Looker 代管的 MCP 伺服器
Looker 管理的 MCP 伺服器是內建整合功能,可將 Model Context Protocol (MCP) 伺服器直接嵌入 Looker 平台。這項功能可讓 Gemini CLI、Claude Desktop、Cursor 和 Copilot 等 AI 代理安全連線至 Looker 執行個體,並與業務資料和 LookML 模型互動。
Looker 會代管伺服器,因此您不必部署及維護自己的中介軟體基礎架構,即可透過安全且受控管的閘道,輕鬆取得可信賴的商務洞察資料。
Looker 代管的 MCP 伺服器目前為預先發布版,適用於 Looker (Google Cloud Core) 和 Looker (原始版本) 執行個體。這個預先發布版不支援客戶託管 (地端部署) 執行個體。
如果您使用客戶代管的執行個體,或偏好自行管理基礎架構,可以透過獨立的 MCP Toolbox for Databases 連線。MCP 工具箱是開放原始碼的 MCP 伺服器,可在本機或自有伺服器上執行,做為 AI 代理與 Looker 執行個體之間的橋梁。詳情請參閱「搭配 MCP、Gemini CLI 和其他代理程式使用 Looker」說明文件頁面。
事前準備
如要使用 Looker 管理的 MCP 伺服器,請務必符合下列規定:
執行個體需求
- 您必須使用 Looker (Google Cloud Core) 或 Looker (原始版本) 執行個體。
- 執行個體必須由 Looker 代管。
所需權限
- 如要管理工具存取權:您必須具備管理員 Looker 角色。
- 如要使用 API Explorer 將 AI 代理程式註冊為 OAuth 用戶端,您必須具備管理員 Looker 角色。
- 如要將 AI 代理程式連結至 Looker 管理的 MCP 伺服器,您需要標準的 Looker 登入憑證,才能在 OAuth 連線程序中進行驗證。AI 代理程式必須先由 Looker 管理員註冊為 OAuth 用戶端,連線後,AI 代理程式會沿用驗證使用者的 Looker 角色和存取權。
設定代管 MCP 伺服器
設定工具存取權,以設定代管的 MCP 伺服器。
設定工具
根據預設,受管理 MCP 伺服器的所有工具都會停用。Looker 管理員必須明確啟用 AI 代理可使用的工具。如要瞭解如何啟用工具,請參閱「管理設定 - Model Context Protocol (MCP)」說明文件頁面。
設定 CORS
如果 MCP 用戶端直接在網頁瀏覽器中執行,並想使用 CORS 與 Looker 管理的 MCP 伺服器通訊,Looker 管理員必須在「管理」面板中,將該用戶端網站的網域新增至「嵌入網域許可清單」。
透過 OAuth 註冊 AI 代理
在預先發布期間,Looker 管理員必須手動註冊 AI 代理,才能將代理連結至受管理 MCP 伺服器。
-
如果 Looker 執行個體已安裝 API Explorer,您可以使用下列網址格式存取:
LOOKER_INSTANCE_URL/extensions/marketplace_extension_api_explorer::api-explorer/如果 Looker 執行個體沒有 API Explorer,可以從 Looker Marketplace 安裝。詳情請參閱「使用 API Explorer」頁面。
如果您使用採用私人服務連線的 Looker (Google Cloud Core) 私人連線執行個體,則無法使用 Looker Marketplace 和 API 探索工具。如要註冊 AI 代理程式,請直接呼叫
oauth_client_appsAPI 端點。如果使用這個方法,可以略過下列 API Explorer 程序,直接前往「設定 MCP 用戶端」一節。展開這個部分,查看可搭配
oauth_client_apps端點使用的curl指令範例,以便註冊代理程式。curl -X POST "https://LOOKER_INSTANCE_URL/api/4.0/oauth_client_apps/CLIENT_GUID" \ -H "Authorization: token ACCESS_TOKEN" \ -H "Content-Type: application/json" \ -d '{ "redirect_uri": "REDIRECT_URI", "display_name": "CLIENT_NAME", "description": "OAuth client to access MCP server using CLIENT_NAME", "enabled": true }'
在「Auth」方法下方,找到「Register OAuth App」API 端點。您也可以在「搜尋」欄位中搜尋「OAuth 應用程式」。
在「Register OAuth App」頁面,點選「Run It」按鈕。
在「Run It」(執行) 對話方塊的「Request」(要求) 分頁中,在對應欄位輸入下列資訊:
請完成下列步驟,填寫「
CLIENT_GUID」欄位:- 如果服務專員指定用戶端 ID,請使用該 ID。
- 如果代理程式未指定用戶端 ID,請使用任何全域不重複的 ID。
- 請準備好將 ID 分發給想使用代理程式的 LookML 開發人員。
如果是
redirect_uri,URI 會因 AI 代理程式應用程式而異。如需特定重新導向網址,請參閱代理程式的 OAuth 驗證說明文件。格式可能如下列範例所示:Gemini CLI
http://localhost:7777/oauth/callback
Gemini Code Assist
http://localhost:7777/oauth/callback
建議搭配使用 Gemini CLI 和 Gemini Code Assist,這樣兩者就能共用相同的本機回呼伺服器和連接埠設定。
Gemini Enterprise
https://vertexaisearch.cloud.google.com/oauth-redirect
Claude 程式碼
Claude Code 會使用隨機可用的 OAuth 回呼連接埠,但您應使用
標記 (或--callback-port 8080mcp.json中的callbackPort設定) 修正,以符合已註冊的 URI。http://localhost:8080/callback
VS Code 和其他 IDE
如果是 IDE,重新導向 URI 可能會像這樣,並根據您的 IDE 自訂。
vscode://google.vscode-looker-official/oauth_callback
雲端代管的應用程式
如果是雲端託管應用程式,網址可能類似於安全的 HTTPS 網址:
https://AI_AGENT_URL/oauth2callback
在地應用程式
如果是本機執行的應用程式,則應為具有靜態通訊埠的 localhost 網址:
http://localhost:7777/oauth/callback
按照「註冊 OAuth 用戶端應用程式」說明文件中的步驟,完成
display_name和description。
選取「我瞭解這個 API 端點會變更資料」核取方塊。
按一下「執行」。
如要確認是否已成功設定驗證,請按照下列步驟,在 API Explorer 中使用
Get OAuth Client App方法:- 在 API Explorer 的「Search」(搜尋) 欄位中,輸入「Get OAuth Client App」(取得 OAuth 用戶端應用程式)。
- 按一下「執行」。
在「CLIENT_GUID」CLIENT_GUID欄位中,輸入您註冊 OAuth 時使用的值:
CLIENT_GUID
如果 OAuth 設定成功,「Response」分頁會傳回您註冊應用程式時輸入的值。
(選用) 您可以按照下列步驟,使用 API Explorer 中的
Activate App User方法,預先啟用 OAuth 應用程式使用者:- 在 API Explorer 的「Search」(搜尋) 欄位中,輸入「Activate App User」(啟用應用程式使用者)。
- 按一下「執行」。
在「CLIENT_GUID」CLIENT_GUID欄位中,輸入您註冊 OAuth 應用程式時使用的值:
CLIENT_GUID在 user_id 欄位中,輸入使用者的 Looker 使用者 ID。
按一下「執行」。
設定 MCP 用戶端
註冊 AI 代理程式後,您就可以將其連線至受管理 MCP 端點,做為 MCP 用戶端。如要完成用戶端設定,請參閱代理程式的說明文件。
- 伺服器網址:
LOOKER_INSTANCE_URL/mcp - 驗證:OAuth 2.1
設定範例 (mcp.json)
本節說明如何設定各種開發人員工具,透過 Looker 管理的 MCP 伺服器連線至 Looker 執行個體。MCP 伺服器位於 IDE 和 Looker 之間,可為 AI 工具提供安全有效率的控制層。選取特定工具的分頁標籤,即可查看設定操作說明。
Gemini CLI
設定 Gemini CLI,直接連線至 Looker 管理的 MCP 伺服器。
- 安裝 Gemini CLI。
- 使用下列指令新增遠端 MCP 伺服器,並將
LOOKER_INSTANCE_URL替換為 Looker 執行個體網址:gemini mcp add --transport http looker LOOKER_INSTANCE_URL/mcp
或者,您也可以手動設定,方法是在
settings.json檔案 (位於~/.gemini/settings.json或專案目錄中) 中加入下列設定:{ "mcpServers": { "looker": { "httpUrl": "LOOKER_INSTANCE_URL/mcp", "oauth": { "clientId": "CLIENT_GUID" } } } } - 以互動模式啟動 Gemini CLI:
系統提示連線時,CLI 會啟動 OAuth 授權程序,以便安全地向 Looker 執行個體驗證。gemini
Gemini Code Assist
建議您設定 Gemini Code Assist,以便使用 Gemini CLI。這種做法可免除手動設定 MCP 伺服器的需求。
- 請確認您已安裝並設定 Gemini CLI 和 Looker 管理的 MCP 伺服器。
- 設定 Gemini Code Assist,以便使用 Gemini CLI。
- 直接在 Gemini Code Assist 對話中,使用自然語言與 Looker 執行個體互動。
Gemini Enterprise
將 Gemini Enterprise 設定為連線至 Looker 管理的 MCP 伺服器,做為自訂 MCP 伺服器資料存放區。
- 按照官方說明文件,在 Gemini Enterprise 中建立自訂 MCP 伺服器資料儲存庫。
- 如要設定資料儲存庫,請使用下列值,並將
LOOKER_INSTANCE_URL替換為 Looker 執行個體網址,以及將CLIENT_GUID替換為您在註冊 OAuth 應用程式時使用的確切字串:{ "instance_uri": "LOOKER_INSTANCE_URL/mcp", "auth_uri": "LOOKER_INSTANCE_URL/auth", "auth_uri_params": "&response_type=code&code_challenge_method=S256", "token_uri": "LOOKER_INSTANCE_URL/api/token", "client_id": "CLIENT_GUID", "client_secret": "none", "scopes": "cors_api", "pkce_support_enabled": "true" }PKCE 不需要 OAuth 用戶端密鑰,但 Gemini Enterprise 需要
client_secret欄位中的值。您可以輸入none,如範例設定所示。 - 請透過 OAuth 驗證身分,然後繼續操作。
- 設定 MCP 伺服器說明,協助 Gemini 瞭解何時應叫用伺服器。例如:
Looker Agent with API access to various aspects of Looker. Primarily used to fetch data and run dashboards from Looker.
- 定義 MCP 伺服器代理程式指令。例如:
Use this server exclusively to interact with the Looker instance for monitoring health, checking status, and retrieving data. Invoke the Looker MCP server for the following request categories: - Instance Health Checks: Auditing connection status, uptime, performance metrics, or system errors. - Analytics Queries & Data Retrieval: Fetching live business metrics from Explores, Looks, or Dashboards. Strict Constraints: - No Local Estimation: Do not guess. Always fetch real-time data via MCP tools. - Fallback Behavior: Inform the user of connectivity failures immediately.
- 前往剛建立的自訂 MCP 資料儲存庫,然後在「動作」分頁中啟用要讓 Gemini Enterprise 使用的工具。
- 前往 Gemini Enterprise,按一下「連結器」圖示,然後授權 MCP 伺服器,即可完成設定。
Claude 程式碼
- 安裝 Claude Code。
- 如果專案根目錄中沒有
.mcp.json檔案,請建立該檔案。 - 新增下列設定,將
LOOKER_INSTANCE_URL替換為 Looker 執行個體的網址,並將CLIENT_GUID替換為 OAuth 用戶端 GUID,然後儲存。
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp",
"oauth": {
"clientId": "CLIENT_GUID",
"callbackPort": 8080
}
}
}
}
Claude 電腦版
- 在 Claude 桌面版中,前往「設定」,然後選取「連結器」。
- 選擇「新增自訂連接器」,然後輸入名稱 (例如「Looker」)。
- 在網址部分,輸入 Looker 執行個體的網址,並附加
/mcp路徑 (例如https://looker.example.com/mcp)。 - 在「進階設定」下方,輸入您在註冊 OAuth 應用程式時使用的
CLIENT_GUID字串。將 OAuth 用戶端密鑰留空。 - 選取「新增」即可儲存連接器。系統提示連線時,Claude 桌面版會透過瀏覽器安全啟動 PKCE 授權流程。
- 重新啟動 Claude 電腦版。
Cline
- 在 IDE 中開啟 Cline 擴充功能,然後點選「MCP Servers」圖示。
- 按一下「設定 MCP 伺服器」開啟設定檔。
- 新增下列設定,將
LOOKER_INSTANCE_URL替換成 Looker 網址,然後儲存。
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
Cursor
- 在專案根目錄中建立
.cursor目錄 (如果不存在)。 - 如果
.cursor/mcp.json檔案不存在,請建立並開啟該檔案。 - 新增下列設定,將
LOOKER_INSTANCE_URL替換成 Looker 網址,然後儲存。
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
Visual Studio Code (Copilot)
- 開啟 VS Code,並在專案根目錄中建立
.vscode目錄 (如果不存在)。 - 如果
.vscode/mcp.json檔案不存在,請建立並開啟該檔案。 - 新增下列設定,將
LOOKER_INSTANCE_URL替換為 Looker 執行個體的網址,然後儲存。
{
"servers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
滑浪風帆
- 開啟 Windsurf,然後前往 Cascade 助理。
- 按一下 MCP 圖示,然後點選「設定」開啟設定檔。
- 新增下列設定,將
LOOKER_INSTANCE_URL替換為 Looker 執行個體的網址,然後儲存。
{
"mcpServers": {
"looker": {
"type": "http",
"url": "LOOKER_INSTANCE_URL/mcp"
}
}
}
向用戶端驗證
使用 mcp.json 設定檔設定 MCP 用戶端後,首次嘗試透過該用戶端與 Looker 互動時,系統會啟動 OAuth 2.1 驗證流程。這通常需要用戶端開啟瀏覽器視窗,您必須使用標準憑證登入 Looker 執行個體,並授予應用程式代表您存取 Looker 的權限。
這個登入程序是互動式驗證步驟,可讓 MCP 用戶端取得存取權杖,以便發出後續要求。
詳情請參閱用戶端的說明文件。
連線後,客戶會沿用您的 Looker 角色和內容存取權。用戶端也能存取 Looker 管理員為 MCP 伺服器啟用的 AI 工具。如需所有可用工具的清單,請參閱「使用 AI 工具」一文。
安全性與管理
代管式 MCP 伺服器的設計宗旨,是沿用 Looker 現有的安全防護與治理架構。
- 權限界線:伺服器會強制執行嚴格的使用者層級權限。AI 代理無法存取已通過驗證的使用者無權查看的資料或模型。
- VPC Service Controls:如果 Looker (Google Cloud Core) 執行個體使用 VPC Service Controls,受管理 MCP 端點會遵守現有的 VPC Service Controls 邊界,無須額外政策或設定。
- 客戶自行管理的加密金鑰 (CMEK):對於使用 CMEK 的 Looker (Google Cloud Core) 執行個體,受管理 MCP 伺服器會遵守 CMEK 規定,不需要額外政策或設定。
稽核記錄
AI 代理程式執行的每個動作都會記錄在 Looker 系統活動和 Cloud 稽核記錄中。
系統活動
系統會在「記錄」和「事件屬性」探索中追蹤 Looker 管理的 MCP 伺服器活動。「使用系統活動探索監控 Looker 用量」說明文件頁面提供下列查詢範例:
- Looker 管理的 MCP 伺服器發起了哪些 API 呼叫?
- 哪些事件與 Looker 管理的 MCP 伺服器要求相關?
- Looker 管理員對 Looker 管理的 MCP 伺服器工具設定進行了哪些更新?
- Looker 管理的 MCP 伺服器使用者執行了哪些查詢?
Cloud 稽核記錄
Looker (Google Cloud Core) 執行個體也會透過 Cloud 稽核記錄,追蹤 Looker 管理的 MCP 伺服器活動。Looker (Google Cloud Core) 稽核記錄說明文件頁面提供範例查詢。
限制
- 精細範圍:受管理 MCP 伺服器目前不支援 OAuth 範圍。存取權控管功能會根據全域工具允許清單和使用者的基本權限運作。
- 動態註冊:預覽版不支援動態用戶端註冊。
- 用戶端重新整理:工具允許清單的變更不會自動推送至已連線的用戶端。使用者變更工具清單後,必須等待 30 秒,然後重新連線至用戶端,才能重新整理工具資訊清單。如要瞭解如何重新連線至 MCP 伺服器,請參閱用戶端說明文件。
- 伺服器容量:在預先發布階段,代管的 MCP 伺服器會設定固定容量,方便我們收集成效資料。在尖峰使用期間,您可能會偶爾遇到逾時問題。請放心,這是正常情況。
- IP 允許清單:Looker 管理的 MCP 伺服器與 Looker (原始版) 中的 IP 允許清單不相容。與 Looker (Google Cloud Core) 中的 IP 允許清單相容。
定價與配額
Looker 管理的 MCP 伺服器不需額外付費。不過,AI 代理程式發出的工具呼叫會耗用執行個體的標準管理和查詢型 API 配額。代理程式活動量過高可能會影響可用的 API 配額。