Autenticación de la API de Looker

Para realizar cualquier acción con la API de Looker, primero debes autenticarte. Los pasos que deberás seguir dependen de si usas un SDK o no.

Autenticación con un SDK

Este es el método recomendado para la autenticación de la API:

  1. Crea credenciales de API en la página Usuarios, en la sección Administrador de tu instancia de Looker. Si no eres administrador de Looker, pídele a tu administrador de Looker que cree las credenciales de la API por ti.

    Las credenciales de la API siempre están vinculadas a una cuenta de usuario de Looker. Las solicitudes a la API se ejecutan "como" el usuario asociado con las credenciales de la API. Las llamadas a la API solo mostrarán los datos que el usuario puede ver y modificarán solo lo que el usuario puede modificar.

  2. Las credenciales de API que generaste incluyen un ID de cliente y un secreto del cliente. Deberás proporcionarlos al SDK. Las instrucciones para hacerlo se pueden encontrar en la documentación del SDK.

Luego, el SDK se encargará de obtener los tokens de acceso necesarios y de insertarlos en todas las solicitudes posteriores a la API.

Autenticación sin un SDK

El método recomendado es la autenticación de la API con un SDK. Para realizar la autenticación sin un SDK, sigue estos pasos:

  1. Crea credenciales de API en la página Usuarios, en la sección Administrador de tu instancia de Looker. Si no eres administrador de Looker, pídele a tu administrador de Looker que cree las credenciales de la API por ti.

    Las credenciales de la API siempre están vinculadas a una cuenta de usuario de Looker. Las solicitudes a la API se ejecutan "como" el usuario asociado con las credenciales de la API. Las llamadas a la API solo mostrarán datos que el usuario pueda ver y modifican solo lo que el usuario puede modificar.

  2. Obtén un token de acceso de OAuth 2.0 a corto plazo mediante una llamada al extremo login de la API. Deberás proporcionar las credenciales de API que generaste en el paso 1, que incluyen un ID de cliente y un secreto de cliente.

  3. Coloca ese token de acceso en el encabezado de autorización HTTP de las solicitudes de la API de Looker. Un ejemplo de solicitud a la API de Looker con un encabezado de autorización podría verse así:

    GET /api/4.0/user HTTP/1.1
    Host: test.looker.com
    Date: Wed, 19 Oct 2023 12:34:56 -0700
    Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
    

El token de acceso de OAuth 2.0 se puede usar en varias solicitudes a la API, hasta que venza o se invalide llamando al extremo logout. Las solicitudes a la API que usen un token de acceso vencido fallarán con una respuesta HTTP 401 Authorization Required.

Interacción de la API con la configuración de acceso del usuario

La autenticación de la API de Looker es completamente independiente del acceso de los usuarios de Looker. Los protocolos de autenticación de usuarios, como los códigos de acceso de un solo uso (OTP, 2FA) y la autenticación de directorios (LDAP, SAML, etcétera), no se aplican a la autenticación de la API de Looker.

Por este motivo, borrar la información de un usuario de un protocolo de autenticación de usuarios no borra sus credenciales de API. Con los procedimientos que se indican en la página de documentación Borra la información personal del usuario, se quitan todos los datos personales de los usuarios de Looker, lo que impide que accedan a sus cuentas, incluso a través de la API.

Administra las credenciales de la API

  • Se pueden vincular varios conjuntos de credenciales de API a una sola cuenta de usuario de Looker.
  • Las credenciales de la API se pueden crear y borrar sin afectar el estado de la cuenta de usuario.
  • Borrar una cuenta de usuario de Looker invalida todas las credenciales de API vinculadas a la cuenta de usuario.
  • El secreto del cliente de la API se debe mantener en privado. Evita almacenar secretos de cliente de API en el código fuente o en otros lugares que muchas personas puedan ver.
  • En producción, evita usar credenciales de API vinculadas a cuentas de administrador de Looker. Crea cuentas de usuario con privilegios mínimos específicamente para actividades de API (a menudo llamadas “cuentas de servicio”) y crear credenciales de API en esas cuentas. Otorga solo los permisos necesarios para las actividades de la API previstas.

Autenticación HTTPS

Incluso si usas un SDK cliente para encargarte de los detalles de autenticación por ti, es posible que tengas dudas sobre cómo funciona la autenticación de la API de Looker. Para obtener detalles de bajo nivel sobre la autenticación, consulta Cómo autenticarse en la API de Looker en GitHub.

Autenticación con OAuth

Looker puede usar el protocolo uso compartido de recursos entre dominios (CORS) para permitir que las aplicaciones web realicen llamadas a la API de Looker desde fuera del dominio de una instancia de Looker. Consulta la página de documentación sobre la autenticación de la API de Looker con OAuth para obtener información sobre cómo configurar la autenticación de CORS.