Beim Erstellen einer Looker (Google Cloud Core)-Instanz müssen ein OAuth-Client eingerichtet und OAuth-Anmeldedaten generiert werden. Dies gilt auch dann, wenn Sie eine andere Authentifizierungsmethode für die Authentifizierung Ihrer Nutzer in einer Looker (Google Cloud Core)-Instanz verwenden möchten.
Erforderliche Rollen
Wenn Sie OAuth-Anmeldedaten in der Google Cloud Console erstellen und bearbeiten möchten, benötigen Sie die folgenden Berechtigungen. Wenn Sie die Liste der Berechtigungen ausblenden möchten, minimieren Sie den Abschnitt Erforderliche Berechtigungen.
Erforderliche Berechtigungen
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie in der IAM-Dokumentation (Identity and Access Management) auf der Seite Zugriff auf Projekte, Ordner und Organisationen verwalten.
Vor dem Erstellen einer Looker (Google Cloud Core)-Instanz
Führen Sie die folgenden Schritte aus, bevor Sie eine Looker-Instanz (Google Cloud Core) erstellen.
Bildschirm zur Einwilligung der Nutzer, Bereiche und Testnutzer konfigurieren
Der erste Schritt beim Erstellen Ihrer OAuth-Anmeldedaten besteht darin, den Zustimmungsbildschirm zu konfigurieren. Der Zustimmungsbildschirm wird dem Nutzer der Looker (Google Cloud Core)-Instanz bei der ersten Anmeldung und zu jedem Zeitpunkt angezeigt, an dem die Autorisierung abläuft oder vom Nutzer widerrufen wird.
- Rufen Sie das Projekt auf, in dem Sie den OAuth-Client erstellen möchten. Sie können den OAuth-Client in einem beliebigen Google Cloud-Projekt einrichten. Es muss sich nicht um dasselbe Projekt wie die Looker (Google Cloud Core)-Instanz handeln. Die Looker API (Google Cloud Core) muss jedoch in diesem Projekt aktiviert sein.
- Rufen Sie APIs & Dienste > Anmeldedaten auf.
- Klicken Sie auf Anmeldedaten erstellen.
- Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.
- Klicken Sie auf Zustimmungsbildschirm konfigurieren.
Wählen Sie unter Nutzertyp eine der folgenden Optionen aus:
- Intern: Nur Nutzer in Ihrer Organisation
- Extern: Nutzer mit jeglicher Art von Google-Konto
Klicken Sie auf Erstellen.
Wenn Sie auf Erstellen klicken, wird der Bereich OAuth-Zustimmungsbildschirm geöffnet.
- Die Felder App-Name, E-Mail-Adresse des Nutzersupports und Kontaktdaten des Entwicklers müssen ausgefüllt werden.
- Im Abschnitt Autorisierte Domains muss die Domain mit der Domain der Looker-Instanz (Google Cloud Core) übereinstimmen, für die die OAuth-Anmeldedaten verwendet werden. Wenn Sie eine benutzerdefinierte Domain für Ihre Looker (Google Cloud Core)-Instanz erstellen möchten und wissen, welche Domain Sie ihr zuweisen möchten, können Sie sie jetzt eingeben. Andernfalls können Sie dieses Feld leer lassen und den autorisierten Weiterleitungs-URI hinzufügen, nachdem die Looker (Google Cloud Core)-Instanz erstellt wurde.
Klicken Sie auf Speichern und fortfahren.
Fügen Sie bei Bedarf im Bereich Bereiche Bereiche hinzu. Klicken Sie auf Speichern und fortfahren.
Fügen Sie bei Bedarf im Bereich Testnutzer Testnutzer hinzu. Klicken Sie auf Speichern und fortfahren.
Klicken Sie im Bereich Zusammenfassung auf Zurück zum Dashboard. Sie werden zur Seite OAuth-Client-ID erstellen zurückgeleitet.
OAuth-Client-ID und Clientschlüssel generieren
Nach der Erstkonfiguration des Zustimmungsbildschirms können Sie einen OAuth-Client erstellen und die Client-ID und den Clientschlüssel für diesen Client generieren. Diese Werte sind während der Erstellung der Looker (Google Cloud Core)-Instanz erforderlich.
- Klicken Sie auf der Seite Anmeldedaten auf Anmeldedaten erstellen.
- Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.
- Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus.
- Geben Sie im Feld Name einen Namen für Ihren OAuth-Client ein.
- Klicken Sie auf Erstellen.
Nachdem Sie auf Erstellen geklickt haben, wird das Fenster OAuth-Client erstellt angezeigt. In diesem Fenster werden die Client-ID und der Clientschlüssel angezeigt, die für Ihren OAuth-Client erstellt wurden. Diese Werte sind erforderlich, wenn Sie die Looker (Google Cloud Core)-Instanz erstellen.
Sie können auch auf JSON herunterladen klicken, um die Anmeldedaten in einer .json
-Datei herunterzuladen. Klicken Sie auf OK, um das Fenster zu schließen.
Während der Erstellung einer Looker-Instanz (Google Cloud Core)
Fügen Sie beim Erstellen der Looker (Google Cloud Core)-Instanz die OAuth-Client-ID und den Clientschlüssel im Abschnitt Anmeldedaten der OAuth-Anwendung hinzu. Eine Instanz kann ohne OAuth-Anmeldedaten nicht erstellt werden.
Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben
Sobald Ihr OAuth-Client die richtige autorisierte Domain für die Instanz von Looker (Google Cloud Core) hat, kann er verwendet werden. Wenn Sie die autorisierte Domain während der Clienteinrichtung hinzugefügt haben, ist die OAuth-Konfiguration abgeschlossen. Wenn Sie die autorisierte Domain bei der Einrichtung nicht hinzugefügt haben, folgen Sie dieser Anleitung, um die Konfiguration abzuschließen.
Autorisierten Weiterleitungs-URI zum OAuth-Client hinzufügen
Falls Sie dies noch nicht getan haben, führen Sie die folgenden Schritte aus, um die URL der neu erstellten Looker (Google Cloud Core)-Instanz im OAuth-Client einzugeben.
- Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, suchen Sie die URL für die Instanz und kopieren Sie sie. Sie finden die URL auf der Seite Instanzen.
- Gehen Sie in der Google Cloud Console zu APIs und Dienste > Anmeldedaten
- Klicken Sie unter der Überschrift OAuth 2.0-Client-IDs auf den Namen des von Ihnen erstellten Clients.
- Klicken Sie im Abschnitt Autorisierte Weiterleitungs-URIs auf URI hinzufügen.
- Fügen Sie die URL der Looker (Google Cloud Core)-Instanz in das Feld URIs ein. Fügen Sie am Ende der URL
/oauth2callback
hinzu. Beispiel:https://uuid.looker.app/oauth2callback
- Klicken Sie auf Speichern.
Nutzer verwalten
Nachdem der OAuth-Client konfiguriert und die Instanz von Looker (Google Cloud Core) erstellt wurde, können Sie die Authentifizierungsmethode für die Instanz auswählen.
Wenn Sie OAuth als primäre Authentifizierungsmethode verwenden, führen Sie die Schritte auf der Dokumentationsseite Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden aus, um die OAuth-Einrichtung für die Nutzerauthentifizierung abzuschließen.
Sobald Ihre Authentifizierungsmethode eingerichtet ist, können Sie Nutzer über Ihren Identitätsanbieter hinzufügen oder entfernen und in Looker verwalten.
OAuth-Client für eine Looker (Google Cloud Core)-Instanz bearbeiten
Sie können die OAuth-Anmeldedaten für Ihre Looker (Google Cloud Core)-Instanz bearbeiten oder ändern. Gehen Sie dazu so vor:
- Richte den neuen Client oder die neuen Anmeldedaten ein.
- Klicken Sie in der Google Cloud Console auf der Seite Instanzen auf den Namen einer Instanz, um die Seite DETAILS zu öffnen.
- Klicken Sie auf der Seite DETAILS auf Bearbeiten.
- Geben Sie auf der Seite Instanz von Looker (Google Cloud Core) bearbeiten die neuen Werte in die Felder OAuth-Client-ID und OAuth-Clientschlüssel ein.
- Klicken Sie auf Speichern.
Nächste Schritte
- Looker (Google Cloud Core)-Instanz mit öffentlicher IP-Adresse erstellen
- Looker-Instanz (Google Cloud Core) mit privater IP-Adresse erstellen