Incorporamento firmato con Looker

1. Prima di iniziare

L'incorporamento firmato è un modo per presentare privatamente Look, visualizzazioni, esplorazioni o dashboard incorporate ai tuoi utenti senza richiedere loro di disporre di un accesso a Looker separato. Gli utenti verranno autenticati tramite la tua applicazione.

L'incorporamento firmato inizia con la creazione di uno speciale URL di Looker da utilizzare in un iframe. L'URL contiene le informazioni che vuoi condividere, l'ID dell'utente nel tuo sistema e le autorizzazioni che vuoi concedere all'utente. Dopodiché, firmerai l'URL con una chiave segreta fornita da Looker.

Prerequisiti

  • Avere un'istanza di Looker in esecuzione
  • Essere un amministratore dell'istanza di Looker

Cosa imparerai a fare

  • Come configurare l'istanza di Looker per consentire l'incorporamento firmato
  • Come generare una chiave segreta
  • Quali informazioni devi raccogliere per l'inclusione nell'URL di incorporamento firmato
  • Come generare un URL incorporato firmato
  • Come aggiungere l'elemento incorporato all'applicazione

2. Hosting di Looker corretto

Alcuni browser utilizzano per impostazione predefinita una norma di sicurezza che blocca i cookie di terze parti, impedendo il funzionamento dell'incorporamento firmato. Per questo Codelab, il modo più semplice per risolvere il problema è consentire temporaneamente i cookie di terze parti nel browser:

In una configurazione di produzione, devi scegliere una delle seguenti strategie per gestire i cookie di terze parti:

  • Posiziona sia l'istanza di Looker sia le applicazioni in cui utilizzerai l'incorporamento firmato sullo stesso dominio. Ad esempio, la tua istanza di Looker potrebbe trovarsi all'indirizzo looker.mycompany.com, mentre il tuo sito di incorporamento firmato si trovava all'indirizzo analytics.mycompany.com.
  • Attiva la funzionalità Incorporamento senza cookie, che consente ai browser che bloccano i cookie di terze parti di eseguire l'autenticazione in domini diversi. L'utilizzo di questa opzione richiede una configurazione aggiuntiva, come descritto nella pagina di documentazione sull'incorporamento senza cookie di Looker.

3. Generare una chiave segreta

Per creare un URL di incorporamento firmato, hai bisogno di una chiave segreta di Looker. Per farlo:

  1. Vai alla pagina Incorpora nella sezione Amministrazione di Looker.
  2. Seleziona Attivato dal menu a discesa Incorpora autenticazione SSO, poi seleziona Aggiorna.
  3. Seleziona il pulsante Reimposta secret nella sezione Incorpora secret per generare il secret di incorporamento.

Copia questo secret in una posizione sicura, perché non potrai recuperarlo da Looker senza reimpostarlo. Il ripristino della chiave interromperà tutti gli incorporamenti che utilizzavano la vecchia chiave.

4. Raccogli gli input per l'URL di incorporamento firmato

Per creare un URL incorporato firmato, devi raccogliere le seguenti informazioni.

URL dei dati da visualizzare

Recupera l'URL del look, dell'esplorazione, della visualizzazione della query o della dashboard che vuoi incorporare. Poi rimuovi il dominio e inserisci /embed prima del percorso.

Ad esempio, https://instance_name.cloud.looker.com/looks/4 diventerebbe /embed/looks/4.

Oppure, https://instance_name.cloud.looker.com/explore/my_model/my_explore diventerebbe /embed/explore/my_model/my_explore.

Autorizzazioni che vuoi che abbia l'utente incorporato

Scegli le autorizzazioni che vuoi concedere all'utente incorporato. Le autorizzazioni pertinenti per l'incorporamento firmato sono disponibili nella pagina della documentazione relativa all'incorporamento firmato di Looker.

Ai fini di questo codelab, le seguenti autorizzazioni rappresentano probabilmente un elenco minimo praticabile:

  • access_data
  • see_lookml_dashboards
  • see_looks
  • see_user_dashboards
  • explore

Se vuoi testare la capacità degli utenti incorporati di sfogliare e salvare i contenuti, ti consigliamo anche di:

  • save_content
  • embed_browse_spaces
  • embed_save_shared_space

Accesso al modello che vuoi che abbia l'utente incorporato

Scegli i modelli di Looker a cui vuoi che l'utente incorporato abbia accesso. Come minimo, l'utente deve avere accesso al modello alla base del Look, dell'esplorazione, della visualizzazione della query o della dashboard che hai scelto di visualizzare.

Attributi utente che vuoi che abbia l'utente incorporato

Scegli gli attributi utente di Looker che vuoi che l'utente incorporato abbia, se presenti. Per questo codelab potrebbe non essere necessario aggiungere attributi utente.

Gruppi che vuoi che l'utente incorporato abbia

Determina gli eventuali ID gruppo (non i nomi dei gruppi) a cui l'utente deve appartenere. Per questo codelab potrebbe non essere necessario aggiungere gruppi.

ID utente e gruppo della tua azienda

Gli URL di incorporamento firmati di Looker richiedono di fornire un identificatore univoco per ogni utente dell'applicazione che visualizza un elemento Looker incorporato. Looker lo chiama "ID utente esterno" e può essere qualsiasi stringa.

Se pertinente, puoi anche fornire un "ID gruppo esterno". Si tratta di un identificatore unico per il gruppo a cui appartiene l'utente nella tua applicazione.

5. Scegliere lo script di generazione degli URL

La creazione di un URL incorporato firmato corretto richiede l'utilizzo di codice, in modo da poter codificare correttamente l'URL con la chiave segreta e generare altri elementi correlati alla sicurezza.

Fortunatamente, nel repository GitHub looker_embed_sso_examples sono disponibili diversi script di esempio in vari linguaggi di programmazione. Scegli lo script pertinente e copialo nel tuo ambiente di sviluppo.

6. Compila i dati ed esegui lo script

Lo script di generazione dell'URL che hai scelto avrà variabili o un oggetto in cui puoi inserire tutte le informazioni raccolte in precedenza, insieme a esempi di come devono essere presentate:

Nome dello script

Righe approssimative per l'input

LookerEmbedClientExample.java

15 - 28

csharp_example.cs

18 - 35

go_example.go

193 - 202

node_example.js

87 - 104

python_example.py

103 - 111

ruby_example.rb

88 - 101

sso_embed.php

14 - 27

Dopo aver sostituito gli esempi con i dati che hai raccolto, esegui lo script per generare l'URL incorporato firmato. Prendi nota dell'URL per il passaggio successivo.

7. Testa l'URL

Per testare l'URL finale, incollalo in Embed URI Validator nella pagina Incorpora della sezione Amministrazione di Looker. Sebbene questa funzionalità non possa determinare se i dati e le autorizzazioni che prevedi sono stati configurati correttamente, può verificare che l'autenticazione funzioni correttamente.

8. Incorporare l'URL in un iframe

Infine, incorpora il Look, l'esplorazione, la visualizzazione della query o la dashboard nell'applicazione aggiungendo l'URL generato all'attributo src di un iframe. Inserisci l'iframe nell'applicazione o nell'ambiente di test.

Se vuoi, puoi interagire con l'iframe utilizzando JavaScript tramite gli eventi JavaScript incorporati di Looker.

9. Informazioni aggiuntive

La funzionalità di incorporamento firmato di Looker deve essere configurata con attenzione per garantire che gli utenti incorporati siano limitati alla visibilità e alle autorizzazioni dei dati che preferisci. Tieni presente quanto segue:

  • La pagina di documentazione sull'incorporamento firmato di Looker fornisce dettagli approfonditi su come generare un URL di incorporamento firmato, insieme a tutte le opzioni di configurazione disponibili.
  • La pagina di documentazione Best practice per la sicurezza per analisi incorporate di Looker fornisce indicazioni per configurare in modo sicuro l'incorporamento firmato.
  • L'incorporamento firmato viene spesso utilizzato dai clienti di Looker per presentare i dati ai propri clienti, richiedendo al contempo che i clienti di aziende o gruppi diversi non si conoscano. In questo scenario ti consigliamo vivamente di configurare Looker come sistema chiuso, a volte chiamato "installazione multitenant".
  • La funzionalità di incorporamento firmato è disponibile tramite l'API di Looker.