Créer un client et des identifiants OAuth pour une instance Looker (Google Cloud Core)

Cette page de documentation explique comment configurer votre client OAuth et associer manuellement les identifiants OAuth à votre instance lors de sa création.

Quand créer des identifiants OAuth

Les types d'instances Looker (Google Cloud Core) suivants nécessitent que vous créiez des identifiants OAuth et que vous les associiez à l'instance lors de sa création, même si vous souhaitez utiliser une autre méthode d'authentification pour authentifier vos utilisateurs dans l'instance :

Instances qui utilisent des connexions privées
Instances qui utilisent des configurations de connexion hybride

De plus, si vous souhaitez ajouter un domaine personnalisé à une instance Looker (Google Cloud Core) qui utilise des connexions publiques sécurisées, vous devez créer des identifiants OAuth, puis les associer manuellement à l'instance lors de la configuration du domaine personnalisé.

Les instances Looker (Google Cloud Core) qui n'utilisent que des connexions publiques sécurisées ne nécessitent pas la création d'identifiants OAuth ni leur association à l'instance. Pour ce type d'instance, Looker (Google Cloud Core) attribue un client et un code secret OAuth gérés par Looker.

Rôles requis

Pour utiliser la console Google Cloud afin de créer et de modifier des identifiants OAuth, vous devez disposer des autorisations suivantes. (Pour masquer la liste des autorisations, réduisez la section Autorisations requises.)

Autorisations requises

clientauthconfig.&ast;

clientauthconfig.brands.create
clientauthconfig.brands.delete
clientauthconfig.brands.get
clientauthconfig.brands.list
clientauthconfig.brands.update
clientauthconfig.clients.create
clientauthconfig.clients.createSecret
clientauthconfig.clients.delete
clientauthconfig.clients.get
clientauthconfig.clients.getWithSecret
clientauthconfig.clients.list
clientauthconfig.clients.listWithSecrets
clientauthconfig.clients.undelete
clientauthconfig.clients.update

oauthconfig.&ast;

oauthconfig.clientpolicy.get
oauthconfig.testusers.get
oauthconfig.testusers.update
oauthconfig.verification.get
oauthconfig.verification.submit
oauthconfig.verification.update

Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations dans la documentation sur Identity and Access Management (IAM).

Avant de créer une instance Looker (Google Cloud Core)

Avant de créer une instance Looker (Google Cloud Core), suivez les étapes décrites dans les sections suivantes :

Générez l'ID client et le code secret du client OAuth.
Configurer l'écran de consentement de l'utilisateur, les autorisations et les utilisateurs de test

Générer l'ID client et le code secret du client OAuth

Commencez par créer un client OAuth, puis générez l'ID client et le code secret du client. Ces valeurs sont obligatoires lors de la création de l'instance Looker (Google Cloud Core).

Vous pouvez configurer le client OAuth dans le projet Google Cloud de votre choix. Il n'est pas nécessaire qu'il s'agisse du même projet que l'instance Looker (Google Cloud Core). Toutefois, l'API Looker (Google Cloud Core) doit être activée dans ce projet.

Pour créer le client et ses identifiants, procédez comme suit :

Accédez au projet dans lequel vous souhaitez créer le client OAuth.
Accédez à API et services > Identifiants.
Sur la page Identifiants, cliquez sur Créer des identifiants.
Dans le menu déroulant, sélectionnez ID client OAuth.
Dans le menu déroulant Type d'application, sélectionnez Application Web.
Dans le champ Nom, saisissez le nom de votre client OAuth.
À ce stade, vous n'avez pas besoin d'ajouter d'URI dans les sections Origines JavaScript autorisées ou URI de redirection autorisés.
Cliquez sur Créer.

Après avoir cliqué sur Créer, une fenêtre Client OAuth créé s'affiche. Cette fenêtre affiche l'ID client et le code secret du client créés pour votre client OAuth. Vous aurez besoin de ces valeurs lorsque vous créerez l'instance Looker (Google Cloud Core).

Vous pouvez également cliquer sur Télécharger au format JSON pour télécharger les informations d'identification dans un fichier JSON. Pour fermer la fenêtre, cliquez sur OK.

Configurer l'écran de consentement de l'utilisateur, les autorisations et les utilisateurs de test

Ensuite, vous pouvez configurer l'écran d'autorisation. L'écran de consentement s'affiche pour un utilisateur de l'instance Looker (Google Cloud Core) lors de sa première connexion et à tout moment lorsque son autorisation expire ou est révoquée par l'utilisateur.

Suivez les instructions de la page de documentation Configurer l'écran de consentement OAuth et choisir des habilitations. Lorsque vous configurez votre écran, définissez les paramètres suivants comme décrit :

Dans la section Branding, sous Domaines autorisés, le domaine doit correspondre à celui de l'instance Looker (Google Cloud Core) qui utilise les identifiants OAuth. Si vous prévoyez de créer un domaine personnalisé pour votre instance Looker (Google Cloud Core) et que vous connaissez le domaine que vous allez lui attribuer, vous pouvez le saisir maintenant. Sinon, vous pouvez laisser ce champ vide. Il sera automatiquement renseigné lorsque vous ajouterez l'URI de redirection autorisé après la création de l'instance Looker (Google Cloud Core).
Dans la section Audience, sous Type d'utilisateur, sélectionnez l'une des options suivantes :
- Interne : il s'agit du paramètre par défaut. Seuls les utilisateurs de votre organisation peuvent accéder à l'instance une fois qu'ils ont été ajoutés via IAM.
- Rendre externe : les utilisateurs disposant d'un compte Google peuvent accéder à l'instance une fois qu'ils ont été ajoutés via IAM.
Remarque : Si vous souhaitez qu'un utilisateur, tel que l'assistance Google, accède à votre instance à l'aide d'OAuth et d'IAM, le type d'utilisateur doit être défini sur Externe et l'utilisateur de l'assistance doit être ajouté via IAM. Vous pouvez modifier le paramètre Type d'utilisateur à tout moment.

Lors de la création d'une instance Looker (Google Cloud Core)

Lorsque vous créez l'instance Looker (Google Cloud Core), ajoutez l'ID client OAuth et le code secret du client dans la section Identifiants d'application OAuth. Vous ne pouvez pas créer d'instance sans identifiants OAuth. Pour trouver l'ID client et le code secret du client OAuth, accédez au client OAuth dans la console Google Cloud .

Après avoir créé une instance Looker (Google Cloud Core)

Pour terminer la configuration, suivez les instructions ci-dessous. Lorsque vous ajoutez un URI de redirection autorisé, il est ajouté à votre écran d'autorisation OAuth en tant que domaine autorisé.

Ajouter l'URI de redirection autorisé au client OAuth

Si ce n'est pas déjà fait, suivez ces étapes pour saisir l'URL de l'instance Looker (Google Cloud Core) nouvellement créée dans le client OAuth.

Une fois que vous avez créé une instance Looker (Google Cloud Core), recherchez et copiez l'URL de l'instance. Vous trouverez l'URL sur la page Instances.

Remarque : Si vous configurez un domaine personnalisé pour votre instance, veillez à terminer cette configuration avant de copier l'URL. Une fois que vous avez ajouté le domaine personnalisé au client OAuth, les utilisateurs ne peuvent plus se connecter à l'URL de l'instance générée automatiquement qui leur a été attribuée lors de la création de l'instance, même si ce domaine figure également dans le client OAuth.
Dans la console Google Cloud , accédez à API et services > Identifiants.
Sous l'en-tête ID client OAuth 2.0, cliquez sur le nom du client que vous avez créé.
Dans la section URI de redirection autorisés, cliquez sur Ajouter un URI.
Collez l'URL de l'instance Looker (Google Cloud Core) dans le champ URI. Ajoutez /oauth2callback à la fin de l'URL. Par exemple : https://uuid.looker.app/oauth2callback.

Si vous configurez l'autorisation OAuth pour BigQuery, vous pouvez également ajouter un deuxième URI de redirection qui pointe vers l'URL de l'instance Looker (Google Cloud Core), suivie de /external_oauth/redirect à la fin de l'URL. Par exemple : https://uuid.looker.app/external_oauth/redirect.
Cliquez sur Enregistrer.

L'application de la modification peut prendre de cinq minutes à quelques heures.

Gérer les utilisateurs

Une fois le client OAuth configuré et l'instance Looker (Google Cloud Core) créée, vous pouvez vous connecter à l'instance à l'aide d'OAuth. Vous pouvez ensuite choisir la méthode d'authentification pour votre instance.

Si vous utilisez OAuth comme méthode d'authentification principale, suivez les étapes décrites sur la page de documentation Utiliser Google OAuth pour l'authentification des utilisateurs Looker (Google Cloud Core) afin de configurer OAuth pour l'authentification des utilisateurs.

Une fois votre méthode d'authentification configurée, vous pouvez ajouter ou supprimer des utilisateurs via votre fournisseur d'identité et les gérer dans Looker.

Afficher le type d'identifiants OAuth pour votre instance

Les identifiants OAuth ne sont pas listés directement sur la page de configuration de l'instance de la console Google Cloud . Cliquez sur Modifier sur la page de configuration de l'instance pour afficher la section Identifiants de l'application OAuth.

Si les identifiants OAuth sont définis sur Gérés par Looker, Looker (Google Cloud Core) attribue des identifiants OAuth gérés par Looker à votre instance lors de sa création. L'ID client et le code secret du client ne sont pas affichés.

Si les identifiants OAuth sont définis sur Manuel, des identifiants OAuth personnalisés ont été ajoutés à votre instance lors de sa création ou après. L'ID client et le code secret du client ne sont pas affichés. À la place, la section affiche des espaces réservés ****.

Modifier le client OAuth pour une instance Looker (Google Cloud Core)

Si vous le souhaitez, vous pouvez ajouter, modifier ou changer les identifiants OAuth pour votre instance Looker (Google Cloud Core) en procédant comme suit :

Configurez le nouveau client ou les nouveaux identifiants.
Dans la console Google Cloud , sur la page Instances, cliquez sur le nom d'une instance pour ouvrir la page DÉTAILS.
Sur la page DÉTAILS, cliquez sur Modifier.
Sur la page Modifier l'instance Looker (Google Cloud Core), accédez à la section Identifiants de l'application OAuth et sélectionnez Manuel, si ce n'est pas déjà fait.
Saisissez les nouvelles valeurs dans les champs ID client OAuth et Code secret du client OAuth.
Cliquez sur Enregistrer.

Si les identifiants de votre application OAuth sont définis sur Gérés par Looker, vous ne pouvez pas ajouter ni modifier d'identifiants. Passez au paramètre Manuel pour les identifiants afin de les modifier ou de les ajouter.