Beim Erstellen einer Looker (Google Cloud Core)-Instanz müssen ein OAuth-Client eingerichtet und OAuth-Anmeldedaten generiert werden, auch wenn Sie eine andere Authentifizierungsmethode für die Authentifizierung Ihrer Nutzer in einer Looker (Google Cloud Core)-Instanz verwenden möchten.
Erforderliche Rollen
Wenn Sie OAuth-Anmeldedaten über die Google Cloud Console erstellen und bearbeiten möchten, benötigen Sie die folgenden Berechtigungen. Wenn Sie die Liste der Berechtigungen ausblenden möchten, minimieren Sie den Abschnitt Erforderliche Berechtigungen.
Erforderliche Berechtigungen
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie in der IAM-Dokumentation (Identity and Access Management) auf der Seite Zugriff auf Projekte, Ordner und Organisationen verwalten.
Vor dem Erstellen einer Looker (Google Cloud Core)-Instanz
Führen Sie die folgenden Schritte aus, bevor Sie eine Looker-Instanz (Google Cloud Core) erstellen.
Bildschirm zur Einwilligung der Nutzer, Bereiche und Testnutzer konfigurieren
Der erste Schritt beim Erstellen Ihrer OAuth-Anmeldedaten besteht darin, den Zustimmungsbildschirm zu konfigurieren. Der Einwilligungsbildschirm wird einem Nutzer der Looker-Instanz (Google Cloud Core) bei der ersten Anmeldung und immer dann angezeigt, wenn seine Autorisierung abläuft oder vom Nutzer widerrufen wird.
- Rufen Sie das Projekt auf, in dem Sie den OAuth-Client erstellen möchten. Sie können den OAuth-Client in einem beliebigen Google Cloud Projekt einrichten. Es muss sich nicht um dasselbe Projekt wie die Looker (Google Cloud Core)-Instanz handeln. Die Looker API (Google Cloud Core) muss jedoch in diesem Projekt aktiviert sein.
- Rufen Sie APIs & Dienste > Anmeldedaten auf.
- Klicken Sie auf Anmeldedaten erstellen.
- Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.
- Klicken Sie auf Zustimmungsbildschirm konfigurieren.
Wählen Sie unter Nutzertyp eine der folgenden Optionen aus:
- Intern: Nur Nutzer in Ihrer Organisation
- Extern: Nutzer mit jeglicher Art von Google-Konto
Klicken Sie auf Erstellen.
Wenn Sie auf Erstellen klicken, wird der Bereich OAuth-Zustimmungsbildschirm geöffnet.
- Die Felder App-Name, E-Mail-Adresse für den Nutzersupport und Kontaktdaten des Entwicklers sind erforderlich.
- Im Abschnitt Autorisierte Domains muss die Domain mit der Domain der Looker-Instanz (Google Cloud Core) übereinstimmen, für die die OAuth-Anmeldedaten verwendet werden. Wenn Sie eine benutzerdefinierte Domain für Ihre Looker (Google Cloud Core)-Instanz erstellen und die Domain kennen, die Sie ihr zuweisen möchten, können Sie sie jetzt eingeben. Andernfalls können Sie dieses Feld leer lassen und die autorisierte Weiterleitungs-URI hinzufügen, nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde.
Klicken Sie auf Speichern und fortfahren.
Fügen Sie gegebenenfalls im Bereich Bereiche Bereiche hinzu. Klicken Sie auf Speichern und fortfahren.
Fügen Sie ggf. Testnutzer im Bereich Testnutzer hinzu. Klicken Sie auf Speichern und fortfahren.
Klicken Sie im Bereich Zusammenfassung auf Zurück zum Dashboard. Sie werden zur Seite OAuth-Client-ID erstellen zurückgeleitet.
OAuth-Client-ID und Clientschlüssel generieren
Nach der Erstkonfiguration des Einwilligungsbildschirms können Sie einen OAuth-Client erstellen und die Client-ID und den Clientschlüssel für diesen Client generieren. Diese Werte sind beim Erstellen der Looker-Instanz (Google Cloud Core) erforderlich.
- Klicken Sie auf der Seite Anmeldedaten auf Anmeldedaten erstellen.
- Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.
- Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus.
- Geben Sie im Feld Name einen Namen für Ihren OAuth-Client ein.
- Klicken Sie auf Erstellen.
Nachdem Sie auf Erstellen geklickt haben, wird das Fenster OAuth-Client erstellt angezeigt. In diesem Fenster werden die Client-ID und der Clientschlüssel angezeigt, die für Ihren OAuth-Client erstellt wurden. Diese Werte sind erforderlich, wenn Sie die Looker-Instanz (Google Cloud Core) erstellen.
Optional können Sie auf JSON herunterladen klicken, um die Anmeldedaten in einer .json-Datei herunterzuladen. Klicken Sie auf OK, um das Fenster zu schließen.
Während der Erstellung einer Looker-Instanz (Google Cloud Core)
Fügen Sie beim Erstellen der Looker (Google Cloud Core)-Instanz die OAuth-Client-ID und das OAuth-Secret im Abschnitt Anmeldedaten für OAuth-Anwendung hinzu. Eine Instanz kann nicht ohne OAuth-Anmeldedaten erstellt werden.
Nach dem Erstellen einer Looker (Google Cloud Core)-Instanz
Sobald Ihr OAuth-Client die richtige autorisierte Domain für die Looker (Google Cloud Core)-Instanz hat, kann er verwendet werden. Wenn du die autorisierte Domain während der Clienteinrichtung hinzugefügt hast, ist die OAuth-Konfiguration abgeschlossen. Wenn Sie die autorisierte Domain während der Einrichtung nicht hinzugefügt haben, folgen Sie der Anleitung unten, um die Konfiguration abzuschließen.
Autorisierten Weiterleitungs-URI zum OAuth-Client hinzufügen
Wenn Sie dies noch nicht getan haben, folgen Sie dieser Anleitung, um die URL der neu erstellten Looker (Google Cloud Core)-Instanz in den OAuth-Client einzugeben.
- Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, suchen Sie die URL für die Instanz und kopieren Sie sie. Sie finden die URL auf der Seite Instanzen.
- Rufen Sie in der Google Cloud Console APIs und Dienste > Anmeldedaten auf.
- Klicken Sie unter der Überschrift OAuth 2.0-Client-IDs auf den Namen des von Ihnen erstellten Clients.
- Klicken Sie im Abschnitt Autorisierte Weiterleitungs-URIs auf URI hinzufügen.
- Fügen Sie die URL der Looker (Google Cloud Core)-Instanz in das Feld URIs ein. Fügen Sie am Ende der URL
/oauth2callbackhinzu. Beispiel:https://uuid.looker.app/oauth2callback - Klicken Sie auf Speichern.
Nutzer verwalten
Nachdem der OAuth-Client konfiguriert und die Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie die Authentifizierungsmethode für Ihre Instanz auswählen.
Wenn Sie OAuth als primäre Authentifizierungsmethode verwenden, führen Sie die Schritte auf der Dokumentationsseite Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden aus, um die OAuth-Einrichtung für die Nutzerauthentifizierung abzuschließen.
Sobald die Authentifizierungsmethode eingerichtet ist, können Sie Nutzer über Ihren Identitätsanbieter hinzufügen oder entfernen und in Looker verwalten.
OAuth-Client für eine Looker (Google Cloud Core)-Instanz bearbeiten
Sie können die OAuth-Anmeldedaten für Ihre Looker (Google Cloud Core)-Instanz bearbeiten oder ändern. Gehen Sie dazu so vor:
- Richte den neuen Client oder die neuen Anmeldedaten ein.
- Klicken Sie in der Google Cloud Console auf der Seite Instanzen auf den Namen einer Instanz, um die Seite DETAILS zu öffnen.
- Klicken Sie auf der Seite DETAILS auf Bearbeiten.
- Geben Sie auf der Seite Looker (Google Cloud Core)-Instanz bearbeiten in die Felder OAuth-Client-ID und OAuth-Clientschlüssel die neuen Werte ein.
- Klicken Sie auf Speichern.
Nächste Schritte
- Looker-Instanz (Google Cloud Core) mit öffentlicher IP-Adresse erstellen
- Looker-Instanz (Google Cloud Core) mit privater IP-Adresse erstellen