Autenticação da API Looker

As credenciais de API estão sempre vinculadas a uma conta de usuário do Looker. As solicitações de API são executadas "como" o usuário associado às credenciais de API. As chamadas para a API só retornam dados que o usuário tem permissão para visualizar e modificam apenas o que o usuário tem permissão para modificar.

Para fazer qualquer coisa com a API Looker, primeiro você precisa se autenticar nela. As etapas necessárias dependem de você estar usando um SDK ou não.

Autenticação com um SDK

Esse é o método recomendado para autenticação de API:

  1. Se você estiver usando uma instância do Looker (original), crie suas credenciais de API na página "Usuários" na seção "Admin" da instância do Looker. Se você não for um administrador do Looker, peça ao administrador do Looker para criar as credenciais de API para você.

    Se você estiver usando uma instância do Looker (Google Cloud Core), ative o gerenciamento das credenciais de API na página "Usuários" na seção "Admin" da instância do Looker. Se você não for um administrador do Looker, peça ao administrador do Looker para ativar o gerenciamento de API para você. Depois que o gerenciamento de API estiver ativado para o usuário, use a página Conta para gerenciar as chaves de API.

  2. As credenciais de API geradas incluem um ID e uma chave secreta do cliente. Você precisará fornecê-los ao SDK. As instruções para fazer isso podem ser encontradas na documentação do SDK.

O SDK vai cuidar da obtenção dos tokens de acesso necessários e da inserção deles em todas as solicitações de API subsequentes.

Autenticação sem um SDK

A autenticação de API com um SDK é o método recomendado. Para autenticar sem um SDK:

  1. Se você estiver usando uma instância do Looker (original), crie suas credenciais de API na página "Usuários" na seção "Admin" da instância do Looker. Se você não for um administrador do Looker, peça ao administrador do Looker para criar as credenciais de API para você.

    Se você estiver usando uma instância do Looker (Google Cloud Core), ative o gerenciamento das credenciais de API na página "Usuários" na seção "Admin" da instância do Looker. Se você não for um administrador do Looker, peça ao administrador do Looker para ativar o gerenciamento de API para você. Depois que o gerenciamento de API estiver ativado para o usuário, use a página Conta para gerenciar as chaves de API.

  2. Receba um token de acesso OAuth 2.0 de curto prazo chamando o login endpoint da API. Você precisará fornecer as credenciais de API geradas na etapa 1, que incluem um ID e uma chave secreta do cliente.

  3. Coloque esse token de acesso no cabeçalho de autorização HTTP das solicitações da API Looker. Um exemplo de solicitação de API Looker com um cabeçalho de autorização pode ser assim:

    GET /api/4.0/user HTTP/1.1
    Host: test.looker.com
    Date: Wed, 19 Oct 2023 12:34:56 -0700
    Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
    

O token de acesso OAuth 2.0 pode ser usado em várias solicitações de API até que o token de acesso expire ou seja invalidado chamando o logout endpoint. As solicitações de API que usam um token de acesso expirado vão falhar com uma resposta HTTP 401 Authorization Required.

Interação da API com as configurações de login do usuário

A autenticação da API Looker é completamente independente do login do usuário do Looker. Os protocolos de autenticação do usuário, como senhas de uso único (OTP, 2FA) e autenticação de diretório (LDAP, SAML e assim por diante), não se aplicam à autenticação da API Looker.

Por isso, a exclusão das informações de um usuário de um protocolo de autenticação do usuário não exclui as credenciais de API dele. O uso dos procedimentos na página de documentação Excluir informações pessoais do usuário remove todos os dados pessoais de um usuário do Looker, impedindo que ele faça login, inclusive pela API.

Gerenciar credenciais de API

  • Vários conjuntos de credenciais de API podem ser vinculados a uma única conta de usuário do Looker.
  • As credenciais de API podem ser criadas e excluídas sem afetar o estado da conta de usuário.
  • A exclusão de uma conta de usuário do Looker invalida todas as credenciais de API vinculadas à conta de usuário.
  • A chave secreta do cliente da API precisa ser mantida privada. Evite armazenar chaves secretas de clientes de API no código-fonte ou em outros lugares que possam ser vistos por muitas pessoas.
  • Na produção, evite usar credenciais de API vinculadas a contas de administrador do Looker. Crie contas de usuário com privilégios mínimos especificamente para atividades de API (geralmente chamadas de "contas de serviço") e crie credenciais de API nessas contas. Conceda apenas as permissões necessárias para as atividades de API pretendidas.

Autenticação usando o OAuth

O Looker pode usar o protocolo de compartilhamento de recursos entre origens (CORS) para permitir que aplicativos da Web façam chamadas para a API Looker de fora do domínio de uma instância do Looker. Consulte a página de documentação Autenticação da API Looker usando o OAuth para informações sobre como configurar a autenticação CORS.