Als Looker-Administrator können Sie Authentifizierungsmethoden und Standard-Looker-Rollen in Ihrer Looker (Google Cloud Core)-Instanz verwalten. Außerdem können Sie bestimmte Elemente von Nutzerkonten in Ihrer Looker (Google Cloud Core)-Instanz verwalten. So sorgen Sie dafür, dass die richtigen Personen den entsprechenden Zugriff und die entsprechenden Berechtigungen in Ihrer Analytikanwendung haben, und halten Ihre Datenumgebung sicher und organisiert.
Erforderliche Berechtigung
Wenn Sie Nutzer in einer Looker (Google Cloud Core)-Instanz verwalten möchten, benötigen Sie die Rolle „Administrator“ in Looker.
Die Seite „Nutzer“
Auf der Seite Verwaltung > Nutzer in Looker werden die aktiven Nutzer in Looker (Google Cloud Core) angezeigt. Sie können bestimmte Änderungen an ihren Konten in Looker vornehmen, z. B. die folgenden Kontoeinstellungen bearbeiten:
Namen und E‑Mail-Adressen von Nutzern müssen im Identitätsanbieter bearbeitet werden, der für die Authentifizierung verwendet wird.
Anders als in Looker (Original)-Instanzen sind die folgenden Optionen auf der Seite Nutzer in Looker (Google Cloud Core) nicht verfügbar:
- Nutzer hinzufügen (mit Ausnahme von Dienstkonten)
- Einrichtungslink senden / Zurücksetzungslink senden
- 2-Faktor-Authentifizierung einrichten
- sudo als Nutzer ausführen
Nutzer einer Looker (Google Cloud Core)-Instanz hinzufügen
So fügen Sie einzelne Looker (Google Cloud Core)-Nutzer hinzu: Folgen Sie dazu der Anleitung für Ihre Authentifizierungsmethode.
- Google OAuth:Google OAuth ist standardmäßig aktiviert. Wenn Sie einen Nutzer hinzufügen möchten, gewähren Sie seinem Hauptkonto mit IAM in der Google Cloud Console eine entsprechende Looker (Google Cloud Core)-IAM-Rolle.
- SAML oder OpenID Connect (OIDC) : Fügen Sie Nutzer in Ihrer Konfiguration für den externen Identitätsanbieter hinzu. Google OAuth bleibt standardmäßig als Backup-Authentifizierungsmethode verfügbar, wenn ein anderer Identitätsanbieter konfiguriert ist.
Die Looker-Konten der Nutzer werden bei der ersten Anmeldung erstellt. Einzelne Nutzer können auf der Seite Nutzer nicht hinzugefügt werden. API-only-Dienstkonten können jedoch auf der Seite Nutzer hinzugefügt werden.
API-only-Dienstkonto erstellen
Dienstkonten sind die einzigen Konten, die in einer Looker (Google Cloud Core)-Instanz erstellt werden können.
Sie können API-only-Konten (oft als Dienstkonten) auf der Seite Nutzer in einer Looker (Google Cloud Core)-Instanz erstellen. Diesen Konten können Looker-Administratorrollen und Looker API-Anmeldedaten gewährt werden. Diese Konten können sich jedoch nicht über die Benutzeroberfläche in Looker (Google Cloud Core) anmelden.
Dienstkonten verwenden Lizenzen entsprechend ihren Rollen. Wenn einem Dienstkonto mehrere Rollen zugewiesen werden, wird eine Lizenz aus der höchsten verfügbaren Lizenzstufe dieser Rollen verwendet. Wenn ein Dienstkonto beispielsweise sowohl Betrachter- als auch Entwicklerberechtigungen hat, wird eine Entwicklerlizenz verwendet.
So fügen Sie ein Dienstkonto hinzu:
- Klicken Sie auf die Schaltfläche Dienstkonten hinzufügen , um die Seite Neues Dienstkonto hinzufügen zu öffnen.
- Geben Sie im Feld Name des Dienstkontos einen Namen für das Dienstkonto ein.
- Die Option Standardgruppe von API-Anmeldedaten erstellen ist standardmäßig aktiviert. Wenn Sie keine API-Anmeldedaten für das Konto erstellen möchten, klicken Sie auf den Schalter, um diese Option zu deaktivieren.
- Wählen Sie die Gruppen und Rollen aus, die dem Dienstkonto zugewiesen werden sollen.
- Klicken Sie auf Speichern.
Sie können vorhandene Dienstkonten auf der Seite Nutzer auf dem Tab Dienstkonten ansehen und bearbeiten. Wenn Sie ein Dienstkonto bearbeiten möchten, klicken Sie auf die Zeile des Dienstkontos, um die Seite Nutzer bearbeiten aufzurufen. Auf der Seite Nutzer bearbeiten haben Sie folgende Möglichkeiten:
- Dienstkonto aktivieren oder deaktivieren
- Namen des Dienstkontos bearbeiten
- API-Schlüssel des Dienstkontos verwalten
- Andere Gruppen und Rollen zuweisen
- Die Nutzerattribute bearbeiten, die mit dem Dienstkonto verknüpft sind
Zugriff auf Looker (Google Cloud Core) entfernen
Führen Sie einen der folgenden Schritte aus, um den Zugriff auf eine Looker (Google Cloud Core)-Instanz zu entfernen:
- Google OAuth: Entziehen Sie dem Nutzer mit IAM in der Google Cloud Console die Looker (Google Cloud Core)-IAM-Rolle.
- SAML oder OpenID Connect (OIDC) : Aktualisieren Sie die Konfiguration im externen Identitätsanbieter, der für die Authentifizierung verwendet wurde.
Der Nutzer kann sich zwar nicht mehr in der Instanz anmelden, das Nutzerkonto wird aber weiterhin auf der Seite Nutzer als aktiv angezeigt. Wenn Sie das Nutzerkonto von der Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker (Google Cloud Core)-Instanz.
Wenn Sie Nutzer aus einer Looker (Google Cloud Core)-Instanz löschen, die mit einem Data Studio Pro-Abo verknüpft ist, wird die Anzahl der kostenlosen Data Studio Pro-Lizenzen reduziert, die Ihrer Instanz zugewiesen sind. Wenn die Anzahl der kostenlosen Pro-Lizenzen, die Ihrer Instanz zugewiesen sind, geringer ist als die Anzahl der verwendeten Lizenzen, wird die Differenz sofort in kostenpflichtige Lizenzen umgewandelt, wobei die Data Studio Pro Preise gelten.
Authentifizierungsmethode für Looker (Google Cloud Core)-Nutzer auswählen
Die Einrichtung eines OAuth-Clients kann erforderlich sein im Rahmen der Instanzerstellung. Die OAuth-Authentifizierung ist die Backup-Authentifizierungsmethode für Looker (Google Cloud Core). Sie können jedoch zwischen mehreren verschiedenen primären Authentifizierungsmethoden wählen. Auf der Dokumentationsseite Authentifizierungsmethoden für Nutzer in Looker (Google Cloud Core) sind die verfügbaren Authentifizierungsmethoden aufgeführt.
Standard-Looker-Rolle in der Looker (Google Cloud Core)-Instanz festlegen
Bevor Sie Nutzer hinzufügen, können Sie die Standard-Looker-Rolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker-Instanznutzer“ bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz gewährt wird. Folgen Sie der Anleitung in der Dokumentation für Ihren Identitätsanbieter, um eine Standardrolle festzulegen: OAuth, SAML oder OpenID Connect.
Nächste Schritte
- Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
- Looker (Google Cloud Core)-Instanz konfigurieren
- Administratoreinstellungen für Looker (Google Cloud Core)
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten