Servidor MCP gerenciado pelo Looker

O servidor MCP gerenciado pelo Looker é uma integração integrada que incorpora um servidor do Protocolo de Contexto de Modelo (MCP) diretamente na plataforma Looker. Ele permite que agentes de IA, como a CLI do Gemini, o Claude Desktop, o Cursor e o Copilot, se conectem com segurança a uma instância do Looker e interajam com dados da empresa e modelos LookML.

Ao hospedar o servidor, o Looker elimina a necessidade de implantar e manter sua própria infraestrutura de middleware, oferecendo um gateway plug-and-play, seguro e controlado para insights de negócios confiáveis.

O servidor MCP gerenciado pelo Looker está em pré-lançamento para instâncias do Looker (Google Cloud Core) e do Looker (original). As instâncias hospedadas pelo cliente (no local) estão indisponíveis para esta prévia.

Se você estiver usando uma instância hospedada pelo cliente ou preferir gerenciar sua própria infraestrutura, conecte-se usando a MCP Toolbox for Databases independente. A MCP Toolbox é um servidor MCP de código aberto que pode ser executado no seu computador local ou em um servidor próprio para atuar como uma ponte entre agentes de IA e sua instância do Looker. Consulte a página de documentação Usar o Looker com MCP, CLI do Gemini e outros agentes para mais informações.

Antes de começar

Para usar o servidor MCP gerenciado pelo Looker, você precisa atender aos seguintes requisitos:

Requisitos de instância

  • Você precisa usar uma instância do Looker (Google Cloud Core) ou do Looker (original).
  • A instância precisa ser hospedada pelo Looker.

Permissões necessárias

  • Para gerenciar o acesso à ferramenta: você precisa ter a função Administrador do Looker.
  • Para registrar seu agente de IA como um cliente OAuth usando o API Explorer: você precisa ter a função Administrador do Looker.
  • Para conectar um agente de IA ao servidor MCP gerenciado pelo Looker: você precisa das suas credenciais de login padrão do Looker para autenticar durante o processo de conexão do OAuth. O agente de IA precisa ser registrado como um cliente OAuth por um administrador do Looker. Depois de conectado, o agente de IA herda as funções e o acesso do Looker do usuário que fez a autenticação.

Configurar o servidor MCP gerenciado

Configure o acesso à ferramenta para configurar o servidor MCP gerenciado.

Configurar as ferramentas

Por padrão, todas as ferramentas estão desativadas para o servidor MCP gerenciado. Os administradores do Looker precisam ativar explicitamente as ferramentas que os agentes de IA podem usar. Consulte a página de documentação Configurações de administrador - Protocolo de Contexto de Modelo (MCP) para saber como ativar as ferramentas.

Registrar um agente de IA usando o OAuth

Durante o lançamento da prévia, os administradores do Looker precisam registrar manualmente um agente de IA para conectá-lo ao servidor MCP gerenciado.

  1. Abra o Looker API Explorer.

    • Se a instância do Looker já tiver o API Explorer instalado, acesse-o com este formato de URL:

      https://LOOKER_INSTANCE_URL/extensions/marketplace_extension_api_explorer::api-explorer/

    • Se a sua instância do Looker não tiver o API Explorer, instale-o no Marketplace do Looker. Consulte a página Como usar o API Explorer para mais informações.

    • Se você estiver usando uma instância de conexões particulares do Looker (Google Cloud Core) que usa o acesso a serviços particulares, o Marketplace do Looker e o APIs Explorer não serão compatíveis. Para registrar um agente de IA, chame o endpoint de API oauth_client_apps diretamente. Se você usar esse método, ignore o procedimento do API Explorer a seguir e vá direto para a seção Configurar um cliente MCP.

      Expanda esta seção para ver um exemplo de comando curl que pode ser usado com o endpoint oauth_client_apps para registrar o agente.

      curl -X POST "https://LOOKER_INSTANCE_URL/api/4.0/oauth_client_apps/CLIENT_GUID" \
-H "Authorization: token ACCESS_TOKEN" \
-H "Content-Type: application/json" \
-d '{
  "redirect_uri": "REDIRECT_URI",
  "display_name": "CLIENT_NAME",
  "description": "OAuth client to access MCP server using CLIENT_NAME",
  "enabled": true
}'

  2. No método Auth, encontre o endpoint de API Registrar app OAuth. Você também pode pesquisar "app oauth" no campo Pesquisar.

  3. Na página Registrar app OAuth, clique no botão Executar.

  4. Na guia Solicitação da caixa de diálogo Executar, insira as seguintes informações nos campos correspondentes:

    • Para o campo client_guid, siga estas etapas:

      • Se o agente prescrever um ID do cliente específico, use esse ID do cliente.
      • Se o agente não prescrever um ID do cliente específico, use qualquer ID globalmente exclusivo.
      • Prepare-se para distribuir o ID a todos os desenvolvedores de LookML que quiserem usar o agente.

    • Para o redirect_uri, o URI varia de acordo com o aplicativo do agente de IA. Consulte a documentação de autenticação OAuth do seu agente para conferir o URL de redirecionamento específico. O formato pode ser parecido com um dos seguintes exemplos:

      CLI do Gemini 

      http://localhost:7777/oauth/callback

      Gemini Code Assist

      http://localhost:7777/oauth/callback

      Recomendamos usar a CLI do Gemini com o Gemini Code Assist. Nesse caso, eles compartilham o mesmo servidor de callback local e configuração de porta.

      Código do Claude

      O Claude Code usa uma porta aleatória disponível para o callback do OAuth, mas você precisa corrigir isso usando a flag --callback-port 8080 (ou a configuração callbackPort em mcp.json) para corresponder ao URI registrado. 

      http://localhost:8080/callback

      VS Code e outros IDEs

      Para IDEs, o URI de redirecionamento pode ser parecido com este, personalizado para seu ambiente de desenvolvimento integrado.

      vscode://google.vscode-looker-official/oauth_callback

      Apps hospedados na nuvem

      Para aplicativos hospedados na nuvem, ele pode parecer um URL HTTPS seguro:

      https://AI_AGENT_URL/oauth2callback

      Apps locais

      Para aplicativos executados localmente, ele precisa ser um URL de localhost com uma porta estática:

      http://localhost:7777/oauth/callback

    • Conclua display_name e description conforme descrito na documentação Registro de um aplicativo cliente OAuth.

  5. Marque a caixa de seleção Entendo que este endpoint de API vai mudar os dados.

  6. Clique em Executar.

  7. Para verificar se a autenticação foi configurada corretamente, use o método Get OAuth Client App no API Explorer seguindo estas etapas:

    • No campo Pesquisar do API Explorer, insira Get OAuth Client App.
    • Clique em Executar.

    • No campo client_guid, insira o valor usado ao registrar o OAuth:

      client_guid

    Se você configurar o OAuth corretamente, a guia Resposta vai retornar os valores inseridos ao registrar o app.

Configurar o cliente MCP

Depois que o agente de IA for registrado, você poderá conectá-lo ao endpoint gerenciado do MCP como um cliente do MCP. Consulte a documentação do seu agente para concluir a configuração do cliente.

  • URL do servidor:LOOKER_INSTANCE_URL/mcp
  • Autenticação:OAuth 2.1

Exemplos de configurações (mcp.json)

Nesta seção, descrevemos como configurar várias ferramentas para desenvolvedores e se conectar à sua instância do Looker usando o servidor MCP gerenciado pelo Looker. O servidor MCP fica entre seu IDE e o Looker, fornecendo um plano de controle seguro e eficiente para suas ferramentas de IA. Selecione a guia da sua ferramenta específica para conferir as instruções de configuração.

CLI do Gemini

Configure a CLI do Gemini para se conectar diretamente ao servidor MCP gerenciado pelo Looker.

  1. Instale a CLI do Gemini.
  2. Adicione o servidor MCP remoto usando o comando a seguir, substituindo LOOKER_INSTANCE_URL pelo URL da sua instância do Looker: 
    gemini mcp add --transport http looker LOOKER_INSTANCE_URL/mcp

    Como alternativa, você pode configurar isso manualmente adicionando a seguinte configuração ao arquivo settings.json (localizado em ~/.gemini/settings.json ou no diretório do projeto):

    {
  "mcpServers": {
    "looker": {
      "httpUrl": "LOOKER_INSTANCE_URL/mcp"
    }
  }
}
  3. Inicie a CLI do Gemini no modo interativo: 
    gemini
    Quando solicitado a se conectar, a CLI inicia o fluxo de autorização do OAuth para autenticar com segurança sua instância do Looker.

Gemini Code Assist

Recomendamos que você configure o Gemini Code Assist para usar a CLI do Gemini. Essa abordagem elimina a necessidade de configurar manualmente um servidor MCP.

  1. Verifique se você instalou e configurou a CLI do Gemini e o servidor MCP gerenciado pelo Looker.
  2. Configure o Gemini Code Assist para usar a CLI do Gemini.
  3. Comece a interagir com sua instância do Looker usando linguagem natural diretamente na conversa do Gemini Code Assist.

Código do Claude

  1. Instale o Claude Code.
  2. Crie o arquivo .mcp.json na raiz do projeto, se ele não existir.
  3. Adicione a configuração a seguir, substituindo PROXY_URL pelo domínio do seu servidor proxy reverso e salve. 

      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Claude para computador

  1. No Claude para computador, acesse Configurações e selecione Conectores.
  2. Escolha Adicionar conector personalizado e insira um nome (por exemplo, Looker).
  3. No URL, insira o URL da sua instância do Looker com o caminho /mcp anexado (por exemplo, https://looker.example.com/mcp).
  4. Em Configurações avançadas, insira a string exata que você usou para o client_guid durante o registro do app OAuth. Deixe a chave secreta do cliente OAuth em branco.
  5. Selecione Adicionar para salvar o conector. Quando solicitado a se conectar, o Claude para computador inicia com segurança o fluxo de autorização PKCE pelo navegador.
  1. Reinicie o Claude para computador.

Cline

  1. Abra a extensão Cline no seu ambiente de desenvolvimento integrado e clique no ícone Servidores MCP.
  2. Clique em Configurar servidores MCP para abrir o arquivo de configuração.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL do Looker e salve. 

      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Um status ativo verde aparece depois que o servidor se conecta.

Cursor

  1. Crie o diretório .cursor na raiz do projeto, se ele não existir.
  2. Crie o arquivo .cursor/mcp.json, se ele não existir, e abra-o.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL do Looker e salve. 
      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }
  1. Abra Cursor e navegue até Configurações > Configurações do cursor > MCP. Um status ativo verde aparece quando o servidor se conecta.

Visual Studio Code (Copilot)

  1. Abra o VS Code e crie o diretório .vscode na raiz do projeto, se ele não existir.
  2. Crie o arquivo .vscode/mcp.json, se ele não existir, e abra-o.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL da sua instância do Looker e salve. 
      {
        "servers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Windsurf

  1. Abra o Windsurf e navegue até o assistente do Cascade.
  2. Clique no ícone do MCP e em Configurar para abrir o arquivo de configuração.
  3. Adicione a configuração a seguir, substituindo LOOKER_INSTANCE_URL pelo URL da sua instância do Looker e salve. 
      {
        "mcpServers": {
          "looker-toolbox": {
            "type": "http",
            "url": "LOOKER_INSTANCE_URL/mcp"
          }
        }
      }

Autenticar com o cliente

Depois de configurar o cliente do MCP com as configurações mcp.json, a primeira vez que você tentar interagir com o Looker usando esse cliente, ele vai iniciar o fluxo de autenticação do OAuth 2.1. Normalmente, isso envolve o cliente abrir uma janela do navegador em que você precisa fazer login na sua instância do Looker usando suas credenciais padrão e conceder ao aplicativo permissão para acessar o Looker em seu nome.

Esse processo de login é a etapa de autenticação interativa que permite ao cliente do MCP receber um token de acesso para fazer solicitações futuras.

Consulte a documentação do cliente para mais detalhes.

Depois de conectado, o cliente vai herdar suas funções do Looker e o acesso ao conteúdo. O cliente também terá acesso às ferramentas de IA que o administrador do Looker ativou para o servidor MCP. Para uma lista de todas as ferramentas possíveis, consulte a documentação Usar ferramentas de IA.

Segurança e governança

O servidor MCP gerenciado foi projetado para herdar a estrutura de segurança e governança do Looker.

  • Limite de permissões:o servidor aplica permissões rigorosas no nível do usuário. Um agente de IA não pode acessar dados ou modelos que o usuário autenticado não tem autorização para ver.
  • VPC Service Controls:para instâncias do Looker (Google Cloud Core) que usam o VPC Service Controls, o endpoint do MCP gerenciado respeita os limites atuais do VPC Service Controls sem exigir outras políticas ou configurações.
  • Chaves de criptografia gerenciadas pelo cliente (CMEK): para instâncias do Looker (Google Cloud Core) que usam CMEK, o servidor MCP gerenciado está em conformidade com a CMEK sem políticas ou configurações adicionais necessárias.

Registro de auditoria

Todas as ações realizadas por um agente de IA são registradas na Atividade do sistema e nos registros de auditoria do Cloud do Looker.

Atividade do sistema

A atividade do servidor MCP gerenciado pelo Looker é rastreada nas Análises detalhadas de Histórico e Atributo do evento. A página de documentação Monitorar o uso do Looker com as Análises da atividade do sistema fornece as seguintes consultas de exemplo:

Registros de auditoria do Cloud

As instâncias do Looker (Google Cloud Core) também rastreiam a atividade do servidor MCP gerenciado pelo Looker usando os registros de auditoria do Cloud. A página de documentação Geração de registros de auditoria do Looker (Google Cloud Core) oferece consultas de exemplo.

Limitações

  • Escopos refinados:os escopos do OAuth ainda não são compatíveis com o servidor MCP gerenciado. O controle de acesso depende da lista de permissões global da ferramenta e das permissões básicas do usuário.
  • Registro dinâmico:o Registro Dinâmico de Clientes está indisponível na prévia.
  • Atualização do cliente:as mudanças na lista de permissões de ferramentas não são enviadas automaticamente aos clientes conectados. Os usuários precisam esperar 30 segundos depois de fazer uma mudança na lista de ferramentas e reconectar o cliente para atualizar o manifesto de ferramentas. Consulte a documentação do cliente para saber como se reconectar ao servidor MCP.
  • Capacidade do servidor: durante a fase de prévia, o servidor MCP gerenciado é configurado com uma capacidade fixa para ajudar a coletar dados de performance. Durante períodos de pico de uso, podem ocorrer tempos limite ocasionais. Esse é o comportamento esperado.
  • Listas de permissões de IP:o servidor MCP gerenciado pelo Looker não é compatível com listas de permissões de IP no Looker (original). Ele é compatível com as listas de permissão de IP no Looker (Google Cloud Core).

Preços e cotas

O servidor MCP gerenciado pelo Looker está disponível sem custo adicional. No entanto, as chamadas de ferramentas feitas por agentes de IA consomem as cotas padrão administrativas e baseadas em consultas da API da instância. A alta atividade do agente pode afetar sua cota de API disponível.