Questa pagina di documentazione spiega come configurare il client OAuth e associare manualmente le credenziali OAuth all'istanza durante la creazione dell'istanza.
Quando creare le credenziali OAuth
I seguenti tipi di istanze di Looker (Google Cloud core) richiedono la creazione di credenziali OAuth e la loro associazione all'istanza durante la creazione dell'istanza, anche se vuoi utilizzare un metodo di autenticazione diverso per autenticare gli utenti nell'istanza:
- Istanze che utilizzano connessioni private
- Istanze che utilizzano configurazioni di connessione ibrida
Inoltre, se vuoi aggiungere un dominio personalizzato a un'istanza di Looker (Google Cloud core) che utilizza connessioni sicure pubbliche, le credenziali OAuth devono essere create e poi associate manualmente all'istanza durante la configurazione del dominio personalizzato.
Le istanze di Looker (Google Cloud core) che utilizzano solo connessioni sicure pubbliche non richiedono la creazione di credenziali OAuth o la loro associazione all'istanza. Per questo tipo di istanza, Looker (Google Cloud core) assegna un client OAuth e un secret gestiti da Looker per l'istanza.
Ruoli obbligatori
Per utilizzare la console Google Cloud per creare e modificare le credenziali OAuth, devi disporre delle seguenti autorizzazioni. Per nascondere l'elenco delle autorizzazioni, comprimi la sezione Autorizzazioni obbligatorie.
Autorizzazioni obbligatorie
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti. Per saperne di più sulla concessione dei ruoli, consulta la pagina Gestire l'accesso a progetti, cartelle e organizzazioni nella documentazione di Identity and Access Management (IAM).
Prima di creare un'istanza di Looker (Google Cloud core)
Prima di creare un'istanza di Looker (Google Cloud core), completa i passaggi descritti in queste sezioni:
- Generare l'ID client OAuth e il client secret
- Configurare la schermata di consenso dell'utente, gli ambiti e gli utenti di test
Generare l'ID client OAuth e il client secret
Innanzitutto, crea un client OAuth e genera l'ID client e il client secret per questo client. Questi valori sono obbligatori durante la creazione dell'istanza di Looker (Google Cloud core).
Puoi configurare il client OAuth in qualsiasi progetto Google Cloud . Non deve necessariamente essere lo stesso progetto dell'istanza di Looker (Google Cloud core). Tuttavia, l'API Looker (Google Cloud core) deve essere abilitata in questo progetto.
Per creare il client e le relative credenziali:
- Vai al progetto in cui vuoi creare il client OAuth.
- Vai ad API e servizi > Credenziali.
- Nella pagina Credenziali, fai clic su Crea credenziali.
- Dal menu a discesa, seleziona ID client OAuth.
- Nel menu a discesa Tipo di applicazione, seleziona Applicazione web.
- Nel campo Nome, inserisci un nome per il client OAuth.
- A questo punto, non è necessario aggiungere URI nelle sezioni Origini JavaScript autorizzate o URI di reindirizzamento autorizzati.
- Fai clic su Crea.
Dopo aver fatto clic su Crea, viene visualizzata la finestra Client OAuth creato. Questa finestra mostra l'ID client e il client secret creati per il client OAuth. Questi valori saranno necessari quando crei l'istanza di Looker (Google Cloud core).
(Facoltativo) Fai clic su Scarica JSON per scaricare le informazioni sulle credenziali in un file JSON. Per chiudere la finestra, fai clic su Ok.
Configurare la schermata di consenso dell'utente, gli ambiti e gli utenti di test
Successivamente, potresti voler configurare la schermata per il consenso. La schermata di consenso viene mostrata a un utente dell'istanza di Looker (Google Cloud core) al primo accesso e in qualsiasi momento in cui la sua autorizzazione scade o viene revocata dall'utente.
Segui le istruzioni riportate nella pagina di documentazione Configurare la schermata per il consenso OAuth e scegliere gli ambiti. Durante la configurazione dello schermo, completa le seguenti impostazioni come descritto:
Nella sezione Branding, in Domini autorizzati, il dominio deve corrispondere a quello dell'istanza di Looker (Google Cloud core) che utilizza le credenziali OAuth. Se hai intenzione di creare un dominio personalizzato per la tua istanza di Looker (Google Cloud core) e conosci il dominio che gli assegnerai, puoi inserirlo ora. Altrimenti, puoi lasciare vuoto questo campo, che verrà compilato automaticamente quando aggiungi l'URI di reindirizzamento autorizzato dopo la creazione dell'istanza di Looker (Google Cloud core).
Nella sezione Pubblico, in Tipo di utente, seleziona una delle seguenti opzioni:
- Interno: questa è l'impostazione predefinita. Solo gli utenti all'interno della tua organizzazione possono accedere all'istanza una volta aggiunti tramite IAM.
- Rendi esterno: gli utenti con qualsiasi tipo di Account Google possono accedere all'istanza una volta aggiunti tramite IAM.
Durante la creazione dell'istanza di Looker (Google Cloud core)
Quando crei l'istanza di Looker (Google Cloud core), aggiungi l'ID client OAuth e il client secret nella sezione Credenziali applicazione OAuth. Non puoi creare un'istanza senza credenziali OAuth. Per trovare l'ID client OAuth e il client secret, vai al client OAuth nella Google Cloud console.
Dopo aver creato un'istanza di Looker (Google Cloud core)
Completa le seguenti istruzioni per terminare la configurazione. Quando aggiungi un URI di reindirizzamento autorizzato, questo viene aggiunto alla schermata di consenso OAuth come dominio autorizzato.
Aggiungi l'URI di reindirizzamento autorizzato al client OAuth
Se non l'hai ancora fatto, segui questi passaggi per inserire l'URL dell'istanza di Looker (Google Cloud core) appena creata nel client OAuth.
Dopo aver creato un'istanza di Looker (Google Cloud core), trova e copia l'URL dell'istanza. Puoi trovare l'URL nella pagina Istanze.
Nella console Google Cloud , vai a API e servizi > Credenziali.
Nella sezione ID client OAuth 2.0, fai clic sul nome del client che hai creato.
Nella sezione URI di reindirizzamento autorizzati, fai clic su Aggiungi URI.
Incolla l'URL dell'istanza di Looker (Google Cloud core) nel campo URI. Aggiungi
/oauth2callbackalla fine dell'URL. Ad esempiohttps://uuid.looker.app/oauth2callback.Se configuri l'autorizzazione OAuth per BigQuery, puoi anche aggiungere un secondo URI di reindirizzamento che rimanda all'URL dell'istanza di Looker (Google Cloud core) seguito da
/external_oauth/redirectaggiunto alla fine dell'URL. Ad esempiohttps://uuid.looker.app/external_oauth/redirect.Fai clic su Salva.
Potrebbero essere necessari da 5 minuti a qualche ora prima che l'aggiornamento diventi effettivo.
Gestisci utenti
Una volta configurato il client OAuth e creata l'istanza di Looker (Google Cloud core), puoi accedere all'istanza utilizzando OAuth. Dopodiché, puoi scegliere il metodo di autenticazione per la tua istanza.
Se utilizzi OAuth come metodo di autenticazione principale, completa i passaggi descritti nella pagina della documentazione Utilizzare Google OAuth per l'autenticazione degli utenti di Looker (Google Cloud core) per completare la configurazione di OAuth per l'autenticazione degli utenti.
Una volta configurato il metodo di autenticazione, puoi aggiungere o rimuovere utenti tramite il tuo provider di identità e gestirli in Looker.
Visualizzare il tipo di credenziali OAuth per l'istanza
Le credenziali OAuth non sono elencate direttamente nella pagina di configurazione dell'istanza della console Google Cloud . Fai clic su Modifica nella pagina di configurazione dell'istanza per visualizzare la sezione Credenziali dell'applicazione OAuth.
Se le credenziali OAuth sono impostate su Gestite da Looker, Looker (Google Cloud core) assegna credenziali OAuth gestite da Looker per la tua istanza durante la creazione dell'istanza e l'ID client e il client secret non vengono visualizzati.
Se le credenziali OAuth sono impostate su Manuale, le credenziali OAuth personalizzate sono state aggiunte all'istanza durante o dopo la creazione. L'ID client e client secret non vengono visualizzati. Al loro posto, la sezione mostra i segnaposto ****.
Modifica il client OAuth per un'istanza di Looker (Google Cloud core)
Se vuoi, puoi aggiungere, modificare o cambiare le credenziali OAuth per la tua istanza di Looker (Google Cloud core) seguendo questi passaggi:
- Configura il nuovo client o le nuove credenziali.
- Nella console Google Cloud , dalla pagina Istanze, fai clic sul nome di un'istanza per aprire la pagina DETTAGLI.
- Nella pagina DETTAGLI, fai clic su Modifica.
- Nella pagina Modifica istanza di Looker (Google Cloud core), vai alla sezione Credenziali dell'applicazione OAuth e seleziona Manuale, se non è già selezionata.
- Inserisci i nuovi valori nei campi ID client OAuth e Client secret OAuth.
- Fai clic su Salva.
Se le credenziali dell'applicazione OAuth sono impostate su Gestite da Looker, non puoi aggiungere o modificare le credenziali. Passa all'impostazione Manuale per le credenziali per modificarle o aggiungerle.
Passaggi successivi
- Crea un'istanza di Looker (Google Cloud core) con IP pubblico
- Crea un'istanza di Looker (Google Cloud core) con connessioni private (accesso privato ai servizi)