Opcionalmente, na inicialização de uma nova instância do Looker, é possível provisioná-la automaticamente com uma chave de licença, um URL do host e uma conta de usuário inicial.
Provisionar automaticamente uma nova instância com um usuário de e-mail
Na primeira inicialização, o Looker busca um arquivo chamado provision.yml
no diretório looker
, em que o arquivo JAR reside. O formato desse arquivo é o seguinte:
license_key: "1234-5678-ABCD-EFGH-IJKL"
host_url: "https://looker.mycompany.com"
user:
first_name: "Katie"
last_name: "Woolsey"
email: "kwoolsey@benaventi.com"
password: "password123"
Se a instância do Looker for nova e ainda não tiver sido configurada, ela será provisionada com a chave de licença fornecida e uma conta de usuário com as informações fornecidas.
Se o Looker já tiver sido provisionado, a chave de licença e os valores de URL do host substituirão aqueles que estiverem definidos. As informações do usuário serão ignoradas. Isso é útil para atualizar uma instância de preparo do Looker com uma nova cópia de um banco de dados interno de uma instância de produção, mantendo uma chave de licença e um URL separados para o servidor de preparo.
Provisionar automaticamente uma nova instância com um usuário da API
Na inicialização de uma nova instância do Looker, é possível provisionar um usuário da API inicial de maneira programática. É possível provisionar um usuário de API OU um usuário de e-mail, mas o Looker não é compatível com o provisionamento de um usuário da API e de um usuário de e-mail ao mesmo tempo.
Gerar credenciais de API
Para provisionar um usuário de API, gere um ID e uma chave secreta do cliente que o Looker vai ler e salvar no banco de dados. Os requisitos para essas credenciais são os seguintes:
- O ID do cliente precisa ter 20 caracteres.
- A chave secreta do cliente precisa ter 24 caracteres.
- As duas strings precisam ser incluídas no corpo de uma solicitação
POST
. Portanto, recomendamos usar apenas caracteres alfanuméricos.
Por exemplo, o Looker usa o seguinte código para gerar programaticamente essas credenciais:
require 'securerandom'
TOKEN_SYMBOLS = "bcdfghjkmnpqrstvwxyzBCDFGHJKMNPQRSTVWXYZ23456789".freeze
def generate_token(size)
Array.new(size).map { TOKEN_SYMBOLS[SecureRandom.random_number(TOKEN_SYMBOLS.size)] }.join
end
O código acima evita caracteres ambíguos para tornar as strings menos propensas a erros.
Também é possível gerar strings adequadas usando o comando openssl
:
openssl rand -hex 10
O número no final do comando openssl
é o número de bytes na string. Portanto, use 10
para o ID do cliente e 12
para a chave secreta do cliente.
Como provisionar o usuário da API
Para provisionar um usuário de API na inicialização, verifique se você tem um arquivo provision.yml
que inclua a chave de licença e o URL do host no diretório looker
. Exemplo:
license_key: "1234-5678-ABCD-EFGH-IJKL"
host_url: "https://looker.mycompany.com"
Crie um arquivo chamado api-provision.yml
com as permissões 0600
no diretório looker
, que inclui as informações do usuário da API. Exemplo:
user:
first_name: "Katie"
last_name: "Woolsey"
client_id: "M9hZb8vRh9bSZzdPxw42"
client_secret: "NMnqBVbHqPsPzTvbZk6xZfV3"
Recomendamos que você armazene essas credenciais em um gerenciador de secrets fora desse arquivo, já que ele será removido na inicialização quando a instância do Looker for processada e criada no banco de dados.
Na inicialização, se a instância estiver vazia e nenhum usuário estiver presente, o Looker criará um usuário da API de administrador do Looker com essas credenciais e removerá o arquivo api-provision.yml
do disco.
Depois disso, você terá 30 minutos para usar essas credenciais para realizar o provisionamento adicional antes que elas sejam removidas do banco de dados interno e não possam mais ser usadas. A remoção dessas credenciais iniciais evita a criação de um backdoor de longa duração no aplicativo e mantém o caso de uso pretendido estritamente para o provisionamento.