Gérer les utilisateurs dans Looker (Google Cloud Core)

Plusieurs paramètres sont disponibles dans une instance Looker (Google Cloud Core) pour gérer les utilisateurs.

Autorisation requise

Pour gérer les utilisateurs dans une instance Looker (Google Cloud Core), vous devez disposer du rôle Administrateur dans Looker.

Page "Utilisateurs"

La page Admin > Utilisateurs de Looker affiche les utilisateurs actifs dans Looker (Google Cloud Core) et vous permet d'apporter certaines modifications à leurs comptes dans Looker, par exemple en modifiant les paramètres de compte suivants :

Les noms et adresses e-mail des utilisateurs doivent être modifiés dans le fournisseur d'identité utilisé pour l'authentification.

Contrairement aux instances Looker (version initiale), les éléments suivants ne sont pas disponibles sur la page Utilisateurs de Looker (Google Cloud Core) :

Ajouter des utilisateurs à une instance Looker (Google Cloud Core)

Pour ajouter des utilisateurs Looker (Google Cloud Core) individuels, suivez la procédure correspondant à votre méthode d'authentification :

  • Google OAuth : Google OAuth est activé par défaut. Pour ajouter un utilisateur, accordez à son compte principal un rôle IAM Looker (Google Cloud Core) approprié à l'aide d'IAM dans la Google Cloud console.
  • SAML ou OpenID Connect (OIDC) : ajoutez des utilisateurs dans votre configuration pour le fournisseur d'identité externe. Google OAuth restera disponible par défaut comme méthode d'authentification de secours si un autre fournisseur d'identité est configuré.

Les comptes Looker des utilisateurs seront créés lors de leur première connexion. Les utilisateurs individuels ne peuvent pas être ajoutés sur la page Utilisateurs, mais les comptes de service réservés aux API peuvent l'être.

Créer un compte de service réservé aux API

Les comptes de service sont les seuls comptes qui peuvent être créés dans une instance Looker (Google Cloud Core).

Vous pouvez créer des comptes réservés aux API (souvent appelés comptes de service) à partir de la page Utilisateurs d'une instance Looker (Google Cloud Core). Ces comptes peuvent se voir attribuer des rôles d'administrateur Looker et des identifiants d'API Looker. Toutefois, ils ne peuvent pas se connecter à Looker (Google Cloud Core) via l'interface utilisateur.

Les comptes de service utilisent des licences en fonction des rôles dont ils disposent. Si un compte de service dispose de plusieurs rôles, il consomme une licence du niveau le plus élevé disponible parmi ces rôles. Par exemple, si un compte de service dispose des autorisations Lecteur et Développeur, il utilise une licence Développeur.

Pour ajouter un compte de service, procédez comme suit :

  1. Cliquez sur le bouton Ajouter des comptes de service pour ouvrir la page Ajouter un compte de service.
  2. Dans le champ Nom du compte de service, saisissez un nom pour le compte de service.
  3. Le bouton Créer un ensemble d'identifiants d'API par défaut est activé par défaut. Si vous ne souhaitez pas que des identifiants d'API soient créés pour le compte, cliquez sur le bouton pour désactiver cette option.
  4. Sélectionnez les groupes et les rôles à attribuer au compte de service.
  5. Cliquez sur le bouton Enregistrer.

Vous pouvez afficher et modifier les comptes de service existants dans l'onglet Comptes de service de la page Utilisateurs. Pour modifier un compte de service, cliquez sur la ligne du compte de service pour afficher la page Modifier l'utilisateur. Sur la page Modifier l'utilisateur , vous pouvez effectuer les opérations suivantes :

  • Activer ou désactiver le compte de service
  • Modifier le nom du compte de service
  • Gérer les clés API du compte de service
  • Attribuer différents groupes et rôles
  • Modifier les attributs utilisateur associés au compte de service

Supprimer l'accès à Looker (Google Cloud Core)

Pour supprimer l'accès à une instance Looker (Google Cloud Core), procédez de l'une des manières suivantes :

  • Google OAuth : révoquez le rôle IAM Looker (Google Cloud Core) de l'utilisateur à l'aide d'IAM dans la Google Cloud console.
  • SAML ou OpenID Connect (OIDC) : mettez à jour la configuration dans le fournisseur d'identité externe utilisé pour l'authentification.

Bien que l'utilisateur ne puisse plus se connecter à l'instance, son compte utilisateur apparaîtra toujours comme actif sur la page Utilisateurs. Pour supprimer le compte utilisateur de la page Utilisateurs, supprimez l'utilisateur dans l'instance Looker (Google Cloud Core).

La suppression d'utilisateurs d'une instance Looker (Google Cloud Core) associée à un abonnement Looker Studio Pro réduit le nombre de licences Looker Studio Pro sans frais allouées à votre instance. Si le nombre de licences Pro sans frais allouées à votre instance devient inférieur au nombre de licences utilisées, la différence sera immédiatement convertie en licences payantes, conformément à la tarification de Looker Studio Pro pricing.

Sélectionner une méthode d'authentification pour les utilisateurs Looker (Google Cloud Core)

La configuration d'un client OAuth peut être requise lors de la création d'une instance, et l'authentification OAuth est la méthode d'authentification de secours pour Looker (Google Cloud Core). Toutefois, vous pouvez choisir entre plusieurs méthodes d'authentification principales. La page de documentation Méthodes d'authentification des utilisateurs pour Looker (Google Cloud Core) répertorie les méthodes d'authentification disponibles.

Définir un rôle Looker par défaut dans l'instance Looker (Google Cloud Core)

Avant d'ajouter des utilisateurs, vous pouvez définir le rôle Looker par défaut qui sera accordé aux comptes utilisateur disposant du rôle IAM Utilisateur d'instance Looker lors de leur première connexion à une instance Looker (Google Cloud Core). Pour définir un rôle par défaut, suivez les étapes décrites dans la documentation de votre fournisseur d’identité : OAuth, SAML ou OpenID Connect.

Étape suivante