OAuth-Client und ‑Anmeldedaten für eine Looker (Google Cloud Core)-Instanz erstellen

Auf dieser Dokumentationsseite wird beschrieben, wie Sie Ihren OAuth-Client einrichten und OAuth-Anmeldedaten während der Instanzerstellung manuell mit Ihrer Instanz verknüpfen.

Wann OAuth-Anmeldedaten erstellt werden müssen

Für die folgenden Arten von Looker (Google Cloud Core)-Instanzen müssen Sie OAuth-Anmeldedaten erstellen und sie während der Instanzerstellung mit der Instanz verknüpfen, auch wenn Sie eine andere Authentifizierungsmethode zum Authentifizieren Ihrer Nutzer in der Instanz verwenden möchten:

Instanzen, die private Verbindungen verwenden
Instanzen, die Hybridverbindungskonfigurationen verwenden

Wenn Sie einer Looker (Google Cloud Core)-Instanz, für die öffentliche sichere Verbindungen verwendet werden, eine benutzerdefinierte Domain hinzufügen möchten, müssen außerdem OAuth-Anmeldedaten erstellt und dann beim Einrichten der benutzerdefinierten Domain manuell mit der Instanz verknüpft werden.

Für Looker (Google Cloud Core)-Instanzen, die nur öffentliche sichere Verbindungen verwenden, müssen Sie keine OAuth-Anmeldedaten erstellen oder der Instanz zuordnen. Für diesen Instanztyp weist Looker (Google Cloud Core) der Instanz einen von Looker verwalteten OAuth-Client und ein Secret zu.

Erforderliche Rollen

Wenn Sie die Google Cloud Konsole zum Erstellen und Bearbeiten von OAuth-Anmeldedaten verwenden möchten, benötigen Sie die folgenden Berechtigungen. Wenn Sie die Liste der Berechtigungen ausblenden möchten, minimieren Sie den Abschnitt Erforderliche Berechtigungen.

Erforderliche Berechtigungen

clientauthconfig.&ast;

clientauthconfig.brands.create
clientauthconfig.brands.delete
clientauthconfig.brands.get
clientauthconfig.brands.list
clientauthconfig.brands.update
clientauthconfig.clients.create
clientauthconfig.clients.createSecret
clientauthconfig.clients.delete
clientauthconfig.clients.get
clientauthconfig.clients.getWithSecret
clientauthconfig.clients.list
clientauthconfig.clients.listWithSecrets
clientauthconfig.clients.undelete
clientauthconfig.clients.update

oauthconfig.&ast;

oauthconfig.clientpolicy.get
oauthconfig.testusers.get
oauthconfig.testusers.update
oauthconfig.verification.get
oauthconfig.verification.submit
oauthconfig.verification.update

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie in der IAM-Dokumentation (Identity and Access Management) auf der Seite Zugriff auf Projekte, Ordner und Organisationen verwalten.

Vorbereitung zum Erstellen einer Looker (Google Cloud Core)-Instanz

Bevor Sie eine Looker (Google Cloud Core)-Instanz erstellen, müssen Sie die in den folgenden Abschnitten beschriebenen Schritte ausführen:

OAuth-Client-ID und ‑Client-Secret generieren
Zustimmungsbildschirm, Zugriffsbereiche und Testnutzer konfigurieren

OAuth-Client-ID und ‑Clientschlüssel generieren

Erstellen Sie zuerst einen OAuth-Client und generieren Sie die Client-ID und den Clientschlüssel für diesen Client. Diese Werte sind beim Erstellen der Looker (Google Cloud Core)-Instanz erforderlich.

Sie können den OAuth-Client in einem beliebigen Google Cloud Projekt einrichten. Es muss nicht dasselbe Projekt wie die Looker (Google Cloud Core)-Instanz sein. Die Looker (Google Cloud Core) API muss jedoch in diesem Projekt aktiviert sein.

So erstellen Sie den Client und seine Anmeldedaten:

Rufen Sie das Projekt auf, in dem Sie den OAuth-Client erstellen möchten.
Rufen Sie APIs & Dienste > Anmeldedaten auf.
Klicken Sie auf der Seite Anmeldedaten auf Anmeldedaten erstellen.
Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.
Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus.
Geben Sie im Feld Name einen Namen für Ihren OAuth-Client ein.
An dieser Stelle müssen Sie keine URIs in den Abschnitten Autorisierte JavaScript-Quellen oder Autorisierte Weiterleitungs-URIs hinzufügen.
Klicken Sie auf Erstellen.

Nachdem Sie auf Erstellen geklickt haben, wird das Fenster OAuth-Client erstellt angezeigt. In diesem Fenster werden die Client-ID und der Clientschlüssel angezeigt, die für Ihren OAuth-Client erstellt wurden. Diese Werte sind erforderlich, wenn Sie die Looker (Google Cloud Core)-Instanz erstellen.

Optional können Sie auf JSON herunterladen klicken, um die Anmeldedaten in einer JSON-Datei herunterzuladen. Klicken Sie auf OK, um das Fenster zu schließen.

Zustimmungsbildschirm, Zugriffsbereiche und Testnutzer konfigurieren

Als Nächstes können Sie den Zustimmungsbildschirm konfigurieren. Der Zustimmungsbildschirm wird einem Nutzer der Looker (Google Cloud Core)-Instanz bei der ersten Anmeldung und immer dann angezeigt, wenn seine Autorisierung abläuft oder vom Nutzer widerrufen wird.

Folgen Sie der Anleitung auf der Dokumentationsseite OAuth-Zustimmungsbildschirm konfigurieren und Bereiche auswählen. Nehmen Sie beim Konfigurieren des Bildschirms die folgenden Einstellungen vor:

Im Bereich Branding muss die Domain unter Autorisierte Domains mit der Domain der Looker (Google Cloud Core)-Instanz übereinstimmen, die die OAuth-Anmeldedaten verwendet. Wenn Sie eine benutzerdefinierte Domain für Ihre Looker (Google Cloud Core)-Instanz erstellen möchten und die Domain kennen, die Sie ihr zuweisen werden, können Sie sie jetzt eingeben. Andernfalls können Sie dieses Feld leer lassen. Es wird automatisch ausgefüllt, wenn Sie die autorisierte Weiterleitungs-URI hinzufügen, nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde.
Wählen Sie im Bereich Zielgruppe unter Nutzertyp eine der folgenden Optionen aus:
- Intern: Das ist die Standardeinstellung. Nur Nutzer innerhalb Ihrer Organisation können auf die Instanz zugreifen, nachdem sie über IAM hinzugefügt wurden.
- Extern machen: Nutzer mit einem beliebigen Google-Konto können auf die Instanz zugreifen, sobald sie über IAM hinzugefügt wurden.
Hinweis :Wenn Sie möchten, dass ein Nutzer wie der Google-Support über OAuth und IAM auf Ihre Instanz zugreifen kann, muss User Type auf External festgelegt sein und der Supportnutzer muss über IAM hinzugefügt werden. Sie können die Einstellung Nutzer-Typ jederzeit bearbeiten.

Beim Erstellen einer Looker (Google Cloud Core)-Instanz

Wenn Sie die Looker (Google Cloud Core)-Instanz erstellen, fügen Sie die OAuth-Client-ID und den Clientschlüssel im Abschnitt Anmeldedaten für OAuth-Anwendung hinzu. Sie können keine Instanz ohne OAuth-Anmeldedaten erstellen. Die OAuth-Client-ID und den Clientschlüssel finden Sie, indem Sie in der Google Cloud -Konsole zum OAuth-Client navigieren.

Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben

Führen Sie die folgenden Schritte aus, um die Konfiguration abzuschließen. Wenn Sie einen autorisierten Weiterleitungs-URI hinzufügen, wird er Ihrem OAuth-Zustimmungsbildschirm als autorisierte Domain hinzugefügt.

Autorisierten Weiterleitungs-URI zum OAuth-Client hinzufügen

Falls noch nicht geschehen, führen Sie die folgenden Schritte aus, um die URL der neu erstellten Looker-Instanz (Google Cloud Core) in den OAuth-Client einzugeben.

Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, suchen Sie nach der URL für die Instanz und kopieren Sie sie. Sie finden die URL auf der Seite Instanzen.

Hinweis :Wenn Sie eine benutzerdefinierte Domain für Ihre Instanz einrichten, müssen Sie die Einrichtung abschließen, bevor Sie die URL kopieren. Sobald Sie die benutzerdefinierte Domain dem OAuth-Client hinzufügen, können sich Nutzer nicht mehr über die automatisch generierte Instanz-URL anmelden, die bei der Erstellung der Instanz gewährt wurde, auch wenn diese Domain ebenfalls im OAuth-Client enthalten ist.
Rufen Sie in der Google Cloud Console die Seite APIs & Dienste > Anmeldedaten auf.
Klicken Sie unter der Überschrift OAuth 2.0-Client-IDs auf den Namen des von Ihnen erstellten Clients.
Klicken Sie im Abschnitt Autorisierte Weiterleitungs-URIs auf URI hinzufügen.
Fügen Sie die URL der Looker-Instanz (Google Cloud Core) in das Feld URIs ein. Fügen Sie /oauth2callback am Ende der URL hinzu. Beispiel: https://uuid.looker.app/oauth2callback.

Wenn Sie die OAuth-Autorisierung für BigQuery einrichten, können Sie auch einen zweiten Redirect-URI hinzufügen, der auf die URL der Looker-Instanz (Google Cloud Core) verweist, gefolgt von /external_oauth/redirect am Ende der URL. Beispiel: https://uuid.looker.app/external_oauth/redirect.
Klicken Sie auf Speichern.

Es kann fünf Minuten bis mehrere Stunden dauern, bis die Aktualisierung wirksam wird.

Nutzer verwalten

Sobald der OAuth-Client konfiguriert und die Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie sich mit OAuth in der Instanz anmelden. Anschließend können Sie die Authentifizierungsmethode für Ihre Instanz auswählen.

Wenn Sie OAuth als primäre Authentifizierungsmethode verwenden, führen Sie die Schritte auf der Dokumentationsseite Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden aus, um die OAuth-Einrichtung für die Nutzerauthentifizierung abzuschließen.

Sobald Ihre Authentifizierungsmethode eingerichtet ist, können Sie Nutzer über Ihren Identitätsanbieter hinzufügen oder entfernen und in Looker verwalten.

Art der OAuth-Anmeldedaten für Ihre Instanz ansehen

OAuth-Anmeldedaten werden nicht direkt auf der Seite zur Instanzkonfiguration der Google Cloud Console aufgeführt. Klicken Sie auf der Seite „Instanzkonfiguration“ auf Bearbeiten, um den Bereich OAuth-Anwendungsanmeldedaten aufzurufen.

Wenn die OAuth-Anmeldedaten auf Von Looker verwaltet festgelegt sind, weist Looker (Google Cloud Core) Ihrer Instanz beim Erstellen der Instanz von Looker verwaltete OAuth-Anmeldedaten zu. Die Client-ID und der Clientschlüssel werden nicht angezeigt.

Wenn die OAuth-Anmeldedaten auf Manuell eingestellt sind, wurden Ihrer Instanz während oder nach der Erstellung benutzerdefinierte OAuth-Anmeldedaten hinzugefügt. Die Client-ID und der Clientschlüssel werden nicht angezeigt, stattdessen werden im Abschnitt ****-Platzhalter angezeigt.

OAuth-Client für eine Looker (Google Cloud Core)-Instanz bearbeiten

Sie können OAuth-Anmeldedaten für Ihre Looker (Google Cloud Core)-Instanz hinzufügen, bearbeiten oder ändern. Gehen Sie dazu so vor:

Richten Sie den neuen Client oder die neuen Anmeldedaten ein.
Klicken Sie in der Google Cloud -Konsole auf der Seite Instanzen auf den Namen einer Instanz, um die Seite DETAILS (DETAILS) zu öffnen.
Klicken Sie auf der Seite DETAILS auf Bearbeiten.
Rufen Sie auf der Seite Looker (Google Cloud Core)-Instanz bearbeiten den Bereich OAuth-Anwendungsanmeldedaten auf und wählen Sie Manuell aus, falls diese Option noch nicht ausgewählt ist.
Geben Sie die neuen Werte in die Felder OAuth-Client-ID und OAuth-Clientschlüssel ein.
Klicken Sie auf Speichern.

Wenn die Anmeldedaten Ihrer OAuth-Anwendung auf Von Looker verwaltet festgelegt sind, können Sie keine Anmeldedaten hinzufügen oder bearbeiten. Wechseln Sie zur Einstellung Manuell für Anmeldedaten, um sie zu bearbeiten oder hinzuzufügen.