为 Looker (Google Cloud Core) 实例创建 OAuth 客户端和凭据

本文档页面介绍了如何在创建实例期间设置 OAuth 客户端，并手动将 OAuth 凭据与实例相关联。

何时创建 OAuth 凭据

以下类型的 Looker (Google Cloud Core) 实例要求您在创建实例期间创建 OAuth 凭据并将其与实例相关联，即使您想使用其他身份验证方法来验证用户对实例的身份也是如此：

• 使用专用连接的实例
• 使用混合连接配置的实例

此外，如果您想向使用公共安全连接的 Looker (Google Cloud Core) 实例添加自定义网域，则必须创建 OAuth 凭据，然后在设置自定义网域时手动将其与实例相关联。

仅使用 公共安全连接 的 Looker (Google Cloud Core) 实例不需要您创建 OAuth 凭据或将其与实例相关联。对于该类型的实例，Looker (Google Cloud Core) 会为实例分配 Looker 管理的 OAuth 客户端和密钥。

所需的角色

如需使用 Google Cloud 控制台创建和修改 OAuth 凭据，您需要具有以下权限。（如需隐藏权限列表，请收起所需权限 部分。）

您也可以通过自定义角色或其他预定义角色来获取所需的权限。如需详细了解如何授予角色，请参阅 Identity and Access Management (IAM) 文档中的管理对项目、文件夹和组织的访问权限页面。

创建 Looker (Google Cloud Core) 实例之前

在创建 Looker (Google Cloud Core) 实例之前，请完成以下部分中所述的步骤：

• 生成 OAuth 客户端 ID 和客户端密钥
• 配置用户同意屏幕、范围和测试用户

生成 OAuth 客户端 ID 和客户端密钥

首先，创建一个 OAuth 客户端，并为该客户端生成客户端 ID 和客户端密钥。在创建 Looker (Google Cloud Core) 实例期间，需要使用这些值。

您可以在任何 Google Cloud 项目中设置 OAuth 客户端。它不需要与 Looker (Google Cloud Core) 实例位于同一项目中。但是，您必须 在此项目中启用 Looker (Google Cloud Core) API。

如需创建客户端及其凭据，请按以下步骤操作：

1. 前往您要在其中创建 OAuth 客户端的项目。
2. 前往 API 和服务 > 凭据 。
3. 在凭据 页面中，点击创建凭据 。
4. 从下拉菜单中选择 OAuth 客户端 ID 。
5. 在应用类型 下拉列表中，选择 Web 应用 。
6. 在名称 字段中，输入 OAuth 客户端的名称。
7. 此时，您无需 在已获授权的 JavaScript 来源 或已获授权的重定向 URI 部分中添加 URI。
8. 点击创建 。

点击创建 后，系统会显示已创建 OAuth 客户端 窗口。此窗口会显示为 OAuth 客户端创建的客户端 ID 和客户端密钥。在创建 Looker (Google Cloud Core) 实例时，需要使用这些值。

（可选）点击下载 JSON ，以在 JSON 文件中下载凭据信息。如需关闭该窗口，请点击确定 。

配置用户同意屏幕、范围和测试用户

接下来，您可能需要配置权限请求页面。在 Looker (Google Cloud Core) 实例的用户首次登录时，以及在用户的授权 过期 或被用户 撤消 的任何时候，系统都会向该用户显示权限请求页面。

按照配置 OAuth 权限请求页面并选择范围文档页面上的说明操作。在配置权限请求页面时，请按照说明完成以下设置：

• 在品牌宣传 部分的已获授权的网域 下，网域必须与使用 OAuth 凭据的 Looker (Google Cloud Core) 实例的网域一致。如果您要为 Looker (Google Cloud Core) 实例创建自定义网域，并且知道将为其分配的网域，则可以立即输入该网域。否则，您可以将此字段留空；在创建 Looker (Google Cloud Core) 实例后，当您添加已获授权的重定向 URI时，系统会自动填充此字段。

• 在受众群体部分的用户类型下，选择以下选项之一：

  • 内部：这是默认设置。只有通过 IAM 添加的用户才能访问实例。
  • 设为外部：拥有任何类型 Google 账号 的用户都可以通过 IAM 添加后 访问实例。

创建 Looker (Google Cloud Core) 实例期间

在创建 Looker (Google Cloud Core) 实例时，请在**OAuth 应用凭据**部分中添加 OAuth 客户端 ID 和客户端密钥。如果没有 OAuth 凭据，您将无法创建实例。如需查找 OAuth 客户端 ID 和客户端密钥，请在 Google Cloud 控制台中前往 OAuth 客户端。

创建 Looker (Google Cloud Core) 实例后

请按照以下说明完成配置。当您添加已获授权的重定向 URI 时，系统会将其添加到 OAuth 权限请求页面作为已获授权的网域。

将已获授权的重定向 URI 添加到 OAuth 客户端

如果您尚未执行此操作，请按照以下步骤将新创建的 Looker (Google Cloud Core) 实例的网址输入到 OAuth 客户端中。

1. 创建 Looker (Google Cloud Core) 实例后，找到并复制该实例的网址。您可以在实例页面上找到该网址。

2. 在 Google Cloud 控制台中，前往 API 和服务 > 凭据。

3. 在 OAuth 2.0 客户端 ID 标题下，点击您创建的 客户端 的名称。

4. 在已获授权的重定向 URI 部分中，点击添加 URI 。

5. 将 Looker (Google Cloud Core) 实例的网址粘贴到 URI 字段中。在网址末尾添加 /oauth2callback。例如：https://uuid.looker.app/oauth2callback。

   如果您要为 BigQuery 设置 OAuth 授权，还可以添加第二个重定向 URI，该 URI 指向 Looker (Google Cloud Core) 实例的网址，并在网址末尾添加 /external_oauth/redirect。例如：https://uuid.looker.app/external_oauth/redirect。

6. 点击保存 。

更新可能需要 5 分钟到数小时才能生效。

管理用户

配置 OAuth 客户端并创建 Looker (Google Cloud Core) 实例后，您可以使用 OAuth 登录到该实例。然后，您可以选择身份验证方法为实例。

如果使用 OAuth 作为主要身份验证方法，请按照使用 Google OAuth 进行 Looker (Google Cloud Core) 用户身份验证文档页面中所述的步骤完成操作，以完成用户身份验证的 OAuth 设置。

设置身份验证方法后，您可以通过身份提供方添加或移除用户，并在 Looker 中管理这些用户。

查看实例的 OAuth 凭据类型

OAuth 凭据不会直接列在实例配置页面的 Google Cloud 控制台上。点击实例配置页面上的修改 ，即可看到 OAuth 应用凭据 部分。

如果 OAuth 凭据设置为 Looker 管理 ，则 Looker (Google Cloud Core) 会在创建实例期间为实例分配 Looker 管理的 OAuth 凭据，并且不会显示客户端 ID 和客户端密钥。

如果 OAuth 凭据设置为 手动，则在创建实例期间或之后，系统会向实例添加自定义 OAuth 凭据。系统不会显示客户端 ID 和客户端密钥，而是会在该部分显示 **** 占位符。

修改 Looker (Google Cloud Core) 实例的 OAuth 客户端

如果您愿意，可以按照以下步骤为 Looker (Google Cloud Core) 实例添加、修改或更改 OAuth 凭据：

1. 设置新客户端或凭据。
2. 在 Google Cloud 控制台中，从 实例 页面中，点击实例的名称以打开 详情 页面。
3. 在详情 页面中，点击修改 。
4. 在 Looker (Google Cloud Core) 实例修改 页面上，前往 OAuth 应用凭据 部分，然后选择手动 （如果尚未选择）。
5. 在 OAuth 客户端 ID 和 OAuth 客户端密钥 字段中输入新值。
6. 点击保存 。

如果 OAuth 应用凭据设置为 Looker 管理，则您无法添加或修改凭据。请切换到凭据的手动 设置，以修改或添加凭据。

后续步骤

• 创建公共 IP Looker (Google Cloud Core) 实例
• 创建专用连接（专用服务访问通道）Looker (Google Cloud Core) 实例