Von Looker verwalteter MCP-Server

Der von Looker verwaltete MCP-Server ist eine integrierte Funktion, die einen MCP-Server (Model Context Protocol) direkt in die Looker-Plattform einbettet. So können KI-Agenten wie Gemini CLI, Claude Desktop, Cursor und Copilot eine sichere Verbindung zu einer Looker-Instanz herstellen und mit Geschäftsdaten und LookML-Modellen interagieren.

Durch das Hosting des Servers durch Looker müssen Sie keine eigene Middleware-Infrastruktur bereitstellen und verwalten. Stattdessen erhalten Sie ein sicheres und verwaltetes Plug‑and‑Play-Gateway zu vertrauenswürdigen geschäftlichen Erkenntnissen.

Der von Looker verwaltete MCP-Server ist in der Vorschau für Looker (Google Cloud Core)- und Looker-Instanzen (Original) verfügbar. Von Kunden gehostete (lokale) Instanzen werden für diese Vorschau nicht unterstützt.

Wenn Sie eine von Kunden gehostete Instanz verwenden oder Ihre eigene Infrastruktur verwalten möchten, können Sie eine Verbindung über die eigenständige MCP Toolbox for Databases herstellen. Die MCP Toolbox ist ein Open-Source-MCP-Server, den Sie auf Ihrem lokalen Computer oder auf Ihrem eigenen Server ausführen können, um als Brücke zwischen KI-Agenten und Ihrer Looker-Instanz zu fungieren. Weitere Informationen finden Sie auf der Dokumentationsseite Looker mit MCP, Gemini CLI und anderen Agenten verwenden.

Hinweis

Damit Sie den von Looker verwalteten MCP-Server verwenden können, müssen die folgenden Anforderungen erfüllt sein:

Anforderungen an die Instanz

  • Sie müssen eine Looker (Google Cloud Core)- oder eine Looker-Instanz (Original) verwenden.
  • Die Instanz muss von Looker gehostet werden.

Erforderliche Berechtigungen

  • Zum Verwalten des Toolzugriffs benötigen Sie die Looker-Rolle Administrator.
  • So registrieren Sie Ihren KI-Agenten als OAuth-Client mit dem API Explorer: Sie benötigen die Look4Administrator-Rolle.
  • KI-Agenten mit dem von Looker verwalteten MCP-Server verbinden: Sie benötigen Ihre Standardanmeldedaten für Looker, um sich während des OAuth-Verbindungsprozesses zu authentifizieren. Der KI-Agent muss zuerst von einem Looker-Administrator als OAuth-Client registriert werden. Nach der Verbindung erbt der KI-Agent die Looker-Rollen und den Zugriff des authentifizierten Nutzers.

Verwalteten MCP-Server einrichten

Konfigurieren Sie den Toolzugriff, um den verwalteten MCP-Server einzurichten.

Tool-Einstellungen konfigurieren

Standardmäßig sind alle Tools für den verwalteten MCP-Server deaktiviert. Looker-Administratoren müssen die Tools explizit aktivieren, die von KI-Agenten verwendet werden dürfen. Eine Anleitung zum Aktivieren von Tools finden Sie auf der Dokumentationsseite Administratoreinstellungen – MCP (Model Context Protocol).

KI-Agenten über OAuth registrieren

Während der Vorschau müssen Looker-Administratoren einen KI-Agenten manuell registrieren, um ihn mit dem verwalteten MCP-Server zu verbinden.

  1. Öffnen Sie den Looker API Explorer.

    • Wenn der API Explorer bereits in Ihrer Looker-Instanz installiert ist, können Sie ihn mit diesem URL-Format aufrufen:

      https://LOOKER_INSTANCE_URL/extensions/marketplace_extension_api_explorer::api-explorer/

    • Wenn der API Explorer nicht in Ihrer Looker-Instanz vorhanden ist, können Sie ihn im Looker Marketplace installieren. Weitere Informationen finden Sie auf der Seite API Explorer verwenden.

    • Wenn Sie eine Looker (Google Cloud Core)-Instanz mit privaten Verbindungen verwenden, die den Zugriff auf private Dienste nutzt, werden der Looker Marketplace und der API Explorer nicht unterstützt. Um einen KI-Agenten zu registrieren, müssen Sie den oauth_client_apps API-Endpunkt direkt aufrufen. Wenn Sie diese Methode verwenden, können Sie die folgende API Explorer-Anleitung überspringen und direkt zum Abschnitt MCP-Client konfigurieren übergehen.

      Erweitern Sie diesen Abschnitt, um ein Beispiel für einen curl-Befehl zu sehen, den Sie mit dem Endpunkt oauth_client_apps verwenden können, um den Agenten zu registrieren.

      curl -X POST "https://LOOKER_INSTANCE_URL/api/4.0/oauth_client_apps/CLIENT_GUID" \
-H "Authorization: token ACCESS_TOKEN" \
-H "Content-Type: application/json" \
-d '{
  "redirect_uri": "REDIRECT_URI",
  "display_name": "CLIENT_NAME",
  "description": "OAuth client to access MCP server using CLIENT_NAME",
  "enabled": true
}'

  2. Suchen Sie unter der Methode Auth nach dem API-Endpunkt OAuth-App registrieren. Sie können auch im Feld Suchen nach „OAuth-App“ suchen.

  3. Klicken Sie auf der Seite OAuth-App registrieren auf die Schaltfläche Ausführen.

  4. Geben Sie auf dem Tab Anfrage des Dialogfelds Ausführen die folgenden Informationen in die entsprechenden Felder ein:

    • Führen Sie für das Feld client_guid die folgenden Schritte aus:

      • Wenn der Agent eine bestimmte Client-ID vorschreibt, verwenden Sie diese Client-ID.
      • Wenn der Agent keine bestimmte Client-ID vorschreibt, verwenden Sie eine global eindeutige ID.
      • Sie müssen die ID allen LookML-Entwicklern zur Verfügung stellen, die den Agenten verwenden möchten.

    • Die URI für redirect_uri variiert je nach KI-Agent-Anwendung. Die spezifische Weiterleitungs-URL finden Sie in der Dokumentation zur OAuth-Authentifizierung Ihres Agenten. Das Format kann wie in einem der folgenden Beispiele aussehen:

      Gemini CLI 

      http://localhost:7777/oauth/callback

      Gemini Code Assist

      http://localhost:7777/oauth/callback

      Wir empfehlen, die Gemini CLI mit Gemini Code Assist zu verwenden. In diesem Fall verwenden sie dieselbe lokale Callback-Server- und Portkonfiguration.

      Claude-Code

      Claude Code verwendet einen zufälligen verfügbaren Port für den OAuth-Callback. Sie sollten ihn jedoch mit dem --callback-port 8080-Flag (oder mit der callbackPort-Einstellung in mcp.json) so festlegen, dass er mit Ihrer registrierten URI übereinstimmt. 

      http://localhost:8080/callback

      VS Code und andere IDEs

      Für IDEs kann die Weiterleitungs-URI so aussehen, angepasst an Ihre IDE.

      vscode://google.vscode-looker-official/oauth_callback

      In der Cloud gehostete Apps

      Für in der Cloud gehostete Anwendungen kann sie wie eine sichere HTTPS-URL aussehen:

      https://AI_AGENT_URL/oauth2callback

      Lokale Apps

      Für lokal ausgeführte Anwendungen sollte es eine Localhost-URL mit einem statischen Port sein:

      http://localhost:7777/oauth/callback

    • Füllen Sie display_name und description wie in der Dokumentation OAuth-Clientanwendung registrieren beschrieben aus.

  5. Klicken Sie auf das Kästchen für Ich bin mir bewusst, dass dieser API-Endpunkt Daten ändert.

  6. Klicken Sie auf Ausführen.

  7. Sie können prüfen, ob Sie die Authentifizierung erfolgreich eingerichtet haben, indem Sie die Methode Get OAuth Client App im API Explorer verwenden. Gehen Sie dazu so vor:

    • Geben Sie im Feld Suchen des API Explorers Get OAuth Client App ein.
    • Klicken Sie auf Ausführen.

    • Geben Sie im Feld client_guid den Wert ein, den Sie bei der Registrierung von OAuth verwendet haben:

      client_guid

    Wenn Sie OAuth erfolgreich eingerichtet haben, werden auf dem Tab Antwort die Werte zurückgegeben, die Sie bei der Registrierung der App eingegeben haben.

MCP-Client konfigurieren

Nachdem der KI-Agent registriert wurde, können Sie ihn als MCP-Client mit dem verwalteten MCP-Endpunkt verbinden. Folgen Sie der Dokumentation Ihres Agenten, um die Clientkonfiguration abzuschließen.

  • Server-URL: LOOKER_INSTANCE_URL/mcp
  • Authentifizierung:OAuth 2.1

Beispielkonfigurationen (mcp.json)

In diesem Abschnitt wird beschrieben, wie Sie verschiedene Entwicklertools konfigurieren, um eine Verbindung zu Ihrer Looker-Instanz über den von Looker verwalteten MCP-Server herzustellen. Der MCP-Server befindet sich zwischen Ihrer IDE und Looker und bietet eine sichere und effiziente Steuerungsebene für Ihre KI-Tools. Wählen Sie den Tab für Ihr spezifisches Tool aus, um die Konfigurationsanleitung zu sehen.

Gemini CLI

Konfigurieren Sie die Gemini CLI so, dass sie direkt eine Verbindung zum von Looker verwalteten MCP-Server herstellt.

  1. Installieren Sie die Gemini CLI.
  2. Fügen Sie den Remote-MCP-Server mit dem folgenden Befehl hinzu und ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz: 
    gemini mcp add --transport http looker LOOKER_INSTANCE_URL/mcp

    Alternativ können Sie dies manuell konfigurieren, indem Sie die folgende Konfiguration in Ihre Datei settings.json einfügen (befindet sich in ~/.gemini/settings.json oder in Ihrem Projektverzeichnis):

    {
  "mcpServers": {
    "looker": {
      "httpUrl": "LOOKER_INSTANCE_URL/mcp"
    }
  }
}
  3. Starten Sie die Gemini CLI im interaktiven Modus: 
    gemini
    Wenn Sie aufgefordert werden, eine Verbindung herzustellen, initiiert die CLI den OAuth-Autorisierungsablauf, um sich sicher bei Ihrer Looker-Instanz zu authentifizieren.

Gemini Code Assist

Wir empfehlen, Gemini Code Assist so zu konfigurieren, dass die Gemini CLI verwendet wird. So müssen Sie keinen MCP-Server manuell konfigurieren.

  1. Achten Sie darauf, dass Sie die Gemini CLI und den von Looker verwalteten MCP-Server installiert und konfiguriert haben.
  2. Konfigurieren Sie Gemini Code Assist so, dass die Gemini CLI verwendet wird.
  3. Interagieren Sie direkt im Gemini Code Assist-Chat in natürlicher Sprache mit Ihrer Looker-Instanz.

Claude-Code

  1. Installieren Sie Claude Code.
  2. Erstellen Sie die Datei .mcp.json im Stammverzeichnis Ihres Projekts, falls sie noch nicht vorhanden ist.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie PROXY_URL durch die Domain Ihres Reverse-Proxy-Servers und speichern Sie die Datei. 

      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Claude für den Computer

  1. Rufen Sie in Claude für den Computer die Einstellungen auf und wählen Sie Connectors aus.
  2. Wählen Sie Benutzerdefinierten Connector hinzufügen aus und geben Sie einen Namen ein (z. B. Looker).
  3. Geben Sie als URL die URL für Ihre Looker-Instanz mit dem /mcp Pfad angehängt ein (z. B. https://looker.example.com/mcp).
  4. Geben Sie unter Erweiterte Einstellungen die genaue String ein, die Sie für die client_guid bei der Registrierung Ihrer OAuth-App verwendet haben. Lassen Sie den OAuth-Clientschlüssel leer.
  5. Wählen Sie Hinzufügen aus, um den Connector zu speichern. Wenn Sie aufgefordert werden, eine Verbindung herzustellen, initiiert Claude für den Computer sicher den PKCE-Autorisierungsablauf über Ihren Browser.
  1. Starten Sie Claude für den Computer neu.

Cline

  1. Öffnen Sie die Cline-Erweiterung in Ihrer IDE und klicken Sie auf das Symbol MCP-Server.
  2. Klicken Sie auf MCP-Server konfigurieren , um die Konfigurationsdatei zu öffnen.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch Ihre Looker-URL und speichern Sie die Datei. 

      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Nachdem die Verbindung zum Server hergestellt wurde, wird ein grüner aktiver Status angezeigt.

Cursor

  1. Erstellen Sie das Verzeichnis .cursor im Stammverzeichnis Ihres Projekts, falls es noch nicht vorhanden ist.
  2. Erstellen Sie die Datei .cursor/mcp.json, falls sie noch nicht vorhanden ist, und öffnen Sie sie.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch Ihre Looker-URL und speichern Sie die Datei. 
      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  1. Öffnen Sie Cursor und rufen Sie Einstellungen > Cursor-Einstellungen > MCP auf. Wenn die Verbindung zum Server hergestellt wurde, wird ein grüner aktiver Status angezeigt.

Visual Studio Code (Copilot)

  1. Öffnen Sie VS Code und erstellen Sie das Verzeichnis .vscode im Stammverzeichnis Ihres Projekts, falls es noch nicht vorhanden ist.
  2. Erstellen Sie die Datei .vscode/mcp.json, falls sie noch nicht vorhanden ist, und öffnen Sie sie.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz und speichern Sie die Datei. 
      {
        "servers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Windsurf

  1. Öffnen Sie Windsurf und rufen Sie den Cascade-Assistenten auf.
  2. Klicken Sie auf das MCP-Symbol und dann auf Konfigurieren, um die Konfigurationsdatei zu öffnen.
  3. Fügen Sie die folgende Konfiguration hinzu, ersetzen Sie LOOKER_INSTANCE_URL durch die URL Ihrer Looker-Instanz und speichern Sie die Datei. 
      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Mit dem Client authentifizieren

Nachdem Sie Ihren MCP-Client mit den Einstellungen in mcp.json konfiguriert haben, wird beim ersten Versuch, über diesen Client mit Looker zu interagieren, der OAuth 2.1-Authentifizierungsablauf initiiert. Dabei öffnet der Client in der Regel ein Browserfenster, in dem Sie sich mit Ihren Standardanmeldedaten bei Ihrer Looker-Instanz anmelden und der Anwendung die Berechtigung erteilen müssen, in Ihrem Namen auf Looker zuzugreifen.

Dieser Anmeldevorgang ist der interaktive Authentifizierungsschritt, mit dem der MCP-Client ein Zugriffstoken für zukünftige Anfragen erhält.

Weitere Informationen finden Sie in der Dokumentation Ihres Clients.

Nach der Verbindung erbt der Client Ihre Looker-Rollen und Ihren Zugriff auf Inhalte. Der Client hat auch Zugriff auf die KI-Tools, die Ihr Looker-Administrator für den MCP-Server aktiviert hat. Eine Liste aller möglichen Tools finden Sie in der Dokumentation KI-Tools verwenden.

Sicherheit und Governance

Der verwaltete MCP-Server ist so konzipiert, dass er das vorhandene Sicherheits- und Governance-Framework von Looker erbt.

  • Berechtigungsgrenze:Der Server erzwingt strenge Berechtigungen auf Nutzerebene. Ein KI-Agent kann nicht auf Daten oder Modelle zugreifen, die der authentifizierte Nutzer nicht sehen darf.
  • VPC Service Controls:Für Looker (Google Cloud Core)-Instanzen, die VPC Service Controls verwenden, werden die vorhandenen VPC Service Controls-Grenzen vom verwalteten MCP-Endpunkt berücksichtigt. Zusätzliche Richtlinien oder Konfigurationen sind nicht erforderlich.
  • Kundenverwaltete Verschlüsselungsschlüssel (CMEK): Für Looker (Google Cloud Core)-Instanzen, die CMEK verwenden, ist der verwaltete MCP-Server CMEK-konform. Zusätzliche Richtlinien oder Konfigurationen sind nicht erforderlich.

Audit-Logging

Jede Aktion eines KI-Agenten wird in der Systemaktivität von Looker und in Cloud-Audit-Logs protokolliert.

Systemaktivität

Die Aktivität des von Looker verwalteten MCP-Servers wird in den Explores Verlauf und Ereignisattribut erfasst. Auf der Dokumentationsseite Looker-Nutzung mit Systemaktivitäts-Explores überwachen finden Sie die folgenden Beispielabfragen:

Cloud-Audit-Logs

Looker (Google Cloud Core)-Instanzen erfassen die Aktivität des von Looker verwalteten MCP-Servers auch über Cloud-Audit-Logs. Auf der Dokumentationsseite Audit-Logging für Looker (Google Cloud Core) finden Sie Beispielabfragen.

Beschränkungen

  • Feingranulare Bereiche:OAuth-Bereiche werden für den verwalteten MCP-Server noch nicht unterstützt. Die Zugriffssteuerung basiert auf der globalen Tool-Zulassungsliste und den grundlegenden Berechtigungen des Nutzers.
  • Dynamische Registrierung:Die dynamische Clientregistrierung wird in der Vorschau nicht unterstützt.
  • Clientaktualisierung:Änderungen an der Tool-Zulassungsliste werden nicht automatisch an verbundene Clients übertragen. Nutzer müssen 30 Sekunden warten, nachdem sie eine Änderung an der Toolliste vorgenommen haben, und dann die Verbindung zum Client wiederherstellen, um das Toolmanifest zu aktualisieren. Informationen zum Wiederherstellen der Verbindung zum MCP-Server finden Sie in der Dokumentation Ihres Clients.
  • Serverkapazität: Während der Vorschauphase ist der verwaltete MCP-Server mit einer festen Kapazität konfiguriert, damit wir Leistungsdaten erfassen können. In Zeiten hoher Nutzung kann es gelegentlich zu Zeitüberschreitungen kommen. Das ist ganz normal.
  • IP-Zulassungslisten:Der von Looker verwaltete MCP-Server ist nicht mit IP-Zulassungslisten in Looker (Original) kompatibel. Er ist mit IP-Zulassungslisten in Looker (Google Cloud Core) kompatibel.

Preise und Kontingente

Der von Looker verwaltete MCP-Server ist ohne zusätzliche Kosten verfügbar. Toolaufrufe von KI-Agenten verbrauchen jedoch die Standardkontingente der Instanz für administrative und abfragebasierte APIs. Eine hohe Agentenaktivität kann sich auf Ihr verfügbares API-Kontingent auswirken.