為 Looker (Google Cloud Core) 執行個體建立 OAuth 授權憑證

即使您想使用其他驗證方法,讓使用者登入 Looker (Google Cloud Core) 執行個體,也必須設定 OAuth 用戶端並產生 OAuth 憑證,才能建立 Looker (Google Cloud Core) 執行個體。

必要的角色

如要使用 Google Cloud 控制台建立及編輯 OAuth 憑證,您需要下列權限。(如要隱藏權限清單,請收合「必要權限」部分。)

所需權限

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

您或許還可透過自訂角色或其他預先定義的角色取得必要權限。如要進一步瞭解如何授予角色,請參閱 Identity and Access Management (IAM) 說明文件中的「管理專案、資料夾和機構的存取權」頁面。

建立 Looker (Google Cloud Core) 執行個體前

建立 Looker (Google Cloud Core) 執行個體前,請先完成下列各節所述步驟:

產生 OAuth 用戶端 ID 和用戶端密鑰

首先,請建立 OAuth 用戶端,並為該用戶端產生用戶端 ID 和用戶端密鑰。建立 Looker (Google Cloud Core) 執行個體時,需要這些值。

您可以在任何 Google Cloud 專案中設定 OAuth 用戶端。不必與 Looker (Google Cloud Core) 執行個體位於同一專案。不過,您必須在這個專案中啟用 Looker (Google Cloud Core) API。

如要建立用戶端及其憑證,請按照下列步驟操作:

  1. 前往要建立 OAuth 用戶端的專案。
  2. 依序前往「APIs & Services」(API 和服務) >「Credentials」(憑證)
  3. 在「憑證」頁面中,按一下「建立憑證」
  4. 在下拉式選單中選取「OAuth 用戶端 ID」
  5. 在「應用程式類型」下拉式選單中,選取「網頁應用程式」
  6. 在「Name」(名稱) 欄位中,輸入 OAuth 用戶端的名稱。
  7. 此時需要在「已授權的 JavaScript 來源」或「已授權的重新導向 URI」部分新增 URI。
  8. 點選「建立」

按一下「建立」後,系統會顯示「已建立 OAuth 用戶端」視窗。這個視窗會顯示為 OAuth 用戶端建立的用戶端 ID 和用戶端密鑰。建立 Looker (Google Cloud Core) 執行個體時,需要這些值。

(選用) 按一下「Download JSON」(下載 JSON),以 JSON 檔案格式下載憑證資訊。按一下「確定」關閉視窗。

接著,您可能需要設定同意畫面。使用者首次登入 Looker (Google Cloud Core) 執行個體時,以及授權到期遭使用者撤銷時,系統都會顯示同意畫面。

請按照「設定 OAuth 同意畫面並選擇範圍」說明文件頁面的指示操作。設定螢幕時,請按照說明完成下列設定:

  • 在「品牌」部分的「授權網域」下方,網域必須與使用 OAuth 憑證的 Looker (Google Cloud Core) 執行個體網域相符。如果您要為 Looker (Google Cloud Core) 執行個體建立自訂網域,且知道要指派給執行個體的網域,現在即可輸入。否則,您可以將這個欄位留空,在建立 Looker (Google Cloud Core) 執行個體後新增授權的重新導向 URI 時,系統會自動填入這個欄位。

  • 在「目標對象」部分的「使用者類型」下方,選取下列其中一個選項:

建立 Looker (Google Cloud Core) 執行個體時

建立 Looker (Google Cloud Core) 執行個體時,請在「OAuth 應用程式憑證」專區中新增 OAuth 用戶端 ID 和用戶端密鑰。您必須先建立 OAuth 憑證,才能建立執行個體。前往 Google Cloud 控制台中的 OAuth 用戶端,找出 OAuth 用戶端 ID 和用戶端密鑰。

建立 Looker (Google Cloud Core) 執行個體後

請按照下列操作說明完成設定。新增授權重新導向 URI 後,系統會將其新增至 OAuth 同意畫面做為授權網域。

將已授權的重新導向 URI 新增至 OAuth 用戶端

如果尚未完成,請按照下列步驟,將新建立的 Looker (Google Cloud Core) 執行個體網址輸入 OAuth 用戶端。

  1. 建立 Looker (Google Cloud Core) 執行個體後,請找出並複製該執行個體的網址。您可以在「Instances」(執行個體) 頁面上找到網址。

  2. 在 Google Cloud 控制台中,依序前往「API 和服務」>「憑證」

  3. 在「OAuth 2.0 Client IDs」標題下方,按一下您建立的用戶端名稱。

  4. 在「已授權的重新導向 URI」部分中,按一下「新增 URI」

  5. 將 Looker (Google Cloud Core) 執行個體的網址貼到「URI」欄位。在網址結尾加上 /oauth2callback。例如:https://uuid.looker.app/oauth2callback

    如果您要設定 BigQuery 的 OAuth 授權,也可以新增第二個重新導向 URI,指向 Looker (Google Cloud Core) 執行個體的網址,並在網址結尾加上 /external_oauth/redirect。例如:https://uuid.looker.app/external_oauth/redirect

  6. 按一下 [儲存]

更新作業可能需要五分鐘至數小時才會生效。

管理使用者

設定 OAuth 用戶端並建立 Looker (Google Cloud Core) 執行個體後,即可選擇執行個體的驗證方法

如果使用 OAuth 做為主要驗證方法,請按照「使用 Google OAuth 進行 Looker (Google Cloud Core) 使用者驗證」說明文件頁面中的步驟,完成使用者驗證的 OAuth 設定。

設定驗證方法後,您就可以透過身分識別提供者新增或移除使用者,並在 Looker 中管理使用者

編輯 Looker (Google Cloud Core) 執行個體的 OAuth 用戶端

如要編輯或變更 Looker (Google Cloud Core) 執行個體的 OAuth 憑證,請按照下列步驟操作:

  1. 設定新的用戶端或憑證。
  2. 在 Google Cloud 控制台中,從「Instances」(執行個體) 頁面點選執行個體名稱,開啟「DETAILS」(詳細資料) 頁面。
  3. 在「詳細資料」頁面中,按一下「編輯」
  4. 在「Edit Looker (Google Cloud Core) instance」(編輯 Looker (Google Cloud Core) 執行個體) 頁面中,於「OAuth Client ID」(OAuth 用戶端 ID) 和「OAuth Client Secret」(OAuth 用戶端密碼) 欄位輸入新值。
  5. 按一下 [儲存]

後續步驟