即使您想使用不同的身份验证方法向 Looker (Google Cloud Core) 实例中对用户进行身份验证,在 Looker (Google Cloud Core) 实例创建过程中,也必须设置 OAuth 客户端并生成 OAuth 凭据。
所需的角色
如需使用 Google Cloud 控制台创建和修改 OAuth 凭据,您需要以下权限。(如需隐藏权限列表,请收起所需权限部分。)
所需权限
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
您也可以通过自定义角色或其他预定义角色获取所需权限。如需详细了解如何授予角色,请参阅 Identity and Access Management (IAM) 文档中的管理对项目、文件夹和组织的访问权限页面。
创建 Looker (Google Cloud Core) 实例前的准备工作
在创建 Looker (Google Cloud Core) 实例之前,请完成以下步骤。
配置用户同意屏幕、范围和测试用户
创建 OAuth 凭据的第一步是配置同意屏幕。在 Looker(Google Cloud 核心)实例用户首次登录时,以及在其授权到期或被用户撤消的任何时候,系统都会向其显示意见征求界面。
- 导航到要在其中创建 OAuth 客户端的项目。您可以在所需的任何 Google Cloud 项目中设置 OAuth 客户端。它不需要与 Looker (Google Cloud Core) 实例位于同一项目中。但是,此项目中必须启用 Looker (Google Cloud Core) API。
- 依次前往 API 和服务 > 凭据。
- 点击创建凭据。
- 从下拉菜单中选择 OAuth 客户端 ID。
- 点击配置同意屏幕。
在用户类型下,选择以下选项之一:
点击创建。
点击创建,打开 OAuth 同意屏幕面板。
- 应用名称、用户支持电子邮件地址和开发者联系信息字段是必填字段。
- 在已获授权的网域部分中,网域必须与使用 OAuth 凭据的 Looker (Google Cloud Core) 实例的网域相匹配。如果您要为 Looker (Google Cloud Core) 实例创建自定义网域,并且知道将分配给该实例的网域,则可以立即输入。否则,您可以将此字段留空,并在创建 Looker (Google Cloud Core) 实例后添加已获授权的重定向 URI。
点击保存并继续。
如果需要,请在 Scopes 面板中添加作用域。点击保存并继续。
如果需要,请在测试用户面板中添加测试用户。点击保存并继续。
点击摘要面板中的返回信息中心。您会返回到创建 OAuth 客户端 ID 页面。
生成 OAuth 客户端 ID 和客户端密钥
初始配置权限请求页面后,您可以创建 OAuth 客户端并为该客户端生成客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例时需要使用这些值。
- 在凭据页面中,点击创建凭据。
- 从下拉菜单中选择 OAuth 客户端 ID。
- 在应用类型下拉菜单中,选择 Web 应用。
- 在名称字段中,输入 OAuth 客户端的名称。
- 点击创建。
点击创建后,系统会显示已创建 OAuth 客户端窗口。此窗口会显示为您的 OAuth 客户端创建的客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例时,您必须提供这些值。
(可选)点击下载 JSON,将凭据信息下载到 .json 文件中。点击 OK 以关闭窗口。
在 Looker (Google Cloud Core) 实例创建期间
创建 Looker (Google Cloud Core) 实例时,请在 OAuth 应用凭据部分添加 OAuth 客户端 ID 和客户端密钥。如果没有 OAuth 凭据,则无法创建实例。
创建 Looker (Google Cloud Core) 实例后
一旦您的 OAuth 客户端为 Looker (Google Cloud Core) 实例获得了正确的授权网域,您就可以使用该客户端了。如果您在客户端设置期间添加了已获授权的网域,则您的 OAuth 配置已完成。如果您在设置过程中未添加已获授权的网域,请按照以下说明完成配置。
将已获授权的重定向 URI 添加到 OAuth 客户端
如果您尚未执行此操作,请按照以下步骤在 OAuth 客户端中输入新创建的 Looker (Google Cloud Core) 实例的网址。
- 创建 Looker (Google Cloud Core) 实例后,找到并复制该实例的网址。您可以在实例页面上找到该网址。
- 在 Google Cloud 控制台中,前往 API 和服务 >凭据。
- 在 OAuth 2.0 客户端 ID 标题下,点击您创建的客户端的名称。
- 在已获授权的重定向 URI 部分中,点击添加 URI。
- 将 Looker (Google Cloud Core) 实例的网址粘贴到 URI 字段中。将
/oauth2callback添加到该网址的末尾。例如:https://uuid.looker.app/oauth2callback - 点击保存。
管理用户
配置 OAuth 客户端并创建 Looker (Google Cloud Core) 实例后,您可以为实例选择身份验证方法。
如果使用 OAuth 作为主要身份验证方法,请按照使用 Google OAuth for Looker (Google Cloud Core) 用户身份验证文档页面中的步骤完成用户身份验证的 OAuth 设置。
设置身份验证方法后,您可以通过身份提供方添加或移除用户,并在 Looker 中管理用户。
修改 Looker (Google Cloud Core) 实例的 OAuth 客户端
如果需要,您可以按照以下步骤修改或更改 Looker (Google Cloud Core) 实例的 OAuth 凭据:
- 设置新客户端或凭据。
- 在 Google Cloud 控制台中,点击实例页面中的某个实例名称,以打开详情页面。
- 在详细信息页面上,点击修改。
- 在修改 Looker (Google Cloud Core) 实例页面上的 OAuth 客户端 ID 和 OAuth 客户端密钥字段中输入新值。
- 点击保存。