Crea un cliente y credenciales de OAuth para una instancia de Looker (Google Cloud Core)

En esta página de documentación, se explica cómo configurar tu cliente de OAuth y asociar manualmente las credenciales de OAuth con tu instancia durante la creación de la instancia.

Cuándo crear credenciales de OAuth

Los siguientes tipos de instancias de Looker (Google Cloud Core) requieren que crees credenciales de OAuth y las asocies a la instancia durante la creación de la instancia, incluso si deseas usar un método de autenticación diferente para autenticar a tus usuarios en la instancia:

Además, si deseas agregar un dominio personalizado a una instancia de Looker (Google Cloud Core) que usa conexiones seguras públicas, se deben crear credenciales de OAuth y, luego, asociarlas manualmente a la instancia durante la configuración del dominio personalizado.

Las instancias de Looker (Google Cloud Core) que solo usan conexiones seguras públicas no requieren que crees credenciales de OAuth ni que las asocies con la instancia. Para ese tipo de instancia, Looker (Google Cloud Core) asigna un cliente y un secreto de OAuth administrados por Looker para la instancia.

Roles obligatorios

Para usar la consola de Google Cloud para crear y editar credenciales de OAuth, necesitas los siguientes permisos. (Para ocultar la lista de permisos, contrae la sección Permisos requeridos).

Permisos necesarios

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

También puedes obtener los permisos necesarios a través de roles personalizados o cualquier otro rol predefinido. Para obtener más información sobre cómo otorgar roles, consulta la página Administra el acceso a proyectos, carpetas y organizaciones en la documentación de Identity and Access Management (IAM).

Antes de crear una instancia de Looker (Google Cloud Core)

Antes de crear una instancia de Looker (Google Cloud Core), completa los pasos que se describen en estas secciones:

Genera el ID de cliente y el secreto del cliente de OAuth

Primero, crea un cliente de OAuth y genera el ID de cliente y el secreto del cliente. Estos valores son obligatorios durante la creación de la instancia de Looker (Google Cloud Core).

Puedes configurar el cliente de OAuth en cualquier proyecto Google Cloud que desees. No es necesario que sea el mismo proyecto que la instancia de Looker (Google Cloud Core). Sin embargo, la API de Looker (Google Cloud Core) debe estar habilitada en este proyecto.

Para crear el cliente y sus credenciales, sigue estos pasos:

  1. Navega al proyecto en el que deseas crear el cliente de OAuth.
  2. Navega a APIs y servicios > Credenciales.
  3. En la página Credenciales, haz clic en Crear credenciales.
  4. En el menú desplegable, selecciona ID de cliente de OAuth.
  5. En el menú desplegable Tipo de aplicación, selecciona Aplicación web.
  6. En el campo Nombre, ingresa un nombre para tu cliente de OAuth.
  7. En este punto, no es necesario que agregues URIs en las secciones Orígenes JavaScript autorizados ni URIs de redireccionamiento autorizados.
  8. Haz clic en Crear.

Después de hacer clic en Crear, aparecerá una ventana de Cliente de OAuth creado. En esta ventana, se muestran el ID de cliente y el secreto del cliente creados para tu cliente de OAuth. Necesitarás estos valores cuando crees la instancia de Looker (Google Cloud Core).

De manera opcional, haz clic en Descargar JSON para descargar la información de las credenciales en un archivo JSON. Para cerrar la ventana, haz clic en Aceptar.

A continuación, es posible que desees configurar la pantalla de consentimiento. La pantalla de consentimiento se muestra a un usuario de la instancia de Looker (Google Cloud Core) en su primer acceso y en cualquier momento en que su autorización venza o sea revocada por el usuario.

Sigue las instrucciones de la página de documentación Configura la pantalla de consentimiento de OAuth y elige permisos. Mientras configuras la pantalla, completa los siguientes parámetros de configuración como se describe:

  • En la sección Branding, en Dominios autorizados, el dominio debe coincidir con el dominio de la instancia de Looker (Google Cloud Core) que usa las credenciales de OAuth. Si vas a crear un dominio personalizado para tu instancia de Looker (Google Cloud Core) y conoces el dominio que le asignarás, puedes ingresarlo ahora. De lo contrario, puedes dejar este campo vacío. Se completará automáticamente cuando agregues el URI de redireccionamiento autorizado después de que se cree la instancia de Looker (Google Cloud Core).

  • En la sección Público, en Tipo de usuario, selecciona una de las siguientes opciones:

Durante la creación de la instancia de Looker (Google Cloud Core)

Cuando crees la instancia de Looker (Google Cloud Core), agrega el ID de cliente y el secreto del cliente de OAuth en la sección Credenciales de la aplicación de OAuth. No puedes crear una instancia sin credenciales de OAuth. Para encontrar el ID y el secreto del cliente de OAuth, navega al cliente de OAuth en la consola de Google Cloud .

Después de crear una instancia de Looker (Google Cloud Core)

Completa las siguientes instrucciones para finalizar la configuración. Cuando agregues un URI de redireccionamiento autorizado, se agregará a tu pantalla de consentimiento de OAuth como un dominio autorizado.

Agrega el URI de redireccionamiento autorizado al cliente de OAuth

Si aún no lo hiciste, sigue estos pasos para ingresar la URL de la instancia de Looker (Google Cloud Core) recién creada en el cliente de OAuth.

  1. Después de crear una instancia de Looker (Google Cloud Core), busca y copia la URL de la instancia. Puedes encontrar la URL en la página Instancias.

  2. En la consola de Google Cloud , navega a APIs y servicios > Credenciales.

  3. En el encabezado IDs de cliente de OAuth 2.0, haz clic en el nombre del cliente que creaste.

  4. En la sección URIs de redireccionamiento autorizados, haz clic en Agregar URI.

  5. Pega la URL de la instancia de Looker (Google Cloud Core) en el campo URIs. Agrega /oauth2callback al final de la URL. Por ejemplo: https://uuid.looker.app/oauth2callback.

    Si vas a configurar la autorización de OAuth para BigQuery, también puedes agregar un segundo URI de redireccionamiento que apunte a la URL de la instancia de Looker (Google Cloud Core) seguida de /external_oauth/redirect agregado al final de la URL. Por ejemplo: https://uuid.looker.app/external_oauth/redirect.

  6. Haz clic en Guardar.

La actualización puede tardar entre cinco minutos y algunas horas en aplicarse.

Administra usuarios

Una vez que se configura el cliente de OAuth y se crea la instancia de Looker (Google Cloud Core), puedes acceder a la instancia con OAuth. Luego, puedes elegir el método de autenticación para tu instancia.

Si usas OAuth como método de autenticación principal, completa los pasos que se describen en la página de documentación Usa Google OAuth para la autenticación de usuarios de Looker (Google Cloud Core) para completar la configuración de OAuth para la autenticación de usuarios.

Una vez que configures tu método de autenticación, podrás agregar o quitar usuarios a través de tu proveedor de identidad y administrarlos en Looker.

Consulta el tipo de credenciales de OAuth de tu instancia

Las credenciales de OAuth no se muestran directamente en la página de configuración de la instancia de la consola de Google Cloud . Haz clic en Editar en la página de configuración de la instancia para ver la sección Credenciales de la aplicación OAuth.

Si las credenciales de OAuth están configuradas como Administradas por Looker, Looker (Google Cloud Core) asigna credenciales de OAuth administradas por Looker para tu instancia durante la creación de la instancia, y no se muestran el ID de cliente ni el secreto del cliente.

Si las credenciales de OAuth están configuradas como Manual, se agregaron credenciales de OAuth personalizadas a tu instancia durante la creación de la instancia o después de ella. No se muestran el ID de cliente ni el secreto del cliente. En su lugar, la sección muestra marcadores de posición ****.

Edita el cliente de OAuth para una instancia de Looker (Google Cloud Core)

Si quieres, puedes agregar, editar o cambiar las credenciales de OAuth de tu instancia de Looker (Google Cloud Core) siguiendo estos pasos:

  1. Configura el cliente o las credenciales nuevos.
  2. En la consola de Google Cloud , en la página Instancias, haz clic en el nombre de una instancia para abrir la página DETALLES.
  3. En la página DETAILS, haz clic en Edit.
  4. En la página Editar instancia de Looker (Google Cloud Core), navega a la sección Credenciales de la aplicación de OAuth y selecciona Manual, si aún no está seleccionado.
  5. Ingresa los valores nuevos en los campos ID de cliente de OAuth y Secreto de cliente de OAuth.
  6. Haz clic en Guardar.

Si las credenciales de tu aplicación de OAuth están configuradas como administradas por Looker, no podrás agregar ni editar credenciales. Cambia al parámetro de configuración Manual para editar o agregar credenciales.

¿Qué sigue?