Limitare l'ambito OAuth a sola lettura per le connessioni a Google BigQuery

Prima di Looker 24.20, quando veniva configurata l'autenticazione OAuth per le connessioni Google BigQuery, Looker creava credenziali OAuth che consentivano all'utente del database di richiedere l'ambito di lettura e scrittura. A partire da Looker 24.20, Looker richiede invece ambiti di sola lettura OAuth per qualsiasi nuova connessione BigQuery OAuth, nuove autorizzazioni OAuth per le connessioni BigQuery OAuth esistenti e riautorizzazioni per le connessioni BigQuery OAuth esistenti.

Tieni presente quanto segue per le connessioni Google BigQuery con ambiti di sola lettura:

A partire dal 1° marzo 2025, Looker disconnetterà tutti gli utenti che non hanno eseguito una nuova autorizzazione con ambiti di sola lettura OAuth da tutte le connessioni BigQuery corrispondenti. In questo modo, tutte le pianificazioni che dipendono da queste connessioni non andranno a buon fine. Ciascuno di questi utenti dovrà autorizzare nuovamente le proprie credenziali di connessione OAuth per garantire la pubblicazione continua della pianificazione. Puoi anche riassegnare una pianificazione a un utente che ha riautorizzato le credenziali di connessione OAuth.

Per garantire una transizione senza problemi alle credenziali OAuth aggiornate, segui i passaggi descritti nelle sezioni successive:

Riautorizzare le credenziali di connessione OAuth

Per aggiornare le credenziali OAuth in modo da utilizzare un ambito di sola lettura:

  1. Vai alla pagina Account.
  2. Nella sezione Credenziali di connessione OAuth, fai clic su Autorizza di nuovo accanto a ogni insieme di credenziali.
  3. Ti verrà chiesto di autorizzare nuovamente Looker ad accedere ai dati BigQuery. Nella schermata di conferma dovrebbe essere elencata l'autorizzazione "Visualizza i tuoi dati in Google BigQuery" anziché "Visualizza e gestisci i tuoi dati in Google BigQuery".

Ogni utente che dispone delle credenziali OAuth per la connessione BigQuery dovrà completare questi passaggi.

Generare un elenco di tutti gli utenti con pianificazioni potenzialmente interessate

Per generare un elenco di tutti gli utenti senza credenziali OAuth di sola lettura che hanno creato pianificazioni nelle tue connessioni BigQuery, visita la seguente esplorazione dell'attività di sistema, sostituendo INSTANCE_NAME con l'indirizzo della tua istanza di Looker (ad esempio https://example.cloud.looker.com).

INSTANCE_NAME/explore/system__activity/scheduled_plan_oauth_events?fields=user.name,count,query.model&f[query.model]=-NULL&f[count]=0&sorts=user.name&limit=500&column_limit=50&query_timezone=America%2FLos_Angeles&vis=%7B%22show_view_names%22%3Afalse%2C%22show_row_numbers%22%3Atrue%2C%22transpose%22%3Afalse%2C%22truncate_text%22%3Atrue%2C%22hide_totals%22%3Afalse%2C%22hide_row_totals%22%3Afalse%2C%22size_to_fit%22%3Atrue%2C%22table_theme%22%3A%22white%22%2C%22limit_displayed_rows%22%3Afalse%2C%22enable_conditional_formatting%22%3Afalse%2C%22header_text_alignment%22%3A%22left%22%2C%22header_font_size%22%3A12%2C%22rows_font_size%22%3A12%2C%22conditional_formatting_include_totals%22%3Afalse%2C%22conditional_formatting_include_nulls%22%3Afalse%2C%22x_axis_gridlines%22%3Afalse%2C%22y_axis_gridlines%22%3Atrue%2C%22show_y_axis_labels%22%3Atrue%2C%22show_y_axis_ticks%22%3Atrue%2C%22y_axis_tick_density%22%3A%22default%22%2C%22y_axis_tick_density_custom%22%3A5%2C%22show_x_axis_label%22%3Atrue%2C%22show_x_axis_ticks%22%3Atrue%2C%22y_axis_scale_mode%22%3A%22linear%22%2C%22x_axis_reversed%22%3Afalse%2C%22y_axis_reversed%22%3Afalse%2C%22plot_size_by_field%22%3Afalse%2C%22trellis%22%3A%22%22%2C%22stacking%22%3A%22%22%2C%22legend_position%22%3A%22center%22%2C%22point_style%22%3A%22none%22%2C%22show_value_labels%22%3Afalse%2C%22label_density%22%3A25%2C%22x_axis_scale%22%3A%22auto%22%2C%22y_axis_combined%22%3Atrue%2C%22ordering%22%3A%22none%22%2C%22show_null_labels%22%3Afalse%2C%22show_totals_labels%22%3Afalse%2C%22show_silhouette%22%3Afalse%2C%22totals_color%22%3A%22%23808080%22%2C%22type%22%3A%22looker_grid%22%2C%22defaults_version%22%3A1%2C%22series_types%22%3A%7B%7D%2C%22hidden_fields%22%3A%5B%22count%22%5D%7D&filter_config=%7B%22query.model%22%3A%5B%7B%22type%22%3A%22%21null%22%2C%22values%22%3A%5B%7B%7D%2C%7B%7D%5D%2C%22id%22%3A0%7D%5D%2C%22count%22%3A%5B%7B%22type%22%3A%22%3D%22%2C%22values%22%3A%5B%7B%22constant%22%3A%220%22%7D%2C%7B%7D%5D%2C%22id%22%3A1%7D%5D%2C%22__%21internal%21__%22%3A%5B%22OR%22%2C%5B%5B%22AND%22%2C%5B%5B%22FILTER%22%2C%7B%22field%22%3A%22query.model%22%2C%22value%22%3A%22-NULL%22%2C%22type%22%3A%22%21null%22%7D%5D%2C%5B%22FILTER%22%2C%7B%22field%22%3A%22count%22%2C%22value%22%3A%220%22%7D%5D%5D%5D%5D%5D%7D&dynamic_fields=%5B%7B%22category%22%3A%22measure%22%2C%22expression%22%3Anull%2C%22label%22%3A%22Count%22%2C%22value_format%22%3Anull%2C%22value_format_name%22%3Anull%2C%22based_on%22%3A%22event_attribute.value%22%2C%22_kind_hint%22%3A%22measure%22%2C%22measure%22%3A%22count%22%2C%22type%22%3A%22count_distinct%22%2C%22_type_hint%22%3A%22number%22%2C%22filters%22%3A%7B%22event_attribute.value%22%3A%22%25%2Fauth%2Fbigquery.readonly%25%22%7D%7D%5D&origin=share-expanded

Ciascuno di questi utenti dovrà autorizzare nuovamente le proprie credenziali di connessione OAuth per garantire la pubblicazione continua della pianificazione.

(Facoltativo) Forza l'utilizzo dell'ambito di sola lettura nell'istanza di Looker

Per disconnettere tutti gli utenti che dispongono di credenziali OAuth che consentono l'ambito di lettura e scrittura da una qualsiasi delle tue connessioni BigQuery:

  1. Vai alla pagina Impostazioni amministratore - Impostazioni generali .
  2. Imposta l'opzione Forza l'utilizzo dell'ambito di sola lettura di BigQuery su "Attivato" e fai clic su Aggiorna.

Questa procedura non consente agli utenti di accedere nuovamente a BigQuery. Agli utenti verrà chiesto di accedere a BigQuery la prossima volta che eseguiranno una query basata su un modello con una connessione BigQuery. Tutte le pianificazioni che dipendono da queste connessioni non andranno a buon fine finché l'utente non avrà eseguito l'accesso. Puoi anche riassegnare una pianificazione a te o a un altro utente che ha già riautorizzato le credenziali di connessione OAuth.