Limiter l'étendue OAuth à "lecture seule" pour les connexions Google BigQuery

Avant Looker 24.20, lorsque l'authentification OAuth pour les connexions Google BigQuery était configurée, Looker créait des identifiants OAuth qui permettaient à l'utilisateur de la base de données de demander un accès en lecture et en écriture. À partir de Looker 24.20, Looker demande des niveaux d'accès OAuth en lecture seule pour toutes les nouvelles connexions BigQuery OAuth, les nouvelles autorisations OAuth pour les connexions BigQuery OAuth existantes et les nouvelles autorisations pour les connexions BigQuery OAuth existantes.

Notez les points suivants concernant les connexions Google BigQuery avec des autorisations en lecture seule :

À partir du 1er mars 2025, Looker déconnectera tous les utilisateurs qui ne se sont pas réauthentifiés avec des niveaux d'accès OAuth en lecture seule de toutes les connexions BigQuery correspondantes. Cela entraînera l'échec de tous les plannings qui dépendent de ces connexions. Chacun de ces utilisateurs devra réautoriser ses identifiants de connexion OAuth pour que les rapports planifiés continuent d'être envoyés. Vous pouvez également réattribuer une programmation à un utilisateur qui a réautorisé ses identifiants de connexion OAuth.

Pour assurer une transition fluide vers les identifiants OAuth mis à jour, suivez les étapes décrites dans les sections suivantes :

Réautoriser vos identifiants de connexion OAuth

Pour mettre à jour vos identifiants OAuth afin d'utiliser un champ en lecture seule, procédez comme suit :

  1. Accédez à la page "Compte".
  2. Dans la section Identifiants de connexion OAuth, cliquez sur Réautoriser à côté de chaque ensemble d'identifiants.
  3. Vous serez invité à autoriser à nouveau Looker à accéder aux données BigQuery. L'écran de confirmation doit indiquer l'autorisation "Afficher vos données dans Google BigQuery" plutôt que "Afficher et gérer vos données dans Google BigQuery".

Chaque utilisateur disposant d'identifiants OAuth pour la connexion BigQuery devra suivre ces étapes.

Générer une liste de tous les utilisateurs dont les plannings sont potentiellement concernés

Pour générer la liste de tous les utilisateurs sans identifiants OAuth en lecture seule qui ont créé des plannings sur vos connexions BigQuery, accédez à l'explorateur d'activité système suivant, en remplaçant INSTANCE_NAME par l'adresse de votre instance Looker (par exemple, https://example.cloud.looker.com).

INSTANCE_NAME/explore/system__activity/scheduled_plan_oauth_events?fields=user.name,count,query.model&f[query.model]=-NULL&f[count]=0&sorts=user.name&limit=500&column_limit=50&query_timezone=America%2FLos_Angeles&vis=%7B%22show_view_names%22%3Afalse%2C%22show_row_numbers%22%3Atrue%2C%22transpose%22%3Afalse%2C%22truncate_text%22%3Atrue%2C%22hide_totals%22%3Afalse%2C%22hide_row_totals%22%3Afalse%2C%22size_to_fit%22%3Atrue%2C%22table_theme%22%3A%22white%22%2C%22limit_displayed_rows%22%3Afalse%2C%22enable_conditional_formatting%22%3Afalse%2C%22header_text_alignment%22%3A%22left%22%2C%22header_font_size%22%3A12%2C%22rows_font_size%22%3A12%2C%22conditional_formatting_include_totals%22%3Afalse%2C%22conditional_formatting_include_nulls%22%3Afalse%2C%22x_axis_gridlines%22%3Afalse%2C%22y_axis_gridlines%22%3Atrue%2C%22show_y_axis_labels%22%3Atrue%2C%22show_y_axis_ticks%22%3Atrue%2C%22y_axis_tick_density%22%3A%22default%22%2C%22y_axis_tick_density_custom%22%3A5%2C%22show_x_axis_label%22%3Atrue%2C%22show_x_axis_ticks%22%3Atrue%2C%22y_axis_scale_mode%22%3A%22linear%22%2C%22x_axis_reversed%22%3Afalse%2C%22y_axis_reversed%22%3Afalse%2C%22plot_size_by_field%22%3Afalse%2C%22trellis%22%3A%22%22%2C%22stacking%22%3A%22%22%2C%22legend_position%22%3A%22center%22%2C%22point_style%22%3A%22none%22%2C%22show_value_labels%22%3Afalse%2C%22label_density%22%3A25%2C%22x_axis_scale%22%3A%22auto%22%2C%22y_axis_combined%22%3Atrue%2C%22ordering%22%3A%22none%22%2C%22show_null_labels%22%3Afalse%2C%22show_totals_labels%22%3Afalse%2C%22show_silhouette%22%3Afalse%2C%22totals_color%22%3A%22%23808080%22%2C%22type%22%3A%22looker_grid%22%2C%22defaults_version%22%3A1%2C%22series_types%22%3A%7B%7D%2C%22hidden_fields%22%3A%5B%22count%22%5D%7D&filter_config=%7B%22query.model%22%3A%5B%7B%22type%22%3A%22%21null%22%2C%22values%22%3A%5B%7B%7D%2C%7B%7D%5D%2C%22id%22%3A0%7D%5D%2C%22count%22%3A%5B%7B%22type%22%3A%22%3D%22%2C%22values%22%3A%5B%7B%22constant%22%3A%220%22%7D%2C%7B%7D%5D%2C%22id%22%3A1%7D%5D%2C%22__%21internal%21__%22%3A%5B%22OR%22%2C%5B%5B%22AND%22%2C%5B%5B%22FILTER%22%2C%7B%22field%22%3A%22query.model%22%2C%22value%22%3A%22-NULL%22%2C%22type%22%3A%22%21null%22%7D%5D%2C%5B%22FILTER%22%2C%7B%22field%22%3A%22count%22%2C%22value%22%3A%220%22%7D%5D%5D%5D%5D%5D%7D&dynamic_fields=%5B%7B%22category%22%3A%22measure%22%2C%22expression%22%3Anull%2C%22label%22%3A%22Count%22%2C%22value_format%22%3Anull%2C%22value_format_name%22%3Anull%2C%22based_on%22%3A%22event_attribute.value%22%2C%22_kind_hint%22%3A%22measure%22%2C%22measure%22%3A%22count%22%2C%22type%22%3A%22count_distinct%22%2C%22_type_hint%22%3A%22number%22%2C%22filters%22%3A%7B%22event_attribute.value%22%3A%22%25%2Fauth%2Fbigquery.readonly%25%22%7D%7D%5D&origin=share-expanded

Chacun de ces utilisateurs devra réautoriser ses identifiants de connexion OAuth pour que les rapports planifiés continuent d'être envoyés.

(Facultatif) Forcer l'utilisation du champ d'application en lecture seule dans votre instance Looker

Pour déconnecter tous les utilisateurs disposant d'identifiants OAuth qui leur permettent d'accéder en lecture et en écriture à l'une de vos connexions BigQuery, procédez comme suit :

  1. Accédez à la page Paramètres de l'administrateur > Paramètres généraux .
  2. Définissez le paramètre Forcer l'utilisation du niveau d'accès en lecture seule pour BigQuery sur "Activé", puis cliquez sur Mettre à jour.

Ce processus ne reconnecte pas vos utilisateurs à BigQuery. La prochaine fois que vos utilisateurs exécuteront une requête basée sur un modèle avec une connexion BigQuery, ils seront invités à se connecter à BigQuery. Toutes les planifications qui dépendent de ces connexions échoueront tant que l'utilisateur ne se sera pas connecté. Vous pouvez également réattribuer une programmation à vous-même ou à un autre utilisateur qui a déjà réautorisé ses identifiants de connexion OAuth.