הטמעה עם חתימה באמצעות Looker

1. לפני שמתחילים

הטמעה עם חתימה היא דרך להציג באופן פרטי למשתמשים תצוגות Look, ויזואליזציות, ניתוחים או לוחות בקרה מוטמעים, בלי שהם יצטרכו להתחבר ל-Looker בנפרד. במקום זאת, המשתמשים יאומתו דרך האפליקציה שלכם.

הטמעה חתומה מתחילה ביצירת כתובת URL מיוחדת של Looker שתשמש ב-iframe. כתובת ה-URL מכילה את המידע שרוצים לשתף, את המזהה של המשתמש במערכת ואת ההרשאות שרוצים לתת למשתמש. לאחר מכן, חותמים על כתובת ה-URL באמצעות מפתח סודי שסופק על ידי Looker.

דרישות מוקדמות

  • יש לכם מופע פעיל של Looker
  • צריך להיות אדמינים במופע Looker

מה תלמדו

  • איך מגדירים את מופע Looker כדי לאפשר הטמעה עם חתימה
  • איך יוצרים מפתח סודי
  • איזה מידע צריך לאסוף כדי לכלול אותו בכתובת ה-URL של ההטמעה החתומה
  • איך יוצרים כתובת URL חתומה להטמעה
  • איך מוסיפים את הפריט המוטמע לאפליקציה

2. אירוח Looker תקין

חלק מהדפדפנים מוגדרים כברירת מחדל עם מדיניות אבטחה שחוסמת קובצי Cookie של צד שלישי, ולכן הטמעה עם חתימה לא תפעל. ב-Codelab הזה, הדרך הכי פשוטה לפתור את הבעיה היא לאפשר זמנית קובצי Cookie של צד שלישי בדפדפן:

בהגדרת ייצור, צריך לבחור אחת מהאסטרטגיות הבאות לטיפול בקובצי Cookie של צד שלישי:

  • ממקמים את מופע Looker ואת האפליקציות שבהן תשתמשו בהטמעה חתומה באותו דומיין. לדוגמה, יכול להיות שהמופע של Looker נמצא בכתובת looker.mycompany.com והאתר שבו מוטמעת חתימה נמצא בכתובת analytics.mycompany.com.
  • מפעילים את התכונה Cookieless Embed, שמאפשרת לדפדפנים שחוסמים קובצי Cookie של צד שלישי לבצע אימות בדומיינים שונים. השימוש באפשרות הזו מחייב הגדרה נוספת, כפי שמפורט בדף התיעוד של Looker בנושא הטמעה ללא קובצי Cookie.

3. יצירת מפתח סודי

כדי ליצור כתובת URL מוטמעת חתומה, תצטרכו מפתח סודי מ-Looker. לשם כך:

  1. עוברים לדף הטמעה בקטע אדמין ב-Looker.
  2. בתפריט הנפתח הטמעת אימות SSO, בוחרים באפשרות מופעל ואז לוחצים על עדכון.
  3. לוחצים על הלחצן Reset Secret (איפוס הסוד) בקטע Embed Secret (הטמעת הסוד) כדי ליצור את הסוד להטמעה.

צריך להעתיק את הסוד הזה למיקום מאובטח, כי לא תהיה לך אפשרות לאחזר אותו מ-Looker בלי לאפס אותו. איפוס המפתח יגרום לשיבושים בכל ההטמעות שבהן נעשה שימוש במפתח הישן.

4. איסוף נתונים להזנת כתובת URL חתומה להטמעה

כדי ליצור כתובת URL חתומה להטמעה, צריך לאסוף את הפרטים הבאים.

כתובת ה-URL של הנתונים שיוצגו

מאחזרים את כתובת ה-URL של ה-Look, הניתוח, ההדמיה של השאילתה או מרכז הבקרה שרוצים להטמיע. לאחר מכן מסירים את הדומיין ומוסיפים /embed לפני הנתיב.

לדוגמה, https://instance_name.cloud.looker.com/looks/4 יהפוך ל-/embed/looks/4.

או ש-https://instance_name.cloud.looker.com/explore/my_model/my_explore יהפוך ל-/embed/explore/my_model/my_explore.

ההרשאות שרוצים להעניק למשתמש המוטמע

בוחרים את ההרשאות שרוצים להעניק למשתמש המוטמע. ההרשאות הרלוונטיות להטמעה עם חתימה מפורטות בדף התיעוד של Looker בנושא הטמעה עם חתימה.

לצורך ה-Codelab הזה, רשימת ההרשאות המינימלית שנדרשת היא כנראה:

  • access_data
  • see_lookml_dashboards
  • see_looks
  • see_user_dashboards
  • explore

אם רוצים לבדוק את היכולת של משתמשים מוטמעים לעיין בתוכן ולשמור אותו, כדאי גם לשקול את האפשרויות הבאות:

  • save_content
  • embed_browse_spaces
  • embed_save_shared_space

גישה למודל שרוצים להעניק למשתמש המוטמע

בוחרים את המודלים של Looker שרוצים שלמשתמש המוטמע תהיה גישה אליהם. לפחות, למשתמש צריכה להיות גישה למודל שעליו מבוסס טבלת Look, הניתוח, ההדמיה של השאילתה או מרכז הבקרה שבחרתם להציג.

מאפייני המשתמש שרוצים שהמשתמש המוטמע יקבל

בוחרים את מאפייני המשתמש ב-Looker שרוצים להקצות למשתמש המוטמע, אם יש כאלה. יכול להיות שלא תצטרכו להוסיף מאפייני משתמש ל-Codelab הזה.

קבוצות שרוצים שהמשתמש המוטמע יהיה חבר בהן

מגדירים לאילו מזהי קבוצות (לא שמות קבוצות) המשתמש צריך להשתייך, אם בכלל. יכול להיות שלא יהיה צורך להוסיף קבוצות ב-Codelab הזה.

מזהה המשתמש והקבוצה של החברה

כתובות URL של הטמעה עם חתימה ב-Looker מחייבות אתכם לספק מזהה ייחודי לכל משתמש באפליקציה שצופה ברכיב מוטמע של Looker. ב-Looker קוראים לזה 'מזהה משתמש חיצוני', ויכולה להיות כאן כל מחרוזת.

אם רלוונטי, אפשר גם לציין 'מזהה קבוצה חיצונית'. זהו מזהה ייחודי של הקבוצה שהמשתמש שייך אליה באפליקציה.

5. בחירת סקריפט ליצירת כתובות URL

כדי ליצור כתובת URL מוטמעת חתומה בצורה נכונה, צריך להשתמש בקוד כדי לקודד את כתובת ה-URL עם המפתח הסודי וליצור פריטים אחרים שקשורים לאבטחה.

למזלכם, יש כמה סקריפטים לדוגמה בשפות תכנות שונות במאגר looker_embed_sso_examples של Looker ב-GitHub. בוחרים את הסקריפט שרלוונטי לכם ומעתיקים אותו לסביבת הפיתוח.

6. מילוי נתונים והרצת סקריפט

לסקריפט ליצירת כתובות ה-URL שבחרתם יהיו משתנים או אובייקט שבו תוכלו להציב את כל המידע שאספתם בעבר, יחד עם דוגמאות לאופן שבו המידע הזה צריך להיות מוצג:

שם הסקריפט

מספר השורות המשוער של הקלט

LookerEmbedClientExample.java

‫15 - 28

csharp_example.cs

‫18 עד 35

go_example.go

‫193 - 202

node_example.js

87 - 104

python_example.py

‫103 - 111

ruby_example.rb

88 - 101

sso_embed.php

‫14 - 27

אחרי שמחליפים את הדוגמאות בנתונים שאספתם, מריצים את הסקריפט כדי ליצור את כתובת ה-URL החתומה להטמעה. חשוב לשים לב לכתובת ה-URL כדי להשתמש בה בשלב הבא.

7. בדיקת כתובת ה-URL

כדי לבדוק את כתובת ה-URL הסופית, מדביקים אותה ב-Embed URI Validator (כלי לבדיקת URI להטמעה) בדף Embed (הטמעה) בקטע Admin (אדמין) ב-Looker. התכונה הזו לא יכולה לקבוע אם הנתונים וההרשאות שהגדרתם הוגדרו בצורה נכונה, אבל היא יכולה לאמת שהאימות שלכם פועל בצורה תקינה.

8. הטמעת כתובת ה-URL ב-iframe

לבסוף, מטמיעים את טבלת Look, החיפוש, ההדמיה של השאילתה או מרכז הבקרה באפליקציה על ידי הוספת כתובת ה-URL שנוצרה אל src המאפיין של iframe. מציבים את ה-iframe באפליקציה או בסביבת הבדיקה.

אם רוצים, אפשר לבצע אינטראקציה עם ה-iframe באמצעות JavaScript על ידי שימוש באירועי JavaScript מוטמעים של Looker.

9. מידע נוסף

צריך להגדיר בקפידה את התכונה של Looker להטמעה עם חתימה, כדי לוודא שהמשתמשים שמוטמעים מוגבלים לנתונים ולהרשאות שאתם רוצים שהם יוכלו לראות. כמה נקודות שכדאי לזכור:

  • בדף התיעוד של הטמעה עם חתימה ב-Looker מוסבר בפירוט איך ליצור כתובת URL להטמעה עם חתימה, ומוצגות כל אפשרויות ההגדרה הזמינות.
  • בדף התיעוד שיטות מומלצות לאבטחה של ניתוח נתונים מוטמע ב-Looker מוסבר איך להגדיר הטמעה חתומה בצורה מאובטחת.
  • לקוחות Looker משתמשים לעיתים קרובות בהטמעה עם חתימה כדי להציג נתונים ללקוחות שלהם, ובו-זמנית לוודא שלקוחות מחברות או מקבוצות שונות לא יודעים אחד על השני. במקרה כזה, מומלץ מאוד להגדיר את Looker כמערכת סגורה, שלפעמים נקראת "התקנה של דיירים מרובים".
  • פונקציונליות של הטמעה עם חתימה זמינה דרך Looker API.