O Google OAuth é usado com o Identity and Access Management (IAM) para autenticar usuários do Looker (Google Cloud Core).
Ao usar o OAuth para autenticação, o Looker (Google Cloud Core) autentica os usuários pelo protocolo OAuth 2.0. Use qualquer cliente OAuth 2.0 para criar credenciais de autorização ao criar uma instância. Como exemplo, esta página orienta você nas etapas para configurar a autenticação de uma instância do Looker (Google Cloud Core) usando o console do Google Cloud para criar credenciais OAuth.
Se outro método for a forma principal de autenticação, o Google OAuth será o método de autenticação de backup padrão. O Google OAuth também é o método de autenticação usado pelo Atendimento Cloud Customer Care.
Autenticação e autorização com OAuth e IAM
Quando usadas com o OAuth, as funções do IAM do Looker (núcleo do Google Cloud) fornecem os seguintes níveis de autenticação e autorização para todas as instâncias do Looker (Google Cloud Core) em um determinado projeto do Google Cloud . Atribua um dos seguintes papéis do IAM a cada um dos principais, dependendo dos níveis de acesso que você quer que eles tenham:
| Papel do IAM | Autenticação | Autorização |
|---|---|---|
Usuário da instância do Looker (roles/looker.instanceUser) |
Fazer login em instâncias do Looker (Google Cloud Core) |
No primeiro login no Looker (Google Cloud Core), foi concedida a função padrão do Looker definida em Funções para novos usuários Não é possível acessar os recursos do Looker (Google Cloud Core) no console do Google Cloud . |
Visualizador do Looker (roles/looker.viewer) |
Fazer login em instâncias do Looker (Google Cloud Core) | No primeiro login no Looker (Google Cloud Core), foi concedida a função padrão do Looker definida em Funções para novos usuários Pode conferir a lista de instâncias do Looker (Google Cloud Core) e os detalhes da instância no console do Google Cloud |
Administrador do Looker (roles/looker.admin) |
Fazer login em instâncias do Looker (Google Cloud Core) | Na primeira vez que você fizer login no Looker (Google Cloud Core), esse papel (ou um papel personalizado que inclua a permissão looker.instances.update) será definido como Administrador do Looker na instância Pode realizar todas as tarefas administrativas do Looker (Google Cloud Core) no console do Google Cloud |
Além disso, as contas de usuário com a função owner em um projeto podem fazer login e administrar qualquer instância do Looker (Google Cloud core) nesse projeto. Esses usuários vão receber a função de Administrador.
Se os papéis predefinidos não fornecerem o conjunto de permissões que você quer, crie seus próprios papéis personalizados.
As contas do Looker (Google Cloud Core) são criadas no momento do primeiro login em uma instância do Looker (Google Cloud Core).
Como configurar o OAuth na instância do Looker (Google Cloud Core)
Na instância do Looker (Google Cloud Core), a página Google na seção Autenticação do menu Administrador permite configurar algumas configurações do Google OAuth.
Como definir um papel padrão do Looker na instância do Looker (Google Cloud Core)
Antes de adicionar usuários, é possível definir o papel do Looker padrão que será concedido às contas de usuário com o papel de IAM de usuário da instância do Looker (roles/looker.instanceUser) ou de leitor do Looker (roles/looker.viewer) no primeiro login em uma instância do Looker (Google Cloud core). Para definir uma função padrão, siga estas etapas:
- Acesse a página Google na seção Autenticação do menu Administrador.
- Na configuração Funções para novos usuários, selecione a função que você quer conceder a todos os novos usuários por padrão. A configuração contém uma lista de todos os papéis padrão e personalizados na instância do Looker (Google Cloud Core).
As contas de usuário com o papel de administrador do IAM do Looker (roles/looker.admin) vão receber o papel de Administrador do Looker, independentemente do papel selecionado na configuração Papéis para novos usuários. Se necessário, mude a função de administrador para outra.
Especificar o método usado para mesclar usuários do OAuth a uma conta do Looker (Google Cloud Core)
No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um login OAuth pela primeira vez a uma conta de usuário existente. É possível mesclar usuários dos seguintes sistemas:
- SAML
- OIDC
Se você tiver mais de um sistema, poderá especificar mais de um sistema para mesclar neste campo. O Looker (Google Cloud Core) vai procurar usuários dos sistemas listados na ordem especificada. Por exemplo, se você criou alguns usuários usando o OIDC e depois usou o SAML, Looker (Google Cloud Core) seria mesclado primeiro pelo OIDC e depois pelo SAML.
Quando um usuário faz login pela primeira vez usando o OAuth, essa opção conecta o usuário à conta existente, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta de usuário, uma nova será criada.
Como adicionar usuários a uma instância do Looker (Google Cloud Core)
Depois que uma instância do Looker (Google Cloud Core) é criada, os usuários podem ser adicionados pelo IAM. Para adicionar usuários, siga estas etapas:
- Verifique se você tem o papel de Administrador de IAM do projeto ou outro papel que permita gerenciar o acesso ao IAM.
Navegue até o projeto do console do Google Cloud em que a instância do Looker (Google Cloud Core) está.
Acesse a seção IAM e administrador > IAM do console do Google Cloud .
Selecione Conceder acesso.
Na seção Adicionar principais, adicione uma ou mais das seguintes opções:
- Um e-mail da Conta do Google
- Um Grupo do Google
- Um domínio do Google Workspace
Na seção Atribuir papéis, selecione um dos papéis predefinidos do IAM do Looker (Google Cloud core) ou um papel personalizado que você adicionou.
Clique em Salvar.
Informe aos novos usuários do Looker (Google Cloud Core) que o acesso foi concedido e direcione-os ao URL da instância. Depois disso, eles podem fazer login na instância, e as contas serão criadas. Nenhuma comunicação automatizada será enviada.
Se você mudar o papel do IAM de um usuário, ele será propagado para a instância do Looker (Google Cloud Core) em alguns minutos. Se houver uma conta de usuário do Looker, o papel do usuário no Looker não será alterado.
Todos os usuários precisam ser provisionados pelas etapas do IAM descritas anteriormente, com uma exceção: é possível criar contas de serviço somente para a API Looker na instância do Looker (Google Cloud core).
Como fazer login no Looker (Google Cloud Core) com OAuth
No primeiro login, os usuários vão precisar fazer login com a Conta do Google. Eles precisam usar a mesma conta que o administrador do Looker listou no campo Adicionar participantes ao conceder acesso. Os usuários vão ver a tela de consentimento do OAuth que foi configurada durante a criação do cliente OAuth. Depois que os usuários concordam com a tela de consentimento, as contas deles na instância do Looker (Google Cloud Core) são criadas e eles fazem login.
Depois disso, os usuários vão fazer login automaticamente no Looker (Google Cloud core), a menos que a autorização vença ou seja revogada pelo usuário. Nesses casos, os usuários vão ver a tela de consentimento do OAuth novamente e vão precisar dar consentimento para a autorização.
Algumas credenciais de API podem ser atribuídas a alguns usuários para uso na recuperação de um token de acesso da API. Se a autorização desses usuários expirar ou for revogada, as credenciais da API vão parar de funcionar. Todos os tokens de acesso à API atuais também vão parar de funcionar. Para resolver o problema, o usuário precisa autorizar novamente as credenciais fazendo login na UI do Looker (Google Cloud Core) para cada instância do Looker (Google Cloud Core) afetada. Como alternativa, use contas de serviço somente para API para evitar falhas de autorização de credencial para tokens de acesso da API.
Como remover o acesso OAuth ao Looker (Google Cloud Core)
Se você tiver uma função que permita gerenciar o acesso do IAM, poderá remover o acesso a uma instância do Looker (Google Cloud Core) revogando a função do IAM que concedeu o acesso. Se você remover a função do IAM de uma conta de usuário, essa mudança será propagada para a instância do Looker (Google Cloud core) em alguns minutos. O usuário não poderá mais se autenticar na instância. No entanto, a conta de usuário ainda vai aparecer como ativa na página Usuários. Para remover a conta de usuário da página Usuários, exclua o usuário na instância do Looker (Google Cloud core).
Como usar o OAuth como um método de autenticação de backup
O OAuth é o método de autenticação de backup quando o SAML ou o OIDC é o método principal.
Para configurar um OAuth como o método de backup, conceda a cada usuário do Looker (Google Cloud Core) o papel do IAM apropriado para fazer login na instância.
Depois que o método de backup for configurado, os usuários vão poder acessá-lo seguindo estas etapas:
- Selecione Autenticar com o Google na página de login.
- Uma caixa de diálogo vai aparecer para confirmar a autenticação do Google. Selecione Confirmar na caixa de diálogo.
Os usuários podem fazer login usando as Contas do Google. Ao fazer login pela primeira vez com o OAuth, eles precisarão aceitar a tela de consentimento do OAuth que foi configurada durante a criação da instância.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Configurar uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud