についてご紹介いたします。
その1. ログイン画面
Google認証を適用させたのでログイン画面、挙動が変わります。
ログイン画面を見ると、画面はemail/password でログインする画面と異なり、”AUTHENTICATE WITH GOOGLE” のボタンでログインする画面に変更されます。
Googleアカウントにログインしている状態であれば、ボタンを押すだけでLookerにログインすることができます。ログアウト状態であればGoogleアカウントにログインすればLookerにもログインできます。
Google認証有効後は基本Google認証のみでログインすることになりますが、Google認証設定時に「Alternate login for admins and specified users」のオプションを有効にしたりユーザーにログインできる権限を追加していれば、Google認証の他に今までと同様Lookerのemail/passwordでログインすることができます。
ログイン画面の下部にある [Alternate login page] をクリックすると、email/password のログイン画面が表示されます。
管理者および権限を保持しているユーザーはログインできますが、その他のユーザーは画面は表示されるがログインできない状態となります。
email/passwordでログインできる権限の追加方法については後程ご説明いたします。
その2. Users画面
(Users画面では今まで通り、ユーザーの追加や権限の編集など行うことができます。)
Google認証が適用されるとGoogleアカウントとLookerのアカウントがマージされてGoogleアカウントのNameに変更されます。また、Credentialsに “google” が追加され、emailはグレーアウトになります。少しわかりにくいですが利用できるCredentialsが濃い表示になっております(赤枠で囲った箇所)。
添付のキャプチャの場合、以下に例を記載いたします。
- ID=2:Admin権限のためすべてのCredentialsが有効になっている
- ID=13:既存アカウント。Google認証で未ログインのため “google” の項目がない。また “email/password” でログインする権限を保持していないため “email” はグレーアウト
- ID=17:既存アカウント。Google認証でログインしたため”google” の項目がある。また “email/password” でログインする権限を保持していないため “email” はグレーアウト
- ID=24:Google認証によって新規にログインしたアカウント。Google認証のみでログインできる
また、管理者以外にemail/passwordでログインできるように設定する方法についてご説明します。設定方法はアカウントの登録状態によって異なります。
- 既存アカウント:今までにemail/passwordでログインをしており、パスワードも登録されている状態のため「login_special_email」権限を付与するのみです。権限を追加するとCredentialsの”email”欄が利用できる表示に変更されます。
- Google認証によって新規で登録されたアカウント:Google認証有効後は基本Google認証のみでの認証となります。そのためGUIでは権限を追加することはできません(権限を追加したとしてもCredentialsにemailが追加されません)。権限を追加する場合はAPIまたはLooker SDKを利用する必要があります。
その3. 新規アカウント追加
Google認証を有効にすると、組織内のアカウントであればLookerに新規登録せずにログインすることができます。ユーザーがログインするとUsers画面に自動的に登録がされます。
また、対象の組織以外のアカウントを追加させたい場合は、今まで通りUsers画面から追加し、「login_special_email」を付与すればログインできます。
4.まとめ
Google認証を有効化する前までは、適用してログインできなかったり挙動が異なってしまわないかなと不安でしたが、推奨されているオプションをきちんと設定していれば特に問題なく、むしろアカウントの登録などの手間が省けるため良い認証方法だなと思いました。ただし、組織内のアカウントであれば自動的にLookerにアクセスできてしまうため、権限の制御や定期的なアカウントの棚卸は必要になってきます。
Google認証はその他のSAML認証などと比べて設定が非常に楽なのでぜひ参考にしていただき設定していただければ幸いです。
今後、Google認証で運用してみての気づきや注意点があればアップデートしていきたいと思います。
*本ブログに記載の会社名、商品名、サービス名は各社の商標または登録商標です。