Restringir el permiso de OAuth a solo lectura para las conexiones de Google BigQuery

Antes de Looker 24.20, cuando se configuraba la autenticación de OAuth para las conexiones de Google BigQuery, Looker creaba credenciales de OAuth que permitían al usuario de la base de datos solicitar permisos de lectura y escritura. A partir de Looker 24.20, Looker solicita permisos de OAuth de solo lectura para las nuevas conexiones OAuth de BigQuery, las nuevas autorizaciones OAuth de conexiones OAuth de BigQuery y las nuevas autorizaciones de conexiones OAuth de BigQuery.

Ten en cuenta lo siguiente en el caso de las conexiones de Google BigQuery con ámbitos de solo lectura:

A partir del 1 de marzo del 2025, Looker cerrará la sesión de todos los usuarios que no hayan vuelto a autorizar con permisos de solo lectura de OAuth en todas las conexiones de BigQuery correspondientes. En consecuencia, fallarán todas las programaciones que dependan de estas conexiones. Cada uno de estos usuarios tendrá que volver a autorizar sus credenciales de conexión de OAuth para asegurarse de que la programación se envíe sin interrupciones. También puedes reasignar una programación a un usuario que haya vuelto a autorizar sus credenciales de conexión de OAuth.

Para que la transición a las credenciales de OAuth actualizadas sea fluida, sigue los pasos que se indican en las secciones siguientes:

Volver a autorizar las credenciales de conexión de OAuth

Para actualizar tus credenciales de OAuth y usar un ámbito de solo lectura, sigue estos pasos:

  1. Vaya a la página Cuenta.
  2. En la sección Credenciales de conexión de OAuth, haz clic en Volver a autorizar junto a cada conjunto de credenciales.
  3. Se te pedirá que vuelvas a autorizar a Looker para acceder a los datos de BigQuery. En la pantalla de confirmación debería aparecer el permiso "Ver tus datos en Google BigQuery" en lugar de "Consultar y gestionar tus datos en Google BigQuery".

Todos los usuarios que tengan credenciales de OAuth para la conexión de BigQuery deberán completar estos pasos.

Generar una lista de todos los usuarios con programaciones que puedan verse afectadas

Para generar una lista de todos los usuarios sin credenciales de OAuth de solo lectura que hayan creado programaciones en tus conexiones de BigQuery, ve al Explore Actividad del sistema siguiente y sustituye INSTANCE_NAME por la dirección de tu instancia de Looker (por ejemplo, https://example.cloud.looker.com).

INSTANCE_NAME/explore/system__activity/scheduled_plan_oauth_events?fields=user.name,count,query.model&f[query.model]=-NULL&f[count]=0&sorts=user.name&limit=500&column_limit=50&query_timezone=America%2FLos_Angeles&vis=%7B%22show_view_names%22%3Afalse%2C%22show_row_numbers%22%3Atrue%2C%22transpose%22%3Afalse%2C%22truncate_text%22%3Atrue%2C%22hide_totals%22%3Afalse%2C%22hide_row_totals%22%3Afalse%2C%22size_to_fit%22%3Atrue%2C%22table_theme%22%3A%22white%22%2C%22limit_displayed_rows%22%3Afalse%2C%22enable_conditional_formatting%22%3Afalse%2C%22header_text_alignment%22%3A%22left%22%2C%22header_font_size%22%3A12%2C%22rows_font_size%22%3A12%2C%22conditional_formatting_include_totals%22%3Afalse%2C%22conditional_formatting_include_nulls%22%3Afalse%2C%22x_axis_gridlines%22%3Afalse%2C%22y_axis_gridlines%22%3Atrue%2C%22show_y_axis_labels%22%3Atrue%2C%22show_y_axis_ticks%22%3Atrue%2C%22y_axis_tick_density%22%3A%22default%22%2C%22y_axis_tick_density_custom%22%3A5%2C%22show_x_axis_label%22%3Atrue%2C%22show_x_axis_ticks%22%3Atrue%2C%22y_axis_scale_mode%22%3A%22linear%22%2C%22x_axis_reversed%22%3Afalse%2C%22y_axis_reversed%22%3Afalse%2C%22plot_size_by_field%22%3Afalse%2C%22trellis%22%3A%22%22%2C%22stacking%22%3A%22%22%2C%22legend_position%22%3A%22center%22%2C%22point_style%22%3A%22none%22%2C%22show_value_labels%22%3Afalse%2C%22label_density%22%3A25%2C%22x_axis_scale%22%3A%22auto%22%2C%22y_axis_combined%22%3Atrue%2C%22ordering%22%3A%22none%22%2C%22show_null_labels%22%3Afalse%2C%22show_totals_labels%22%3Afalse%2C%22show_silhouette%22%3Afalse%2C%22totals_color%22%3A%22%23808080%22%2C%22type%22%3A%22looker_grid%22%2C%22defaults_version%22%3A1%2C%22series_types%22%3A%7B%7D%2C%22hidden_fields%22%3A%5B%22count%22%5D%7D&filter_config=%7B%22query.model%22%3A%5B%7B%22type%22%3A%22%21null%22%2C%22values%22%3A%5B%7B%7D%2C%7B%7D%5D%2C%22id%22%3A0%7D%5D%2C%22count%22%3A%5B%7B%22type%22%3A%22%3D%22%2C%22values%22%3A%5B%7B%22constant%22%3A%220%22%7D%2C%7B%7D%5D%2C%22id%22%3A1%7D%5D%2C%22__%21internal%21__%22%3A%5B%22OR%22%2C%5B%5B%22AND%22%2C%5B%5B%22FILTER%22%2C%7B%22field%22%3A%22query.model%22%2C%22value%22%3A%22-NULL%22%2C%22type%22%3A%22%21null%22%7D%5D%2C%5B%22FILTER%22%2C%7B%22field%22%3A%22count%22%2C%22value%22%3A%220%22%7D%5D%5D%5D%5D%5D%7D&dynamic_fields=%5B%7B%22category%22%3A%22measure%22%2C%22expression%22%3Anull%2C%22label%22%3A%22Count%22%2C%22value_format%22%3Anull%2C%22value_format_name%22%3Anull%2C%22based_on%22%3A%22event_attribute.value%22%2C%22_kind_hint%22%3A%22measure%22%2C%22measure%22%3A%22count%22%2C%22type%22%3A%22count_distinct%22%2C%22_type_hint%22%3A%22number%22%2C%22filters%22%3A%7B%22event_attribute.value%22%3A%22%25%2Fauth%2Fbigquery.readonly%25%22%7D%7D%5D&origin=share-expanded

Cada uno de estos usuarios tendrá que volver a autorizar sus credenciales de conexión de OAuth para asegurarse de que la programación se envíe sin interrupciones.

(Opcional) Forzar el uso del ámbito de solo lectura en tu instancia de Looker

Para cerrar la sesión de todos los usuarios que tengan credenciales de OAuth que permitan el permiso de lectura y escritura en cualquiera de tus conexiones de BigQuery, sigue estos pasos:

  1. Vaya a la página Configuración de administrador > Configuración general .
  2. Activa la opción Forzar el uso del alcance de solo lectura de BigQuery y haz clic en Actualizar.

Este proceso no vuelve a iniciar la sesión de los usuarios en BigQuery. Se pedirá a tus usuarios que inicien sesión en BigQuery la próxima vez que ejecuten una consulta basada en un modelo con una conexión de BigQuery. Las programaciones que dependan de estas conexiones no funcionarán hasta que el usuario inicie sesión. También puedes reasignar una programación a ti mismo o a otro usuario que ya haya vuelto a autorizar sus credenciales de conexión OAuth.