Damit Sie die Looker API verwenden können, müssen Sie sich zuerst authentifizieren. Die erforderlichen Schritte hängen davon ab, ob Sie ein SDK verwenden oder nicht.
Authentifizierung mit einem SDK
Dies ist die empfohlene Methode für die API-Authentifizierung:
Erstellen Sie API-Anmeldedaten auf der Seite Nutzer im Bereich „Verwaltung“ Ihrer Looker-Instanz. Wenn Sie kein Looker-Administrator sind, bitten Sie Ihren Looker-Administrator, die API-Anmeldedaten für Sie zu erstellen.
API-Anmeldedaten sind immer an ein Looker-Nutzerkonto gebunden. API-Anfragen werden „als“ der Nutzer ausgeführt, der mit den API-Anmeldedaten verknüpft ist. API-Aufrufe geben nur Daten zurück, die der Nutzer sehen darf, und ändern nur Daten, die der Nutzer ändern darf.
Die generierten API-Anmeldedaten umfassen eine Client-ID und einen Clientschlüssel. Diese müssen Sie dem SDK zur Verfügung stellen. Eine Anleitung dazu finden Sie in der SDK-Dokumentation.
Das SDK kümmert sich dann darum, die erforderlichen Zugriffstokens abzurufen und in alle nachfolgenden API-Anfragen einzufügen.
Authentifizierung ohne SDK
Die API-Authentifizierung mit einem SDK ist die empfohlene Methode. So authentifizieren Sie sich ohne SDK:
Erstellen Sie API-Anmeldedaten auf der Seite „Nutzer“ im Bereich „Admin“ Ihrer Looker-Instanz. Wenn Sie kein Looker-Administrator sind, bitten Sie Ihren Looker-Administrator, die API-Anmeldedaten für Sie zu erstellen.
API-Anmeldedaten sind immer an ein Looker-Nutzerkonto gebunden. API-Anfragen werden „als“ der Nutzer ausgeführt, der mit den API-Anmeldedaten verknüpft ist. API-Aufrufe geben nur Daten zurück, die der Nutzer sehen darf, und ändern nur Daten, die der Nutzer ändern darf.
Rufe den Endpunkt
login
der API auf, um ein kurzfristiges OAuth 2.0-Zugriffstoken zu erhalten. Sie müssen die API-Anmeldedaten angeben, die Sie in Schritt 1 generiert haben. Sie enthalten eine Client-ID und einen Clientschlüssel.Fügen Sie dieses Zugriffstoken in den HTTP-Autorisierungsheader der Looker API-Anfragen ein. Eine Looker API-Anfrage mit einem Autorisierungsheader könnte beispielsweise so aussehen:
GET /api/4.0/user HTTP/1.1 Host: test.looker.com Date: Wed, 19 Oct 2023 12:34:56 -0700 Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
Das OAuth 2.0-Zugriffstoken kann für mehrere API-Anfragen verwendet werden, bis es abläuft oder durch Aufrufen des Endpunkts logout
ungültig wird. API-Anfragen mit einem abgelaufenen Zugriffstoken schlagen mit der HTTP-Antwort 401 Authorization Required
fehl.
API-Interaktion mit den Anmeldeeinstellungen des Nutzers
Die Looker API-Authentifizierung ist völlig unabhängig von der Anmeldung von Looker-Nutzern. Protokolle zur Nutzerauthentifizierung wie Einmalpasswörter (OTP, 2FA) und Verzeichnisauthentifizierung (LDAP, SAML usw.) gelten nicht für die Authentifizierung der Looker API.
Aus diesem Grund werden durch das Löschen von Nutzerdaten aus einem Nutzerauthentifizierungsprotokoll nicht seine API-Anmeldedaten gelöscht. Wenn Sie die Verfahren auf der Dokumentationsseite Löschen personenbezogener Nutzerdaten ausführen, werden alle personenbezogenen Daten eines Nutzers aus Looker entfernt. Er kann sich dann nicht mehr anmelden, auch nicht über die API.
API-Anmeldedaten verwalten
- Mehrere Sätze von API-Anmeldedaten können an ein einzelnes Looker-Benutzerkonto gebunden werden.
- API-Anmeldedaten können erstellt und gelöscht werden, ohne dass sich das auf den Status des Nutzerkontos auswirkt.
- Wenn Sie ein Looker-Nutzerkonto löschen, werden alle API-Anmeldedaten ungültig, die mit dem Nutzerkonto verknüpft sind.
- Das API-Client-Secret muss vertraulich behandelt werden. Speichern Sie API-Client-Secrets nicht im Quellcode oder an anderen Orten, an denen sie von vielen Personen gesehen werden können.
- Verwenden Sie in der Produktionsumgebung keine API-Anmeldedaten, die an Looker-Administratorkonten gebunden sind. Erstellen Sie Nutzerkonten mit minimalen Berechtigungen speziell für API-Aktivitäten (häufig als „Dienstkonten“ bezeichnet) und erstellen Sie API-Anmeldedaten für diese Konten. Gewähren Sie nur die Berechtigungen, die für die vorgesehenen API-Aktivitäten erforderlich sind.
HTTPS-Authentifizierung
Auch wenn Sie ein Client-SDK verwenden, um die Authentifizierungsdetails für Sie zu übernehmen, sind Sie vielleicht trotzdem neugierig, wie die Looker-API-Authentifizierung funktioniert. Weitere Informationen zur Authentifizierung finden Sie im Artikel zur Authentifizierung bei der Looker API auf GitHub (in englischer Sprache).
Authentifizierung mit OAuth
Looker kann das Cross-Origin Resource Sharing (CORS)-Protokoll verwenden, damit Webanwendungen die Looker API von außerhalb der Domain einer Looker-Instanz aufrufen können. Informationen zum Konfigurieren der CORS-Authentifizierung finden Sie auf der Dokumentationsseite Looker API-Authentifizierung mit OAuth.