Menggunakan Google OAuth untuk autentikasi pengguna Looker (Google Cloud core)

Google OAuth digunakan bersama dengan Identity and Access Management (IAM) untuk mengautentikasi pengguna Looker (inti Google Cloud).

Saat menggunakan OAuth untuk autentikasi, Looker (inti Google Cloud) mengautentikasi pengguna melalui protokol OAuth 2.0. Gunakan klien OAuth 2.0 untuk membuat kredensial otorisasi saat membuat instance. Sebagai contoh, halaman ini akan memandu Anda melalui langkah-langkah untuk menyiapkan autentikasi untuk instance Looker (inti Google Cloud) menggunakan Konsol Google Cloud untuk membuat kredensial OAuth.

Jika metode lain adalah bentuk autentikasi utama, Google OAuth secara default adalah metode autentikasi cadangan. Google OAuth juga merupakan metode autentikasi yang digunakan Cloud Customer Care saat memberikan dukungan.

Autentikasi dan otorisasi dengan OAuth dan IAM

Jika digunakan dengan OAuth, peran IAM Looker (Google Cloud core) memberikan tingkat autentikasi dan otorisasi berikut untuk semua instance Looker (Google Cloud core) dalam project Google Cloud tertentu. Tetapkan salah satu peran IAM berikut ke setiap akun utama Anda, bergantung pada tingkat akses yang Anda inginkan:

Peran IAM Autentikasi Otorisasi
Pengguna Instance Looker (roles/looker.instanceUser)

Dapat login ke instance Looker (Google Cloud core)

Saat pertama kali login ke Looker (Google Cloud core), diberikan peran Looker default yang ditetapkan di Peran untuk pengguna baru

Tidak dapat mengakses resource Looker (inti Google Cloud) di konsol Google Cloud.

Looker Viewer (roles/looker.viewer) Dapat login ke instance Looker (Google Cloud core) Saat pertama kali login ke Looker (Google Cloud core), diberikan peran Looker default yang ditetapkan di Peran untuk pengguna baru

Dapat melihat daftar instance Looker (inti Google Cloud) dan detail instance di konsol Google Cloud
Looker Admin (roles/looker.admin) Dapat login ke instance Looker (Google Cloud core) Saat pertama kali login ke Looker (Google Cloud core), peran ini (atau peran kustom yang menyertakan izin looker.instances.update) secara default ditetapkan ke peran Looker Admin dalam instance

Dapat melakukan semua tugas administratif untuk Looker (Google Cloud core) dalam konsol Google Cloud

Selain itu, akun pengguna dengan peran owner untuk project dapat login dan mengelola instance Looker (Google Cloud core) dalam project tersebut. Pengguna ini akan diberi peran Looker Admin.

Jika peran yang telah ditetapkan tidak menyediakan kumpulan izin yang Anda inginkan, Anda juga dapat membuat peran khusus Anda sendiri.

Akun Looker (Google Cloud core) dibuat saat pertama kali login ke instance Looker (Google Cloud core).

Mengonfigurasi OAuth dalam instance Looker (Google Cloud core)

Dalam instance Looker (Google Cloud core), halaman Google di bagian Authentication pada menu Admin memungkinkan Anda mengonfigurasi beberapa setelan OAuth Google.

Menetapkan peran Looker default dalam instance Looker (Google Cloud core)

Sebelum menambahkan pengguna, Anda dapat menetapkan peran Looker default yang akan diberikan ke akun pengguna dengan peran IAM Pengguna Instance Looker (roles/looker.instanceUser) atau peran IAM Pelihat Looker (roles/looker.viewer) saat mereka pertama kali login ke instance Looker (Google Cloud core). Untuk menetapkan peran default, ikuti langkah-langkah berikut:

  1. Buka halaman Google di bagian Autentikasi pada menu Admin.
  2. Di setelan Roles for new users, pilih peran yang ingin Anda berikan kepada semua pengguna baru secara default. Setelan ini berisi daftar semua peran default dan peran kustom dalam instance Looker (Google Cloud Core).

Akun pengguna dengan peran IAM Looker Admin (roles/looker.admin) akan diberi peran Looker Admin, terlepas dari peran yang dipilih di setelan Peran untuk pengguna baru. Jika perlu, Anda dapat mengubah peran Admin menjadi peran lain.

Menentukan metode yang digunakan untuk menggabungkan pengguna OAuth ke akun Looker (Google Cloud core)

Di kolom Gabungkan Pengguna Menggunakan, tentukan metode yang akan digunakan untuk menggabungkan login OAuth pertama kali ke akun pengguna yang ada. Anda dapat menggabungkan pengguna dari sistem berikut:

  • SAML
  • OIDC

Jika memiliki lebih dari satu sistem, Anda dapat menentukan lebih dari satu sistem untuk digabungkan di kolom ini. Looker (Google Cloud Core) akan mencari pengguna dari sistem yang tercantum sesuai urutan yang ditentukan. Misalnya, jika Anda pertama kali membuat beberapa pengguna menggunakan OIDC, lalu kemudian menggunakan SAML, Looker (inti Google Cloud) akan menggabungkan pertama kali oleh OIDC dan kedua oleh SAML.

Saat pengguna login untuk pertama kalinya melalui OAuth, opsi ini akan menghubungkan pengguna ke akun yang sudah ada dengan menemukan akun yang memiliki alamat email yang cocok. Jika tidak ada akun untuk pengguna, akun pengguna baru akan dibuat.

Menambahkan pengguna ke instance Looker (Google Cloud core)

Setelah instance Looker (Google Cloud core) dibuat, pengguna dapat ditambahkan melalui IAM. Untuk menambahkan pengguna, ikuti langkah-langkah berikut:

  1. Pastikan Anda memiliki peran Project IAM Admin atau peran lain yang memungkinkan Anda mengelola akses IAM.
  2. Buka project konsol Google Cloud tempat instance Looker (Google Cloud core) berada.

  3. Buka bagian IAM & Admin > IAM di konsol Google Cloud.

  4. Pilih Berikan Akses.

  5. Di bagian Tambahkan akun utama, tambahkan satu atau beberapa hal berikut:

    • Email Akun Google
    • Google Grup
    • Domain Google Workspace
  6. Di bagian Assign roles, pilih salah satu peran IAM Looker (inti Google Cloud) bawaan atau peran kustom yang telah Anda tambahkan.

  7. Klik Simpan.

  8. Beri tahu pengguna Looker (Google Cloud core) baru bahwa akses telah diberikan dan arahkan mereka ke URL untuk instance tersebut. Dari sana, mereka dapat login ke instance, dan pada saat itu akun mereka akan dibuat. Tidak ada komunikasi otomatis yang akan dikirim.

Jika Anda mengubah peran IAM pengguna, peran IAM akan diterapkan ke instance Looker (Google Cloud core) dalam beberapa menit. Jika ada akun pengguna Looker yang sudah ada, peran Looker pengguna tersebut tidak akan berubah.

Semua pengguna harus disediakan dengan langkah-langkah IAM yang dijelaskan sebelumnya, dengan satu pengecualian: Anda dapat membuat akun layanan khusus Looker API dalam instance Looker (inti Google Cloud).

Login ke Looker (Google Cloud core) dengan OAuth

Saat login pertama kali, pengguna akan diminta untuk login dengan Akun Google mereka. Mereka harus menggunakan akun yang sama dengan yang tercantum oleh Admin Looker di kolom Tambahkan akun utama saat memberikan akses. Pengguna akan melihat layar izin OAuth yang dikonfigurasi selama pembuatan klien OAuth. Setelah pengguna menyetujui layar izin, akun mereka dalam instance Looker (inti Google Cloud) akan dibuat dan mereka akan login.

Setelah itu, pengguna akan otomatis login ke Looker (Google Cloud core) kecuali jika otorisasi mereka berakhir masa berlakunya atau dicabut oleh pengguna. Dalam skenario tersebut, pengguna akan kembali melihat layar izin OAuth dan diminta untuk memberikan izin otorisasi.

Beberapa pengguna mungkin diberi kredensial API untuk digunakan dalam mengambil token akses API. Jika otorisasi untuk pengguna tersebut berakhir masa berlakunya atau dicabut, kredensial API mereka akan berhenti berfungsi. Semua token akses API saat ini juga akan berhenti berfungsi. Untuk mengatasi masalah ini, pengguna harus memberikan otorisasi ulang kredensial mereka dengan login kembali ke UI Looker (Google Cloud core) untuk setiap instance Looker (Google Cloud core) yang terpengaruh. Atau, menggunakan akun layanan khusus API membantu menghindari kegagalan otorisasi kredensial untuk token akses API.

Menghapus akses OAuth ke Looker (Google Cloud core)

Jika memiliki peran yang memungkinkan Anda mengelola akses IAM, Anda dapat menghapus akses ke instance Looker (inti Google Cloud) dengan membatalkan peran IAM yang memberikan akses. Jika Anda menghapus peran IAM akun pengguna, perubahan tersebut akan diterapkan ke instance Looker (inti Google Cloud) dalam beberapa menit. Pengguna tidak akan dapat lagi melakukan autentikasi ke instance. Namun, akun pengguna akan tetap terlihat aktif di halaman Pengguna. Untuk menghapus akun pengguna dari halaman Pengguna, hapus pengguna dalam instance Looker (Google Cloud core).

Menggunakan OAuth sebagai metode autentikasi cadangan

OAuth adalah metode autentikasi cadangan jika SAML atau OIDC adalah metode autentikasi utama.

Untuk menyiapkan OAuth sebagai metode cadangan, berikan peran IAM yang sesuai kepada setiap pengguna Looker (inti Google Cloud) untuk login ke instance.

Setelah metode pencadangan disiapkan, pengguna dapat mengaksesnya melalui langkah-langkah berikut:

  1. Pilih Autentikasi dengan Google di halaman login.
  2. Dialog akan muncul untuk mengonfirmasi autentikasi Google. Pilih Konfirmasi di dialog.

Kemudian, pengguna dapat login menggunakan Akun Google mereka. Saat pertama kali login dengan OAuth, mereka akan diminta untuk menyetujui layar izin OAuth yang disiapkan selama pembuatan instance.

Langkah selanjutnya