You are viewing documentation for Looker 25.18. Click this link to see the most recent documentation.

Authentification de l'API Looker

Les identifiants d'API sont toujours associés à un compte utilisateur Looker. Les requêtes d'API s'exécutent "en tant que" l'utilisateur associé aux identifiants d'API. Les appels à l'API ne renvoient que les données que l'utilisateur est autorisé à consulter et ne modifient que ce que l'utilisateur est autorisé à modifier.

Pour effectuer une opération avec l'API Looker, vous devez d'abord vous y authentifier. La procédure à suivre dépend de l'utilisation ou non d'un SDK.

Authentification avec un SDK

Il s'agit de la méthode recommandée pour l'authentification de l'API :

Si vous utilisez une instance Looker (originale), créez vos identifiants d'API sur la page "Utilisateurs" de la section "Admin" de votre instance Looker. Si vous n'êtes pas administrateur Looker, demandez à votre administrateur Looker de créer les identifiants d'API pour vous.

Si vous utilisez une instance Looker (Google Cloud Core), activez la gestion de vos identifiants d'API sur la page "Utilisateurs" de la section "Admin" de votre instance Looker. Si vous n'êtes pas administrateur Looker, demandez à votre administrateur Looker d'activer la gestion des API pour vous. Une fois la gestion des API activée pour votre utilisateur, utilisez la page Compte pour gérer vos clés API.
Les identifiants d'API que vous avez générés incluent un ID client et un code secret du client. Vous devrez les fournir au SDK. Vous trouverez les instructions à suivre dans la documentation du SDK.

Le SDK se chargera ensuite d'obtenir les jetons d'accès nécessaires et de les insérer dans toutes les requêtes d'API suivantes.

Authentification sans SDK

L'authentification de l'API avec un SDK est la méthode recommandée. Pour vous authentifier sans SDK :

Si vous utilisez une instance Looker (originale), créez vos identifiants d'API sur la page "Utilisateurs" de la section "Admin" de votre instance Looker. Si vous n'êtes pas administrateur Looker, demandez à votre administrateur Looker de créer les identifiants d'API pour vous.

Si vous utilisez une instance Looker (Google Cloud Core), activez la gestion de vos identifiants d'API sur la page "Utilisateurs" de la section "Admin" de votre instance Looker. Si vous n'êtes pas administrateur Looker, demandez à votre administrateur Looker d'activer la gestion des API pour vous. Une fois la gestion des API activée pour votre utilisateur, utilisez la page Compte pour gérer vos clés API.
Obtenez un jeton d'accès OAuth 2.0 à court terme en appelant le login point de terminaison de l'API. Vous devrez fournir les identifiants d'API que vous avez générés à l'étape 1, qui incluent un ID client et un code secret du client.
Placez ce jeton d'accès dans l'en-tête d'autorisation HTTP des requêtes d'API Looker. Voici un exemple de requête d'API Looker avec un en-tête d'autorisation :
```
GET /api/4.0/user HTTP/1.1
Host: test.looker.com
Date: Wed, 19 Oct 2023 12:34:56 -0700
Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
```

Le jeton d'accès OAuth 2.0 peut être utilisé dans plusieurs requêtes d'API, jusqu'à ce qu'il expire ou soit invalidé en appelant le logout point de terminaison. Les requêtes d'API qui utilisent un jeton d'accès expiré échouent avec une réponse HTTP 401 Authorization Required.

Interaction de l'API avec les paramètres de connexion utilisateur

L'authentification de l'API Looker est totalement indépendante de la connexion utilisateur Looker. Les protocoles d'authentification des utilisateurs tels que les mots de passe à usage unique (OTP, 2FA) et l'authentification par annuaire (LDAP, SAML, etc.) ne s'appliquent pas à l'authentification de l'API Looker.

Par conséquent, la suppression des informations d'un utilisateur d'un protocole d'authentification utilisateur ne supprime pas ses identifiants d'API. Les procédures décrites sur la page de documentation Supprimer les informations personnelles de l'utilisateur suppriment toutes les données personnelles d'un utilisateur de Looker, l'empêchant de se connecter, y compris via l'API.

Gérer les identifiants pour les API

Plusieurs ensembles d'identifiants d'API peuvent être associés à un seul compte utilisateur Looker.
Les identifiants d'API peuvent être créés et supprimés sans affecter l'état du compte utilisateur.
La suppression d'un compte utilisateur Looker invalide tous les identifiants d'API associés à ce compte.
Le code secret du client API doit rester privé. Évitez de stocker les codes secrets des clients API dans le code source ou dans d'autres emplacements visibles par de nombreuses personnes.
En production, évitez d'utiliser des identifiants d'API associés à des comptes administrateur Looker. Créez des comptes utilisateur à privilèges minimaux spécifiquement pour les activités d'API (souvent appelés "comptes de service") et créez des identifiants d'API sur ces comptes. N'accordez que les autorisations nécessaires aux activités d'API prévues.

S'authentifier avec OAuth

Looker peut utiliser le protocole CORS (Cross-Origin Resource Sharing) pour permettre aux applications Web d'appeler l'API Looker depuis l'extérieur du domaine d'une instance Looker. Pour en savoir plus sur la configuration de l'authentification CORS, consultez la page de documentation Authentification de l'API Looker à l'aide d'OAuth.