Looker verwendet OAuth, damit sich OAuth-Clientanwendungen bei der Looker API authentifizieren können, ohne Client-IDs und Clientschlüssel für den Browser offenzulegen, in dem die OAuth-Clientanwendung ausgeführt wird.
Webanwendungen, die OAuth verwenden, müssen die folgenden Anforderungen erfüllen:
- Die Authentifizierung mit OAuth ist nur mit der Looker API 4.0 verfügbar.
- OAuth-Clientanwendungen müssen zuerst über die API bei Looker registriert werden, bevor sich Nutzer der Anwendung bei Looker authentifizieren können.
- Clientanwendungen müssen HTTPS für alle Anfragen an die Looker API verwenden. Clientanwendungen, die die vom Browser bereitgestellten
SubtleCrypto-APIs verwenden möchten, müssen über HTTPS gehostet werden.
CORS-Unterstützung für die Looker API
Die Looker API unterstützt Aufrufe im Browser und ursprungsübergreifend über das Cross-Origin Resource Sharing (CORS)-Protokoll. Für die CORS-Unterstützung in Looker gelten die folgenden Anforderungen:
- Die API kann nur über CORS von Ursprüngen aufgerufen werden, die in der Zulassungsliste für eingebettete Domains aufgeführt sind.
Nur Zugriffstokens, die über OAuth oder durch Aufrufen des
/login-API-Endpunkt abgerufen wurden, können für Aufrufe der Looker API über CORS verwendet werden.Der API-Endpunkt
/loginkann nicht mit CORS-Anfragen aufgerufen werden. Clientanwendungen, die die Looker API mit CORS-Anfragen aufrufen möchten, müssen entweder den in Nutzeranmeldung mit OAuth durchführen beschriebenen OAuth-Anmeldeprozess verwenden oder ein Token von Ihrem Anwendungsserver oder von Nicht-CORS-API-Aufrufen abrufen.
OAuth-Authentifizierung – Übersicht
Hier eine Übersicht über den OAuth-Authentifizierungsprozess:
- OAuth-Clientanwendung bei der Looker API registrieren
- Fügen Sie die Quelle Ihrer OAuth-Clientanwendung der Zulassungsliste für eingebettete Domains für den API-Aufruf zum Codeaustausch und alle nachfolgenden CORS-API-Aufrufe hinzu.
- Leiten Sie die Browser-URL zum
/auth-Endpunkt auf dem Looker-UI-Hostname (nicht dem Looker API-Hostname) um, wenn die OAuth-Clientanwendung versucht, einen Nutzer zu authentifizieren. Beispiel:https://instance_name.looker.com. - Wenn der Nutzer erfolgreich authentifiziert und in Looker angemeldet ist, gibt Looker sofort eine OAuth-Weiterleitung an die OAuth-Clientanwendung zurück. Wenn der Nutzer auf dem Gerät und im Browser noch nicht in Looker angemeldet ist, wird der Looker-Anmeldebildschirm angezeigt und der Nutzer wird aufgefordert, sich mit seinem regulären Authentifizierungsprotokoll in seinem Looker-Nutzerkonto anzumelden.
- Mit dem im OAuth-Redirect zurückgegebenen Autorisierungscode sollte Ihre OAuth-Clientanwendung als Nächstes den
/token-Endpunkt auf dem Looker API-Hostname aufrufen, z. B.https://instance_name.looker.com:19999. Der API-Hostname kann mit dem Looker-UI-Hostname identisch sein oder davon abweichen. Der Endpunkt/tokenist nur auf dem Looker API-Host und der Endpunkt/authnur auf dem Looker-UI-Host vorhanden. - Wenn der an den
/token-Endpunkt übergebene Autorisierungscode gültig ist, gibt Looker ein API-access_tokenzurück, das für CORS-API-Anfragen von der Domain der OAuth-Clientanwendung aktiviert ist.
OAuth-Clientanwendung registrieren
Jede OAuth-Clientanwendung, die versucht, sich über OAuth bei der Looker API zu authentifizieren, muss zuerst bei der Looker-Instanz registriert werden, bevor Looker den Zugriff autorisiert. So registrieren Sie eine OAuth-Clientanwendung:
- Öffnen Sie den API Explorer in Ihrer Looker-Instanz.
- Wählen Sie im Drop-down-Menü für die Version die API-Version 4.0 – stabil aus.
Suchen Sie unter der Methode Auth nach dem API-Endpunkt
register_oauth_client_app(). Sie können auch im Feld Suchen nach „OAuth-App“ suchen. Mitregister_oauth_client_app()können Sie Ihre OAuth-Clientanwendung bei Looker registrieren. Klicken Sie auf die Schaltfläche Ausführen, geben Sie die Parameter im API Explorer ein und klicken Sie noch einmal auf Ausführen, um die OAuth-Clientanwendung zu registrieren. Alternativ können Sie denregister_oauth_client_app()-API-Endpunkt programmgesteuert verwenden. Die erforderlichenregister_oauth_client_app()-Parameter sind:client_guid: Eine global eindeutige ID für die Anwendungredirect_uri: Der URI, unter dem die Anwendung eine OAuth-Weiterleitung mit einem Autorisierungscode empfängt.display_name: Der Name der Anwendung, der den Nutzern der Anwendung angezeigt wirddescription: Eine Beschreibung der Anwendung, die Nutzern auf einer Offenlegungs- und Bestätigungsseite angezeigt wird, wenn sich ein Nutzer zum ersten Mal über die Anwendung anmeldet.
Die Werte in den Parametern
client_guidundredirect_urimüssen genau mit den Werten übereinstimmen, die von der OAuth-Clientanwendung bereitgestellt werden. Andernfalls wird die Authentifizierung abgelehnt.
Nutzeranmeldung mit OAuth
Leiten Sie den Nutzer zum Endpunkt
/authauf dem UI-Host weiter. Beispiel:async function oauth_login() { const code_verifier = secure_random(32) const code_challenge = await sha256_hash(code_verifier) const params = { response_type: 'code', client_id: '123456', redirect_uri: 'https://mywebapp.com:3000/authenticated', scope: 'cors_api', state: '1235813', code_challenge_method: 'S256', code_challenge: code_challenge, } const url = `${base_url}?${new URLSearchParams(params).toString()}` // Replace base_url with your full Looker instance's UI host URL, plus the `/auth` endpoint. log(url) // Stash the code verifier we created in sessionStorage, which // will survive page loads caused by login redirects // The code verifier value is needed after the login redirect // to redeem the auth_code received for an access_token // sessionStorage.setItem('code_verifier', code_verifier) document.location = url } function array_to_hex(array) { return Array.from(array).map(b => b.toString(16).padStart(2,'0')).join('') } function secure_random(byte_count) { const array = new Uint8Array(byte_count); crypto.getRandomValues(array); return array_to_hex(array) } async function sha256_hash(message) { const msgUint8 = new TextEncoder().encode(message) const hashBuffer = await crypto.subtle.digest('SHA-256', msgUint8) return base64.urlEncode(hashBuffer)) // Refers to the implementation of base64.encode stored at https://gist.github.com/jhurliman/1250118 }Looker versucht, den Nutzer mit dem Authentifizierungssystem zu authentifizieren, für das die Looker-Instanz konfiguriert ist.
- Wenn der Nutzer im aktuellen Browser bereits in Looker angemeldet ist (d. h. ein aktiver Anmelde-Cookie ist vorhanden), wird er nicht aufgefordert, seine Anmeldedaten einzugeben.
- Wenn sich dieser Nutzer zum ersten Mal mit dieser OAuth-Clientanwendung anmeldet, wird in Looker eine Seite mit Offenlegung und Bestätigung angezeigt, die der Nutzer bestätigen und akzeptieren muss. Der Text aus dem
description-Parameter, der bei der Registrierung der Anwendung verwendet wurde, wird angezeigt. Die Beschreibung sollte angeben, was die Anwendung mit dem Looker-Konto des Nutzers tun möchte. Wenn der Nutzer auf Akzeptieren klickt, wird er zur Anwendungredirect_uriweitergeleitet. - Wenn der Nutzer im aktuellen Browser bereits in Looker angemeldet ist und die Offenlegungsseite bereits bestätigt hat, erfolgt die OAuth-Anmeldung sofort und ohne visuelle Unterbrechung.
Die Looker API gibt eine OAuth-Weiterleitung an die OAuth-Clientanwendung zurück. Speichern Sie den im URI-Parameter aufgeführten Autorisierungscode. Hier sehen Sie ein Beispiel für einen OAuth-Weiterleitungs-URI:
https://mywebapp.com:3000/authenticated?&code=asdfasdfassdf&state=...Der Autorisierungscode wird nach
&code=im URI angezeigt. In diesem Beispiel lautet der Autorisierungscodeasdfasdfassdf.Senden Sie eine Webanfrage an den
/token-Endpunkt in der Looker API und übergeben Sie den Autorisierungscode und Ihre Anwendungsinformationen. Beispiel:async function redeem_auth_code(response_str) { const params = new URLSearchParams(response_str) const auth_code = params.get('code') if (!auth_code) { log('ERROR: No authorization code in response') return } log(`auth code received: ${auth_code}`) log(`state: ${params.get('state')}`) const code_verifier = sessionStorage.getItem('code_verifier') if (!code_verifier) { log('ERROR: Missing code_verifier in session storage') return } sessionStorage.removeItem('code_verifier') const response = await fetch('https://mycompany.looker.com:19999/api/token', { // This is the URL of your Looker instance's API web service method: 'POST', mode: 'cors', // This line is required so that the browser will attempt a CORS request. body: stringify({ grant_type: 'authorization_code', client_id: '123456', redirect_uri: 'https://mywebapp.com:3000/authenticated', code: auth_code, code_verifier: code_verifier, }), headers: { 'x-looker-appid': 'Web App Auth & CORS API Demo', // This header is optional. 'Content-Type': 'application/json;charset=UTF-8' // This header is required. }, }).catch((error) => { log(`Error: ${error.message}`) }) const info = await response.json() log(`/api/token response: ${stringify(info)}`) // Store the access_token and other info, // which in this example is done in sessionStorage const expires_at = new Date(Date.now() + (info.expires_in * 1000)) info.expires_at = expires_at log(`Access token expires at ${expires_at.toLocaleTimeString()} local time.`) sessionStorage.setItem('access_info', stringify(info)) access_info = info }Eine erfolgreiche Antwort stellt der OAuth-Clientanwendung eine API-
access_tokenzur Verfügung. Die Antwort enthält auch einrefresh_token, das Sie später verwenden können, um ohne Nutzerinteraktion ein neuesaccess_tokenzu erhalten. Einrefresh_tokenist einen Monat lang gültig. Bewahren Sie dierefresh_tokensicher auf.Alle Tokens in diesem System können jederzeit vom Looker-Administrator widerrufen werden.