Um cliente OAuth precisa ser configurado e as credenciais OAuth precisam ser geradas como parte da criação da instância do Looker (Google Cloud Core), mesmo que você queira usar um método de autenticação diferente para autenticar seus usuários em uma instância do Looker (Google Cloud Core).
Funções exigidas
Para usar o console Google Cloud e criar e editar credenciais OAuth, você precisa das seguintes permissões. Para ocultar a lista de permissões, recolha a seção Permissões necessárias.
Permissões necessárias
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos. Para mais informações sobre a concessão de papéis, consulte a página Gerenciar o acesso a projetos, pastas e organizações na documentação do Identity and Access Management (IAM).
Antes de criar uma instância do Looker (Google Cloud Core)
Antes de criar uma instância do Looker (Google Cloud Core), conclua as etapas descritas nestas seções:
- Gerar o ID e a chave secreta do cliente OAuth
- Configurar a tela de consentimento do usuário, os escopos e os usuários de teste
Gerar o ID e a chave secreta do cliente OAuth
Primeiro, crie um cliente OAuth e gere o ID do cliente e chave secreta do cliente dele. Esses valores são necessários durante a criação da instância do Looker (Google Cloud Core).
É possível configurar o cliente OAuth em qualquer projeto Google Cloud . Não precisa ser o mesmo projeto da instância do Looker (Google Cloud Core). No entanto, a API Looker (Google Cloud core) precisa ser ativada nesse projeto.
Para criar o cliente e as credenciais dele, siga estas etapas:
- Acesse o projeto em que você quer criar o cliente OAuth.
- Acesse APIs e serviços > Credenciais.
- Na página Credenciais, clique em Criar credenciais.
- No menu suspenso, selecione ID do cliente OAuth.
- No menu suspenso Tipo de aplicativo, selecione Aplicativo da Web.
- No campo Nome, insira um nome para o cliente OAuth.
- Neste momento, não é necessário adicionar URIs nas seções Origens JavaScript autorizadas ou URIs de redirecionamento autorizados.
- Clique em Criar.
Depois de clicar em Criar, uma janela Cliente OAuth criado vai aparecer. Essa janela mostra o ID e a chave secreta do cliente criados para seu cliente OAuth. Esses valores serão necessários quando você criar a instância do Looker (Google Cloud Core).
Se quiser, clique em Fazer o download do JSON para baixar as informações de credencial em um arquivo JSON. Para fechar a janela, clique em OK.
Configurar a tela de consentimento do usuário, os escopos e os usuários de teste
Em seguida, configure a tela de consentimento. A tela de consentimento é mostrada a um usuário da instância do Looker (Google Cloud Core) no primeiro login e sempre que a autorização expira ou é revogada pelo usuário.
Siga as instruções na página de documentação Configurar a tela de consentimento OAuth e escolher escopos. Ao configurar a tela, preencha as seguintes configurações conforme descrito:
Na seção Branding, em Domínios autorizados, o domínio precisa corresponder ao da instância do Looker (Google Cloud Core) que usa as credenciais OAuth. Se você for criar um domínio personalizado para sua instância do Looker (Google Cloud Core) e souber qual domínio vai atribuir a ela, insira-o agora. Caso contrário, deixe esse campo em branco. Ele será preenchido automaticamente quando você adicionar o URI de redirecionamento autorizado depois que a instância do Looker (Google Cloud Core) for criada.
Na seção Público-alvo, em Tipo de usuário, selecione uma das seguintes opções:
- Interno: essa é a configuração padrão. Somente usuários da sua organização podem acessar a instância depois de serem adicionados pelo IAM.
- Tornar externo: os usuários com qualquer tipo de Conta do Google podem acessar a instância depois de serem adicionados pelo IAM.
Durante a criação da instância do Looker (Google Cloud Core)
Ao criar a instância do Looker (Google Cloud Core), adicione o ID e a chave secreta do cliente OAuth na seção Credenciais do aplicativo OAuth. Não é possível criar uma instância sem credenciais do OAuth. Para encontrar o ID e a chave secreta do cliente OAuth, navegue até o cliente OAuth no console Google Cloud .
Depois de criar uma instância do Looker (Google Cloud Core)
Siga as instruções abaixo para concluir a configuração. Quando você adiciona um URI de redirecionamento autorizado, ele é incluído na tela de permissão OAuth como um domínio autorizado.
Adicionar o URI de redirecionamento autorizado ao cliente OAuth
Se ainda não tiver feito isso, siga estas etapas para inserir o URL da instância recém-criada do Looker (Google Cloud Core) no cliente OAuth.
Depois de criar uma instância do Looker (Google Cloud Core), encontre e copie o URL dela. Você pode encontrar o URL na página Instâncias.
No console Google Cloud , acesse APIs e serviços > Credenciais.
No título IDs do cliente OAuth 2.0, clique no nome do cliente que você criou.
Na seção URIs de redirecionamento autorizados, clique em Adicionar URI.
Cole o URL da instância do Looker (Google Cloud Core) no campo URIs. Adicione
/oauth2callback
ao final do URL. Por exemplo:https://uuid.looker.app/oauth2callback
.Se você for configurar a autorização do OAuth para o BigQuery, também poderá adicionar um segundo URI de redirecionamento que aponta para o URL da instância do Looker (Google Cloud Core) seguido por
/external_oauth/redirect
adicionado ao final do URL. Por exemplo:https://uuid.looker.app/external_oauth/redirect
.Clique em Salvar.
A atualização pode levar de cinco minutos a algumas horas para entrar em vigor.
Gerenciar usuários
Depois que o cliente OAuth for configurado e a instância do Looker (Google Cloud Core) for criada, você poderá escolher o método de autenticação para sua instância.
Se você usa o OAuth como método de autenticação principal, siga as etapas descritas na página de documentação Usar o OAuth do Google para autenticação de usuários do Looker (Google Cloud Core) e conclua a configuração do OAuth para autenticação de usuários.
Depois de configurar o método de autenticação, você pode adicionar ou remover usuários pelo provedor de identidade e gerenciá-los no Looker.
Editar o cliente OAuth de uma instância do Looker (Google Cloud Core)
Se quiser, edite ou mude as credenciais OAuth da sua instância do Looker (Google Cloud Core) seguindo estas etapas:
- Configure o novo cliente ou as credenciais.
- No console do Google Cloud , na página Instâncias, clique no nome de uma instância para abrir a página DETALHES.
- Na página DETALHES, clique em Editar.
- Na página Editar instância do Looker (Google Cloud Core), insira os novos valores nos campos ID do cliente OAuth e Chave secreta do cliente OAuth.
- Clique em Salvar.
A seguir
- Criar uma instância do Looker (Google Cloud Core) com IP público
- Criar uma instância do Looker (Google Cloud Core) com conexões particulares (acesso a serviços particulares)