Créer des identifiants d'autorisation OAuth pour une instance Looker (Google Cloud Core)

Un client OAuth doit être configuré et des identifiants OAuth doivent être générés lors de la création de l'instance Looker (Google Cloud Core), même si vous souhaitez utiliser une autre méthode d'authentification pour authentifier vos utilisateurs sur une instance Looker (Google Cloud Core).

Rôles requis

Pour créer et modifier des identifiants OAuth dans la console Google Cloud, vous devez disposer des autorisations suivantes. (Pour masquer la liste des autorisations, réduisez la section Autorisations requises.)

Autorisations requises

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations dans la documentation sur Identity and Access Management (IAM).

Avant de créer une instance Looker (Google Cloud Core)

Suivez les étapes ci-dessous avant de créer une instance Looker (Google Cloud Core).

La première étape de la création de vos identifiants OAuth consiste à configurer l'écran de consentement. L'écran de consentement s'affiche pour un utilisateur de l'instance Looker (Google Cloud Core) lors de sa première connexion, et à tout moment lorsque son autorisation expire ou est révoquée par l'utilisateur.

  1. Accédez au projet dans lequel vous souhaitez créer le client OAuth. Vous pouvez configurer le client OAuth dans n'importe quel projet Google Cloud de votre choix. Il ne doit pas nécessairement s'agir du même projet que l'instance Looker (Google Cloud Core). Toutefois, l'API Looker (Google Cloud Core) doit être activée dans ce projet.
  2. Accédez à API et services > Identifiants.
  3. Cliquez sur Créer des identifiants.
  4. Dans le menu déroulant, sélectionnez ID client OAuth.
  5. Cliquez sur Configurer l'écran de consentement.

  6. Sous Type d'utilisateur, sélectionnez l'une des options suivantes :

    • Interne : uniquement les utilisateurs de votre organisation
    • Externe : utilisateurs disposant de tout type de compte Google

  7. Cliquez sur Créer.

  8. Cliquez sur Créer pour ouvrir le panneau Écran de consentement OAuth.

    • Les champs Nom de l'application, Adresse e-mail d'assistance utilisateur et Coordonnées du développeur sont obligatoires.
    • Dans la section Domaines autorisés, le domaine doit correspondre à celui de l'instance Looker (Google Cloud Core) qui utilise les identifiants OAuth. Si vous allez créer un domaine personnalisé pour votre instance Looker (Google Cloud Core) et que vous connaissez le domaine que vous allez lui attribuer, vous pouvez le saisir maintenant. Sinon, vous pouvez laisser ce champ vide et ajouter l'URI de redirection autorisé après la création de l'instance Looker (Google Cloud Core).

  9. Cliquez sur Enregistrer et continuer.

  10. Si nécessaire, ajoutez des champs d'application dans le panneau Champs d'application. Cliquez sur Save and Continue (Enregistrer et continuer).

  11. Si nécessaire, ajoutez des utilisateurs tests dans le panneau Utilisateurs tests. Cliquez sur Enregistrer et continuer.

  12. Cliquez sur Revenir au tableau de bord dans le panneau Résumé. Vous êtes redirigé vers la page Créer un ID client OAuth.

Générer l'ID et le code secret du client OAuth

Après la configuration initiale de l'écran d'autorisation, vous pouvez créer un client OAuth, puis générer l'ID et le code secret du client pour ce client. Ces valeurs sont requises lors de la création de l'instance Looker (Google Cloud Core).

  1. Sur la page Identifiants, cliquez sur Créer des identifiants.
  2. Dans le menu déroulant, sélectionnez ID client OAuth.
  3. Dans le menu déroulant Type d'application, sélectionnez Application Web.
  4. Dans le champ Nom, saisissez un nom pour votre client OAuth.
  5. Cliquez sur Créer.

Lorsque vous cliquez sur Créer, une fenêtre Client OAuth créé s'affiche. Cette fenêtre affiche l'ID client et le secret client créés pour votre client OAuth. Ces valeurs sont requises lorsque vous créez l'instance Looker (Google Cloud Core).

Vous pouvez également cliquer sur Télécharger au format JSON pour télécharger les informations d'identification dans un fichier .json. Cliquez sur OK pour fermer la fenêtre.

Lors de la création de l'instance Looker (Google Cloud Core)

Lorsque vous créez l'instance Looker (Google Cloud Core), ajoutez l'ID et le code secret du client OAuth dans la section Identifiants d'application OAuth. Vous ne pouvez pas créer d'instance sans identifiants OAuth.

Après avoir créé une instance Looker (Google Cloud Core)

Dès que votre client OAuth dispose du bon domaine autorisé pour l'instance Looker (Google Cloud Core), il est prêt à être utilisé. Si vous avez ajouté le domaine autorisé lors de la configuration du client, la configuration OAuth est terminée. Si vous n'avez pas ajouté le domaine autorisé lors de la configuration, suivez les instructions suivantes pour terminer la configuration.

Ajouter l'URI de redirection autorisé au client OAuth

Si vous ne l'avez pas déjà fait, procédez comme suit pour saisir l'URL de la nouvelle instance Looker (Google Cloud Core) dans le client OAuth.

  1. Après avoir créé une instance Looker (Google Cloud Core), recherchez et copiez son URL. Vous trouverez l'URL sur la page Instances.
  1. Dans la console Google Cloud, accédez à API et services > Identifiants.
  2. Sous l'en-tête ID client OAuth 2.0, cliquez sur le nom du client que vous avez créé.
  3. Dans la section URI de redirection autorisés, cliquez sur Ajouter un URI.
  4. Collez l'URL de l'instance Looker (Google Cloud Core) dans le champ URI. Ajoutez /oauth2callback à la fin de l'URL. Par exemple : https://uuid.looker.app/oauth2callback.
  5. Cliquez sur Enregistrer.

Gérer les utilisateurs

Une fois le client OAuth configuré et l'instance Looker (Google Cloud Core) créée, vous pouvez choisir la méthode d'authentification pour votre instance.

Si vous utilisez OAuth comme méthode d'authentification principale, suivez les étapes décrites sur la page de documentation Utiliser Google OAuth pour l'authentification des utilisateurs Looker (Google Cloud Core) pour configurer OAuth pour l'authentification des utilisateurs.

Une fois votre méthode d'authentification configurée, vous pouvez ajouter ou supprimer des utilisateurs via votre fournisseur d'identité, et les gérer dans Looker.

Modifier le client OAuth pour une instance Looker (Google Cloud Core)

Si vous le souhaitez, vous pouvez modifier les identifiants OAuth de votre instance Looker (Google Cloud Core) en procédant comme suit :

  1. Configurez le nouveau client ou les nouveaux identifiants.
  2. Dans la console Google Cloud, sur la page Instances, cliquez sur le nom d'une instance pour ouvrir la page DÉTAILS.
  3. Sur la page DÉTAILS, cliquez sur Modifier.
  4. Sur la page Modifier l'instance Looker (Google Cloud Core), saisissez les nouvelles valeurs dans les champs ID client OAuth et Code secret du client OAuth.
  5. Cliquez sur Enregistrer.

Étape suivante