Von Looker verwalteter MCP-Server

Der von Looker verwaltete MCP-Server ist eine integrierte Funktion, mit der ein MCP-Server (Model Context Protocol) direkt in die Looker-Plattform eingebettet wird. Damit können KI-Agents wie Gemini CLI, Claude Desktop, Cursor und Copilot eine sichere Verbindung zu einer Looker-Instanz herstellen und mit Geschäftsdaten und LookML-Modellen interagieren.

Durch das Hosten des Servers entfällt für Sie die Notwendigkeit, Ihre eigene Middleware-Infrastruktur bereitzustellen und zu warten. Looker bietet ein Plug-and-Play-Gateway, das sicher und verwaltet ist und Zugriff auf vertrauenswürdige geschäftliche Erkenntnisse ermöglicht.

Der von Looker verwaltete MCP-Server ist als Vorabversion für Looker (Google Cloud Core)- und Looker (Original)-Instanzen verfügbar. Vom Kunden gehostete (lokale) Instanzen werden für diese Vorschau nicht unterstützt.

Wenn Sie eine vom Kunden gehostete Instanz verwenden oder Ihre eigene Infrastruktur verwalten möchten, können Sie eine Verbindung über die eigenständige MCP Toolbox for Databases herstellen. Die MCP Toolbox ist ein Open-Source-MCP-Server, den Sie auf Ihrem lokalen Computer oder auf Ihrem eigenen Server ausführen können, um als Brücke zwischen KI-Agents und Ihrer Looker-Instanz zu fungieren. Weitere Informationen finden Sie auf der Dokumentationsseite Looker mit MCP, Gemini CLI und anderen Agents verwenden.

Hinweis

Damit Sie den von Looker verwalteten MCP-Server verwenden können, müssen die folgenden Anforderungen erfüllt sein:

Instanzanforderungen

  • Sie müssen eine Looker (Google Cloud Core)- oder eine Looker (Original)-Instanz verwenden.
  • Die Instanz muss von Looker gehostet werden.

Erforderliche Berechtigungen

  • Toolzugriff verwalten: Sie benötigen die Looker-Rolle Administrator.
  • So registrieren Sie Ihren KI-Agenten als OAuth-Client mit dem API Explorer: Sie benötigen die Looker-Rolle Administrator.
  • So verbinden Sie einen KI-Agenten mit dem von Looker verwalteten MCP-Server: Sie benötigen Ihre standardmäßigen Looker-Anmeldedaten, um sich während des OAuth-Verbindungsprozesses zu authentifizieren. Der KI-Agent muss zuerst von einem Looker-Administrator als OAuth-Client registriert werden. Nach der Verbindung übernimmt der KI-Agent die Looker-Rollen und den Zugriff des authentifizierten Nutzers.

Verwalteten MCP-Server einrichten

Konfigurieren Sie den Toolzugriff, um den verwalteten MCP-Server einzurichten.

Tooleinstellungen konfigurieren

Standardmäßig sind alle Tools für den verwalteten MCP-Server deaktiviert. Looker-Administratoren müssen die Tools, die KI-Agents verwenden dürfen, explizit aktivieren. Eine Anleitung zum Aktivieren von Tools finden Sie auf der Dokumentationsseite Administratoreinstellungen – Model Context Protocol (MCP).

CORS-Einstellungen konfigurieren

Wenn der MCP-Client direkt in einem Webbrowser ausgeführt wird und über CORS mit dem von Looker verwalteten MCP-Server kommunizieren möchte, muss der Looker-Administrator die Domain dieser Clientwebsite im Bereich Admin der Zulassungsliste für eingebettete Domains hinzufügen.

KI‑Agenten über OAuth registrieren

Während der Vorabversion müssen Looker-Administratoren einen KI-Agenten manuell registrieren, um ihn mit dem verwalteten MCP-Server zu verbinden.

  1. Öffnen Sie den Looker API Explorer.

    • Wenn der API Explorer bereits auf Ihrer Looker-Instanz installiert ist, können Sie über dieses URL-Format darauf zugreifen:

      LOOKER_INSTANCE_URL/extensions/marketplace_extension_api_explorer::api-explorer/
      
    • Wenn Ihre Looker-Instanz nicht über den API Explorer verfügt, können Sie ihn über den Looker Marketplace installieren. Weitere Informationen finden Sie auf der Seite API Explorer verwenden.

    • Wenn Sie eine Looker (Google Cloud Core)-Instanz mit privaten Verbindungen verwenden, für die Zugriff auf private Dienste verwendet wird, werden der Looker Marketplace und der API Explorer nicht unterstützt. Wenn Sie einen KI-Agenten registrieren möchten, müssen Sie den API-Endpunkt oauth_client_apps direkt aufrufen. Wenn Sie diese Methode verwenden, können Sie das folgende API Explorer-Verfahren überspringen und direkt mit dem Abschnitt MCP-Client konfigurieren fortfahren.

      Erweitern Sie diesen Abschnitt, um ein Beispiel für einen curl-Befehl zu sehen, den Sie mit dem oauth_client_apps-Endpunkt verwenden können, um den Agenten zu registrieren.

      curl -X POST "https://LOOKER_INSTANCE_URL/api/4.0/oauth_client_apps/CLIENT_GUID" \
      -H "Authorization: token ACCESS_TOKEN" \
      -H "Content-Type: application/json" \
      -d '{
        "redirect_uri": "REDIRECT_URI",
        "display_name": "CLIENT_NAME",
        "description": "OAuth client to access MCP server using CLIENT_NAME",
        "enabled": true
      }'
      
  2. Suchen Sie unter der Methode Auth nach dem API-Endpunkt OAuth-App registrieren. Sie können auch im Feld Suchen nach „OAuth-App“ suchen.

  3. Klicken Sie auf der Seite OAuth-App registrieren auf die Schaltfläche Ausführen.

  4. Geben Sie im Dialogfeld Ausführen auf dem Tab Anfrage die folgenden Informationen in die entsprechenden Felder ein:

    • Führen Sie für das Feld CLIENT_GUID die folgenden Schritte aus:

      • Wenn der Kundenservicemitarbeiter eine bestimmte Client-ID vorschreibt, verwenden Sie diese.
      • Wenn der Agent keine bestimmte Client-ID vorschreibt, verwenden Sie eine beliebige global eindeutige ID.
      • Geben Sie die ID an alle LookML-Entwickler weiter, die den Agent verwenden möchten.
    • Für redirect_uri variiert der URI je nach KI-Agent-Anwendung. Die spezifische Weiterleitungs-URL finden Sie in der Dokumentation zur OAuth-Authentifizierung Ihres Agenten. Das Format kann wie eines der folgenden Beispiele aussehen:

      Gemini CLI

      http://localhost:7777/oauth/callback
      

      Gemini Code Assist

      http://localhost:7777/oauth/callback
      

      Wir empfehlen, die Gemini CLI mit Gemini Code Assist zu verwenden. In diesem Fall nutzen beide denselben lokalen Callback-Server und dieselbe Portkonfiguration.

      Gemini Enterprise

      https://vertexaisearch.cloud.google.com/oauth-redirect
      

      Claude-Code

      Claude Code verwendet einen zufälligen verfügbaren Port für den OAuth-Callback. Sie sollten ihn jedoch mit dem Flag --callback-port 8080 (oder mit der Einstellung callbackPort in mcp.json) an Ihren registrierten URI anpassen.

      http://localhost:8080/callback
      

      VS Code und andere IDEs

      Für IDEs kann der Weiterleitungs-URI so aussehen, angepasst an Ihre IDE.

      vscode://google.vscode-looker-official/oauth_callback
      

      In der Cloud gehostete Apps

      Bei in der Cloud gehosteten Anwendungen kann es sich um eine sichere HTTPS-URL handeln:

      https://AI_AGENT_URL/oauth2callback
      

      Lokale Apps

      Bei lokal ausgeführten Anwendungen sollte es sich um eine Localhost-URL mit einem statischen Port handeln:

      http://localhost:7777/oauth/callback
      
    • Führen Sie die Schritte unter display_name und description aus, wie in der Dokumentation OAuth-Clientanwendung registrieren beschrieben.

  5. Klicken Sie das Kästchen Ich weiß, dass durch diesen API-Endpunkt Daten geändert werden. an.

  6. Klicken Sie auf Ausführen.

  7. Sie können überprüfen, ob Sie die Authentifizierung erfolgreich eingerichtet haben, indem Sie die Methode Get OAuth Client App im API Explorer ausführen. Gehen Sie dazu so vor:

    • Geben Sie im Feld Suchen des API Explorers OAuth-Client-App abrufen ein.
    • Klicken Sie auf Ausführen.
    • Geben Sie im Feld CLIENT_GUID den Wert ein, den Sie bei der Registrierung des OAuth verwendet haben:

      CLIENT_GUID
      

    Wenn Sie OAuth erfolgreich eingerichtet haben, werden auf dem Tab Antwort die Werte zurückgegeben, die Sie bei der Registrierung der App eingegeben haben.

  8. Optional: Sie können den OAuth-App-Nutzer vorab aktivieren, indem Sie die Methode Activate App User im API Explorer verwenden. Gehen Sie dazu so vor:

    • Geben Sie im Feld Suchen des API Explorers App-Nutzer aktivieren ein.
    • Klicken Sie auf Ausführen.
    • Geben Sie im Feld CLIENT_GUID den Wert ein, den Sie bei der Registrierung der OAuth-App verwendet haben:

      CLIENT_GUID
      
    • Geben Sie im Feld user_id die Nutzer-ID des Nutzers in Looker ein.

    • Klicken Sie auf Ausführen.

MCP-Client konfigurieren

Sobald der KI-Agent registriert ist, können Sie ihn als MCP-Client mit dem verwalteten MCP-Endpunkt verbinden. Informationen zum Einrichten des Clients finden Sie in der Dokumentation Ihres Agents.

  • Server-URL:LOOKER_INSTANCE_URL/mcp
  • Authentifizierung:OAuth 2.1

Beispielkonfigurationen (mcp.json)

In diesem Abschnitt wird beschrieben, wie Sie verschiedene Entwicklertools so konfigurieren, dass sie über den von Looker verwalteten MCP-Server eine Verbindung zu Ihrer Looker-Instanz herstellen. Der MCP-Server befindet sich zwischen Ihrer IDE und Looker und bietet eine sichere und effiziente Steuerungsebene für Ihre KI-Tools. Wählen Sie den Tab für Ihr Tool aus, um die Konfigurationsanleitung aufzurufen.

Gemini CLI

Konfigurieren Sie die Gemini CLI so, dass sie direkt eine Verbindung zum von Looker verwalteten MCP-Server herstellt.

  1. Installieren Sie die Gemini-Befehlszeile.
  2. Fügen Sie den Remote-MCP-Server mit dem folgenden Befehl hinzu und ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz:
    gemini mcp add --transport http looker LOOKER_INSTANCE_URL/mcp
    

    Alternativ können Sie dies manuell konfigurieren, indem Sie die folgende Konfiguration in Ihre settings.json-Datei (im Verzeichnis ~/.gemini/settings.json oder in Ihrem Projektverzeichnis) einfügen:

    {
      "mcpServers": {
        "looker": {
          "httpUrl": "LOOKER_INSTANCE_URL/mcp",
          "oauth": {
            "clientId": "CLIENT_GUID"
          }
        }
      }
    }
    
  3. Starten Sie die Gemini CLI im interaktiven Modus:
    gemini
    
    Wenn Sie aufgefordert werden, eine Verbindung herzustellen, initiiert die CLI den OAuth-Autorisierungsablauf, um sich sicher bei Ihrer Looker-Instanz zu authentifizieren.

Gemini Code Assist

Wir empfehlen, Gemini Code Assist so zu konfigurieren, dass die Gemini CLI verwendet wird. Bei diesem Ansatz muss kein MCP-Server manuell konfiguriert werden.

  1. Prüfen Sie, ob die Gemini CLI und der von Looker verwaltete MCP-Server installiert und konfiguriert sind.
  2. Gemini Code Assist für die Verwendung der Gemini CLI konfigurieren
  3. Sie können direkt im Gemini Code Assist-Chat mit Ihrer Looker-Instanz interagieren, indem Sie natürliche Sprache verwenden.

Gemini Enterprise

Konfigurieren Sie Gemini Enterprise so, dass eine Verbindung zum von Looker verwalteten MCP-Server als benutzerdefinierter MCP-Server-Datenspeicher hergestellt wird.

  1. Folgen Sie der offiziellen Dokumentation, um einen benutzerdefinierten MCP-Server-Datenspeicher in Gemini Enterprise zu erstellen.
  2. Verwenden Sie für die Datenspeicherkonfiguration die folgenden Werte und ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz und CLIENT_GUID durch den genauen String, den Sie bei der OAuth-App-Registrierung verwendet haben:
    {
      "instance_uri": "LOOKER_INSTANCE_URL/mcp",
      "auth_uri": "LOOKER_INSTANCE_URL/auth",
      "auth_uri_params": "&response_type=code&code_challenge_method=S256",
      "token_uri": "LOOKER_INSTANCE_URL/api/token",
      "client_id": "CLIENT_GUID",
      "client_secret": "none",
      "scopes": "cors_api",
      "pkce_support_enabled": "true"
    }
    

    Für PKCE ist kein OAuth-Clientschlüssel erforderlich, für Gemini Enterprise jedoch ein Wert im Feld client_secret. Sie können none eingeben, wie in der Beispielkonfiguration gezeigt.

  3. Authentifizieren Sie sich über OAuth, um fortzufahren.
  4. Legen Sie die Beschreibung des MCP-Servers fest, damit Gemini weiß, wann der Server aufgerufen werden soll. Beispiel:
    Looker Agent with API access to various aspects of Looker. Primarily used to fetch data and run dashboards from Looker.
    
  5. Definieren Sie die Anweisungen für den MCP-Server-Agent. Beispiel:
    Use this server exclusively to interact with the Looker instance for monitoring health, checking status, and retrieving data.
    Invoke the Looker MCP server for the following request categories:
      - Instance Health Checks: Auditing connection status, uptime, performance metrics, or system errors.
      - Analytics Queries & Data Retrieval: Fetching live business metrics from Explores, Looks, or Dashboards.
    Strict Constraints:
      - No Local Estimation: Do not guess. Always fetch real-time data via MCP tools.
      - Fallback Behavior: Inform the user of connectivity failures immediately.
    
  6. Rufen Sie den Tab Actions (Aktionen) im benutzerdefinierten MCP-Datenspeicher auf, den Sie gerade erstellt haben, und aktivieren Sie die Tools, die Gemini Enterprise verwenden soll.
  7. Schließen Sie die Einrichtung ab, indem Sie Gemini Enterprise aufrufen, auf das Symbol Connector klicken und den MCP-Server autorisieren.

Claude-Code

  1. Installieren Sie Claude Code.
  2. Erstellen Sie im Stammverzeichnis Ihres Projekts die Datei .mcp.json, falls sie noch nicht vorhanden ist.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz und CLIENT_GUID durch Ihre OAuth-Client-GUID und speichern Sie die Datei.

      {
        "mcpServers": {
          "looker": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp",
            "oauth": {
              "clientId": "CLIENT_GUID",
              "callbackPort": 8080
            }
          }
        }
      }
  

Claude für den Computer

  1. Rufen Sie in Claude für Desktop die Einstellungen auf und wählen Sie Connectors aus.
  2. Wählen Sie Benutzerdefinierten Connector hinzufügen aus und geben Sie einen Namen ein, z. B. Looker.
  3. Geben Sie als URL die URL für Ihre Looker-Instanz mit dem angehängten Pfad /mcp ein, z. B. https://looker.example.com/mcp.
  4. Geben Sie unter Erweiterte Einstellungen den genauen String ein, den Sie für CLIENT_GUID bei der Registrierung Ihrer OAuth-App verwendet haben. Lassen Sie den OAuth-Clientschlüssel leer.
  5. Wählen Sie Hinzufügen aus, um den Connector zu speichern. Wenn Sie aufgefordert werden, eine Verbindung herzustellen, initiiert die Claude-Desktop-App sicher den PKCE-Autorisierungsablauf über Ihren Browser.
  1. Starten Sie Claude für den Computer neu.

Cline

  1. Öffnen Sie die Cline-Erweiterung in Ihrer IDE und klicken Sie auf das Symbol MCP-Server.
  2. Klicken Sie auf MCP-Server konfigurieren, um die Konfigurationsdatei zu öffnen.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch Ihre Looker-URL und speichern Sie die Datei.

      {
        "mcpServers": {
          "looker": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  

Nach erfolgreicher Verbindung des Servers wird ein grüner aktiver Status angezeigt.

Cursor

  1. Erstellen Sie das Verzeichnis .cursor im Stammverzeichnis Ihres Projekts, falls es noch nicht vorhanden ist.
  2. Erstellen Sie die Datei .cursor/mcp.json, falls sie noch nicht vorhanden ist, und öffnen Sie sie.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch Ihre Looker-URL und speichern Sie die Datei.
      {
        "mcpServers": {
          "looker": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  
  1. Öffnen Sie Cursor und rufen Sie Einstellungen > Cursoreinstellungen > MCP auf. Wenn der Server verbunden ist, wird ein grüner aktiver Status angezeigt.

Visual Studio Code (Copilot)

  1. Öffnen Sie VS Code und erstellen Sie im Stammverzeichnis Ihres Projekts das Verzeichnis .vscode, falls es noch nicht vorhanden ist.
  2. Erstellen Sie die Datei .vscode/mcp.json, falls sie noch nicht vorhanden ist, und öffnen Sie sie.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz und speichern Sie die Datei.
      {
        "servers": {
          "looker": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  

Windsurf

  1. Öffnen Sie Windsurf und rufen Sie den Cascade-Assistenten auf.
  2. Klicken Sie auf das MCP-Symbol und dann auf Konfigurieren, um die Konfigurationsdatei zu öffnen.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz und speichern Sie die Datei.
      {
        "mcpServers": {
          "looker": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  

Authentifizierung mit dem Client

Nachdem Sie Ihren MCP-Client mit den mcp.json-Einstellungen konfiguriert haben, wird beim ersten Versuch, über diesen Client mit Looker zu interagieren, der OAuth 2.1-Authentifizierungsablauf gestartet. Dazu öffnet der Client in der Regel ein Browserfenster, in dem Sie sich mit Ihren Standardanmeldedaten in Ihrer Looker-Instanz anmelden und der Anwendung die Berechtigung erteilen müssen, in Ihrem Namen auf Looker zuzugreifen.

Dieser Anmeldevorgang ist der interaktive Authentifizierungsschritt, mit dem der MCP-Client ein Zugriffstoken für zukünftige Anfragen erhält.

Weitere Informationen finden Sie in der Dokumentation Ihres Clients.

Nach der Verbindung übernimmt der Client Ihre Looker-Rollen und den Zugriff auf Inhalte. Der Client hat auch Zugriff auf die KI-Tools, die Ihr Looker-Administrator für den MCP-Server aktiviert hat. Eine Liste aller möglichen Tools finden Sie in der Dokumentation KI-Tools verwenden.

Sicherheit und Governance

Der verwaltete MCP-Server ist so konzipiert, dass er das vorhandene Sicherheits- und Governance-Framework von Looker übernimmt.

  • Berechtigungsgrenze:Auf dem Server werden strenge Berechtigungen auf Nutzerebene durchgesetzt. Ein KI-Agent kann nicht auf Daten oder Modelle zugreifen, die der authentifizierte Nutzer nicht sehen darf.
  • VPC Service Controls:Bei Looker (Google Cloud Core)-Instanzen, die VPC Service Controls verwenden, werden die vorhandenen VPC Service Controls-Grenzen für den verwalteten MCP-Endpunkt ohne zusätzliche Richtlinien oder Konfigurationen berücksichtigt.
  • Kundenverwaltete Verschlüsselungsschlüssel (Customer-Managed Encryption Keys, CMEK): Für Looker (Google Cloud Core)-Instanzen, die CMEK verwenden, ist der verwaltete MCP-Server CMEK-konform. Es sind keine zusätzlichen Richtlinien oder Konfigurationen erforderlich.

Audit-Logging

Jede Aktion, die von einem KI-Agenten ausgeführt wird, wird in Systemaktivität und Cloud-Audit-Logs von Looker protokolliert.

Systemaktivität

Aktivitäten auf Looker-verwalteten MCP-Servern werden in den Explores Verlauf und Ereignisattribut erfasst. Die Dokumentationsseite Looker-Nutzung mit Systemaktivitäts-Explores überwachen enthält die folgenden Beispielabfragen:

Cloud-Audit-Logs

Looker (Google Cloud Core)-Instanzen erfassen auch die Aktivität von MCP-Servern, die von Looker verwaltet werden, über Cloud-Audit-Logs. Auf der Dokumentationsseite Audit-Logging für Looker (Google Cloud Core) finden Sie Beispielabfragen.

Beschränkungen

  • Detaillierte Bereiche:OAuth-Bereiche werden für den verwalteten MCP-Server noch nicht unterstützt. Die Zugriffssteuerung basiert auf der globalen Tool-Zulassungsliste und den grundlegenden Berechtigungen des Nutzers.
  • Dynamische Registrierung:Die dynamische Clientregistrierung wird in der Vorschauversion nicht unterstützt.
  • Client aktualisieren:Änderungen an der Zulassungsliste für Tools werden nicht automatisch an verbundene Clients übertragen. Nutzer müssen nach einer Änderung an der Tool-Liste 30 Sekunden warten und dann die Verbindung zum Client wiederherstellen, um das Tool-Manifest zu aktualisieren. Informationen zum erneuten Herstellen einer Verbindung zum MCP-Server finden Sie in der Dokumentation Ihres Clients.
  • Serverkapazität: Während der Vorabversionsphase wird der verwaltete MCP-Server mit einer festen Kapazität konfiguriert, damit wir Leistungsdaten erfassen können. Bei Spitzennutzung kann es gelegentlich zu Zeitüberschreitungen kommen. Das ist ganz normal.
  • IP-Zulassungslisten:Der von Looker verwaltete MCP-Server ist nicht mit IP-Zulassungslisten in Looker (Original) kompatibel. Es ist mit IP-Zulassungslisten in Looker (Google Cloud Core) kompatibel.

Preise und Kontingente

Der von Looker verwaltete MCP-Server ist ohne zusätzliche Kosten verfügbar. Tool-Aufrufe von KI-Agenten verbrauchen jedoch die standardmäßigen administrativen und abfragebasierten API-Kontingente der Instanz. Eine hohe Agent-Aktivität kann sich auf Ihr verfügbares API-Kontingent auswirken.