Google OAuth viene utilizzato in combinazione con Identity and Access Management (IAM) per autenticare gli utenti di Looker (Google Cloud core).
Devi configurare un client OAuth e le credenziali durante la creazione dell'istanza di Looker (Google Cloud core), indipendentemente dal fatto che tu preveda di utilizzare OAuth come metodo di autenticazione principale.
Per consentire agli utenti di eseguire l'autenticazione in un'istanza di Looker (Google Cloud core) utilizzando Google OAuth, segui le istruzioni riportate in questa pagina.
Se la forma di autenticazione principale è un altro metodo, per impostazione predefinita Google OAuth è il metodo di autenticazione di backup. Google OAuth è anche il metodo di autenticazione utilizzato dall'assistenza clienti Google Cloud per fornire assistenza.
Autenticazione e autorizzazione con OAuth e IAM
Se utilizzati con OAuth, i ruoli IAM di Looker (Google Cloud core) forniscono i seguenti livelli di autenticazione e autorizzazione per tutte le istanze di Looker (Google Cloud core) all'interno di un determinato progetto Google Cloud. Assegna uno dei seguenti ruoli IAM a ciascuna delle entità, a seconda dei livelli di accesso che vuoi concedere alle entità:
| Ruolo IAM | Autenticazione | Autorizzazione |
|---|---|---|
Utente istanza Looker (roles/looker.instanceUser) |
Può accedere alle istanze di Looker (Google Cloud core) |
Al primo accesso a Looker (Google Cloud core), viene concesso il ruolo Looker predefinito impostato in Ruoli per i nuovi utenti Impossibile accedere alle risorse di Looker (Google Cloud core) nella console Google Cloud. |
Visualizzatore Looker (roles/looker.viewer) |
Può accedere alle istanze di Looker (Google Cloud core) | Al primo accesso a Looker (Google Cloud core), viene concesso il ruolo Looker predefinito impostato in Ruoli per i nuovi utenti Può visualizzare l'elenco di istanze Looker (Google Cloud core) e i dettagli dell'istanza nella console Google Cloud |
Amministratore Looker (roles/looker.admin) |
Può accedere alle istanze di Looker (Google Cloud core) | Al primo accesso a Looker (Google Cloud core), questo ruolo (o un ruolo personalizzato che include l'autorizzazione looker.instances.update) viene impostato in modo predefinito sul ruolo Looker di Amministratore all'interno dell'istanza Può eseguire tutte le attività amministrative per Looker (Google Cloud core) all'interno della console Google Cloud |
Inoltre, gli account utente con il ruolo owner per un progetto possono accedere e amministrare qualsiasi istanza di Looker (Google Cloud core) all'interno di quel progetto. A questi utenti verrà assegnato il ruolo Looker di amministratore.
Se i ruoli predefiniti non forniscono il set di autorizzazioni che ti interessa, puoi anche creare i tuoi ruoli personalizzati.
Gli account Looker (Google Cloud core) vengono creati al momento del primo accesso a un'istanza di Looker (Google Cloud core).
Configurazione di OAuth all'interno dell'istanza di Looker (Google Cloud core)
Nell'istanza di Looker (Google Cloud core), la pagina Google nella sezione Autenticazione del menu Amministrazione consente di configurare alcune impostazioni Google OAuth.
Impostazione di un ruolo Looker predefinito all'interno dell'istanza di Looker (Google Cloud core)
Prima di aggiungere utenti, puoi impostare il ruolo Looker predefinito che verrà concesso agli account utente con il ruolo IAM Utente istanza Looker (roles/looker.instanceUser) o Visualizzatore Looker (roles/looker.viewer) al primo accesso a un'istanza di Looker (Google Cloud core). Per impostare un ruolo predefinito, segui questi passaggi:
- Vai alla pagina Google nella sezione Autenticazione del menu Amministrazione.
- Nell'impostazione Ruoli per i nuovi utenti, seleziona il ruolo che vuoi assegnare a tutti i nuovi utenti per impostazione predefinita. L'impostazione contiene un elenco di tutti i ruoli predefiniti e i ruoli personalizzati all'interno dell'istanza di Looker (Google Cloud core).
Agli account utente con ruolo IAM Amministratore di Looker (roles/looker.admin) verrà concesso il ruolo Looker Amministratore, indipendentemente dal ruolo selezionato nell'impostazione Ruoli per i nuovi utenti. Se necessario, puoi modificare il ruolo Amministratore.
Specifica il metodo utilizzato per unire gli utenti OAuth a un account Looker (Google Cloud core)
Nel campo Unisci utenti utilizzando, specifica il metodo da utilizzare per unire il primo accesso OAuth a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:
- OIDC
Se disponi di più sistemi, puoi specificare più sistemi in cui eseguire l'unione in questo campo. Looker (Google Cloud core) cercherà gli utenti nei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, se per la prima volta hai creato alcuni utenti utilizzando OIDC e poi hai utilizzato SAML in un secondo momento, Looker (Google Cloud core) verrà unito prima tramite OIDC e poi tramite SAML.
Quando un utente accede per la prima volta tramite OAuth, questa opzione lo connette al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.
Aggiunta di utenti a un'istanza di Looker (Google Cloud core)
Una volta creata un'istanza di Looker (Google Cloud core), gli utenti possono essere aggiunti tramite IAM. Per aggiungere utenti:
- Assicurati di disporre del ruolo Amministratore IAM progetto o di un altro ruolo che ti consente di gestire l'accesso IAM.
Vai al progetto della console Google Cloud in cui si trova l'istanza di Looker (Google Cloud core).
Vai alla sezione IAM e amministrazione > IAM della console Google Cloud.
Seleziona Concedi l'accesso.
Nella sezione Aggiungi entità, aggiungi uno o più dei seguenti elementi:
- L'indirizzo email di un Account Google
- Un gruppo Google
- Un dominio Google Workspace
Nella sezione Assegna ruoli, seleziona uno dei ruoli IAM predefiniti di Looker (Google Cloud core) o un ruolo personalizzato che hai aggiunto.
Fai clic su Salva.
Comunica ai nuovi utenti di Looker (Google Cloud core) che l'accesso è stato concesso e indirizzali all'URL dell'istanza. Da qui possono accedere all'istanza e a quel punto verranno creati i loro account. Non verranno inviate comunicazioni automatiche.
Se modifichi il ruolo IAM di un utente, questo si propaga all'istanza di Looker (Google Cloud core) entro pochi minuti. Se esiste già un account utente Looker, il ruolo Looker di quell'utente rimane invariato.
Il provisioning di tutti gli utenti deve essere eseguito seguendo i passaggi IAM descritti in precedenza, con una sola eccezione: puoi creare account di servizio solo API Looker all'interno dell'istanza di Looker (Google Cloud core).
Accedere a Looker (Google Cloud core) con OAuth
Al primo accesso, agli utenti verrà chiesto di accedere con il proprio Account Google. Quando concede l'accesso, deve usare lo stesso account indicato dall'amministratore di Looker nel campo Aggiungi entità. Gli utenti vedranno la schermata di consenso OAuth che è stata configurata durante la creazione del client OAuth. Dopo che gli utenti hanno accettato la schermata per il consenso, vengono creati i loro account all'interno dell'istanza di Looker (Google Cloud core) e loro potranno accedere.
Successivamente, gli utenti accederanno automaticamente a Looker (Google Cloud core) a meno che la loro autorizzazione non scada o non venga revocata dall'utente. In questi scenari, gli utenti visualizzeranno nuovamente la schermata per il consenso OAuth e verrà chiesto loro di acconsentire all'autorizzazione.
Ad alcuni utenti possono essere assegnate credenziali API da utilizzare per recuperare un token di accesso all'API. Se l'autorizzazione di questi utenti scade o viene revocata, le loro credenziali API smetteranno di funzionare. Anche eventuali token di accesso all'API attuali smetteranno di funzionare. Per risolvere il problema, l'utente deve autorizzare di nuovo le proprie credenziali accedendo nuovamente all'interfaccia utente di Looker (Google Cloud core) per ogni istanza di Looker (Google Cloud core) interessata. In alternativa, l'utilizzo degli account di servizio solo API consente di evitare un errore di autorizzazione delle credenziali per i token di accesso alle API.
Rimozione dell'accesso OAuth a Looker (Google Cloud core)
Se hai un ruolo che ti consente di gestire l'accesso IAM, puoi rimuovere l'accesso a un'istanza di Looker (Google Cloud core) revocando il ruolo IAM che ha concesso l'accesso. Se rimuovi il ruolo IAM di un account utente, la modifica si propaga all'istanza di Looker (Google Cloud core) entro pochi minuti. L'utente non potrà più autenticarsi con l'istanza. Tuttavia, l'account utente continuerà a essere attivo nella pagina Utenti. Per rimuovere l'account utente dalla pagina Utenti, elimina l'utente all'interno dell'istanza di Looker (Google Cloud core).
Utilizzare OAuth come metodo di autenticazione di backup
OAuth è il metodo di autenticazione di backup quando SAML o OIDC è il metodo principale di autenticazione.
Per configurare OAuth come metodo di backup, concedi a ogni utente Looker (Google Cloud core) il ruolo IAM appropriato per accedere all'istanza.
Una volta configurato il metodo di backup, gli utenti possono accedervi tramite i seguenti passaggi:
- Seleziona Autentica con Google nella pagina di accesso.
- Viene visualizzata una finestra di dialogo per confermare l'autenticazione di Google. Seleziona Conferma nella finestra di dialogo.
Gli utenti possono quindi accedere utilizzando i propri Account Google. Quando accedono per la prima volta con OAuth, gli verrà chiesto di accettare la schermata di consenso OAuth impostata durante la creazione dell'istanza.
Passaggi successivi
- Connetti Looker (Google Cloud core) al tuo database
- Configura un'istanza di Looker (Google Cloud core)
- Impostazioni di amministrazione di Looker (Google Cloud core)
- Gestire un'istanza di Looker (Google Cloud core) dalla console Google Cloud