為 Looker (Google Cloud Core) 執行個體建立 OAuth 用戶端和憑證

本說明文件頁面說明如何設定 OAuth 用戶端,以及在建立執行個體時,如何手動將 OAuth 憑證與執行個體建立關聯。

何時建立 OAuth 憑證

即使您想使用其他驗證方法,讓使用者登入執行個體,建立下列類型的 Looker (Google Cloud Core) 執行個體時,仍須建立 OAuth 憑證並與執行個體建立關聯:

此外,如要將自訂網域新增至使用公開安全連線的 Looker (Google Cloud Core) 執行個體,必須先建立 OAuth 憑證,然後在設定自訂網域時,手動將憑證與執行個體建立關聯。

如果 Looker (Google Cloud Core) 執行個體僅使用公開安全連線,則不需要建立 OAuth 憑證或將其與執行個體建立關聯。對於這類執行個體,Looker (Google Cloud Core) 會為執行個體指派 Looker 管理的 OAuth 用戶端和密鑰。

必要的角色

如要使用 Google Cloud 控制台建立及編輯 OAuth 憑證,您必須具備下列權限。(如要隱藏權限清單,請收合「必要權限」部分。)

所需權限

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。如要進一步瞭解如何授予角色,請參閱 Identity and Access Management (IAM) 說明文件中的「管理專案、資料夾和機構的存取權」頁面。

建立 Looker (Google Cloud Core) 執行個體前

建立 Looker (Google Cloud Core) 執行個體前,請先完成下列各節所述步驟:

產生 OAuth 用戶端 ID 和用戶端密鑰

首先,請建立 OAuth 用戶端,並為該用戶端產生用戶端 ID 和用戶端密鑰。建立 Looker (Google Cloud Core) 執行個體時,必須提供這些值。

您可以在任何 Google Cloud 專案中設定 OAuth 用戶端。不必與 Looker (Google Cloud Core) 執行個體位於同一專案。不過,您必須在這個專案中啟用 Looker (Google Cloud Core) API。

如要建立用戶端及其憑證,請按照下列步驟操作:

  1. 前往要建立 OAuth 用戶端的專案。
  2. 依序前往「API 和服務」>「憑證」
  3. 在「憑證」頁面中,按一下「建立憑證」
  4. 從下拉式選單中選取「OAuth client ID」(OAuth 用戶端 ID)
  5. 在「應用程式類型」下拉式選單中,選取「網頁應用程式」
  6. 在「Name」(名稱) 欄位中,輸入 OAuth 用戶端的名稱。
  7. 此時需要在「已授權的 JavaScript 來源」或「已授權的重新導向 URI」部分新增 URI。
  8. 點選「建立」

按一下「建立」後,系統會顯示「已建立 OAuth 用戶端」視窗。這個視窗會顯示為 OAuth 用戶端建立的用戶端 ID 和用戶端密鑰。建立 Looker (Google Cloud Core) 執行個體時,需要這些值。

(選用) 按一下 下載 JSON,以 JSON 檔案格式下載憑證資訊。按一下「確定」關閉視窗。

接著,您可能需要設定同意畫面。使用者首次登入 Looker (Google Cloud Core) 執行個體時,以及授權過期遭使用者撤銷時,系統都會顯示同意畫面。

請按照「設定 OAuth 同意畫面並選擇範圍」說明文件頁面的指示操作。設定螢幕時,請按照說明完成下列設定:

  • 在「品牌」部分的「授權網域」下方,網域必須與使用 OAuth 憑證的 Looker (Google Cloud Core) 執行個體網域相符。如果您要為 Looker (Google Cloud Core) 執行個體建立自訂網域,且知道要指派給執行個體的網域,現在即可輸入。否則,您可以將這個欄位留空,在建立 Looker (Google Cloud Core) 執行個體後新增授權的重新導向 URI 時,系統會自動填入這個欄位。

  • 在「目標對象」部分的「使用者類型」下方,選取下列其中一個選項:

    • 內部:這是預設設定。透過 IAM 新增使用者後,只有機構內的使用者可以存取執行個體。
    • 設為外部:只要透過 IAM 新增使用者,他們就能使用任何類型的 Google 帳戶存取執行個體。

建立 Looker (Google Cloud Core) 執行個體時

建立 Looker (Google Cloud Core) 執行個體時,請在「OAuth Application Credentials」(OAuth 應用程式憑證) 專區中新增 OAuth 用戶端 ID 和用戶端密鑰。您必須有 OAuth 憑證才能建立執行個體。前往 Google Cloud 控制台中的 OAuth 用戶端,找出 OAuth 用戶端 ID 和用戶端密鑰。

建立 Looker (Google Cloud Core) 執行個體後

請按照下列操作說明完成設定。新增授權重新導向 URI 後,系統會將其新增至 OAuth 同意畫面做為授權網域。

將已授權的重新導向 URI 新增至 OAuth 用戶端

如果尚未執行這項操作,請按照下列步驟,將新建立的 Looker (Google Cloud Core) 執行個體網址輸入 OAuth 用戶端。

  1. 建立 Looker (Google Cloud Core) 執行個體後,請找出並複製該執行個體的網址。您可以在「Instances」(執行個體) 頁面上找到網址。

  2. 在 Google Cloud 控制台中,依序前往「API 和服務」>「憑證」

  3. 在「OAuth 2.0 Client IDs」標題下方,按一下您建立的用戶端名稱。

  4. 在「已授權的重新導向 URI」部分,按一下「新增 URI」

  5. 將 Looker (Google Cloud Core) 執行個體的網址貼到「URI」欄位。在網址結尾加上 /oauth2callback。例如:https://uuid.looker.app/oauth2callback

    如果您要設定 BigQuery 的 OAuth 授權,也可以新增第二個重新導向 URI,指向 Looker (Google Cloud Core) 執行個體的網址,並在網址結尾加上 /external_oauth/redirect。例如:https://uuid.looker.app/external_oauth/redirect

  6. 按一下 [儲存]

更新作業可能需要五分鐘至數小時才會生效。

管理使用者

設定 OAuth 用戶端並建立 Looker (Google Cloud Core) 執行個體後,您就能使用 OAuth 登入執行個體。接著,您可以選擇執行個體的驗證方法

如果使用 OAuth 做為主要驗證方法,請按照「使用 Google OAuth 進行 Looker (Google Cloud Core) 使用者驗證」說明文件頁面中的步驟,完成使用者驗證的 OAuth 設定。

設定驗證方法後,您就可以透過識別資訊提供者新增或移除使用者,並在 Looker 中管理使用者

查看執行個體的 OAuth 憑證類型

OAuth 憑證不會直接列在 Google Cloud 控制台的執行個體設定頁面中。在執行個體設定頁面中,按一下「編輯」,即可查看「OAuth 應用程式憑證」部分。

如果 OAuth 憑證設為「Looker managed」(Looker 管理),Looker (Google Cloud Core) 會在建立執行個體時,為執行個體指派 Looker 管理的 OAuth 憑證,且不會顯示用戶端 ID 和用戶端密鑰。

如果 OAuth 憑證設為「手動」,表示您在建立執行個體時或之後,已將自訂 OAuth 憑證新增至執行個體。系統不會顯示用戶端 ID 和用戶端密鑰,而是顯示 **** 預留位置。

編輯 Looker (Google Cloud Core) 執行個體的 OAuth 用戶端

如要新增、編輯或變更 Looker (Google Cloud Core) 執行個體的 OAuth 憑證,請按照下列步驟操作:

  1. 設定新的用戶端或憑證。
  2. 在 Google Cloud 控制台中,前往「Instances」(執行個體) 頁面,然後按一下執行個體名稱,開啟「DETAILS」(詳細資料) 頁面。
  3. 在「詳細資料」頁面中,按一下「編輯」
  4. 在「Edit Looker (Google Cloud Core) instance」(編輯 Looker (Google Cloud Core) 執行個體) 頁面中,前往「OAuth application credentials」(OAuth 應用程式憑證) 專區,然後選取「Manual」(手動) (如果尚未選取)。
  5. 在「OAuth Client ID」(OAuth 用戶端 ID) 和「OAuth Client Secret」(OAuth 用戶端密鑰) 欄位中輸入新值。
  6. 按一下 [儲存]

如果 OAuth 應用程式憑證設為「Looker 管理」,您就無法新增或編輯憑證。切換至憑證的「手動」設定,即可編輯或新增憑證。

後續步驟