为 Looker (Google Cloud Core) 实例创建 OAuth 授权凭据

即使您想使用其他身份验证方法来验证用户对 Looker (Google Cloud Core) 实例的身份,也必须在创建 Looker (Google Cloud Core) 实例时设置 OAuth 客户端并生成 OAuth 凭据。

所需的角色

如需使用 Google Cloud 控制台创建和修改 OAuth 凭据,您需要拥有以下权限。(如需隐藏权限列表,请收起所需权限部分。)

所需权限

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

您也可以通过自定义角色或其他预定义角色来获取所需的权限。如需详细了解如何授予角色,请参阅 Identity and Access Management (IAM) 文档中的管理对项目、文件夹和组织的访问权限页面。

创建 Looker (Google Cloud Core) 实例之前

在创建 Looker (Google Cloud core) 实例之前,请完成以下各部分中所述的步骤:

生成 OAuth 客户端 ID 和客户端密钥

首先,创建一个 OAuth 客户端,并为该客户端生成客户端 ID 和客户端密钥。创建 Looker (Google Cloud Core) 实例时需要提供这些值。

您可以在所需的任何 Google Cloud 项目中设置 OAuth 客户端。它不需要与 Looker (Google Cloud Core) 实例位于同一项目中。不过,您必须在此项目中启用 Looker (Google Cloud core) API。

如需创建客户端及其凭据,请按以下步骤操作:

  1. 前往您要在其中创建 OAuth 客户端的项目。
  2. 前往 API 和服务 > 凭据
  3. 凭据页面中,点击创建凭据
  4. 从下拉菜单中选择 OAuth 客户端 ID
  5. 应用类型下拉菜单中,选择 Web 应用
  6. 名称字段中,为 OAuth 客户端输入名称。
  7. 此时,您无需已获授权的 JavaScript 来源已获授权的重定向 URI 部分中添加 URI。
  8. 点击创建

点击创建后,系统会显示“OAuth 客户端已创建”窗口。此窗口会显示为您的 OAuth 客户端创建的客户端 ID 和客户端密钥。您在创建 Looker (Google Cloud Core) 实例时需要提供这些值。

您可以选择点击下载 JSON,以 JSON 文件的形式下载凭据信息。如需关闭窗口,请点击确定

接下来,您可能需要配置同意屏幕。在用户首次登录 Looker (Google Cloud Core)实例时,以及在用户授权过期或被用户撤消的任何时间点,系统都会向用户显示意见征求界面。

请按照配置 OAuth 权限请求页面并选择范围文档页面上的说明操作。在配置屏幕时,请按照说明完成以下设置:

  • 品牌推广部分的已获授权的网域下,该网域必须与使用 OAuth 凭据的 Looker (Google Cloud Core) 实例的网域一致。如果您要为 Looker (Google Cloud Core) 实例创建自定义网域,并且知道要为其分配的网域,则可以立即输入该网域。否则,您可以将此字段留空;在创建 Looker (Google Cloud Core) 实例后,当您添加授权的重定向 URI 时,系统会自动填充此字段。

  • 受众群体部分的用户类型下,选择以下选项之一:

    • 内部:这是默认设置。只有贵组织中的用户才能在通过 IAM 添加后访问实例。
    • 设为外部:通过 IAM 添加后,拥有任何类型的 Google 账号的用户都可以访问该实例。

在 Looker (Google Cloud Core) 实例创建期间

创建 Looker (Google Cloud Core) 实例时,在 OAuth 应用凭据部分中添加 OAuth 客户端 ID 和客户端密钥。您必须拥有 OAuth 凭据,才能创建实例。在 Google Cloud 控制台中找到 OAuth 客户端,即可找到 OAuth 客户端 ID 和客户端密钥。

创建 Looker (Google Cloud Core) 实例后

请按照以下说明完成配置。添加已获授权的重定向 URI 后,该 URI 将作为已获授权的网域添加到您的 OAuth 权限请求页面。

向 OAuth 客户端添加已获授权的重定向 URI

如果您尚未执行此操作,请按照以下步骤将新创建的 Looker (Google Cloud Core) 实例的网址输入到 OAuth 客户端中。

  1. 创建 Looker (Google Cloud Core) 实例后,找到并复制该实例的网址。您可以在实例页面上找到该网址。

  2. 在 Google Cloud 控制台中,依次前往 API 和服务 > 凭据

  3. OAuth 2.0 客户端 ID 标题下,点击您创建的客户端的名称。

  4. 已获授权的重定向 URI 部分,点击添加 URI

  5. 将 Looker (Google Cloud Core) 实例的网址粘贴到 URI 字段中。在网址末尾添加 /oauth2callback。例如:https://uuid.looker.app/oauth2callback

    如果您要为 BigQuery 设置 OAuth 授权,还可以添加第二个重定向 URI,该 URI 指向 Looker (Google Cloud Core) 实例的网址,并在网址末尾添加 /external_oauth/redirect。例如:https://uuid.looker.app/external_oauth/redirect

  6. 点击保存

更新可能需要 5 分钟到几小时才能生效。

管理用户

配置 OAuth 客户端并创建 Looker (Google Cloud Core) 实例后,您可以为实例选择身份验证方法

如果使用 OAuth 作为主要身份验证方法,请按照使用 Google OAuth 进行 Looker (Google Cloud Core) 用户身份验证文档页面中所述的步骤完成用户身份验证的 OAuth 设置。

设置好身份验证方法后,您可以通过身份提供方添加或移除用户,并在 Looker 中管理这些用户

修改 Looker (Google Cloud Core) 实例的 OAuth 客户端

如果您愿意,可以按照以下步骤修改或更改 Looker (Google Cloud Core) 实例的 OAuth 凭据:

  1. 设置新客户端或凭据。
  2. 在 Google Cloud 控制台中,从实例页面中点击某个实例的名称,以打开详情页面。
  3. 详细信息页面上,点击修改
  4. Edit Looker (Google Cloud Core) instance 页面上,在 OAuth Client IDOAuth Client Secret 字段中输入新值。
  5. 点击保存

后续步骤