יצירת לקוח OAuth ופרטי כניסה למופע Looker (Google Cloud core)

בדף התיעוד הזה מוסבר איך להגדיר את לקוח ה-OAuth ואיך לשייך באופן ידני פרטי כניסה של OAuth למכונה במהלך יצירת המכונה.

מתי כדאי ליצור פרטי כניסה ל-OAuth

במקרים הבאים, תצטרכו ליצור פרטי כניסה של OAuth ולשייך אותם למופע במהלך יצירת המופע, גם אם אתם רוצים להשתמש בשיטת אימות אחרת כדי לאמת את המשתמשים במופע:

בנוסף, אם רוצים להוסיף דומיין מותאם אישית למופע של Looker (Google Cloud core) שמשתמש בחיבורים ציבוריים מאובטחים, צריך ליצור פרטי כניסה של OAuth ואז לשייך אותם למופע באופן ידני במהלך ההגדרה של הדומיין המותאם אישית.

במקרים שבהם מופעי Looker (Google Cloud core) משתמשים רק בחיבורים ציבוריים מאובטחים, לא צריך ליצור פרטי כניסה ל-OAuth או לשייך אותם למופע. במקרים כאלה, Looker (Google Cloud core) מקצה למופע לקוח OAuth וסוד שמנוהלים על ידי Looker.

התפקידים הנדרשים

כדי ליצור ולערוך פרטי כניסה של OAuth באמצעות מסוף Google Cloud , אתם צריכים את ההרשאות הבאות. (כדי להסתיר את רשימת ההרשאות, מכווצים את הקטע ההרשאות הנדרשות).

ההרשאות הנדרשות

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים. מידע נוסף על הקצאת תפקידים מופיע במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים במסמכי העזרה של IAM.

לפני שיוצרים מופע של Looker (Google Cloud Core)‎

לפני שיוצרים מופע של Looker (Google Cloud core), צריך לבצע את השלבים שמתוארים בקטעים הבאים:

יצירת מזהה לקוח וסוד לקוח ב-OAuth

קודם כול יוצרים לקוח OAuth ומפיקים את מזהה הלקוח ואת סוד הלקוח בשביל הלקוח הזה. הערכים האלה נדרשים במהלך היצירה של מופע Looker (Google Cloud core).

אפשר להגדיר את לקוח OAuth בכל Google Cloud פרויקט שרוצים. הפרויקט לא חייב להיות זהה למופע של Looker (Google Cloud core). עם זאת, צריך להפעיל את Looker (Google Cloud core) API בפרויקט הזה.

כדי ליצור את הלקוח ואת פרטי הכניסה שלו, פועלים לפי השלבים הבאים:

  1. עוברים לפרויקט שבו רוצים ליצור את לקוח ה-OAuth.
  2. עוברים אל APIs & Services > Credentials (ממשקי API ושירותים > אמצעי אימות).
  3. בדף פרטי כניסה, לוחצים על יצירת פרטי כניסה.
  4. בתפריט הנפתח, בוחרים באפשרות מזהה לקוח OAuth.
  5. בתפריט הנפתח Application type בוחרים באפשרות אפליקציית אינטרנט.
  6. בשדה Name, מזינים שם ללקוח OAuth.
  7. בשלב הזה, אין צורך להוסיף כתובות URI בקטעים מקורות JavaScript מורשים או כתובות URI מורשות להפניה אוטומטית.
  8. לוחצים על יצירה.

אחרי שלוחצים על יצירה, מופיע החלון נוצר לקוח OAuth. בחלון הזה מוצגים מזהה הלקוח והסוד של הלקוח שנוצרו עבור לקוח ה-OAuth שלכם. תצטרכו את הערכים האלה כשתיצרו את המכונה של Looker (Google Cloud Core).

אפשר גם ללחוץ על הורדת JSON כדי להוריד את פרטי הכניסה בקובץ JSON. כדי לסגור את החלון, לוחצים על אישור.

בשלב הבא, כדאי להגדיר את מסך ההסכמה. מסך ההסכמה מוצג למשתמש במופע Looker (Google Cloud core) בכניסה הראשונה שלו, ובכל שלב שבו ההרשאה שלו פגה או בוטלה על ידי המשתמש.

פועלים לפי ההוראות בדף התיעוד הגדרת מסך ההסכמה ל-OAuth ובחירת היקפי הרשאות. במהלך הגדרת המסך, משלימים את ההגדרות הבאות כפי שמתואר:

  • בקטע Branding, מתחת לAuthorized domains, הדומיין צריך להיות זהה לדומיין של מופע Looker (Google Cloud core) שמשתמש בהרשאות OAuth. אם אתם מתכוונים ליצור דומיין מותאם אישית למופע של Looker (Google Cloud core) ואתם יודעים איזה דומיין אתם רוצים להקצות לו, אתם יכולים להזין אותו עכשיו. אפשר גם להשאיר את השדה הזה ריק. הוא יאוכלס באופן אוטומטי כשמוסיפים את ה-URI המורשה להפניה אוטומטית אחרי שיוצרים את מופע Looker (ליבת Google Cloud).

  • בקטע קהל, בקטע סוג משתמש, בוחרים באחת מהאפשרויות הבאות:

במהלך יצירת מכונה של Looker (Google Cloud Core)‎

כשיוצרים את מופע Looker (Google Cloud core), מוסיפים את מזהה לקוח OAuth ואת סוד הלקוח בקטע פרטי הכניסה של אפליקציית OAuth. אי אפשר ליצור מופע בלי פרטי כניסה ל-OAuth. כדי למצוא את מזהה הלקוח ב-OAuth ואת סוד הלקוח, עוברים אל לקוח ה-OAuth ב Google Cloud מסוף.

אחרי שיוצרים מכונה של Looker (Google Cloud Core)‎

כדי להשלים את ההגדרה, פועלים לפי ההוראות הבאות. כשמוסיפים כתובת URI מורשית להפניה אוטומטית, היא מתווספת למסך ההסכמה של OAuth כדומיין מורשה.

הוספה של כתובת ה-URI המורשית להפניה אוטומטית ללקוח OAuth

אם עדיין לא עשיתם זאת, פועלים לפי השלבים הבאים כדי להזין את כתובת ה-URL של מופע Looker (Google Cloud core) החדש בלקוח OAuth.

  1. אחרי שיוצרים מופע של Looker (Google Cloud core), מאתרים את כתובת ה-URL של המופע ומעתיקים אותה. אפשר למצוא את כתובת ה-URL בדף המופעים.

  2. במסוף Google Cloud , עוברים אל APIs & Services > Credentials.

  3. בקטע OAuth 2.0 Client IDs (מזהים של לקוחות OAuth 2.0), לוחצים על השם של הלקוח שיצרתם.

  4. בקטע Authorized redirect URIs (כתובות URI מורשות להפניה אוטומטית), לוחצים על Add URI (הוספת כתובת URI).

  5. מדביקים את כתובת ה-URL של מכונת Looker (Google Cloud core) בשדה URIs. מוסיפים את התו /oauth2callback בסוף כתובת ה-URL. לדוגמה: https://uuid.looker.app/oauth2callback.

    אם אתם מתכוונים להגדיר הרשאת OAuth ל-BigQuery, אתם יכולים גם להוסיף כתובת URI שנייה להפניה אוטומטית שמפנה לכתובת ה-URL של מופע Looker (Google Cloud core) ואחריה /external_oauth/redirect שנוספה לסוף כתובת ה-URL. לדוגמה: https://uuid.looker.app/external_oauth/redirect.

  6. לוחצים על Save.

יכול להיות שיחלפו חמש דקות עד כמה שעות עד שהעדכון ייכנס לתוקף.

ניהול משתמשים

אחרי שמגדירים את לקוח OAuth ויוצרים את מופע Looker (Google Cloud core), אפשר להיכנס למופע באמצעות OAuth. לאחר מכן, תוכלו לבחור את שיטת האימות עבור המכונה שלכם.

אם משתמשים ב-OAuth כשיטת האימות העיקרית, צריך לבצע את השלבים שמתוארים בדף התיעוד שימוש ב-Google OAuth לאימות משתמשים ב-Looker (Google Cloud core) כדי להשלים את הגדרת OAuth לאימות משתמשים.

אחרי שמגדירים את שיטת האימות, אפשר להוסיף או להסיר משתמשים דרך ספק הזהויות ולנהל אותם ב-Looker.

הצגת סוג פרטי הכניסה של OAuth עבור המופע

פרטי הכניסה של OAuth לא מופיעים ישירות בדף הגדרת המופע במסוף Google Cloud . לוחצים על עריכה בדף ההגדרות של המופע כדי לראות את הקטע פרטי הכניסה של אפליקציית OAuth.

אם פרטי הכניסה ל-OAuth מוגדרים כמנוהלים על ידי Looker,‏ Looker (Google Cloud core) מקצה פרטי כניסה ל-OAuth שמנוהלים על ידי Looker למופע שלכם במהלך יצירת המופע, ומזהה הלקוח והסוד של הלקוח לא מוצגים.

אם פרטי הכניסה של OAuth מוגדרים לידני, פרטי כניסה מותאמים אישית של OAuth נוספו למופע במהלך יצירת המופע או אחריו. מזהה הלקוח והסוד של הלקוח לא מוצגים, ובמקום זאת מוצגים placeholders של **** בקטע.

עריכת לקוח OAuth עבור מכונה של Looker (Google Cloud core)

אם רוצים, אפשר להוסיף, לערוך או לשנות את פרטי הכניסה ל-OAuth במופע Looker (Google Cloud core) באמצעות השלבים הבאים:

  1. מגדירים את הלקוח או את פרטי הכניסה החדשים.
  2. במסוף Google Cloud , בדף Instances (מופעים), לוחצים על השם של מופע כדי לפתוח את הדף DETAILS (פרטים).
  3. בדף פרטים, לוחצים על עריכה.
  4. בדף Edit Looker (Google Cloud core) instance (עריכת מופע Looker (Google Cloud core)), עוברים לקטע OAuth application credentials (פרטי כניסה של אפליקציית OAuth) ובוחרים באפשרות Manual (ידני), אם היא לא נבחרה כבר.
  5. מזינים את הערכים החדשים בשדות מזהה לקוח ב-OAuth וסוד לקוח ב-OAuth.
  6. לוחצים על Save.

אם פרטי הכניסה של אפליקציית OAuth מוגדרים כמנוהלים על ידי Looker, אי אפשר להוסיף או לערוך פרטי כניסה. כדי לערוך או להוסיף פרטי כניסה, עוברים להגדרה ידנית של פרטי הכניסה.

המאמרים הבאים