Utilizzare l'autenticazione utente di Google OAuth per Looker (Google Cloud core)

Google OAuth viene utilizzato insieme a Identity and Access Management (IAM) per autenticare gli utenti di Looker (Google Cloud core).

Quando utilizzi OAuth per l'autenticazione, Looker (Google Cloud core) autentica gli utenti tramite il protocollo OAuth 2.0. Utilizza qualsiasi client OAuth 2.0 per creare le credenziali di autorizzazione durante la creazione di un'istanza. Ad esempio, questa pagina illustra i passaggi per configurare l'autenticazione per un'istanza di Looker (Google Cloud core) utilizzando la console Google Cloud per creare credenziali OAuth.

Se un altro metodo è la forma di autenticazione principale, OAuth di Google è per impostazione predefinita il metodo di autenticazione di backup. OAuth di Google è anche il metodo di autenticazione utilizzato dall'assistenza clienti di Cloud per fornire assistenza.

Autenticazione e autorizzazione con OAuth e IAM

Se utilizzati con OAuth, i ruoli IAM di Looker (Google Cloud core) forniscono i seguenti livelli di autenticazione e autorizzazione per tutte le istanze di Looker (Google Cloud core) all'interno di un determinato progetto Google Cloud. Assegna uno dei seguenti ruoli IAM a ogni entità, a seconda dei livelli di accesso che vuoi che abbia:

Ruolo IAM Autenticazione Autorizzazione
Utente istanza Looker (roles/looker.instanceUser)

Può accedere alle istanze di Looker (Google Cloud core)

Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo predefinito di Looker impostato in Ruoli per i nuovi utenti

Impossibile accedere alle risorse di Looker (Google Cloud core) nella console Google Cloud.

Looker Viewer (roles/looker.viewer) Può accedere alle istanze di Looker (Google Cloud core) Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo Looker predefinito impostato in Ruoli per i nuovi utenti

Può visualizzare l'elenco di istanze di Looker (Google Cloud core) e i relativi dettagli nella console Google Cloud
Amministratore Looker (roles/looker.admin) Può accedere alle istanze di Looker (Google Cloud core) Al primo accesso a Looker (Google Cloud core), questo ruolo (o un ruolo personalizzato che include l'autorizzazione looker.instances.update) per impostazione predefinita viene impostato sul ruolo Looker Amministratore nell'istanza

Può eseguire tutte le attività amministrative per Looker (Google Cloud core) all'interno della console Google Cloud

Inoltre, gli account utente con il ruolo owner per un progetto possono accedere e amministrare qualsiasi istanza di Looker (Google Cloud core) all'interno del progetto. A questi utenti verrà assegnato il ruolo Amministratore di Looker.

Se i ruoli predefiniti non forniscono l'insieme di autorizzazioni che ti serve, puoi anche creare i tuoi ruoli personalizzati.

Gli account Looker (Google Cloud core) vengono creati al momento del primo accesso a un'istanza di Looker (Google Cloud core).

Configurazione di OAuth all'interno dell'istanza di Looker (Google Cloud core)

All'interno dell'istanza di Looker (Google Cloud core), la pagina Google nella sezione Autenticazione del menu Amministrazione consente di configurare alcune impostazioni OAuth di Google.

Impostazione di un ruolo di Looker predefinito nell'istanza di Looker (Google Cloud core)

Prima di aggiungere utenti, puoi impostare il ruolo Looker predefinito che verrà concesso agli account utente con il ruolo IAM Utente istanza Looker (roles/looker.instanceUser) o Visualizzatore Looker (roles/looker.viewer) al primo accesso a un'istanza di Looker (Google Cloud core). Per impostare un ruolo predefinito:

  1. Vai alla pagina Google nella sezione Autenticazione del menu Amministrazione.
  2. Nell'impostazione Ruoli per i nuovi utenti, seleziona il ruolo che vuoi concedere a tutti i nuovi utenti per impostazione predefinita. L'impostazione contiene un elenco di tutti i ruoli predefiniti e i ruoli personalizzati all'interno dell'istanza di Looker (Google Cloud core).

Agli account utente con un ruolo IAM Amministratore Looker (roles/looker.admin) verrà concesso il ruolo Looker Amministratore, indipendentemente dal ruolo selezionato nell'impostazione Ruoli per nuovi utenti. Se necessario, puoi cambiare il ruolo di amministratore in un altro ruolo.

Specifica il metodo utilizzato per unire gli utenti OAuth a un account Looker (Google Cloud core)

Nel campo Unisci utenti con, specifica il metodo da utilizzare per unire il primo accesso OAuth a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:

  • SAML
  • OIDC

Se hai più di un sistema, puoi specificare più di un sistema per l'unione in questo campo. Looker (Google Cloud core) cercherà gli utenti dei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, se hai creato prima alcuni utenti utilizzando OIDC e poi hai utilizzato SAML, Looker (Google Cloud core) viene unito prima tramite OIDC e poi a SAML.

Quando un utente accede per la prima volta tramite OAuth, questa opzione connette l'utente al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Aggiungere utenti a un'istanza di Looker (Google Cloud core)

Dopo aver creato un'istanza di Looker (Google Cloud core), è possibile aggiungere gli utenti mediante IAM. Per aggiungere utenti, segui questi passaggi:

  1. Assicurati di disporre del ruolo Amministratore IAM progetto o di un altro ruolo che ti consenta di gestire l'accesso IAM.
  2. Vai al progetto della console Google Cloud in cui si trova l'istanza di Looker (Google Cloud core).

  3. Accedi alla sezione IAM e Amministratore > IAM della console Google Cloud.

  4. Seleziona Concedi l'accesso.

  5. Nella sezione Aggiungi entità, aggiungi uno o più dei seguenti elementi:

    • Un indirizzo email dell'Account Google
    • Un gruppo Google
    • Un dominio Google Workspace
  6. Nella sezione Assegna ruoli, seleziona uno dei ruoli IAM predefiniti di Looker (Google Cloud core) o un ruolo personalizzato che hai aggiunto.

  7. Fai clic su Salva.

  8. Comunica ai nuovi utenti di Looker (Google Cloud core) che l'accesso è stato concesso e indirizzali all'URL dell'istanza. Da qui possono accedere all'istanza e a quel punto verranno creati i loro account. Non verrà inviata alcuna comunicazione automatica.

Se modifichi il ruolo IAM di un utente, il ruolo IAM viene propagato all'istanza di Looker (Google Cloud core) entro pochi minuti. Se esiste già un account utente Looker, il suo ruolo di Looker rimane invariato.

Per tutti gli utenti è necessario eseguire il provisioning dei passaggi IAM descritti in precedenza, con un'eccezione: puoi creare account di servizio solo per API Looker all'interno dell'istanza di Looker (Google Cloud core).

Accedere a Looker (Google Cloud core) con OAuth

Al primo accesso, agli utenti verrà chiesto di accedere con il proprio Account Google. Quando concede l'accesso, deve utilizzare lo stesso account elencato dall'amministratore di Looker nel campo Aggiungi entità. Gli utenti visualizzeranno la schermata di consenso OAuth configurata durante la creazione del client OAuth. Dopo che gli utenti accettano la schermata per il consenso, i loro account all'interno dell'istanza di Looker (Google Cloud core) vengono creati e gli utenti potranno accedere.

In seguito, gli utenti accederanno automaticamente a Looker (Google Cloud core), a meno che l'autorizzazione non scada o non venga revocata dall'utente. In questi scenari, gli utenti visualizzeranno di nuovo la schermata di consenso OAuth e dovranno dare il consenso all'autorizzazione.

Ad alcuni utenti potrebbero essere assegnate credenziali API da utilizzare per il recupero di un token di accesso API. Se l'autorizzazione per questi utenti scade o viene revocata, le relative credenziali API smettono di funzionare. Anche tutti i token di accesso all'API attuali non funzioneranno più. Per risolvere il problema, l'utente deve autorizzare di nuovo le proprie credenziali accedendo nuovamente all'interfaccia utente di Looker (Google Cloud core) per ogni istanza di Looker (Google Cloud core) interessata. In alternativa, l'utilizzo di account di servizio solo API consente di evitare un errore di autorizzazione delle credenziali per i token di accesso API.

Rimozione dell'accesso OAuth a Looker (Google Cloud core)

Se disponi di un ruolo che consente di gestire l'accesso IAM, puoi rimuovere l'accesso a un'istanza di Looker (Google Cloud core) revocando il ruolo IAM che ha concesso l'accesso. Se rimuovi il ruolo IAM di un account utente, la modifica si propaga all'istanza di Looker (Google Cloud core) entro pochi minuti. L'utente non potrà più autenticarsi nell'istanza. Tuttavia, l'account utente sarà comunque attivo nella pagina Utenti. Per rimuovere l'account utente dalla pagina Utenti, elimina l'utente all'interno dell'istanza di Looker (Google Cloud core).

Utilizzo di OAuth come metodo di autenticazione di backup

OAuth è il metodo di autenticazione di backup quando SAML o OIDC è il metodo di autenticazione principale.

Per configurare un OAuth come metodo di backup, concedi a ogni utente di Looker (Google Cloud core) il ruolo IAM appropriato per accedere all'istanza.

Una volta configurato il metodo di backup, gli utenti possono accedervi tramite i seguenti passaggi:

  1. Seleziona Autenticati con Google nella pagina di accesso.
  2. Viene visualizzata una finestra di dialogo per confermare l'autenticazione di Google. Seleziona Conferma nella finestra di dialogo.

Gli utenti potranno quindi accedere utilizzando i propri Account Google. Al primo accesso con OAuth, gli verrà chiesto di accettare la schermata per il consenso OAuth configurata durante la creazione dell'istanza.

Passaggi successivi