Como restringir o escopo do OAuth a somente leitura para conexões do Google BigQuery

Antes do Looker 24.20, quando a autenticação OAuth para conexões do Google BigQuery estava sendo configurada, o Looker criava credenciais do OAuth que permitiam ao usuário do banco de dados solicitar escopo de leitura e gravação. A partir do Looker 24.20, o Looker solicita escopos somente leitura do OAuth para novas conexões OAuth do BigQuery, novas autorizações OAuth para conexões OAuth do BigQuery e novas autorizações para conexões OAuth do BigQuery.

Observações sobre conexões do Google BigQuery com escopos somente leitura:

A partir de 1º de março de 2025, o Looker vai encerrar a sessão de todos os usuários que não tiverem feito a reautorização com escopos somente leitura do OAuth em todas as conexões correspondentes do BigQuery. Isso vai fazer com que todos os agendamentos dependentes dessas conexões falhem. Cada um desses usuários precisará autorizar novamente as credenciais de conexão OAuth para garantir a entrega ininterrupta da programação. Também é possível reatribuir uma programação a um usuário que reautorizou as credenciais de conexão OAuth.

Para garantir uma transição tranquila para as credenciais OAuth atualizadas, siga as etapas nas seções a seguir:

Reautorizar suas credenciais de conexão OAuth

Para atualizar suas credenciais do OAuth e usar um escopo somente leitura, siga estas etapas:

  1. Acesse a página Conta.
  2. Na seção Credenciais de conexão OAuth, clique em Autorizar novamente ao lado de cada conjunto de credenciais.
  3. Você vai precisar autorizar novamente o Looker a acessar os dados do BigQuery. A tela de confirmação deve listar a permissão "Ver seus dados no Google BigQuery" em vez de "Ver e gerenciar seus dados no Google BigQuery".

Cada usuário com credenciais do OAuth para a conexão do BigQuery precisa concluir essas etapas.

Gerar uma lista de todos os usuários com programações potencialmente afetadas

Para gerar uma lista de todos os usuários sem credenciais OAuth somente leitura que criaram programações nas suas conexões do BigQuery, acesse a seguinte análise detalhada da atividade do sistema, substituindo INSTANCE_NAME pelo endereço da sua instância do Looker (como https://example.cloud.looker.com).

INSTANCE_NAME/explore/system__activity/scheduled_plan_oauth_events?fields=user.name,count,query.model&f[query.model]=-NULL&f[count]=0&sorts=user.name&limit=500&column_limit=50&query_timezone=America%2FLos_Angeles&vis=%7B%22show_view_names%22%3Afalse%2C%22show_row_numbers%22%3Atrue%2C%22transpose%22%3Afalse%2C%22truncate_text%22%3Atrue%2C%22hide_totals%22%3Afalse%2C%22hide_row_totals%22%3Afalse%2C%22size_to_fit%22%3Atrue%2C%22table_theme%22%3A%22white%22%2C%22limit_displayed_rows%22%3Afalse%2C%22enable_conditional_formatting%22%3Afalse%2C%22header_text_alignment%22%3A%22left%22%2C%22header_font_size%22%3A12%2C%22rows_font_size%22%3A12%2C%22conditional_formatting_include_totals%22%3Afalse%2C%22conditional_formatting_include_nulls%22%3Afalse%2C%22x_axis_gridlines%22%3Afalse%2C%22y_axis_gridlines%22%3Atrue%2C%22show_y_axis_labels%22%3Atrue%2C%22show_y_axis_ticks%22%3Atrue%2C%22y_axis_tick_density%22%3A%22default%22%2C%22y_axis_tick_density_custom%22%3A5%2C%22show_x_axis_label%22%3Atrue%2C%22show_x_axis_ticks%22%3Atrue%2C%22y_axis_scale_mode%22%3A%22linear%22%2C%22x_axis_reversed%22%3Afalse%2C%22y_axis_reversed%22%3Afalse%2C%22plot_size_by_field%22%3Afalse%2C%22trellis%22%3A%22%22%2C%22stacking%22%3A%22%22%2C%22legend_position%22%3A%22center%22%2C%22point_style%22%3A%22none%22%2C%22show_value_labels%22%3Afalse%2C%22label_density%22%3A25%2C%22x_axis_scale%22%3A%22auto%22%2C%22y_axis_combined%22%3Atrue%2C%22ordering%22%3A%22none%22%2C%22show_null_labels%22%3Afalse%2C%22show_totals_labels%22%3Afalse%2C%22show_silhouette%22%3Afalse%2C%22totals_color%22%3A%22%23808080%22%2C%22type%22%3A%22looker_grid%22%2C%22defaults_version%22%3A1%2C%22series_types%22%3A%7B%7D%2C%22hidden_fields%22%3A%5B%22count%22%5D%7D&filter_config=%7B%22query.model%22%3A%5B%7B%22type%22%3A%22%21null%22%2C%22values%22%3A%5B%7B%7D%2C%7B%7D%5D%2C%22id%22%3A0%7D%5D%2C%22count%22%3A%5B%7B%22type%22%3A%22%3D%22%2C%22values%22%3A%5B%7B%22constant%22%3A%220%22%7D%2C%7B%7D%5D%2C%22id%22%3A1%7D%5D%2C%22__%21internal%21__%22%3A%5B%22OR%22%2C%5B%5B%22AND%22%2C%5B%5B%22FILTER%22%2C%7B%22field%22%3A%22query.model%22%2C%22value%22%3A%22-NULL%22%2C%22type%22%3A%22%21null%22%7D%5D%2C%5B%22FILTER%22%2C%7B%22field%22%3A%22count%22%2C%22value%22%3A%220%22%7D%5D%5D%5D%5D%5D%7D&dynamic_fields=%5B%7B%22category%22%3A%22measure%22%2C%22expression%22%3Anull%2C%22label%22%3A%22Count%22%2C%22value_format%22%3Anull%2C%22value_format_name%22%3Anull%2C%22based_on%22%3A%22event_attribute.value%22%2C%22_kind_hint%22%3A%22measure%22%2C%22measure%22%3A%22count%22%2C%22type%22%3A%22count_distinct%22%2C%22_type_hint%22%3A%22number%22%2C%22filters%22%3A%7B%22event_attribute.value%22%3A%22%25%2Fauth%2Fbigquery.readonly%25%22%7D%7D%5D&origin=share-expanded

Cada um desses usuários precisará autorizar novamente as credenciais de conexão OAuth para garantir a entrega ininterrupta da programação.

(Opcional) Forçar o uso do escopo somente leitura em toda a instância do Looker

Para encerrar a sessão de todos os usuários com credenciais do OAuth que permitem o escopo de leitura e gravação de qualquer uma das suas conexões do BigQuery, siga estas etapas:

  1. Acesse a página Configurações de administrador > Configurações gerais .
  2. Alterne a configuração Forçar o uso do escopo somente leitura do BigQuery para "Ativado" e clique em Atualizar.

Esse processo não faz com que os usuários façam login novamente no BigQuery. Os usuários vão precisar fazer login no BigQuery na próxima vez que executarem uma consulta com base em um modelo com uma conexão do BigQuery. Todos os programações dependentes dessas conexões vão falhar até que o usuário faça login. Você também pode reatribuir uma programação para você ou outro usuário que já tenha reautorizado as credenciais de conexão OAuth.