Limiter l'étendue OAuth à "lecture seule" pour les connexions Google BigQuery

Avant Looker 24.20, lorsque vous configuriez l'authentification OAuth pour les connexions Google BigQuery, Looker créait des identifiants OAuth qui permettaient à l'utilisateur de la base de données de demander un niveau d'accès en lecture/écriture. À partir de Looker 24.20, Looker demande des portées OAuth en lecture seule pour toutes les nouvelles connexions OAuth BigQuery, les nouvelles autorisations OAuth pour les connexions OAuth BigQuery existantes et les réautorisations pour les connexions OAuth BigQuery existantes.

À partir du 1er mars 2025, Looker déconnectera tous les utilisateurs qui ne se sont pas réautorisés avec des portées OAuth en lecture seule de toutes les connexions BigQuery correspondantes. Toutes les planifications dépendant de ces connexions échoueront. Chacun de ces utilisateurs devra réautoriser ses identifiants de connexion OAuth pour garantir la diffusion ininterrompue des calendriers. Vous pouvez également réattribuer une programmation à un utilisateur qui a réautorisé ses identifiants de connexion OAuth.

Pour assurer une transition fluide vers les identifiants OAuth mis à jour, suivez les étapes décrites dans les sections précédentes:

Réautoriser vos identifiants de connexion OAuth

Pour mettre à jour vos identifiants OAuth afin d'utiliser un champ d'application en lecture seule, procédez comme suit:

  1. Accédez à la page Compte.
  2. Dans la section Identifiants de connexion OAuth, cliquez sur Réautoriser à côté de chaque ensemble d'identifiants.
  3. Vous serez invité à réautoriser Looker à accéder aux données BigQuery. L'écran de confirmation doit indiquer l'autorisation "Afficher vos données dans Google BigQuery" plutôt que "Afficher et gérer vos données dans Google BigQuery".

Chaque utilisateur disposant d'identifiants OAuth pour la connexion BigQuery devra suivre ces étapes.

Générer une liste de tous les utilisateurs dont les planifications sont potentiellement concernées

Pour générer la liste de tous les utilisateurs sans identifiants OAuth en lecture seule qui ont créé des planifications sur vos connexions BigQuery, accédez à l'exploration "Activité système" suivante, en remplaçant INSTANCE_NAME par l'adresse de votre instance Looker (par exemple, https://example.cloud.looker.com).

INSTANCE_NAME/explore/system__activity/scheduled_plan_oauth_events?fields=user.name,count,query.model&f[query.model]=-NULL&f[count]=0&sorts=user.name&limit=500&column_limit=50&query_timezone=America%2FLos_Angeles&vis=%7B%22show_view_names%22%3Afalse%2C%22show_row_numbers%22%3Atrue%2C%22transpose%22%3Afalse%2C%22truncate_text%22%3Atrue%2C%22hide_totals%22%3Afalse%2C%22hide_row_totals%22%3Afalse%2C%22size_to_fit%22%3Atrue%2C%22table_theme%22%3A%22white%22%2C%22limit_displayed_rows%22%3Afalse%2C%22enable_conditional_formatting%22%3Afalse%2C%22header_text_alignment%22%3A%22left%22%2C%22header_font_size%22%3A12%2C%22rows_font_size%22%3A12%2C%22conditional_formatting_include_totals%22%3Afalse%2C%22conditional_formatting_include_nulls%22%3Afalse%2C%22x_axis_gridlines%22%3Afalse%2C%22y_axis_gridlines%22%3Atrue%2C%22show_y_axis_labels%22%3Atrue%2C%22show_y_axis_ticks%22%3Atrue%2C%22y_axis_tick_density%22%3A%22default%22%2C%22y_axis_tick_density_custom%22%3A5%2C%22show_x_axis_label%22%3Atrue%2C%22show_x_axis_ticks%22%3Atrue%2C%22y_axis_scale_mode%22%3A%22linear%22%2C%22x_axis_reversed%22%3Afalse%2C%22y_axis_reversed%22%3Afalse%2C%22plot_size_by_field%22%3Afalse%2C%22trellis%22%3A%22%22%2C%22stacking%22%3A%22%22%2C%22legend_position%22%3A%22center%22%2C%22point_style%22%3A%22none%22%2C%22show_value_labels%22%3Afalse%2C%22label_density%22%3A25%2C%22x_axis_scale%22%3A%22auto%22%2C%22y_axis_combined%22%3Atrue%2C%22ordering%22%3A%22none%22%2C%22show_null_labels%22%3Afalse%2C%22show_totals_labels%22%3Afalse%2C%22show_silhouette%22%3Afalse%2C%22totals_color%22%3A%22%23808080%22%2C%22type%22%3A%22looker_grid%22%2C%22defaults_version%22%3A1%2C%22series_types%22%3A%7B%7D%2C%22hidden_fields%22%3A%5B%22count%22%5D%7D&filter_config=%7B%22query.model%22%3A%5B%7B%22type%22%3A%22%21null%22%2C%22values%22%3A%5B%7B%7D%2C%7B%7D%5D%2C%22id%22%3A0%7D%5D%2C%22count%22%3A%5B%7B%22type%22%3A%22%3D%22%2C%22values%22%3A%5B%7B%22constant%22%3A%220%22%7D%2C%7B%7D%5D%2C%22id%22%3A1%7D%5D%2C%22__%21internal%21__%22%3A%5B%22OR%22%2C%5B%5B%22AND%22%2C%5B%5B%22FILTER%22%2C%7B%22field%22%3A%22query.model%22%2C%22value%22%3A%22-NULL%22%2C%22type%22%3A%22%21null%22%7D%5D%2C%5B%22FILTER%22%2C%7B%22field%22%3A%22count%22%2C%22value%22%3A%220%22%7D%5D%5D%5D%5D%5D%7D&dynamic_fields=%5B%7B%22category%22%3A%22measure%22%2C%22expression%22%3Anull%2C%22label%22%3A%22Count%22%2C%22value_format%22%3Anull%2C%22value_format_name%22%3Anull%2C%22based_on%22%3A%22event_attribute.value%22%2C%22_kind_hint%22%3A%22measure%22%2C%22measure%22%3A%22count%22%2C%22type%22%3A%22count_distinct%22%2C%22_type_hint%22%3A%22number%22%2C%22filters%22%3A%7B%22event_attribute.value%22%3A%22%25%2Fauth%2Fbigquery.readonly%25%22%7D%7D%5D&origin=share-expanded

Chacun de ces utilisateurs devra réautoriser ses identifiants de connexion OAuth pour garantir la diffusion ininterrompue des calendriers.

(Facultatif) Forcer l'utilisation du champ d'application en lecture seule dans votre instance Looker

Pour déconnecter tous les utilisateurs disposant d'identifiants OAuth permettant d'accéder en lecture et en écriture à l'une de vos connexions BigQuery, procédez comme suit:

  1. Accédez à la page Paramètres de l'administrateur - Paramètres généraux .
  2. Définissez le paramètre Forcer l'utilisation du niveau d'accès en lecture seule pour BigQuery sur "Activé", puis cliquez sur Mettre à jour.

Ce processus ne reconnecte pas vos utilisateurs à BigQuery. Vos utilisateurs seront invités à se connecter à BigQuery la prochaine fois qu'ils exécuteront une requête basée sur un modèle avec une connexion BigQuery. Toutes les planifications dépendant de ces connexions échoueront jusqu'à ce que l'utilisateur se connecte. Vous pouvez également réattribuer une programmation à vous-même ou à un autre utilisateur qui a déjà réautorisé ses identifiants de connexion OAuth.