Google OAuth wird in Verbindung mit Identity and Access Management (IAM) verwendet, um Looker (Google Cloud Core)-Nutzer zu authentifizieren.
Bei Verwendung von OAuth zur Authentifizierung authentifiziert Looker (Google Cloud Core) Nutzer über das OAuth 2.0-Protokoll. Sie können jeden OAuth 2.0-Client verwenden, um beim Erstellen einer Instanz Autorisierungsanmeldedaten zu verwenden. Auf dieser Seite werden Sie beispielsweise durch die Schritte zum Einrichten der Authentifizierung für eine Looker (Google Cloud Core)-Instanz mithilfe der Google Cloud Console geführt, um OAuth-Anmeldedaten zu erstellen.
Wenn eine andere Methode die primäre Form der Authentifizierung ist, ist Google OAuth standardmäßig die alternative Authentifizierungsmethode. Google OAuth ist auch die Authentifizierungsmethode, die der Cloud-Kundenservice beim Support verwendet.
Authentifizierung und Autorisierung mit OAuth und IAM
Bei der Verwendung mit OAuth bieten IAM-Rollen von Looker (Google Cloud Core) die folgenden Ebenen der Authentifizierung und Autorisierung für alle Instanzen von Looker (Google Cloud Core) in einem bestimmten Google Cloud-Projekt. Weisen Sie jedem Ihrer Hauptkonten eine der folgenden IAM-Rollen zu, je nachdem, welche Zugriffsebenen Sie ihm zuweisen möchten:
| IAM-Rolle | Authentifizierung | Autorisierung |
|---|---|---|
Looker Instance User (roles/looker.instanceUser) |
Sie können sich in Looker (Google Cloud Core)-Instanzen anmelden. |
Bei der ersten Anmeldung in Looker (Google Cloud Core) wurde die unter Rollen für neue Nutzer festgelegte Standard-Looker-Rolle gewährt. Ich kann nicht auf Looker-Ressourcen (Google Cloud Core) in der Google Cloud Console zugreifen. |
Looker-Betrachter (roles/looker.viewer) |
Kann sich in Looker (Google Cloud Core)-Instanzen anmelden | Bei der ersten Anmeldung in Looker (Google Cloud Core) wurde die unter Rollen für neue Nutzer festgelegte Standard-Looker-Rolle gewährt. Kann die Liste der Instanzen von Looker (Google Cloud Core) und Instanzdetails in der Google Cloud Console aufrufen |
Looker-Administrator (roles/looker.admin) |
Sie können sich in Looker (Google Cloud Core)-Instanzen anmelden. | Bei der ersten Anmeldung in Looker (Google Cloud Core) wird diese Rolle (oder eine benutzerdefinierte Rolle mit der Berechtigung looker.instances.update) standardmäßig auf die Looker-Rolle Administrator in der Instanz festgelegt Alle administrativen Aufgaben für Looker (Google Cloud Core) in der Google Cloud Console ausführen |
Darüber hinaus können sich Nutzerkonten mit der Rolle owner für ein Projekt anmelden und alle Looker (Google Cloud Core)-Instanzen in diesem Projekt verwalten. Diese Nutzer erhalten die Looker-Rolle Administrator.
Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen bieten, können Sie auch eigene benutzerdefinierte Rollen erstellen.
Looker (Google Cloud Core)-Konten werden bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz erstellt.
OAuth in der Looker (Google Cloud Core)-Instanz konfigurieren
Auf der Looker (Google Cloud Core)-Instanz können Sie im Bereich Authentifizierung des Menüs Admin auf der Seite Google einige Google OAuth-Einstellungen konfigurieren.
Standard-Looker-Rolle in der Looker (Google Cloud Core)-Instanz festlegen
Bevor Sie Nutzer hinzufügen, können Sie die Standard-Looker-Rolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser) oder der IAM-Rolle „Looker-Betrachter“ (roles/looker.viewer) bei der ersten Anmeldung in einer Looker-Instanz (Google Cloud Core) gewährt wird. So legen Sie eine Standardrolle fest:
- Rufen Sie im Menü Verwaltung im Bereich Authentifizierung die Seite Google auf.
- Wählen Sie unter Rollen für neue Nutzer die Rolle aus, die Sie allen neuen Nutzern standardmäßig zuweisen möchten. Die Einstellung enthält eine Liste aller Standardrollen und benutzerdefinierten Rollen in der Looker (Google Cloud Core)-Instanz.
Nutzerkonten mit der IAM-Rolle „Looker-Administrator“ (roles/looker.admin) erhalten die Looker-Rolle Administrator, unabhängig von der Rolle, die in der Einstellung Rollen für neue Nutzer ausgewählt wurde. Bei Bedarf können Sie der Administratorrolle eine andere Rolle zuweisen.
Geben Sie die Methode an, mit der OAuth-Nutzer mit einem Looker (Google Cloud Core)-Konto zusammengeführt werden
Geben Sie im Feld Nutzer mit an, wie eine erstmalige OAuth-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:
- SAML
- OIDC
Wenn Sie mehrere Systeme eingerichtet haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. In Looker (Google Cloud Core) werden Nutzer in der Reihenfolge, in der sie angegeben sind, in den aufgeführten Systemen gesucht. Wenn Sie beispielsweise einige Nutzer zuerst über OIDC erstellt und später über SAML erstellt haben, wird Looker (Google Cloud Core) zuerst mit OIDC und dann mit SAML zusammengeführt.
Wenn sich ein Nutzer zum ersten Mal über OAuth anmeldet, wird mit dieser Option der Nutzer mit seinem bestehenden Konto verknüpft, indem das Konto mit einer passenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.
Nutzern einer Looker (Google Cloud Core)-Instanz hinzufügen
Nachdem eine Looker (Google Cloud Core)-Instanz erstellt wurde, können Nutzer über IAM hinzugefügt werden. So fügen Sie Nutzer hinzu:
- Sie benötigen die Rolle Projekt-IAM-Administrator oder eine andere Rolle, mit der Sie den IAM-Zugriff verwalten können.
Rufen Sie das Google Cloud Console-Projekt auf, in dem sich die Looker-Instanz (Google Cloud Core) befindet.
Rufen Sie in der Google Cloud Console den Bereich IAM & Verwaltung > IAM auf.
Wählen Sie Zugriff gewähren aus.
Fügen Sie im Bereich Hauptkonten hinzufügen mindestens eines der folgenden Elemente hinzu:
- E-Mail-Adresse Ihres Google-Kontos
- Eine Google-Gruppe
- Eine Google Workspace-Domain
Wählen Sie im Bereich Rollen zuweisen eine der vordefinierten IAM-Rollen für Looker (Google Cloud Core) oder eine benutzerdefinierte Rolle aus, die Sie hinzugefügt haben.
Klicken Sie auf Speichern.
Kommunizieren Sie neuen Looker (Google Cloud Core)-Nutzern, dass der Zugriff gewährt wurde, und leiten Sie sie zur URL für die Instanz weiter. Von dort aus können sie sich bei der Instanz anmelden, wo ihre Konten erstellt werden. Es wird keine automatisierte Kommunikation gesendet.
Wenn Sie die IAM-Rolle eines Nutzers ändern, wird die IAM-Rolle innerhalb weniger Minuten an die Looker (Google Cloud Core)-Instanz übertragen. Wenn bereits ein Looker-Nutzerkonto vorhanden ist, bleibt die Looker-Rolle dieses Nutzers unverändert.
Alle Nutzer müssen gemäß den oben beschriebenen IAM-Schritten bereitgestellt werden. Es gibt jedoch eine Ausnahme: Sie können innerhalb der Looker (Google Cloud Core)-Instanz ausschließlich Looker API-Dienstkonten erstellen.
Mit OAuth in Looker (Google Cloud Core) anmelden
Bei der ersten Anmeldung werden Nutzer aufgefordert, sich mit ihrem Google-Konto anzumelden. Er muss dabei dasselbe Konto verwenden, das der Looker-Administrator beim Gewähren des Zugriffs im Feld Hauptkonten hinzufügen angegeben hat. Nutzer sehen den OAuth-Zustimmungsbildschirm, der beim Erstellen des OAuth-Clients konfiguriert wurde. Nachdem die Nutzer der Einwilligung zugestimmt haben, werden ihre Konten in der Looker (Google Cloud Core)-Instanz erstellt und sie werden angemeldet.
Danach werden Nutzer automatisch in Looker (Google Cloud Core) angemeldet, es sei denn, ihre Autorisierung läuft ab oder wird vom Nutzer widerrufen. In diesen Fällen wird der OAuth-Zustimmungsbildschirm erneut angezeigt und die Nutzer werden um ihre Zustimmung zur Autorisierung gebeten.
Einigen Nutzern können API-Anmeldedaten für den Abruf von API-Zugriffstokens zugewiesen werden. Wenn die Autorisierung für diese Nutzer abläuft oder widerrufen wird, funktionieren ihre API-Anmeldedaten nicht mehr. Alle aktuellen API-Zugriffstokens funktionieren dann ebenfalls nicht mehr. Um das Problem zu beheben, muss der Nutzer seine Anmeldedaten noch einmal autorisieren, indem er sich für jede betroffene Looker (Google Cloud Core)-Instanz in der Looker (Google Cloud Core)-Benutzeroberfläche anmeldet. Alternativ können Sie ausschließlich API-Dienstkonten verwenden, um Fehler bei der Autorisierung von Anmeldedaten für API-Zugriffstokens zu vermeiden.
OAuth-Zugriff auf Looker (Google Cloud Core) entfernen
Wenn Sie eine Rolle haben, mit der Sie den IAM-Zugriff verwalten können, können Sie den Zugriff auf eine Looker (Google Cloud Core)-Instanz entfernen, indem Sie die IAM-Rolle widerrufen, die den Zugriff gewährt hat. Wenn Sie die IAM-Rolle eines Nutzerkontos entfernen, wird diese Änderung innerhalb weniger Minuten an die Looker-Instanz (Google Cloud Core) übertragen. Der Nutzer kann sich nicht mehr bei der Instanz authentifizieren. Das Nutzerkonto wird jedoch weiterhin auf der Seite Nutzer als aktiv angezeigt. Wenn Sie das Nutzerkonto über die Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker (Google Cloud Core)-Instanz.
OAuth als alternative Authentifizierungsmethode verwenden
OAuth ist die Authentifizierungsmethode für den Notfall, wenn SAML oder OIDC die primäre Authentifizierungsmethode ist.
Wenn Sie OAuth als Sicherungsmethode einrichten möchten, gewähren Sie jedem Looker (Google Cloud Core)-Nutzer die entsprechende IAM-Rolle, um sich in der Instanz anzumelden.
Sobald die Sicherungsmethode eingerichtet ist, können Nutzer so darauf zugreifen:
- Wählen Sie auf der Anmeldeseite Mit Google authentifizieren aus.
- Ein Dialogfeld zur Bestätigung der Google-Authentifizierung wird angezeigt. Wählen Sie im Dialogfeld Bestätigen aus.
Nutzer können sich dann mit ihren Google-Konten anmelden. Bei der ersten Anmeldung mit OAuth werden sie aufgefordert, den OAuth-Zustimmungsbildschirm zu akzeptieren, der bei der Instanzerstellung eingerichtet wurde.
Nächste Schritte
- Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
- Looker-Instanz (Google Cloud Core) erstellen
- Administratoreinstellungen für Looker (Google Cloud Core)
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten