Criar um cliente e credenciais OAuth para uma instância do Looker (Google Cloud Core)

Esta página de documentação explica como configurar o cliente OAuth e associar manualmente as credenciais do OAuth à instância durante a criação dela.

Quando criar credenciais do OAuth

Os seguintes tipos de instâncias do Looker (Google Cloud Core) exigem que você crie credenciais do OAuth e as associe à instância durante a criação dela, mesmo que você queira usar um método de autenticação diferente para autenticar os usuários na instância:

Além disso, se você quiser adicionar um domínio personalizado a uma instância do Looker (Google Cloud Core) que usa conexões seguras públicas, as credenciais do OAuth precisam ser criadas e associadas manualmente à instância ao configurar o domínio personalizado.

As instâncias do Looker (Google Cloud Core) que usam apenas conexões seguras públicas não exigem que você crie credenciais do OAuth ou as associe à instância. Para esse tipo de instância, o Looker (Google Cloud Core) atribui um cliente OAuth e uma chave secreta gerenciados pelo Looker para a instância.

Funções exigidas

Para usar o Google Cloud console para criar e editar credenciais do OAuth, você precisa das seguintes permissões. Para ocultar a lista de permissões, recolha a seção Permissões necessárias.

Permissões necessárias

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos. Para mais informações sobre como conceder papéis, consulte a página Gerenciar o acesso a projetos, pastas e organizações na documentação do Identity and Access Management (IAM).

Antes de criar uma instância do Looker (Google Cloud Core)

Antes de criar uma instância do Looker (Google Cloud Core), conclua as etapas descritas nestas seções:

Gerar o ID e a chave secreta do cliente OAuth

Primeiro, crie um cliente OAuth e gere o ID do cliente e a chave secreta do cliente. Esses valores são necessários durante a criação da instância do Looker (Google Cloud Core).

Você pode configurar o cliente OAuth em qualquer Google Cloud projeto. Ele não precisa ser o mesmo projeto da instância do Looker (Google Cloud Core). No entanto, a API do Looker (Google Cloud Core) precisa estar ativada nesse projeto.

Para criar o cliente e as credenciais dele, siga estas etapas:

  1. Navegue até o projeto em que você quer criar o cliente OAuth.
  2. Acesse APIs e serviços > Credenciais.
  3. Na página Credenciais, clique em Criar credenciais.
  4. No menu suspenso, selecione ID do cliente OAuth.
  5. No menu suspenso Tipo de aplicativo, selecione Aplicativo da Web.
  6. No campo Nome, insira um nome para o cliente OAuth.
  7. Neste momento, não é necessário adicionar URIs nas seções Origens JavaScript autorizadas ou URIs de redirecionamento autorizados.
  8. Clique em Criar.

Depois de clicar em Criar, uma janela Cliente OAuth criado será exibida. Essa janela mostra o ID e a chave secreta do cliente criados para o cliente OAuth. Esses valores serão necessários ao criar a instância do Looker (Google Cloud Core).

Opcionalmente, clique em Fazer o download do JSON para baixar as informações de credenciais em um arquivo JSON. Para fechar a janela, clique em OK.

Em seguida, talvez você queira configurar a tela de permissão. A tela de permissão é mostrada a um usuário da instância do Looker (Google Cloud Core) no primeiro login e a qualquer momento em que a autorização expirar ou for revogada pelo usuário.

Siga as instruções na página de documentação Configurar a tela de permissão OAuth e escolher escopos. Ao configurar a tela, conclua as seguintes configurações conforme descrito:

  • Na seção Branding, em Domínios autorizados, o domínio precisa corresponder ao domínio da instância do Looker (Google Cloud Core) que usa as credenciais do OAuth. Se você for criar um domínio personalizado para a instância do Looker (Google Cloud Core) e souber o domínio que será atribuído a ela, poderá inseri-lo agora. Caso contrário, deixe esse campo vazio. Ele será preenchido automaticamente quando você adicionar o URI de redirecionamento autorizado após a criação da instância do Looker (Google Cloud Core).

  • Na seção Público-alvo, em Tipo de usuário, selecione uma das seguintes opções:

Durante a criação da instância do Looker (Google Cloud Core)

Ao criar a instância do Looker (Google Cloud Core), adicione o ID e a chave secreta do cliente OAuth na seção Credenciais do aplicativo OAuth. Não é possível criar uma instância sem credenciais do OAuth. Encontre o ID e a chave secreta do cliente OAuth navegando até o cliente OAuth no Google Cloud console.

Depois de criar uma instância do Looker (Google Cloud Core)

Conclua as instruções a seguir para finalizar a configuração. Quando você adiciona um URI de redirecionamento autorizado, ele é adicionado à tela de permissão OAuth como um domínio autorizado.

Adicionar o URI de redirecionamento autorizado ao cliente OAuth

Se ainda não tiver feito isso, siga estas etapas para inserir o URL da instância recém-criada do Looker (Google Cloud Core) no cliente OAuth.

  1. Depois de criar uma instância do Looker (Google Cloud Core), encontre e copie o URL da instância. Você pode encontrar o URL na página Instâncias.

  2. No Google Cloud console, acesse APIs e serviços > Credenciais.

  3. Na seção IDs do cliente OAuth 2.0, clique no nome do cliente que você criou.

  4. Na seção URIs de redirecionamento autorizados, clique em Adicionar URI.

  5. Cole o URL da instância do Looker (Google Cloud Core) no campo URIs. Adicione /oauth2callback ao final do URL. Por exemplo: https://uuid.looker.app/oauth2callback.

    Se você for configurar a autorização do OAuth para o BigQuery, também poderá adicionar um segundo URI de redirecionamento que aponta para o URL da instância do Looker (Google Cloud Core) seguido por /external_oauth/redirect adicionado ao final do URL. Por exemplo: https://uuid.looker.app/external_oauth/redirect.

  6. Clique em Salvar.

A atualização pode levar de cinco minutos a algumas horas para entrar em vigor.

Gerenciar usuários

Depois que o cliente OAuth for configurado e a instância do Looker (Google Cloud Core) for criada, você poderá fazer login na instância usando o OAuth. Em seguida, você pode escolher o método de autenticação da instância.

Se você estiver usando o OAuth como método de autenticação principal, conclua as etapas descritas na página de documentação Usar o OAuth do Google para autenticação de usuários do Looker (Google Cloud Core) para concluir a configuração do OAuth para autenticação de usuários.

Depois que o método de autenticação for configurado, você poderá adicionar ou remover usuários pelo provedor de identidade e gerenciá-los no Looker.

Conferir o tipo de credenciais do OAuth da instância

As credenciais do OAuth não são listadas diretamente na página de configuração da instância do Google Cloud console. Clique em Editar na página de configuração da instância para conferir a seção Credenciais do aplicativo OAuth.

Se as credenciais do OAuth estiverem definidas como Gerenciadas pelo Looker, o Looker (Google Cloud Core) vai atribuir credenciais do OAuth gerenciadas pelo Looker para sua instância durante a criação dela, e o ID do cliente e a chave secreta do cliente não serão mostrados.

Se as credenciais do OAuth estiverem definidas como Manual, as credenciais personalizadas do OAuth foram adicionadas à instância durante ou após a criação dela. O ID e a chave secreta do cliente não são mostrados. Em vez disso, a seção mostra marcadores de posição ****.

Editar o cliente OAuth de uma instância do Looker (Google Cloud Core)

Se quiser, você pode adicionar, editar ou alterar as credenciais do OAuth da instância do Looker (Google Cloud Core) seguindo estas etapas:

  1. Configure o novo cliente ou credenciais.
  2. No Google Cloud console, na página Instâncias, clique no nome de uma instância para abrir a página DETALHES.
  3. Na página DETALHES, clique em Editar.
  4. Na página Editar instância do Looker (Google Cloud Core), navegue até a seção Credenciais do aplicativo OAuth e selecione Manual, se ainda não estiver selecionada.
  5. Insira os novos valores nos campos ID do cliente OAuth e Chave secreta do cliente OAuth.
  6. Clique em Salvar.

Se as credenciais do aplicativo OAuth estiverem definidas como Gerenciadas pelo Looker, não será possível adicionar ou editar credenciais. Mude para a configuração Manual para editar ou adicionar credenciais.

A seguir