관리 메뉴의 인증 섹션에 있는 Google 인증 페이지에서 Looker에 Google OAuth를 설정할 수 있습니다.
기능 개요
Looker는 Google Workspace에 등록된 계정이 있는 사용자를 위해 Google OAuth를 통해 인증을 수행할 수 있습니다.
- Google Workspace를 사용하는 조직은 Google 계정이 있는 Looker 사용자를 인증할 수 있습니다.
- 사용자는 Google 계정으로 인증하여 Looker에 로그인합니다.
- 새 Google 계정으로 Looker에 자동으로 액세스할 수 있습니다. Looker에 사용자를 개별적으로 초대할 필요가 없습니다. 신규 사용자의 기본 역할을 설정하여 기능 및 데이터에 대한 액세스를 제한할 수 있습니다.
- 사용 설정하면 '대체 로그인' 옵션을 선택하지 않는 한 Looker에서 Google OAuth로만 사용자를 인증합니다(Google 인증이 사용 설정된 상태에서 이메일 로그인을 사용 설정하는 방법은 다음 섹션 참조).
- 사용자의 Google 아바타가 탐색 메뉴에 표준 사용자 기호 대신 표시됩니다.
- Google OAuth를 사용 설정하면 Looker 인스턴스는 기존 사용자 계정을 Google 등록 도메인과 병합할 수 있지만, 이메일 주소가 도메인과 일치하는 계정에만 병합됩니다. 다른 모든 비관리자 계정에서는 로그인 기능이 삭제됩니다.
- 지정된 도메인의 모든 사용자가 Looker 인스턴스에 액세스할 수 있습니다.
- 신규 Google 사용자의 권한은 지정된 모델 목록에 대한 기본 액세스로 기본 설정됩니다 (선택적으로 0개 모델에 대한 액세스일 수 있음). 계정 생성 후 관리자가 권한을 업데이트할 수 있습니다.
- Google OAuth를 사용하여 인증하는 새로운 Looker 계정은 OAuth가 Looker 인스턴스에 대해 사용 중지되어 있더라도 비밀번호 인증으로 전환할 수 없습니다.
사전 요구사항
Google OAuth를 사용하려면 다음이 필요합니다.
- 조직의 Google Workspace 계정
- 조직에서 관리하고 Google Workspace 계정에 등록된 도메인
- Google 계정과 연결된 도메인의 이메일 주소를 가진 사용자
- 각 사용자에게 Google Workspace에서 관리되는 사용자 계정이 있어야 합니다. 비관리 사용자 계정이 있는 사용자를 찾아서 마이그레이션하려면 비관리 사용자를 위한 이전 도구를 사용합니다.
Google OAuth로 인증 사용 설정
Google OAuth를 사용하여 인증을 사용 설정하려면 다음 섹션에 설명된 대로 관리자가 Google 측과 Looker 측 모두에서 단계를 수행해야 합니다.
Google 측 설정
이 섹션에서는 Google 측에서 Google OAuth를 사용 설정하는 단계에 대해 설명합니다. 이러한 단계에 대한 일반적인 설명은 OAuth 2.0 설정에 관한 Google 지원 페이지에서 다룹니다. Google Cloud 콘솔 도움말 문서를 참조할 수도 있습니다.
Google Cloud 콘솔로 이동합니다.
프로젝트 선택 드롭다운에서 아래쪽 화살표를 클릭합니다. 드롭다운에 기존 프로젝트의 이름이 표시될 수 있습니다. 아래쪽 화살표를 클릭하면 새 프로젝트를 만드는 옵션이 표시됩니다.
프로젝트 선택 페이지에서 새 프로젝트를 클릭합니다.
Google에 새 프로젝트 페이지가 표시됩니다.
새 프로젝트 페이지에 정보를 입력하고 만들기를 클릭합니다.
Google에서 새 프로젝트 만들기를 완료한 후 Google Cloud 콘솔로 돌아가면 새 프로젝트가 표시됩니다.
왼쪽 메뉴에서 API 및 서비스 > 사용자 인증 정보를 선택합니다.
사용자 인증 정보 페이지에서 사용자 인증 정보 만들기 버튼을 클릭하고 드롭다운 메뉴에서 OAuth 클라이언트 ID를 선택합니다.
Google에 OAuth 클라이언트 ID 만들기 페이지가 표시됩니다.
Google에서는 관리자가 OAuth 동의 화면을 구성할 것을 요구합니다. 사용자는 이 화면을 통해 비공개 데이터에 대한 액세스 권한을 부여하는 방법을 선택하고 조직의 서비스 약관 및 개인정보처리방침 링크를 제공할 수 있습니다. 동의 화면 구성을 클릭합니다. (이전 프로젝트에 OAuth 동의를 구성한 경우 이 옵션이 표시되지 않으며 13단계로 건너뛸 수 있습니다.)
Google에 OAuth 동의 화면 페이지가 표시됩니다.
승인된 도메인 필드에 Looker 인스턴스의 도메인을 입력합니다. 예를 들어 Looker가
https://mycompany.looker.com
에서 인스턴스를 호스팅하면 도메인은looker.com
입니다. 고객 호스팅 Looker 배포의 경우 Looker를 호스팅할 도메인을 입력합니다.OAuth 동의 화면을 구성하고 저장 후 계속을 클릭합니다.
범위 페이지에서 저장 후 계속을 클릭합니다. 추가 범위 구성은 필요하지 않습니다.
요약 페이지에서 대시보드로 돌아가기를 클릭합니다.
OAuth 클라이언트 ID 만들기 페이지로 돌아갑니다.
애플리케이션 유형 아래에서 웹 애플리케이션을 선택합니다.
이름 필드에 OAuth 클라이언트 ID 이름을 입력합니다.
승인된 자바스크립트 원본 필드에
https://
를 포함한 Looker 인스턴스의 URL을 입력합니다. 예를 들면 다음과 같습니다.- Looker에서 인스턴스를 호스팅하는 경우:
https://mycompany.looker.com
- 고객 호스팅 Looker 인스턴스가 있는 경우:
https://looker.mycompany.com
- Looker 인스턴스에 포트 번호가 필요한 경우:
https://looker.mycompany.com:9999
- Looker에서 인스턴스를 호스팅하는 경우:
승인된 리디렉션 URI 필드에 Looker 인스턴스의 URL과
/oauth2callback
을 차례로 입력합니다. 예를 들면https://mycompany.looker.com/oauth2callback
또는https://looker.mycompany.com:9999/oauth2callback
입니다.만들기를 클릭합니다.
클라이언트 ID 및 클라이언트 보안 비밀번호 값을 복사합니다. 이 값은 Looker를 구성하는 데 필요합니다.
Looker 측에서 설정
Looker 측에서 Google OAuth를 사용 설정하려면 다음 단계를 수행합니다.
관리자로 로그인한 상태에서 Looker 애플리케이션에서 관리 드롭다운을 클릭하여 관리 메뉴를 엽니다.
인증 그룹에서 Google을 클릭합니다. Looker에 Google 인증 페이지가 표시됩니다.
사용 설정됨을 클릭하여 Google OAuth 설정을 표시하고 수정합니다. 이 작업으로 Google 인증이 즉시 사용 설정되는 것은 아니며 나중에 옵션을 확인해야 합니다.
Google 인증 설정을 입력합니다.
- 클라이언트 ID 및 클라이언트 보안 비밀번호 - 이전 Google 설정 안내에서 설명한 것처럼 Google OAuth 클라이언트 페이지에서 이러한 값을 복사하고 붙여넣습니다.
- 도메인 - 조직의 Google 관리형 도메인 이름입니다. 지정된 도메인의 모든 Google 사용자가 Looker 인스턴스에 로그인할 수 있습니다. 여러 Google 도메인을 관리하는 경우 쉼표로 구분하여 입력할 수 있습니다.
이전 옵션을 입력하여 Google OAuth로 전환하는 동안 Looker 인스턴스의 동작을 제어합니다.
- 관리자용 대체 로그인 - 관리자가 이메일 및 비밀번호로 계속 로그인할 수 있게 해주므로 Google OAuth를 설정하는 데 문제가 있는 경우 유용합니다. 이 설정이 권장되며 Google 인증이 사용 설정되었을 때 이메일 로그인 사용 설정에서 더 자세히 설명합니다.
- 이메일로 병합 - 지정된 도메인에 있는 이메일 주소를 가진 기존 사용자가 다음에 로그인할 때 Google OAuth를 사용하도록 변환합니다. 이 설정이 권장됩니다.
- 새 사용자의 역할 - 새로운 비관리 사용자에게 포함되는 기능 및 모델 액세스 권한을 지정합니다. 이 목록은 나중에 업데이트할 수 있습니다. 비워 두면 새로운 Google 인증 사용자는 관리자가 계정에 역할을 추가할 때까지 Looker 플랫폼 내에서 제한된 기능을 사용하게 됩니다. Google 도메인 내의 모든 사용자가 Looker에 로그인할 수 있으므로 액세스를 적절히 제한하는 신규 사용자의 기본 역할을 지정하는 것이 좋습니다.
Google 인증 테스트를 클릭하여 현재 설정을 사용하고 새 창에서 현재 브라우저의 인증을 시도합니다. 이 작업은 현재 설정을 저장하거나 Looker 인스턴스에 적용하지 않습니다.
Google에 로그인하지 않은 경우 로그인하라는 메시지가 표시되고 Google 계정 정보 사용에 대한 동의를 요청하는 메시지가 표시됩니다. 이 절차에서는 Google 측 설정에서 사용한 커스텀 동의 화면 설정을 사용합니다.
성공하면 사용자의 이름, 이메일, 도메인이 포함된 사용자 정보 섹션이 표시됩니다. 이 사용자 정보 섹션이 있으면 이 사용자를 Looker에서 인증했음을 나타냅니다.
실패하면 오류 설명이 표시됩니다. 일반적인 문제에는 다음이 포함됩니다.
- 클라이언트 ID 또는 클라이언트 보안 비밀번호가 잘못 복사되었습니다. 신중하게 복사하여 모두 붙여넣어야 합니다.
- 사용자가 도메인 외부에 있습니다. 개인 정보 섹션은 표시되지만 사용자 정보는 표시되지 않는다면 지정한 도메인에 사용자가 없기 때문일 수 있습니다. 사용자가 Google에 자신을 올바르게 인증했지만 Looker 인스턴스에 허용하려고 선택한 Google 계정을 사용하고 있지 않음을 보여줍니다.
- Looker URL 또는 리디렉션 URL이 Google에서 Looker 인스턴스에 대해 올바르게 설정되지 않았습니다.
변경사항을 저장하고 적용하려면 위 내용을 확인했으며 전역 적용을 사용 설정합니다.를 선택하고 업데이트를 클릭합니다.
팁
전체 인증 주기를 실험하기 위해 Google에서 로그아웃하면 Looker에 로그인하려고 할 때 Google에 다시 로그인하라는 메시지가 표시됩니다.
Google에서는 Google Workspace 페이지 오른쪽 상단의 이메일 주소 옆에 있는 개인 드롭다운 메뉴에서 계정을 클릭하여 개인 계정을 관리할 수 있습니다.
관리 페이지에는 계정 권한 섹션이 포함된 보안 탭이 있습니다. 앱 및 웹사이트 모두 보기를 클릭하면 사용자가 권한을 부여한 서비스와 앱을 보고 관리할 수 있습니다.
로그을 위해 부여한 Looker 권한을 클릭하면 이전에 맞춤설정한 동의 화면에서 사용자에게 표시되는 세부정보가 표시됩니다. 액세스 취소를 클릭하여 다음에 Looker에 로그인하거나 승인을 테스트할 때 동의 화면이 다시 표시되도록 할 수 있습니다. 이 워크플로를 사용해서 사용자에게 표시되는 동의 화면과 보기를 맞춤설정할 수 있습니다.
문제 해결
사용자의 로그인 시도가 실패한 경우 먼저 사용자의 Google 계정에 이름과 성이 모두 있는지 확인합니다. 사용자가 Google 계정에서 성이나 이름을 삭제한 경우 Looker에서 Google OAuth로 사용자를 인증하지 못할 수 있습니다.
사용자의 로그인 시도가 실패하고 Looker에
User not in the authorized domain
같은 오류가 표시되면 JSON 응답의hd
필드를 확인합니다.hd
필드에 도메인이 포함된 경우 도메인이 Google Workspace 계정에 등록되어 있는지 확인합니다.hd
필드가 비어 있으면 비관리 사용자를 위한 이전 도구를 사용하여 사용자의 계정을 도메인 내의 관리 계정으로 전환합니다.사용자의 로그인 시도가 실패했지만 Looker에 오류 메시지가 표시되지 않는 경우 사용자가 Google Workspace 계정 이름을 수정하고 성 또는 이름을 삭제했을 수 있습니다. 이 경우 관리 콘솔에서 Google Workspace 계정 이름이 여전히 완전하게 보일 수 있으며, 이로 인해 사용자의 수정사항이 표시되지 않을 수 있습니다. 이 문제를 방지하기 위해 Google Workspace 관리자는 사용자가 이 설정을 맞춤설정할 수 있도록 허용 옵션을 사용 중지할 수 있습니다.
Google 인증이 사용 설정된 상태에서 이메일 로그인 사용
새 Google 계정으로 Looker에 자동으로 액세스할 수 있으므로 Google 도메인에 있는 사용자를 추가할 필요가 없습니다.
Google 도메인에 없는 이메일 주소로 사용자를 추가하려면 다음 안내를 따르세요.
- Google 인증 페이지에서 관리자 및 지정된 사용자를 위한 대체 로그인 스위치를 사용 설정합니다.
login_special_email
권한을 추가하려면 기존 사용자 역할을 만들거나 수정합니다.- 사용자 패널에서 사용자 추가로 이동합니다(/admin/users/new).
- 포함할 이메일 주소와 해당 사용자에게 부여할 역할을 추가합니다. 이때
login_special_email
권한을 가진 역할을 포함해야 합니다. - 이러한 사용자는 이제 https://mycompany.looker.com/login/email(숨겨진 URL)을 사용하여 로그인할 수 있습니다.
Google 인증을 사용 설정한 후 사용 중지
Looker 인스턴스가 이미 사용 설정된 후 Google 인증을 사용 중지하려는 경우 다음 사항을 고려해야 합니다.
- Google 인증이 추가되기 전에 생성되었으며 이미 일반 이메일 로그인 및 비밀번호를 설정한 사용자는 계속 작동합니다.
- Google 인증이 추가된 후에 생성된 사용자는 더 이상 로그인할 수 없습니다. 계정이 여전히 존재하지만 액세스할 수 없으며 사실상 계정이 고립됩니다.
따라서 이 경로를 피하는 것이 좋습니다. 이 경로를 따라야 하는 경우 Looker API를 사용하여 분리된 계정을 수정하는 방법이 있을 수 있습니다. 자세한 내용은 Looker 지원팀에 문의하세요.