Le credenziali API sono sempre vincolate a un account utente Looker. Le richieste API vengono eseguite "come" l'utente associato alle credenziali API. Le chiamate all'API restituiscono solo i dati che l'utente è autorizzato a visualizzare e modificano solo ciò che l'utente è autorizzato a modificare.
Per eseguire qualsiasi operazione con l'API Looker, devi prima autenticarti. I passaggi da seguire dipendono dall'utilizzo o meno di un SDK.
Autenticazione con un SDK
Questo è il metodo consigliato per l'autenticazione API:
Se utilizzi un'istanza di Looker (originale), crea le credenziali API nella pagina Utenti della sezione Amministrazione dell'istanza di Looker. Se non sei un amministratore di Looker, chiedi all'amministratore di Looker di creare le credenziali API per te.
Se utilizzi un'istanza di Looker (Google Cloud core), attiva la gestione delle credenziali API nella pagina Utenti della sezione Amministrazione dell'istanza di Looker. Se non sei un amministratore di Looker, chiedi all'amministratore di Looker di attivare la gestione delle API per te. Una volta attivata la gestione delle API per il tuo utente, utilizza la pagina Account per gestire le chiavi API.
Le credenziali API che hai generato includono un ID client e un client secret. Dovrai fornirli all'SDK. Le istruzioni per farlo sono disponibili nella documentazione dell'SDK.
L'SDK si occuperà quindi di ottenere i token di accesso necessari e di inserirli in tutte le richieste API successive.
Autenticazione senza un SDK
L'autenticazione API con un SDK è il metodo consigliato. Per eseguire l'autenticazione senza un SDK:
Se utilizzi un'istanza di Looker (originale), crea le credenziali API nella pagina Utenti della sezione Amministrazione dell'istanza di Looker. Se non sei un amministratore di Looker, chiedi all'amministratore di Looker di creare le credenziali API per te.
Se utilizzi un'istanza di Looker (Google Cloud core), attiva la gestione delle credenziali API nella pagina Utenti della sezione Amministrazione dell'istanza di Looker. Se non sei un amministratore di Looker, chiedi all'amministratore di Looker di attivare la gestione delle API per te. Una volta attivata la gestione delle API per il tuo utente, utilizza la pagina Account per gestire le chiavi API.
Ottieni un token di accesso OAuth 2.0 a breve termine chiamando l'endpoint
logindell'API. Dovrai fornire le credenziali API che hai generato nel passaggio 1, che includono un ID client e un client secret.Inserisci il token di accesso nell'intestazione di autorizzazione HTTP delle richieste API Looker. Una richiesta API Looker con un'intestazione di autorizzazione potrebbe avere il seguente aspetto:
GET /api/4.0/user HTTP/1.1 Host: test.looker.com Date: Wed, 19 Oct 2023 12:34:56 -0700 Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
Il token di accesso OAuth 2.0 può essere utilizzato in più richieste API, finché non scade o non viene invalidato chiamando l'endpoint logout. Le richieste API che utilizzano un token di accesso scaduto non vanno a buon fine e restituiscono una risposta HTTP 401 Authorization Required.
Interazione API con le impostazioni di accesso utente
L'autenticazione API Looker è completamente indipendente dall'accesso utente Looker. I protocolli di autenticazione utente come i codici monouso (OTP, 2FA) e l'autenticazione della directory (LDAP, SAML e così via) non si applicano all'autenticazione API Looker.
Per questo motivo, l'eliminazione delle informazioni di un utente da un protocollo di autenticazione utente non comporta l'eliminazione delle relative credenziali API. L'utilizzo delle procedure descritte nella pagina della documentazione Eliminare le informazioni personali dell'utente comporta la rimozione di tutti i dati personali di un utente da Looker, impedendogli di accedere, anche tramite l'API.
Gestione delle credenziali API
- Più set di credenziali API possono essere vincolati a un singolo account utente Looker.
- Le credenziali API possono essere create ed eliminate senza influire sullo stato dell'account utente.
- L'eliminazione di un account utente Looker invalida tutte le credenziali API vincolate all'account utente.
- Il client secret API deve essere mantenuto privato. Evita di archiviare i client secret API nel codice sorgente o in altri luoghi visibili a molte persone.
- In produzione, evita di utilizzare le credenziali API vincolate agli account amministratore di Looker. Crea account utente con privilegi minimi specificamente per le attività API (spesso chiamati "account di servizio") e crea credenziali API su questi account. Concedi solo le autorizzazioni necessarie per le attività API previste.
Autenticazione tramite OAuth
Looker può utilizzare il protocollo di condivisione delle risorse tra origini (CORS) per consentire alle applicazioni web di effettuare chiamate all'API Looker dall'esterno del dominio di un'istanza di Looker. Per informazioni sulla configurazione dell'autenticazione CORS, consulta la pagina della documentazione Autenticazione API Looker tramite OAuth.