Google BigQuery 接続の OAuth スコープを読み取り専用に制限する

Looker 24.20 より前は、Google BigQuery 接続の OAuth 認証を設定すると、データベース ユーザーが読み取り / 書き込みスコープをリクエストできる OAuth 認証情報が作成されていました。Looker 24.20 以降では、新しい BigQuery OAuth 接続、既存の BigQuery OAuth 接続に対する新しい OAuth 承認、既存の BigQuery OAuth 接続に対する再承認に対して、OAuth 読み取り専用スコープがリクエストされます。

2025 年 3 月 1 日より、OAuth 読み取り専用スコープで再承認していないユーザーは、対応するすべての BigQuery 接続からログアウトされます。これにより、これらの接続に依存するスケジュールが失敗します。スケジュール配信が中断されないようにするには、これらのユーザーがそれぞれ OAuth 接続認証情報を再承認する必要があります。OAuth 接続認証情報を再承認したユーザーにスケジュールを再割り当てすることもできます。

更新された OAuth 認証情報にシームレスに移行するには、次のセクションの手順に沿って操作します。

OAuth 接続認証情報を再承認する

読み取り専用スコープを使用するように OAuth 認証情報を更新する手順は次のとおりです。

  1. [アカウント] ページに移動します。
  2. [OAuth 接続認証情報] セクションで、各認証情報の横にある [再承認] をクリックします。
  3. BigQuery データへのアクセスについて、Looker の再承認を求めるメッセージが表示されます。確認画面に、[Google BigQuery 内のデータの表示と管理] ではなく、[Google BigQuery 内のデータの表示] 権限が表示されます。

BigQuery 接続の OAuth 認証情報を持つ各ユーザーは、これらの手順を完了する必要があります。

影響を受ける可能性があるスケジュールを持つすべてのユーザーのリストを生成します。

BigQuery 接続でスケジュールを作成した、読み取り専用の OAuth 認証情報のないすべてのユーザーのリストを生成するには、次のシステム アクティビティ Explore にアクセスし、INSTANCE_NAME を Looker インスタンスのアドレス(https://example.cloud.looker.com など)に置き換えます。

INSTANCE_NAME/explore/system__activity/scheduled_plan_oauth_events?fields=user.name,count,query.model&f[query.model]=-NULL&f[count]=0&sorts=user.name&limit=500&column_limit=50&query_timezone=America%2FLos_Angeles&vis=%7B%22show_view_names%22%3Afalse%2C%22show_row_numbers%22%3Atrue%2C%22transpose%22%3Afalse%2C%22truncate_text%22%3Atrue%2C%22hide_totals%22%3Afalse%2C%22hide_row_totals%22%3Afalse%2C%22size_to_fit%22%3Atrue%2C%22table_theme%22%3A%22white%22%2C%22limit_displayed_rows%22%3Afalse%2C%22enable_conditional_formatting%22%3Afalse%2C%22header_text_alignment%22%3A%22left%22%2C%22header_font_size%22%3A12%2C%22rows_font_size%22%3A12%2C%22conditional_formatting_include_totals%22%3Afalse%2C%22conditional_formatting_include_nulls%22%3Afalse%2C%22x_axis_gridlines%22%3Afalse%2C%22y_axis_gridlines%22%3Atrue%2C%22show_y_axis_labels%22%3Atrue%2C%22show_y_axis_ticks%22%3Atrue%2C%22y_axis_tick_density%22%3A%22default%22%2C%22y_axis_tick_density_custom%22%3A5%2C%22show_x_axis_label%22%3Atrue%2C%22show_x_axis_ticks%22%3Atrue%2C%22y_axis_scale_mode%22%3A%22linear%22%2C%22x_axis_reversed%22%3Afalse%2C%22y_axis_reversed%22%3Afalse%2C%22plot_size_by_field%22%3Afalse%2C%22trellis%22%3A%22%22%2C%22stacking%22%3A%22%22%2C%22legend_position%22%3A%22center%22%2C%22point_style%22%3A%22none%22%2C%22show_value_labels%22%3Afalse%2C%22label_density%22%3A25%2C%22x_axis_scale%22%3A%22auto%22%2C%22y_axis_combined%22%3Atrue%2C%22ordering%22%3A%22none%22%2C%22show_null_labels%22%3Afalse%2C%22show_totals_labels%22%3Afalse%2C%22show_silhouette%22%3Afalse%2C%22totals_color%22%3A%22%23808080%22%2C%22type%22%3A%22looker_grid%22%2C%22defaults_version%22%3A1%2C%22series_types%22%3A%7B%7D%2C%22hidden_fields%22%3A%5B%22count%22%5D%7D&filter_config=%7B%22query.model%22%3A%5B%7B%22type%22%3A%22%21null%22%2C%22values%22%3A%5B%7B%7D%2C%7B%7D%5D%2C%22id%22%3A0%7D%5D%2C%22count%22%3A%5B%7B%22type%22%3A%22%3D%22%2C%22values%22%3A%5B%7B%22constant%22%3A%220%22%7D%2C%7B%7D%5D%2C%22id%22%3A1%7D%5D%2C%22__%21internal%21__%22%3A%5B%22OR%22%2C%5B%5B%22AND%22%2C%5B%5B%22FILTER%22%2C%7B%22field%22%3A%22query.model%22%2C%22value%22%3A%22-NULL%22%2C%22type%22%3A%22%21null%22%7D%5D%2C%5B%22FILTER%22%2C%7B%22field%22%3A%22count%22%2C%22value%22%3A%220%22%7D%5D%5D%5D%5D%5D%7D&dynamic_fields=%5B%7B%22category%22%3A%22measure%22%2C%22expression%22%3Anull%2C%22label%22%3A%22Count%22%2C%22value_format%22%3Anull%2C%22value_format_name%22%3Anull%2C%22based_on%22%3A%22event_attribute.value%22%2C%22_kind_hint%22%3A%22measure%22%2C%22measure%22%3A%22count%22%2C%22type%22%3A%22count_distinct%22%2C%22_type_hint%22%3A%22number%22%2C%22filters%22%3A%7B%22event_attribute.value%22%3A%22%25%2Fauth%2Fbigquery.readonly%25%22%7D%7D%5D&origin=share-expanded

スケジュール配信が中断されないようにするには、これらのユーザーがそれぞれ OAuth 接続認証情報を再承認する必要があります。

(省略可)Looker インスタンス全体で読み取り専用スコープの使用を強制する

任意の BigQuery 接続からの読み取りと書き込みのスコープを許可する OAuth 認証情報を持つすべてのユーザーをログアウトするには、次の操作を行います。

  1. [管理者設定 - 全般設定 ] ページに移動します。
  2. [BigQuery の読み取り専用スコープの使用を強制する] 設定を [有効] に切り替え、[更新] をクリックします。

このプロセスでは、ユーザーが BigQuery に再ログインすることはありません。次回、BigQuery 接続のあるモデルに基づくクエリを実行するときに、BigQuery にログインするよう求めるメッセージが表示されます。これらの接続に依存するスケジュールは、ユーザーがログインするまで失敗します。自分自身または OAuth 接続認証情報をすでに再承認している別のユーザーにスケジュールを再割り当てすることもできます。