Autenticação da API Looker

Para fazer qualquer coisa com a API Looker, primeiro você precisa se autenticar nela. As etapas necessárias dependem se você está usando ou não um SDK.

Autenticação com um SDK

Este é o método recomendado para autenticação de API:

  1. Crie credenciais da API na página "Usuários" na seção "Administrador" da sua instância do Looker. Se você não for um administrador do Looker, peça para o administrador criar as credenciais da API.

    As credenciais da API estão sempre vinculadas a uma conta de usuário do Looker. As solicitações de API são executadas "como" o usuário associado às credenciais da API. As chamadas para a API só vão retornar dados que o usuário tem permissão para ver e modificar apenas o que ele tem permissão para modificar.

  2. As credenciais de API que você gerou incluem um ID e uma chave secreta do cliente. Será necessário fornecê-los ao SDK. As instruções para fazer isso estão na documentação do SDK.

Em seguida, o SDK se encarrega de obter os tokens de acesso necessários e inseri-los em todas as solicitações de API subsequentes.

Autenticação sem um SDK

A autenticação da API com um SDK é o método recomendado. Para fazer a autenticação sem um SDK:

  1. Crie credenciais da API na página "Usuários" na seção "Administrador" da sua instância do Looker. Se você não administra o Looker, peça para essa pessoa criar as credenciais da API para você.

    As credenciais da API estão sempre vinculadas a uma conta de usuário do Looker. As solicitações de API são executadas "como" o usuário associado às credenciais da API. As chamadas para a API só vão retornar dados que o usuário tem permissão para ver e modificar apenas o que ele tem permissão para modificar.

  2. Para receber um token de acesso OAuth 2.0 de curto prazo, chame o endpoint login da API. Você vai precisar fornecer as credenciais da API que gerou na etapa 1, que incluem um ID e uma chave secreta do cliente.

  3. Coloque esse token de acesso no cabeçalho de autorização HTTP das solicitações da API Looker. Este é um exemplo de solicitação da API Looker com um cabeçalho de autorização:

    GET /api/4.0/user HTTP/1.1
    Host: test.looker.com
    Date: Wed, 19 Oct 2023 12:34:56 -0700
    Authorization: token mt6Xc8jJC9GfJzKBQ5SqFZTZRVX8KY6k49TMPS8F
    

O token de acesso do OAuth 2.0 pode ser usado em várias solicitações de API até que ele expire ou seja invalidado ao chamar o endpoint logout. As solicitações de API que usam um token de acesso expirado vão falhar com uma resposta HTTP 401 Authorization Required.

Interação da API com as configurações de login do usuário

A autenticação da API Looker é completamente independente do login do usuário do Looker. Os protocolos de autenticação do usuário, como senhas únicas (OTP, 2FA) e autenticação de diretório (LDAP, SAML etc.) não se aplicam à autenticação da API Looker.

Por isso, excluir as informações de um usuário de um protocolo de autenticação do usuário não exclui as credenciais da API. O uso dos procedimentos na página de documentação Como excluir informações pessoais do usuário remove todos os dados pessoais de um usuário do Looker, impedindo que ele faça login, inclusive pela API.

Como gerenciar credenciais de API

  • Vários conjuntos de credenciais de API podem ser vinculados a uma única conta de usuário do Looker.
  • As credenciais da API podem ser criadas e excluídas sem afetar o estado da conta do usuário.
  • A exclusão de uma conta de usuário do Looker invalida todas as credenciais da API vinculadas à conta.
  • A chave secreta do cliente da API precisa ser mantida em sigilo. Evite armazenar chaves secretas do cliente da API no código-fonte ou em outros lugares que pode ser vista por muitas pessoas.
  • Na produção, evite usar credenciais de API vinculadas a contas de administrador do Looker. Criar contas de usuário com privilégios mínimos especificamente para atividades de API (geralmente chamadas de "contas de serviço") e criar credenciais de API nessas contas. Conceda apenas as permissões necessárias para as atividades pretendidas da API.

Autenticação HTTPS

Mesmo que você esteja usando um SDK do cliente para cuidar dos detalhes de autenticação, talvez ainda tenha curiosidade sobre como a autenticação da API Looker funciona. Para detalhes de baixo nível sobre a autenticação, consulte Como fazer a autenticação na API Looker (link em inglês) no GitHub.

Autenticação usando o OAuth

O Looker pode usar o protocolo de Compartilhamento de recursos entre origens (CORS, na sigla em inglês) para permitir que aplicativos da Web façam chamadas para a API Looker de fora do domínio de uma instância do Looker. Consulte a página de documentação Autenticação da API Looker usando OAuth para saber como configurar a autenticação CORS.