为 Looker (Google Cloud Core) 实例创建 OAuth 授权凭据

在创建 Looker (Google Cloud Core) 实例时,必须设置 OAuth 客户端并生成 OAuth 凭据,即使您想使用其他身份验证方法对用户进行身份验证以便他们登录 Looker (Google Cloud Core) 实例也是如此。

所需的角色

如需使用 Google Cloud 控制台创建和修改 OAuth 凭据,您需要以下权限。(如需隐藏权限列表,请收起所需权限部分。)

所需权限

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

您也可以通过自定义角色或其他预定义角色来获取所需的权限。如需详细了解如何授予角色,请参阅 Identity and Access Management (IAM) 文档中的管理对项目、文件夹和组织的访问权限页面。

创建 Looker (Google Cloud Core) 实例前的准备工作

在创建 Looker (Google Cloud Core) 实例之前,请完成以下步骤。

创建 OAuth 凭据的第一步是配置同意屏幕。在 Looker(Google Cloud 核心)实例用户首次登录时,以及在其授权到期被用户撤消的任何时候,系统都会向其显示意见征求界面。

  1. 导航到要在其中创建 OAuth 客户端的项目。您可以在任何所需的 Google Cloud 项目中设置 OAuth 客户端。它不需要与 Looker (Google Cloud Core) 实例相同。不过,此项目中必须启用 Looker (Google Cloud 核心) API。
  2. 转到 API 和服务 >凭据
  3. 点击创建凭据
  4. 从下拉菜单中选择 OAuth 客户端 ID
  5. 点击配置同意屏幕
  6. 用户类型下,选择以下选项之一:

  7. 点击创建

  8. 点击创建会打开 OAuth 同意屏幕面板。

    • 应用名称用户支持电子邮件地址开发者联系信息字段是必填字段。
    • 已获授权的网域部分中,该网域必须与使用 OAuth 凭据的 Looker (Google Cloud Core) 实例的网域一致。如果您要为 Looker (Google Cloud Core) 实例创建自定义网域,并且知道将分配给该实例的网域,则可以立即输入。否则,您可以将此字段留空,并在创建 Looker (Google Cloud Core) 实例后添加已获授权的重定向 URI
  9. 点击保存并继续

  10. 如有必要,请在镜重面板中添加镜重。点击保存并继续

  11. 如果需要,请在测试用户面板中添加测试用户。点击保存并继续

  12. 点击摘要面板上的返回信息中心。您会返回到创建 OAuth 客户端 ID 页面。

生成 OAuth 客户端 ID 和客户端密钥

完成同意屏幕的初始配置后,您可以创建 OAuth 客户端,并为该客户端生成客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例时需要使用这些值。

  1. 凭据页面中,点击创建凭据
  2. 从下拉菜单中选择 OAuth 客户端 ID
  3. 应用类型下拉菜单中,选择 Web 应用
  4. 名称字段中,为您的 OAuth 客户端输入名称。
  5. 点击创建

点击创建后,系统会显示 OAuth 客户端已创建窗口。此窗口会显示为您的 OAuth 客户端创建的客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例时,您必须提供这些值。

您可以选择点击下载 JSON,以便将凭据信息下载到 .json 文件中。点击 OK 关闭窗口。

在 Looker (Google Cloud Core) 实例创建期间

创建 Looker (Google Cloud Core) 实例时,请在 OAuth 应用凭据部分添加 OAuth 客户端 ID 和客户端密钥。没有 OAuth 凭据,就无法创建实例。

创建 Looker (Google Cloud Core) 实例后

一旦您的 OAuth 客户端为 Looker (Google Cloud Core) 实例获得了正确的授权网域,您就可以使用该客户端了。如果您在客户端设置期间添加了已获授权的网域,则 OAuth 配置已完成。如果您在设置过程中未添加授权网域,请按照以下说明完成配置。

将已获授权的重定向 URI 添加到 OAuth 客户端

如果您尚未执行此操作,请按照以下步骤将新创建的 Looker (Google Cloud Core) 实例的网址输入 OAuth 客户端。

  1. 创建 Looker (Google Cloud Core) 实例后,找到并复制该实例的网址。您可以在实例页面上找到该网址。
  1. 在 Google Cloud 控制台中,前往 API 和服务 >凭据
  2. OAuth 2.0 客户端 ID 标题下,点击您创建的客户端的名称。
  3. 已获授权的重定向 URI 部分中,点击添加 URI
  4. 将 Looker (Google Cloud Core) 实例的网址粘贴到 URI 字段中。将 /oauth2callback 添加到该网址的末尾。例如:https://uuid.looker.app/oauth2callback
  5. 点击保存

管理用户

配置 OAuth 客户端并创建 Looker (Google Cloud Core) 实例后,您可以为实例选择身份验证方法

如果您使用 OAuth 作为主要身份验证方法,请按照使用 Google OAuth 进行 Looker (Google Cloud Core) 用户身份验证文档页面中所述的步骤完成 OAuth 设置,以便进行用户身份验证。

设置身份验证方法后,您可以通过身份提供方添加或移除用户,并在 Looker 中管理用户

修改 Looker (Google Cloud Core) 实例的 OAuth 客户端

如果需要,您可以按照以下步骤修改或更改 Looker (Google Cloud Core) 实例的 OAuth 凭据:

  1. 设置新客户端或凭据。
  2. 在 Google Cloud 控制台的实例页面中,点击实例的名称以打开详情页面。
  3. 详细信息页面中,点击修改
  4. 修改 Looker (Google Cloud Core) 实例页面上的 OAuth 客户端 IDOAuth 客户端密钥字段中输入新值。
  5. 点击保存

后续步骤