为 Looker (Google Cloud Core) 实例创建 OAuth 授权凭据

即使您要使用其他身份验证方法在 Looker (Google Cloud Core) 实例中验证用户身份,也必须设置 OAuth 客户端,并且必须在创建 Looker (Google Cloud Core) 实例时生成 OAuth 凭据。

使用 OAuth 时,Looker (Google Cloud Core) 通过 OAuth 2.0 协议对用户进行身份验证。创建实例时,可使用任何 OAuth 2.0 客户端创建授权凭据。例如,本页面将引导您完成通过 Google Cloud 控制台创建 OAuth 凭据,为 Looker (Google Cloud Core) 实例设置身份验证的步骤。

所需的角色

如需使用 Google Cloud 控制台创建和修改 OAuth 凭据,您需要以下权限。(如需隐藏权限列表,请收起所需权限部分。)

所需权限

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

您还可以通过自定义角色或其他预定义角色获取所需的权限。如需详细了解如何授予角色,请参阅 Identity and Access Management (IAM) 文档中的管理对项目、文件夹和组织的访问权限页面。

创建 Looker (Google Cloud Core) 实例的准备工作

在创建 Looker (Google Cloud Core) 实例之前,请完成以下步骤。

创建 OAuth 凭据的第一步是配置同意屏幕。Looker (Google Cloud Core) 实例用户首次登录时以及授权过期用户撤消授权时,系统都会向其显示同意屏幕。

  1. 前往要在其中创建 OAuth 客户端的项目。您可以在所需的任何 Google Cloud 项目中设置 OAuth 客户端。它不必与 Looker (Google Cloud Core) 实例是同一项目。不过,在此项目中必须启用 Looker (Google Cloud Core) API。
  2. 依次转到 API 和服务 > 凭据
  3. 点击创建凭据
  4. 从下拉菜单中选择 OAuth 客户端 ID
  5. 点击配置同意屏幕

  6. 用户类型下,选择以下选项之一:

  7. 点击创建

  8. 点击创建会打开 OAuth 同意屏幕面板。

    • 应用名称用户支持电子邮件地址开发者联系信息字段为必填字段。
    • 已获授权的网域部分中,网域必须与使用 OAuth 凭据的 Looker (Google Cloud Core) 实例的网域一致。如果您要为 Looker (Google Cloud Core) 实例创建自定义网域且知道要分配给该实例的网域,可以立即输入该网域。否则,您可以将此字段留空,并在创建 Looker (Google Cloud Core) 实例后添加已获授权的重定向 URI

  9. 点击保存并继续

  10. 如果需要,请在 Scopes 面板中添加 scopes。点击保存并继续

  11. 如果需要,请在测试用户面板中添加测试用户。点击保存并继续

  12. 点击摘要面板上的返回信息中心。您会返回到创建 OAuth 客户端 ID 页面。

生成 OAuth 客户端 ID 和客户端密钥

完成同意屏幕的初始配置后,您可以创建 OAuth 客户端并为该客户端生成客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例期间必须提供这些值。

  1. 凭据页面中,点击创建凭据
  2. 从下拉菜单中选择 OAuth 客户端 ID
  3. 应用类型下拉菜单中,选择 Web 应用
  4. 名称字段中,输入 OAuth 客户端的名称。
  5. 点击创建

点击创建后,系统会显示已创建 OAuth 客户端窗口。此窗口会显示为您的 OAuth 客户端创建的客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例时,您将需要提供这些值。

(可选)点击下载 JSON,以 .json 文件的形式下载凭据信息。点击 OK 以关闭窗口。

在创建 Looker (Google Cloud Core) 实例期间

创建 Looker (Google Cloud Core) 实例时,请在 OAuth 应用凭据部分添加 OAuth 客户端 ID 和客户端密钥。如果没有 OAuth 凭据,将无法创建实例。

创建 Looker (Google Cloud Core) 实例后

只要您的 OAuth 客户端获得 Looker (Google Cloud Core) 实例的正确授权网域,就可以投入使用。如果您在客户端设置期间添加了已获授权的网域,则 OAuth 配置已完成。如果您在设置过程中没有添加已获授权的网域,请按照以下说明完成配置。

将已获授权的重定向 URI 添加到 OAuth 客户端

如果您尚未执行此操作,请按照以下步骤在 OAuth 客户端中输入新创建的 Looker (Google Cloud Core) 实例的网址。

  1. 创建 Looker (Google Cloud Core) 实例后,请查找并复制该实例的网址。您可以在实例页面上找到该网址。
  1. 在 Google Cloud 控制台中,依次前往 API 和服务 > 凭据
  2. OAuth 2.0 客户端 ID 标题下,点击您创建的客户端的名称。
  3. 已获授权的重定向 URI 部分中,点击添加 URI
  4. 将 Looker (Google Cloud Core) 实例的网址粘贴到 URI 字段中。将 /oauth2callback 添加到网址末尾。例如:https://uuid.looker.app/oauth2callback
  5. 点击保存

管理用户

配置 OAuth 客户端并创建 Looker (Google Cloud Core) 实例后,您可以为实例选择身份验证方法

如果将 OAuth 用作主要身份验证方法,请按照使用 Google OAuth 进行 Looker (Google Cloud Core) 用户身份验证文档页面所述的步骤完成用户身份验证的 OAuth 设置。

设置身份验证方法后,您可以通过身份提供方添加或移除用户,并在 Looker 中管理用户

修改 Looker (Google Cloud Core) 实例的 OAuth 客户端

如果需要,您可以按照以下步骤修改或更改 Looker (Google Cloud Core) 实例的 OAuth 凭据:

  1. 设置新客户端或新凭据。
  2. 在 Google Cloud 控制台的实例页面中,点击实例名称以打开详情页面。
  3. 详情页面中,点击修改
  4. 修改 Looker (Google Cloud Core) 实例页面的 OAuth 客户端 IDOAuth 客户端密钥字段中输入新值。
  5. 点击保存

后续步骤