Servidor MCP gerenciado pelo Looker

O servidor MCP gerenciado pelo Looker é uma integração integrada que incorpora um servidor de Protocolo de Contexto de Modelo (MCP) diretamente na plataforma Looker. Ele permite que agentes de IA, como a CLI do Gemini, o Claude Desktop, o Cursor e o Copilot, se conectem com segurança a uma instância do Looker e interajam com dados da empresa e modelos LookML.

Ao hospedar o servidor, o Looker elimina a necessidade de você implantar e manter sua própria infraestrutura de middleware, fornecendo um gateway plug-and-play, seguro e controlado para insights empresariais confiáveis.

O servidor MCP gerenciado pelo Looker está em visualização para instâncias do Looker (Google Cloud Core) e do Looker (original). As instâncias hospedadas pelo cliente (on-premise) estão indisponíveis para esta visualização.

Se você estiver usando uma instância hospedada pelo cliente ou preferir gerenciar sua própria infraestrutura, poderá se conectar usando o MCP Toolbox for Databases independente. O MCP Toolbox é um servidor MCP de código aberto que pode ser executado no seu computador local ou no seu próprio servidor para atuar como uma ponte entre agentes de IA e sua instância do Looker. Consulte a página de documentação Usar o Looker com o MCP, a CLI do Gemini e outros agentes para mais informações.

Antes de começar

Para usar o servidor MCP gerenciado pelo Looker, você precisa atender aos seguintes requisitos:

Requisitos de instância

  • Você precisa usar uma instância do Looker (Google Cloud Core) ou do Looker (original).
  • A instância precisa ser hospedada pelo Looker.

Permissões necessárias

  • Para gerenciar o acesso à ferramenta: você precisa ter o papel de administrador do Looker.
  • Para registrar seu agente de IA como um cliente OAuth usando o APIs Explorer: você precisa ter o papel de administrador do Looker.
  • Para conectar um agente de IA ao servidor MCP gerenciado pelo Looker: você precisa das suas credenciais de login padrão do Looker para autenticar durante o processo de conexão do OAuth. O agente de IA precisa ser registrado primeiro como um cliente OAuth por um administrador do Looker. Depois de conectado, o agente de IA vai herdar os papéis e o acesso do usuário que fez a autenticação.

Configurar o servidor MCP gerenciado

Configure o acesso à ferramenta para configurar o servidor MCP gerenciado.

Configurar as definições da ferramenta

Por padrão, todas as ferramentas estão desativadas para o servidor MCP gerenciado. Os administradores do Looker precisam ativar explicitamente as ferramentas que os agentes de IA podem usar. Consulte a página de documentação Definições de administrador - Protocolo de Contexto de Modelo (MCP) para conferir as etapas de ativação das ferramentas.

Registrar um agente de IA pelo OAuth

Durante o lançamento da visualização, os administradores do Looker precisam registrar manualmente um agente de IA para conectar o agente ao servidor MCP gerenciado.

  1. Abra o APIs Explorer do Looker.

    • Se a instância do Looker já tiver o APIs Explorer instalado, você poderá acessá-lo com este formato de URL:

      https://LOOKER_INSTANCE_URL/extensions/marketplace_extension_api_explorer::api-explorer/

    • Se a instância do Looker não tiver o APIs Explorer, você poderá instalá-lo no Marketplace do Looker. Consulte a página Usar o APIs Explorer para mais informações.

    • Se você estiver usando uma instância de conexões particulares do Looker (Google Cloud Core) que usa o acesso a serviços particulares, o Marketplace do Looker e o APIs Explorer não serão compatíveis. Para registrar um agente de IA, chame o oauth_client_apps endpoint de API diretamente. Se você usar esse método, poderá pular o procedimento do APIs Explorer a seguir e prosseguir diretamente para a seção Configurar um cliente MCP.

      Expanda esta seção para conferir um exemplo de comando curl que pode ser usado com o endpoint oauth_client_apps para registrar o agente.

      curl -X POST "https://LOOKER_INSTANCE_URL/api/4.0/oauth_client_apps/CLIENT_GUID" \
-H "Authorization: token ACCESS_TOKEN" \
-H "Content-Type: application/json" \
-d '{
  "redirect_uri": "REDIRECT_URI",
  "display_name": "CLIENT_NAME",
  "description": "OAuth client to access MCP server using CLIENT_NAME",
  "enabled": true
}'

  2. No método Auth, encontre o endpoint de API Register OAuth App. Você também pode pesquisar "oauth app" no campo Search.

  3. Na página Register OAuth App, clique no botão Run It.

  4. Na guia Request da caixa de diálogo Run It, insira as seguintes informações nos campos correspondentes:

    • Para o campo client_guid, siga estas etapas:

      • Se o agente prescrever um ID do cliente específico, use esse ID.
      • Se o agente não prescrever um ID do cliente específico, use qualquer ID globalmente exclusivo.
      • Prepare-se para distribuir o ID para todos os desenvolvedores do LookML que quiserem usar o agente.

    • Para o redirect_uri, o URI varia dependendo do aplicativo do agente de IA. Consulte a documentação de autenticação OAuth do seu agente para conferir o URL de redirecionamento específico. O formato pode ser semelhante a um dos exemplos a seguir:

      CLI do Gemini 

      http://localhost:7777/oauth/callback

      Gemini Code Assist

      http://localhost:7777/oauth/callback

      Recomendamos o uso da CLI do Gemini com o Gemini Code Assist. Nesse caso, eles compartilham o mesmo servidor de callback local e a mesma configuração de porta.

      Código Claude

      O código Claude usa uma porta disponível aleatória para o callback do OAuth, mas você precisa corrigi-la usando a --callback-port 8080 flag (ou com a callbackPort configuração em mcp.json) para corresponder ao URI registrado. 

      http://localhost:8080/callback

      VS Code e outros ambientes de desenvolvimento integrado

      Para ambientes de desenvolvimento integrado, o URI de redirecionamento pode ser semelhante a este, personalizado para seu ambiente de desenvolvimento integrado.

      vscode://google.vscode-looker-official/oauth_callback

      Apps hospedados na nuvem

      Para aplicativos hospedados na nuvem, ele pode ser semelhante a um URL HTTPS seguro:

      https://AI_AGENT_URL/oauth2callback

      Apps locais

      Para aplicativos executados localmente, ele precisa ser um URL de localhost com uma porta estática:

      http://localhost:7777/oauth/callback

    • Preencha o display_name e o description conforme descrito na documentação Registrar um aplicativo cliente OAuth.

  5. Marque a caixa de seleção I understand that this endpoint de API will change data.

  6. Clique em Executar.

  7. Você pode verificar se configurou a autenticação usando o método Get OAuth Client App no APIs Explorer seguindo estas etapas:

    • No campo Search do APIs Explorer, insira Get OAuth Client App.
    • Clique em Run It.

    • No campo client_guid, insira o valor usado ao registrar o OAuth:

      client_guid

    Se você configurar o OAuth corretamente, a guia Response vai retornar os valores inseridos ao registrar o app.

Configurar o cliente MCP

Depois que o agente de IA for registrado, você poderá conectá-lo ao endpoint MCP gerenciado como um cliente MCP. Consulte a documentação do seu agente para concluir a configuração do cliente.

  • URL do servidor: LOOKER_INSTANCE_URL/mcp
  • Autenticação:OAuth 2.1

Exemplos de configurações (mcp.json)

Esta seção descreve como configurar várias ferramentas de desenvolvedor para se conectar à instância do Looker usando o servidor MCP gerenciado pelo Looker. O servidor MCP fica entre o ambiente de desenvolvimento integrado e o Looker, fornecendo um plano de controle seguro e eficiente para suas ferramentas de IA. Selecione a guia da sua ferramenta específica para conferir as instruções de configuração.

CLI do Gemini

Configure a CLI do Gemini para se conectar diretamente ao servidor MCP gerenciado pelo Looker.

  1. Instale a CLI do Gemini.
  2. Adicione o servidor MCP remoto usando o comando a seguir, substituindo LOOKER_INSTANCE_URL pelo URL da instância do Looker: 
    gemini mcp add --transport http looker LOOKER_INSTANCE_URL/mcp

    Como alternativa, você pode configurar isso manualmente adicionando a configuração a seguir ao seu arquivo settings.json (localizado em ~/.gemini/settings.json ou no diretório do projeto):

    {
  "mcpServers": {
    "looker": {
      "httpUrl": "LOOKER_INSTANCE_URL/mcp"
    }
  }
}
  3. Inicie a CLI do Gemini no modo interativo: 
    gemini
    Quando solicitado a se conectar, a CLI inicia o fluxo de autorização do OAuth para autenticar com segurança sua instância do Looker.

Gemini Code Assist

Recomendamos que você configure o Gemini Code Assist para usar a CLI do Gemini. Essa abordagem elimina a necessidade de configurar manualmente um servidor MCP.

  1. Verifique se você instalou e configurou a CLI do Gemini e o servidor MCP gerenciado pelo Looker.
  2. Configure o Gemini Code Assist para usar a CLI do Gemini.
  3. Comece a interagir com a instância do Looker usando linguagem natural diretamente no chat do Gemini Code Assist.

Código Claude

  1. Instale o código Claude.
  2. Crie o arquivo .mcp.json na raiz do projeto, se ele não existir.
  3. Adicione a configuração a seguir, substituindo PROXY_URL pelo domínio do servidor proxy reverso e salve. 

      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Claude Desktop

  1. No Claude Desktop, acesse Settings e selecione Connectors.
  2. Escolha Add custom connector e insira um nome (por exemplo, Looker).
  3. Para o URL, insira o URL da instância do Looker com o caminho /mcp anexado (por exemplo, https://looker.example.com/mcp).
  4. Em Advanced settings, insira a string exata usada para o client_guid durante o registro do app OAuth. Deixe a chave secreta do cliente OAuth em branco.
  5. Selecione Add para salvar o conector. Quando solicitado a se conectar, o Claude Desktop inicia com segurança o fluxo de autorização PKCE pelo navegador.
  1. Reinicie o Claude Desktop.

Cline

  1. Abra a extensão Cline no ambiente de desenvolvimento integrado e clique no ícone MCP Servers.
  2. Clique em Configure MCP Servers para abrir o arquivo de configuração.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL do Looker e salve. 

      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Um status ativo verde aparece depois que o servidor se conecta.

Cursor

  1. Crie o diretório .cursor na raiz do projeto, se ele não existir.
  2. Crie o arquivo .cursor/mcp.json, se ele não existir, e abra-o.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL do Looker e salve. 
      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  1. Abra o Cursor e acesse Settings > Cursor Settings > MCP. Um status ativo verde aparece quando o servidor se conecta.

Visual Studio Code (Copilot)

  1. Abra o VS Code e crie o diretório .vscode na raiz do projeto, se ele não existir.
  2. Crie o arquivo .vscode/mcp.json, se ele não existir, e abra-o.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL da instância do Looker e salve. 
      {
        "servers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Windsurf

  1. Abra o Windsurf e acesse o assistente do Cascade.
  2. Clique no ícone MCP e em Configure para abrir o arquivo de configuração.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL da instância do Looker e salve. 
      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Autenticar com o cliente

Depois de configurar o cliente MCP com as definições mcp.json, na primeira vez que você tentar interagir com o Looker por esse cliente, ele vai iniciar o fluxo de autenticação OAuth 2.1. Isso normalmente envolve o cliente abrir uma janela do navegador em que você precisa fazer login na instância do Looker usando suas credenciais padrão e conceder permissão ao aplicativo para acessar o Looker em seu nome.

Esse processo de login é a etapa de autenticação interativa que permite que o cliente MCP receba um token de acesso para fazer solicitações futuras.

Consulte a documentação do cliente para mais detalhes.

Depois de conectado, o cliente vai herdar seus papéis e acesso ao conteúdo do Looker. O cliente também terá acesso às ferramentas de IA que o administrador do Looker ativou para o servidor MCP. Para conferir uma lista de todas as ferramentas possíveis, consulte a documentação Usar ferramentas de IA.

Segurança e governança

O servidor MCP gerenciado foi projetado para herdar a estrutura de segurança e governança atual do Looker.

  • Limite de permissões:o servidor aplica permissões estritas no nível do usuário. Um agente de IA não pode acessar dados ou modelos que o usuário autenticado não está autorizado a visualizar.
  • VPC Service Controls:para instâncias do Looker (Google Cloud Core) que usam o VPC Service Controls, o endpoint MCP gerenciado respeita os limites do VPC Service Controls atuais sem a necessidade de outras políticas ou configurações.
  • Chaves de criptografia gerenciadas pelo cliente (CMEK): para instâncias do Looker (Google Cloud Core) que usam CMEK, o servidor MCP gerenciado é compatível com CMEK sem a necessidade de outras políticas ou configurações.

Registro de auditoria

Todas as ações realizadas por um agente de IA são registradas na atividade do sistema e nos registros de auditoria do Cloud do Looker.

Atividade do sistema

A atividade do servidor MCP gerenciado pelo Looker é rastreada nas análises Histórico e Atributo do evento. A página de documentação Monitoramento do uso do Looker com análises de atividade do sistema fornece as seguintes consultas de exemplo:

Registros de auditoria do Cloud

As instâncias do Looker (Google Cloud Core) também rastreiam a atividade do servidor MCP gerenciado pelo Looker nos registros de auditoria do Cloud. A página de documentação Registro de auditoria do Looker (Google Cloud Core) fornece consultas de exemplo.

Limitações

  • Escopos detalhados:os escopos do OAuth ainda não são compatíveis com o servidor MCP gerenciado. O controle de acesso depende da lista de permissões global da ferramenta e das permissões básicas do usuário.
  • Registro dinâmico:o registro dinâmico do cliente não é compatível com a visualização.
  • Atualização do cliente:as mudanças na lista de permissões da ferramenta não são enviadas automaticamente para os clientes conectados. Os usuários precisam aguardar 30 segundos após fazer uma mudança na lista de ferramentas e reconectar o cliente para atualizar o manifesto da ferramenta. Consulte a documentação do cliente para saber como se reconectar ao servidor MCP.
  • Capacidade do servidor: durante a fase de visualização, o servidor MCP gerenciado é configurado com uma capacidade fixa para nos ajudar a coletar dados de performance. Durante períodos de pico de uso, você pode ter tempos limite ocasionais. Este é o comportamento esperado.
  • Listas de permissões de IP:o servidor MCP gerenciado pelo Looker não é compatível com listas de permissões de IP no Looker (original). Ele é compatível com listas de permissões de IP no Looker (Google Cloud Core).

Preços e cotas

O servidor MCP gerenciado pelo Looker está disponível sem custo adicional. No entanto, as chamadas de ferramentas feitas por agentes de IA consomem as cotas padrão de API administrativa e baseada em consultas da instância. A alta atividade do agente pode afetar sua cota de API disponível.