Looker（Google Cloud コア）インスタンスの OAuth クライアントと認証情報を作成する

このドキュメントページでは、OAuth クライアントを設定し、インスタンスの作成時に OAuth 認証情報をインスタンスに手動で関連付ける方法について説明します。

OAuth 認証情報を作成するタイミング

次のタイプの Looker（Google Cloud コア）インスタンスでは、インスタンスに対してユーザーを認証する別の認証方法を使用する場合でも、インスタンスの作成時に OAuth 認証情報を作成してインスタンスに関連付ける必要があります。

プライベート接続を使用するインスタンス
ハイブリッド接続構成を使用するインスタンス

また、パブリックセキュア接続を使用する Looker（Google Cloud コア）インスタンスにカスタムドメインを追加する場合は、OAuth 認証情報を作成し、カスタムドメインの設定時にインスタンスに手動で関連付ける必要があります。

パブリックセキュア接続のみを使用する Looker（Google Cloud コア）インスタンスでは、OAuth 認証情報を作成したり、インスタンスに関連付けたりする必要はありません。このタイプのインスタンスの場合、Looker（Google Cloud コア）はインスタンスに Looker 管理の OAuth クライアントとシークレットを割り当てます。

必要なロール

Google Cloud コンソールを使用して OAuth 認証情報を作成および編集するには、次の権限が必要です。（権限のリストを非表示にするには、[必要な権限] セクションを閉じます。）

必要な権限

clientauthconfig.&ast;

clientauthconfig.brands.create
clientauthconfig.brands.delete
clientauthconfig.brands.get
clientauthconfig.brands.list
clientauthconfig.brands.update
clientauthconfig.clients.create
clientauthconfig.clients.createSecret
clientauthconfig.clients.delete
clientauthconfig.clients.get
clientauthconfig.clients.getWithSecret
clientauthconfig.clients.list
clientauthconfig.clients.listWithSecrets
clientauthconfig.clients.undelete
clientauthconfig.clients.update

oauthconfig.&ast;

oauthconfig.clientpolicy.get
oauthconfig.testusers.get
oauthconfig.testusers.update
oauthconfig.verification.get
oauthconfig.verification.submit
oauthconfig.verification.update

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。ロール付与の詳細については、Identity and Access Management（IAM）ドキュメントのプロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

Looker（Google Cloud コア）インスタンスを作成する前

Looker（Google Cloud コア）インスタンスを作成する前に、次のセクションで説明する手順を完了します。

OAuth クライアント ID とクライアントシークレットを生成する
ユーザーの同意画面、スコープ、テストユーザーを構成する

OAuth クライアント ID とクライアントシークレットを生成する

まず、OAuth クライアントを作成し、そのクライアントのクライアント ID とクライアントシークレットを生成します。これらの値は、Looker（Google Cloud コア）インスタンスの作成時に必要です。

OAuth クライアントは、任意の Google Cloud プロジェクトで設定できます。Looker（Google Cloud コア）インスタンスと同じプロジェクトに設定する必要はありません。ただし、設定したプロジェクトで Looker（Google Cloud コア）API を有効にする必要があります。

クライアントとその認証情報を作成する手順は次のとおりです。

OAuth クライアントを作成するプロジェクトに移動します。
[API とサービス] > [認証情報] に移動します。
[認証情報] ページで、[認証情報を作成] をクリックします。
プルダウンメニューで [OAuth クライアント ID] を選択します。
[アプリケーションの種類] プルダウンで、[ウェブアプリケーション] を選択します。
[名前] フィールドに、実際の OAuth クライアントの名前を入力します。
この時点では、[承認済みの JavaScript 生成元] セクションまたは [承認済みのリダイレクト URI] セクションに URI を追加する必要はありません。
[作成] をクリックします。

[作成] をクリックすると、[OAuth クライアントを作成しました] ウィンドウが表示されます。このウィンドウには、OAuth クライアント用に作成されたクライアント ID とクライアントシークレットが表示されます。これらの値は、Looker（Google Cloud コア）インスタンスを作成するときに必要になります。

必要に応じて、[JSON をダウンロード] をクリックして、認証情報を JSON ファイルにダウンロードします。ウィンドウを閉じるには、[OK] をクリックします。

ユーザーの同意画面、スコープ、テストユーザーを構成する

次に、同意画面を構成します。同意画面は、最初のログイン時と、承認の有効期限が切れた時点またはユーザーが取り消した時点で、Looker（Google Cloud コア）インスタンスのユーザーに表示されます。

OAuth 同意画面を構成し、スコープを選択するのドキュメントページの手順に沿って操作します。画面を構成する際に、次の設定を説明どおりに完了します。

[ブランディング] セクションの [承認済みドメイン] で、ドメインが OAuth 認証情報を使用する Looker（Google Cloud コア）インスタンスのドメインと一致している必要があります。Looker（Google Cloud コア）インスタンスのカスタムドメインを作成し、割り当てるドメインがわかっている場合は、ここで入力できます。それ以外の場合は、このフィールドを空のままにできます。Looker（Google Cloud コア）インスタンスの作成後に承認済みリダイレクト URI を追加すると、このフィールドは自動的に入力されます。
[対象] セクションの [ユーザータイプ] で、次のいずれかを選択します。
- Internal: これはデフォルトの設定です。組織内のユーザーのみが、IAM を介して追加されるとインスタンスにアクセスできます。
- 外部にする: Google アカウントを持つユーザーは、IAM を介して追加されると、インスタンスにアクセスできます。
注: OAuth と IAM を使用して Google サポートなどのユーザーにインスタンスへのアクセスを許可するには、[ユーザータイプ] を [外部] に設定し、サポートユーザーを IAM を介して追加する必要があります。[ユーザータイプ] の設定はいつでも編集できます。

Looker（Google Cloud コア）インスタンスの作成時

Looker（Google Cloud コア）インスタンスを作成するとき、OAuth クライアント ID とクライアントシークレットを [OAuth アプリケーション認証情報] セクションに追加します。OAuth 認証情報がないと、インスタンスを作成できません。 Google Cloud コンソールで OAuth クライアントに移動して、OAuth クライアント ID とクライアントシークレットを見つけます。

Looker（Google Cloud コア）インスタンスを作成した後

次の手順に沿って設定を完了します。承認済みのリダイレクト URI を追加すると、OAuth 同意画面に承認済みドメインとして追加されます。

承認済みのリダイレクト URI を OAuth クライアントに追加する

まだ行っていない場合は、次の手順に沿って、新しく作成した Looker（Google Cloud コア）インスタンスの URL を OAuth クライアントに入力します。

Looker（Google Cloud コア）インスタンスを作成したら、インスタンスの URL を見つけてコピーします。URL は、[インスタンス] ページで確認できます。

注: インスタンスのカスタムドメインを設定する場合は、必ずその設定を完了してから URL をコピーします。カスタムドメインを OAuth クライアントに追加すると、そのドメインが OAuth クライアントに含まれていても、インスタンスの作成時に付与された、自動生成されたインスタンス URL にログインできなくなります。
Google Cloud コンソールで、[API とサービス] > [認証情報] に移動します。
[OAuth 2.0 クライアント ID] という見出しの下で、作成したクライアントの名前をクリックします。
[承認済みのリダイレクト URI] セクションで、[URI を追加] をクリックします。
Looker（Google Cloud コア）インスタンスの URL を [URI] フィールドに貼り付けます。URL の末尾に /oauth2callback を追加します。例: https://uuid.looker.app/oauth2callback。

BigQuery の OAuth 認証を設定する場合は、Looker（Google Cloud コア）インスタンスの URL を指す 2 つ目のリダイレクト URI を追加することもできます。この場合、URL の末尾に /external_oauth/redirect が追加されます。例: https://uuid.looker.app/external_oauth/redirect。
[保存] をクリックします。

更新が有効になるまで 5 分から数時間かかることがあります。

ユーザーの管理

OAuth クライアントを構成し、Looker（Google Cloud コア）インスタンスを作成したら、OAuth を使用してインスタンスにログインできます。その後、インスタンスの認証方法を選択できます。

主な認証方法として OAuth を使用する場合は、Looker（Google Cloud コア）ユーザー認証に Google OAuth を使用するのドキュメントページに記載されている手順に沿って、ユーザー認証用の OAuth 設定を完了してください。

認証方法を設定したら、ID プロバイダを使用してユーザーを追加または削除し、Looker 内でユーザーを管理できます。

インスタンスの OAuth 認証情報のタイプを表示する

OAuth 認証情報は、 Google Cloud コンソールのインスタンス構成ページに直接表示されません。インスタンス構成ページで [編集] をクリックして、[OAuth アプリケーション認証情報] セクションを表示します。

OAuth 認証情報が [Looker 管理] に設定されている場合、Looker（Google Cloud コア）はインスタンスの作成時に Looker 管理の OAuth 認証情報を割り当て、クライアント ID とクライアントシークレットは表示されません。

OAuth 認証情報が [手動] に設定されている場合、インスタンスの作成中または作成後にカスタム OAuth 認証情報がインスタンスに追加されています。クライアント ID とクライアントシークレットは表示されず、代わりに **** プレースホルダが表示されます。

Looker（Google Cloud コア）インスタンスの OAuth クライアントを編集する

必要に応じて、以下の手順に沿って Looker（Google Cloud コア）インスタンスの OAuth 認証情報を追加、編集、変更できます。

新しいクライアントまたは認証情報を設定します。
Google Cloud コンソールの [インスタンス] ページで、インスタンスの名前をクリックして [詳細] ページを開きます。
[詳細] ページで、[編集] をクリックします。
[Looker（Google Cloud コア）インスタンスの編集] ページで、[OAuth アプリケーション認証情報] セクションに移動し、[手動] が選択されていない場合は選択します。
[OAuth クライアント ID] フィールドと [OAuth クライアントシークレット] フィールドに新しい値を入力します。
[保存] をクリックします。

OAuth アプリケーションの認証情報が [Looker managed] に設定されている場合、認証情報を追加または編集することはできません。認証情報を編集または追加するには、[手動] 設定に切り替えます。