Google OAuth digunakan bersama Identity and Access Management (IAM) untuk mengautentikasi pengguna Looker (Google Cloud core).
Anda harus menyiapkan klien dan kredensial OAuth selama pembuatan instance Looker (Google Cloud core), terlepas dari apakah Anda berencana menggunakan OAuth sebagai metode autentikasi utama atau tidak.
Untuk mengizinkan pengguna melakukan autentikasi ke instance Looker (Google Cloud core) menggunakan Google OAuth, ikuti petunjuk di halaman ini.
Jika metode lain merupakan bentuk autentikasi utama, Google OAuth akan menjadi metode autentikasi cadangan secara default. Google OAuth juga merupakan metode autentikasi yang digunakan Cloud Customer Care saat memberikan dukungan.
Autentikasi dan otorisasi dengan OAuth dan IAM
Saat digunakan dengan OAuth, peran IAM Looker (Google Cloud core) memberikan tingkat autentikasi dan otorisasi berikut untuk semua instance Looker (Google Cloud core) dalam project Google Cloud tertentu. Tetapkan salah satu peran IAM berikut ke setiap akun utama Anda, bergantung pada tingkat akses yang Anda ingin mereka miliki:
Peran IAM | Authentication | Otorisasi |
---|---|---|
Pengguna Instance Looker (roles/looker.instanceUser ) |
Dapat login ke instance Looker (Google Cloud core) |
Setelah login pertama ke Looker (Google Cloud core), diberi peran Looker default yang ditetapkan dalam Peran untuk pengguna baru Tidak dapat mengakses resource Looker (Google Cloud core) di Konsol Google Cloud. |
Penampil Looker (roles/looker.viewer ) |
Dapat login ke instance Looker (Google Cloud core) | Setelah login pertama ke Looker (Google Cloud core), diberi peran Looker default yang ditetapkan dalam Peran untuk pengguna baru Dapat melihat daftar instance Looker (Google Cloud core) dan detail instance di konsol Google Cloud |
Admin Looker (roles/looker.admin ) |
Dapat login ke instance Looker (Google Cloud core) | Setelah login pertama ke Looker (Google Cloud core), peran ini (atau peran khusus yang mencakup izin looker.instances.update ) ditetapkan secara default ke peran Looker Admin dalam instance Dapat melakukan semua tugas administratif untuk Looker (Google Cloud core) dalam konsol Google Cloud |
Selain itu, akun pengguna dengan peran owner
untuk suatu project dapat login dan mengelola instance Looker (inti Google Cloud) apa pun dalam project tersebut. Pengguna ini akan diberi peran Admin Looker.
Jika peran yang telah ditetapkan tidak memberikan kumpulan izin yang diinginkan, Anda juga dapat membuat peran khusus Anda sendiri.
Akun Looker (Google Cloud core) dibuat saat login pertama kali ke instance Looker (Google Cloud core).
Mengonfigurasi OAuth dalam instance Looker (Google Cloud core)
Dalam instance Looker (Google Cloud core), halaman Google di bagian Authentication menu Admin memungkinkan Anda mengonfigurasi beberapa setelan OAuth Google.
Menetapkan peran Looker default dalam instance Looker (Google Cloud core)
Sebelum menambahkan pengguna, Anda dapat menetapkan peran Looker default yang akan diberikan ke akun pengguna dengan peran IAM Pengguna Instance Looker (roles/looker.instanceUser
) atau peran IAM Looker Viewer (roles/looker.viewer
) setelah login pertama kali ke instance Looker (inti Google Cloud). Untuk menetapkan peran default, ikuti langkah-langkah berikut:
- Buka halaman Google di bagian Authentication menu Admin.
- Di setelan Peran untuk pengguna baru, pilih peran yang ingin Anda berikan kepada semua pengguna baru secara default. Setelan ini berisi daftar semua peran default dan peran khusus dalam instance Looker (Google Cloud core).
Akun pengguna dengan peran IAM Admin Looker (roles/looker.admin
) akan diberi peran Looker Admin, terlepas dari peran yang dipilih di setelan Peran untuk pengguna baru. Jika perlu, Anda dapat mengubah peran Admin ke peran lain.
Tentukan metode yang digunakan untuk menggabungkan pengguna OAuth ke akun Looker (Google Cloud core)
Di kolom Merge Users Using, tentukan metode yang akan digunakan untuk menggabungkan login OAuth pertama kali ke akun pengguna yang sudah ada. Anda dapat menggabungkan pengguna dari sistem berikut:
- SAML
- OIDC
Jika menggunakan lebih dari satu sistem, Anda dapat menentukan lebih dari satu sistem yang akan digabungkan dalam kolom ini. Looker (Google Cloud core) akan mencari pengguna dari sistem yang tercantum sesuai urutan yang ditentukan. Misalnya, jika Anda pertama kali membuat beberapa pengguna menggunakan OIDC, lalu menggunakan SAML, Looker (Google Cloud core) akan digabungkan terlebih dahulu berdasarkan OIDC dan yang kedua oleh SAML.
Jika pengguna login untuk pertama kalinya melalui OAuth, opsi ini akan menghubungkan pengguna ke akun yang sudah ada dengan menemukan akun yang memiliki alamat email yang cocok. Jika tidak ada akun untuk pengguna, akun pengguna baru akan dibuat.
Menambahkan pengguna ke instance Looker (Google Cloud core)
Setelah instance Looker (Google Cloud core) dibuat, pengguna dapat ditambahkan melalui IAM. Untuk menambahkan pengguna, ikuti langkah-langkah berikut:
- Pastikan Anda memiliki peran Project IAM Admin atau peran lain yang memungkinkan Anda mengelola akses IAM.
Buka project konsol Google Cloud tempat instance Looker (Google Cloud core) berada.
Buka bagian IAM & Admin > IAM pada Konsol Google Cloud.
Pilih Grant Access.
Di bagian Add principals, tambahkan satu atau beberapa hal berikut:
- Email Akun Google
- Google Grup
- Domain Google Workspace
Di bagian Tetapkan peran, pilih salah satu peran IAM bawaan Looker (Google Cloud core) atau peran kustom yang telah Anda tambahkan.
Klik Save.
Beri tahu pengguna Looker (Google Cloud core) baru bahwa akses telah diberikan dan arahkan mereka ke URL untuk instance tersebut. Dari sana, mereka dapat login ke instance, lalu akun mereka akan dibuat. Tidak ada komunikasi otomatis yang akan dikirim.
Jika Anda mengubah peran IAM pengguna, peran IAM akan diterapkan ke instance Looker (Google Cloud core) dalam beberapa menit. Jika sudah ada akun pengguna Looker, peran Looker pengguna tersebut tetap tidak berubah.
Semua pengguna harus disediakan dengan langkah-langkah IAM yang dijelaskan sebelumnya, dengan satu pengecualian: Anda dapat membuat akun layanan khusus Looker API dalam instance Looker (Google Cloud core).
Login ke Looker (Google Cloud core) dengan OAuth
Saat login pertama kali, pengguna akan diminta untuk login dengan Akun Google mereka. Mereka harus menggunakan akun yang sama dengan yang tercantum di kolom Tambahkan akun utama saat memberikan akses. Pengguna akan melihat layar izin OAuth yang dikonfigurasi selama pembuatan klien OAuth. Setelah pengguna menyetujui layar izin, akun mereka dalam instance Looker (Google Cloud core) akan dibuat dan mereka akan login.
Setelah itu, pengguna akan otomatis login ke Looker (Google Cloud core) kecuali jika otorisasi mereka berakhir atau dicabut oleh pengguna. Dalam skenario tersebut, pengguna akan kembali melihat layar izin OAuth dan diminta untuk memberikan izin.
Beberapa pengguna mungkin diberi kredensial API untuk digunakan dalam mengambil token akses API. Jika otorisasi untuk pengguna tersebut sudah tidak berlaku atau dicabut, kredensial API mereka akan berhenti berfungsi. Semua token akses API saat ini juga akan berhenti berfungsi. Untuk mengatasi masalah ini, pengguna harus memberikan otorisasi ulang kredensialnya dengan login kembali ke UI Looker (Google Cloud core) untuk setiap instance Looker (Google Cloud core) yang terpengaruh. Atau, penggunaan akun layanan khusus API akan membantu menghindari kegagalan otorisasi kredensial untuk token akses API.
Menghapus akses OAuth ke Looker (Google Cloud core)
Jika memiliki peran yang memungkinkan Anda mengelola akses IAM, Anda dapat menghapus akses ke instance Looker (Google Cloud core) dengan mencabut peran IAM yang memberikan akses. Jika Anda menghapus peran IAM akun pengguna, perubahan tersebut akan diterapkan ke instance Looker (Google Cloud core) dalam beberapa menit. Pengguna tidak akan dapat lagi melakukan autentikasi ke instance. Namun, akun pengguna akan tetap aktif di halaman Pengguna. Untuk menghapus akun pengguna dari halaman Pengguna, hapus pengguna dalam instance Looker (Google Cloud core).
Menggunakan OAuth sebagai metode autentikasi cadangan
OAuth adalah metode autentikasi cadangan jika SAML atau OIDC adalah metode autentikasi utama.
Untuk menyiapkan OAuth sebagai metode cadangan, beri peran IAM yang sesuai kepada setiap pengguna Looker (Google Cloud core) untuk login ke instance.
Setelah metode pencadangan disiapkan, pengguna dapat mengaksesnya melalui langkah-langkah berikut:
- Pilih Autentikasi dengan Google di halaman login.
- Dialog akan muncul untuk mengonfirmasi autentikasi Google. Pilih Confirm di dialog.
Kemudian, pengguna dapat login menggunakan Akun Google mereka. Saat pertama kali login dengan OAuth, mereka akan diminta untuk menyetujui layar izin OAuth yang disiapkan selama pembuatan instance.
Langkah selanjutnya
- Menghubungkan Looker (Google Cloud core) ke database Anda
- Mengonfigurasi instance Looker (Google Cloud core)
- Setelan admin Looker (Google Cloud core)
- Mengelola instance Looker (Google Cloud core) dari konsol Google Cloud