API-Anmeldedaten sind immer an ein Looker-Nutzerkonto gebunden. API-Anfragen werden „als“ der Nutzer ausgeführt, der mit den API-Anmeldedaten verknüpft ist. Bei Aufrufen der API werden nur Daten zurückgegeben, die der Nutzer sehen darf, und nur das geändert, was der Nutzer ändern darf.
Wenn Sie die Looker API verwenden möchten, müssen Sie sich zuerst authentifizieren. Die erforderlichen Schritte hängen davon ab, ob Sie ein SDK verwenden.
Authentifizierung mit einem SDK
Dies ist die empfohlene Methode für die API-Authentifizierung:
Wenn Sie eine Looker-Instanz (Original) verwenden, erstellen Sie Ihre API-Anmeldedaten auf der Seite „Nutzer“ im Bereich „Admin“ Ihrer Looker-Instanz. Wenn Sie kein Looker-Administrator sind, bitten Sie Ihren Looker-Administrator, die API-Anmeldedaten für Sie zu erstellen.
Wenn Sie eine Looker-Instanz (Google Cloud Core) verwenden, aktivieren Sie die Verwaltung Ihrer API-Anmeldedaten auf der Seite „Nutzer“ im Bereich „Admin“ Ihrer Looker-Instanz. Wenn Sie kein Looker-Administrator sind, bitten Sie Ihren Looker-Administrator, die API-Verwaltung für Sie zu aktivieren. Sobald die API-Verwaltung für Ihren Nutzer aktiviert ist, können Sie Ihre API-Schlüssel auf der Seite Konto verwalten.
Die von Ihnen generierten API-Anmeldedaten enthalten eine Client-ID und ein Client-Secret. Sie müssen diese dem SDK zur Verfügung stellen. Eine Anleitung dazu finden Sie in der SDK-Dokumentation.
Das SDK kümmert sich dann darum, die erforderlichen Zugriffstokens abzurufen und in alle nachfolgenden API-Anfragen einzufügen.
Authentifizierung ohne SDK
Die API-Authentifizierung mit einem SDK ist die empfohlene Methode. So authentifizieren Sie sich ohne SDK:
Wenn Sie eine Looker-Instanz (Original) verwenden, erstellen Sie Ihre API-Anmeldedaten auf der Seite „Nutzer“ im Bereich „Admin“ Ihrer Looker-Instanz. Wenn Sie kein Looker-Administrator sind, bitten Sie Ihren Looker-Administrator, die API-Anmeldedaten für Sie zu erstellen.
Wenn Sie eine Looker-Instanz (Google Cloud Core) verwenden, aktivieren Sie die Verwaltung Ihrer API-Anmeldedaten auf der Seite „Nutzer“ im Bereich „Admin“ Ihrer Looker-Instanz. Wenn Sie kein Looker-Administrator sind, bitten Sie Ihren Looker-Administrator, die API-Verwaltung für Sie zu aktivieren. Sobald die API-Verwaltung für Ihren Nutzer aktiviert ist, können Sie Ihre API-Schlüssel auf der Seite Konto verwalten.
Rufen Sie den
login-Endpunkt der API auf, um ein kurzfristiges OAuth 2.0-Zugriffstoken zu erhalten. Sie müssen die im ersten Schritt generierten API-Anmeldedaten angeben, die eine Client-ID und ein Client-Secret enthalten.Fügen Sie dieses Zugriffstoken in den HTTP-Autorisierungsheader von Looker API-Anfragen ein. Eine Beispielanfrage an die Looker API mit einem Autorisierungsheader könnte so aussehen:
GET /api/4.0/user HTTP/1.1 Host: test.looker.com Date: Wed, 19 Oct 2023 12:34:56 -0700 Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
Das OAuth 2.0-Zugriffstoken kann für mehrere API-Anfragen verwendet werden, bis es abläuft oder durch Aufrufen des logout-Endpunkts ungültig wird. API-Anfragen, die ein abgelaufenes Zugriffstoken verwenden, schlagen mit der HTTP-Antwort 401 Authorization Required fehl.
API-Interaktion mit den Einstellungen für die Nutzeranmeldung
Die Looker API-Authentifizierung ist völlig unabhängig von der Looker-Nutzeranmeldung. Protokolle zur Nutzerauthentifizierung wie Einmalpasscodes (OTP, 2FA) und Verzeichnisauthentifizierung (LDAP, SAML usw.) gelten nicht für die Looker API-Authentifizierung.
Wenn Sie die Informationen eines Nutzers aus einem Protokoll zur Nutzerauthentifizierung löschen, werden seine API-Anmeldedaten nicht gelöscht. Wenn Sie die Verfahren auf der Dokumentationsseite Personenbezogene Nutzerinformationen löschen verwenden, werden alle personenbezogenen Daten eines Nutzers aus Looker entfernt. Dadurch kann sich der Nutzer nicht mehr anmelden, auch nicht über die API.
API-Anmeldedaten verwalten
- Mehrere Sätze von API-Anmeldedaten können an ein einzelnes Looker-Nutzerkonto gebunden sein.
- API-Anmeldedaten können erstellt und gelöscht werden, ohne den Status des Nutzerkontos zu beeinträchtigen.
- Wenn Sie ein Looker-Nutzerkonto löschen, werden alle API-Anmeldedaten ungültig, die an das Nutzerkonto gebunden sind.
- Das API-Client-Secret muss privat gehalten werden. Speichern Sie API-Client-Secrets nicht im Quellcode oder an anderen Orten, die für viele Personen sichtbar sind.
- Vermeiden Sie in der Produktion die Verwendung von API-Anmeldedaten, die an Looker-Administratorkonten gebunden sind. Erstellen Sie Nutzerkonten mit minimalen Berechtigungen speziell für API-Aktivitäten (oft als „Dienstkonten“ bezeichnet) und erstellen Sie API-Anmeldedaten für diese Konten. Gewähren Sie nur die Berechtigungen, die für die beabsichtigten API-Aktivitäten erforderlich sind.
Authentifizierung mit OAuth
Looker kann das CORS-Protokoll (Cross-Origin Resource Sharing) verwenden, damit Webanwendungen Aufrufe an die Looker API von außerhalb der Domain einer Looker-Instanz ausführen können. Informationen zum Konfigurieren der CORS-Authentifizierung finden Sie auf der Dokumentationsseite Looker API-Authentifizierung mit OAuth.