Servidor MCP gerenciado pelo Looker
O servidor MCP gerenciado pelo Looker é uma integração integrada que incorpora um servidor de Protocolo de Contexto de Modelo (MCP) diretamente na plataforma do Looker. Ele permite que agentes de IA, como a CLI do Gemini, o Claude Desktop, o Cursor e o Copilot, se conectem com segurança a uma instância do Looker e interajam com dados da empresa e modelos LookML.
Ao hospedar o servidor, o Looker elimina a necessidade de você implantar e manter sua própria infraestrutura de middleware, fornecendo um gateway plug-and-play, seguro e governado para insights empresariais confiáveis.
O servidor MCP gerenciado pelo Looker está em visualização para instâncias do Looker (Google Cloud Core) e do Looker (original). As instâncias hospedadas pelo cliente (on-premise) estão indisponíveis para esta visualização.
Se você estiver usando uma instância hospedada pelo cliente ou preferir gerenciar sua própria infraestrutura, poderá se conectar usando o MCP Toolbox for Databases independente. O MCP Toolbox é um servidor MCP de código aberto que pode ser executado no seu computador local ou no seu próprio servidor para atuar como uma ponte entre agentes de IA e sua instância do Looker. Consulte a página de documentação Usar o Looker com o MCP, a CLI do Gemini e outros agentes para mais informações.
Antes de começar
Para usar o servidor MCP gerenciado pelo Looker, você precisa atender aos seguintes requisitos:
Requisitos de instância
- Você precisa usar uma instância do Looker (Google Cloud Core) ou do Looker (original).
- A instância precisa ser hospedada pelo Looker.
Permissões necessárias
- Para gerenciar o acesso à ferramenta: é necessário ter a função Admin do Looker.
- Para registrar seu agente de IA como um cliente OAuth usando o APIs Explorer: é necessário ter a função Admin do Looker.
- Para conectar um agente de IA ao servidor MCP gerenciado pelo Looker: você precisa das suas credenciais de login padrão do Looker para autenticar durante o processo de conexão OAuth. O agente de IA precisa ser registrado como um cliente OAuth por um administrador do Looker. Depois de conectado, o agente de IA vai herdar as funções e o acesso do usuário que fez a autenticação.
Configurar o servidor MCP gerenciado
Configure o acesso à ferramenta para configurar o servidor MCP gerenciado.
Configurar as definições da ferramenta
Por padrão, todas as ferramentas estão desativadas para o servidor MCP gerenciado. Os administradores do Looker precisam ativar explicitamente as ferramentas que os agentes de IA podem usar. Consulte a página de documentação Configurações de administrador - Protocolo de Contexto de Modelo (MCP) para conferir as etapas de ativação das ferramentas.
Configurar as definições do CORS
Se o cliente MCP estiver sendo executado diretamente em um navegador da Web e quiser se comunicar com o servidor MCP gerenciado pelo Looker usando CORS, o administrador do Looker precisará adicionar o domínio do site do cliente à lista de permissões de domínio incorporado no painel Admin.
Registrar um agente de IA pelo OAuth
Durante o lançamento da visualização, os administradores do Looker precisam registrar manualmente um agente de IA para conectar o agente ao servidor MCP gerenciado.
Abra o APIs Explorer do Looker.
Se a instância do Looker já tiver o APIs Explorer instalado, você poderá acessá-lo com este formato de URL:
LOOKER_INSTANCE_URL/extensions/marketplace_extension_api_explorer::api-explorer/Se a instância do Looker não tiver o APIs Explorer, você poderá instalá-lo no Marketplace do Looker. Consulte a página Usar o APIs Explorer para mais informações.
Se você estiver usando uma instância de conexões particulares do Looker (Google Cloud Core) que usa o acesso a serviços particulares, o Marketplace do Looker e o APIs Explorer não serão compatíveis. Para registrar um agente de IA, chame o
oauth_client_appsendpoint de API diretamente. Se você usar esse método, poderá pular o procedimento do APIs Explorer a seguir e ir diretamente para a seção Configurar um cliente MCP.Expanda esta seção para conferir um exemplo de comando
curlque pode ser usado com o endpointoauth_client_appspara registrar o agente.curl -X POST "https://LOOKER_INSTANCE_URL/api/4.0/oauth_client_apps/CLIENT_GUID" \ -H "Authorization: token ACCESS_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "redirect_uri": "REDIRECT_URI", "display_name": "CLIENT_NAME", "description": "OAuth client to access MCP server using CLIENT_NAME", "enabled": true }'
No método Auth, encontre o endpoint de API Register OAuth App. Você também pode pesquisar "oauth app" no campo Search.
Na página Register OAuth App, clique no botão Run It.
Na guia Request da caixa de diálogo Run It, insira as seguintes informações nos campos correspondentes:
Para o campo
CLIENT_GUID, siga estas etapas:- Se o agente prescrever um ID do cliente específico, use esse ID.
- Se o agente não prescrever um ID do cliente específico, use qualquer ID globalmente exclusivo.
- Prepare-se para distribuir o ID para todos os desenvolvedores do LookML que quiserem usar o agente.
Para o
redirect_uri, o URI varia de acordo com o aplicativo do agente de IA. Consulte a documentação de autenticação OAuth do seu agente para conferir o URL de redirecionamento específico. O formato pode ser semelhante a um dos exemplos a seguir:CLI do Gemini
http://localhost:7777/oauth/callback
Gemini Code Assist
http://localhost:7777/oauth/callback
Recomendamos usar a CLI do Gemini com o Gemini Code Assist. Nesse caso, eles compartilham o mesmo servidor de callback local e a mesma configuração de porta.
Gemini Enterprise
https://vertexaisearch.cloud.google.com/oauth-redirect
Código Claude
O código Claude usa uma porta disponível aleatória para o callback do OAuth, mas você precisa corrigi-la usando a
flag (ou com a--callback-port 8080callbackPortconfiguração emmcp.json) para corresponder ao URI registrado.http://localhost:8080/callback
VS Code e outros ambientes de desenvolvimento integrado
Para ambientes de desenvolvimento integrado, o URI de redirecionamento pode ser semelhante a este, personalizado para seu ambiente de desenvolvimento integrado.
vscode://google.vscode-looker-official/oauth_callback
Apps hospedados na nuvem
Para aplicativos hospedados na nuvem, ele pode ser semelhante a um URL HTTPS seguro:
https://AI_AGENT_URL/oauth2callback
Apps locais
Para aplicativos executados localmente, ele precisa ser um URL localhost com uma porta estática:
http://localhost:7777/oauth/callback
Preencha o
display_namee odescriptionconforme descrito na documentação Registrar um aplicativo cliente OAuth.
Marque a caixa de seleção I understand that this endpoint de API will change data.
Clique em Run.
Para verificar se você configurou a autenticação corretamente, use o método
Get OAuth Client Appno APIs Explorer seguindo estas etapas:- No campo Search do APIs Explorer, insira Get OAuth Client App.
- Clique em Run It.
No campo CLIENT_GUID, insira o valor usado ao registrar o OAuth:
CLIENT_GUID
Se você configurar o OAuth corretamente, a guia Response vai retornar os valores inseridos ao registrar o app.
(Opcional) Você pode ativar o usuário do app OAuth com antecedência usando o método
Activate App Userno APIs Explorer seguindo estas etapas:- No campo Search do APIs Explorer, insira Activate App User.
- Clique em Run It.
No campo CLIENT_GUID, insira o valor usado ao registrar o app OAuth:
CLIENT_GUIDNo campo user_id, insira o ID do usuário do Looker.
Clique em Run.
Configurar o cliente MCP
Depois que o agente de IA for registrado, você poderá conectá-lo ao endpoint MCP gerenciado como um cliente MCP. Consulte a documentação do agente para concluir a configuração do cliente.
- URL do servidor:
LOOKER_INSTANCE_URL/mcp - Autenticação:OAuth 2.1
Exemplos de configurações (mcp.json)
Esta seção descreve como configurar várias ferramentas de desenvolvedor para se conectar à instância do Looker usando o servidor MCP gerenciado pelo Looker. O servidor MCP fica entre o ambiente de desenvolvimento integrado e o Looker, fornecendo um plano de controle seguro e eficiente para suas ferramentas de IA. Selecione a guia da sua ferramenta específica para conferir as instruções de configuração.
CLI do Gemini
Configure a CLI do Gemini para se conectar diretamente ao servidor MCP gerenciado pelo Looker.
- Instale a CLI do Gemini.
- Adicione o servidor MCP remoto usando o comando a seguir, substituindo
LOOKER_INSTANCE_URLpelo URL da instância do Looker:gemini mcp add --transport http looker LOOKER_INSTANCE_URL/mcp
Como alternativa, você pode configurar isso manualmente adicionando a seguinte configuração ao arquivo
settings.json(localizado em~/.gemini/settings.jsonou no diretório do projeto):{ "mcpServers": { "looker": { "httpUrl": "LOOKER_INSTANCE_URL/mcp", "oauth": { "clientId": "CLIENT_GUID" } } } } - Inicie a CLI do Gemini no modo interativo:
Quando solicitado a se conectar, a CLI inicia o fluxo de autorização do OAuth para autenticar com segurança sua instância do Looker.gemini
Gemini Code Assist
Recomendamos configurar o Gemini Code Assist para usar a CLI do Gemini. Essa abordagem elimina a necessidade de configurar manualmente um servidor MCP.
- Verifique se você instalou e configurou a CLI do Gemini e o servidor MCP gerenciado pelo Looker.
- Configure o Gemini Code Assist para usar a CLI do Gemini.
- Comece a interagir com a instância do Looker usando linguagem natural diretamente no chat do Gemini Code Assist.
Gemini Enterprise
Configure o Gemini Enterprise para se conectar ao servidor MCP gerenciado pelo Looker como um repositório de dados do servidor MCP personalizado.
- Siga a documentação oficial para criar um repositório de dados do servidor MCP personalizado no Gemini Enterprise.
- Para a configuração do repositório de dados, use os seguintes valores, substituindo
LOOKER_INSTANCE_URLpelo URL da instância do Looker eCLIENT_GUIDpela string exata usada durante o registro do app OAuth:{ "instance_uri": "LOOKER_INSTANCE_URL/mcp", "auth_uri": "LOOKER_INSTANCE_URL/auth", "auth_uri_params": "&response_type=code&code_challenge_method=S256", "token_uri": "LOOKER_INSTANCE_URL/api/token", "client_id": "CLIENT_GUID", "client_secret": "none", "scopes": "cors_api", "pkce_support_enabled": "true" }O PKCE não exige uma chave secreta do cliente OAuth, mas o Gemini Enterprise exige um valor no campo
client_secret. Você pode inserirnone, conforme mostrado no exemplo de configuração. - Autentique pelo OAuth para continuar.
- Defina a descrição do servidor MCP para ajudar o Gemini a entender quando invocar o servidor. Exemplo:
Looker Agent with API access to various aspects of Looker. Primarily used to fetch data and run dashboards from Looker.
- Defina as instruções do agente do servidor MCP. Exemplo:
Use this server exclusively to interact with the Looker instance for monitoring health, checking status, and retrieving data. Invoke the Looker MCP server for the following request categories: - Instance Health Checks: Auditing connection status, uptime, performance metrics, or system errors. - Analytics Queries & Data Retrieval: Fetching live business metrics from Explores, Looks, or Dashboards. Strict Constraints: - No Local Estimation: Do not guess. Always fetch real-time data via MCP tools. - Fallback Behavior: Inform the user of connectivity failures immediately.
- Acesse a guia Actions no repositório de dados MCP personalizado que você acabou de criar e ative as ferramentas que você quer que o Gemini Enterprise use.
- Para finalizar a configuração, acesse o Gemini Enterprise, clique no ícone Connector e autorize o servidor MCP.
Código Claude
- Instale o código Claude.
- Crie o arquivo
.mcp.jsonna raiz do projeto, se ele não existir. - Adicione a configuração a seguir, substituindo
LOOKER_INSTANCE_URLpelo URL da instância do Looker eCLIENT_GUIDpelo GUID do cliente OAuth e salve.
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp",
"oauth": {
"clientId": "CLIENT_GUID",
"callbackPort": 8080
}
}
}
}
Claude Desktop
- No Claude Desktop, acesse Settings e selecione Connectors.
- Escolha Add custom connector e insira um nome (por exemplo, Looker).
- Para o URL, insira o URL da instância do Looker com o caminho
/mcpanexado (por exemplo,https://looker.example.com/mcp). - Em Advanced settings, insira a string exata usada para o
CLIENT_GUIDdurante o registro do app OAuth. Deixe a chave secreta do cliente OAuth em branco. - Selecione Add para salvar o conector. Quando solicitado a se conectar, o Claude Desktop inicia com segurança o fluxo de autorização PKCE pelo navegador.
- Reinicie o Claude Desktop.
Cline
- Abra a extensão Cline no ambiente de desenvolvimento integrado e clique no ícone MCP Servers.
- Clique em Configure MCP Servers para abrir o arquivo de configuração.
- Adicione a configuração a seguir, substituindo
LOOKER_INSTANCE_URLpelo URL do Looker e salve.
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
Cursor
- Crie o diretório
.cursorna raiz do projeto, se ele não existir. - Crie o arquivo
.cursor/mcp.json, se ele não existir, e abra-o. - Adicione a configuração a seguir, substituindo
LOOKER_INSTANCE_URLpelo URL do Looker e salve.
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
- Abra o Cursor e acesse Settings > Cursor Settings > MCP. Um status ativo verde aparece quando o servidor se conecta.
Visual Studio Code (Copilot)
- Abra o VS Code e crie o diretório
.vscodena raiz do projeto, se ele não existir. - Crie o arquivo
.vscode/mcp.json, se ele não existir, e abra-o. - Adicione a configuração a seguir, substituindo
LOOKER_INSTANCE_URLpelo URL da instância do Looker e salve.
{
"servers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
Windsurf
- Abra o Windsurf e acesse o assistente do Cascade.
- Clique no ícone MCP e em Configure para abrir o arquivo de configuração.
- Adicione a configuração a seguir, substituindo
LOOKER_INSTANCE_URLpelo URL da instância do Looker e salve.
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
Autenticar com o cliente
Depois de configurar o cliente MCP com as configurações mcp.json, na primeira vez que você tentar interagir com o Looker por esse cliente, ele vai iniciar o fluxo de autenticação OAuth 2.1. Isso normalmente envolve o cliente abrir uma janela do navegador em que você precisa fazer login na instância do Looker usando suas credenciais padrão e conceder permissão ao aplicativo para acessar o Looker em seu nome.
Esse processo de login é a etapa de autenticação interativa que permite que o cliente MCP receba um token de acesso para fazer solicitações futuras.
Consulte a documentação do cliente para mais detalhes.
Depois de conectado, o cliente vai herdar suas funções do Looker e o acesso ao conteúdo. O cliente também terá acesso às ferramentas de IA que o administrador do Looker ativou para o servidor MCP. Para conferir uma lista de todas as ferramentas possíveis, consulte a documentação Usar ferramentas de IA.
Segurança e governança
O servidor MCP gerenciado foi projetado para herdar a estrutura de segurança e governança atual do Looker.
- Limite de permissões:o servidor aplica permissões estritas no nível do usuário. Um agente de IA não pode acessar dados ou modelos que o usuário autenticado não tem autorização para visualizar.
- VPC Service Controls:para instâncias do Looker (Google Cloud Core) que usam o VPC Service Controls, o endpoint MCP gerenciado respeita os limites do VPC Service Controls atuais sem a necessidade de outras políticas ou configurações.
- Chaves de criptografia gerenciadas pelo cliente (CMEK): para instâncias do Looker (Google Cloud Core) que usam CMEK, o servidor MCP gerenciado é compatível com CMEK sem a necessidade de outras políticas ou configurações.
Registro de auditoria
Todas as ações realizadas por um agente de IA são registradas na atividade do sistema e nos registros de auditoria do Cloud do Looker.
Atividade do sistema
A atividade do servidor MCP gerenciado pelo Looker é rastreada nas análises History e Event Attribute. A página de documentação Monitorar o uso do Looker com as análises de atividade do sistema fornece os seguintes exemplos de consultas:
- Quais chamadas de API foram iniciadas pelo servidor MCP gerenciado pelo Looker?
- Quais eventos estão relacionados a uma solicitação do servidor MCP gerenciado pelo Looker?
- Quais atualizações foram feitas nas configurações da ferramenta do servidor MCP gerenciado pelo Looker pelos administradores do Looker?
- Quais consultas foram executadas pelos usuários do servidor MCP gerenciado pelo Looker?
Registros de auditoria do Cloud
As instâncias do Looker (Google Cloud Core) também rastreiam a atividade do servidor MCP gerenciado pelo Looker nos registros de auditoria do Cloud. A página de documentação Registro de auditoria do Looker (Google Cloud Core) fornece exemplos de consultas.
Limitações
- Escopos detalhados:os escopos do OAuth ainda não são compatíveis com o servidor MCP gerenciado. O controle de acesso depende da lista de permissões global da ferramenta e das permissões básicas do usuário.
- Registro dinâmico:o registro dinâmico do cliente não é compatível com a visualização.
- Atualização do cliente:as mudanças na lista de permissões da ferramenta não são enviadas automaticamente para os clientes conectados. Os usuários precisam aguardar 30 segundos após fazer uma mudança na lista de ferramentas e, em seguida, reconectar o cliente para atualizar o manifesto da ferramenta. Consulte a documentação do cliente para informações sobre como se reconectar ao servidor MCP.
- Capacidade do servidor: durante a fase de visualização, o servidor MCP gerenciado é configurado com uma capacidade fixa para nos ajudar a coletar dados de performance. Durante períodos de pico de uso, você pode ter tempos limite ocasionais. Este é o comportamento esperado.
- Listas de permissões de IP:o servidor MCP gerenciado pelo Looker não é compatível com listas de permissões de IP no Looker (original). Ele é compatível com listas de permissões de IP no Looker (Google Cloud Core).
Preços e cotas
O servidor MCP gerenciado pelo Looker está disponível sem custo adicional. No entanto, as chamadas de ferramentas feitas por agentes de IA consomem as cotas padrão de API administrativa e baseada em consultas da instância. A alta atividade do agente pode afetar sua cota de API disponível.