Google OAuth se usa junto con Identity and Access Management (IAM) para autenticar usuarios de Looker (Google Cloud Core).
Cuando se usa OAuth para la autenticación, Looker (Google Cloud Core) autentica a los usuarios con el protocolo OAuth 2.0. Usa cualquier cliente de OAuth 2.0 para crear credenciales de autorización cuando crees una instancia. A modo de ejemplo, esta página te guía a través de los pasos para configurar la autenticación de una instancia de Looker (Google Cloud Core) con la consola de Google Cloud para crear credenciales de OAuth.
Si otro método es la forma principal de autenticación, Google OAuth es, de forma predeterminada, el método de autenticación de respaldo. Google OAuth también es el método de autenticación que el equipo de Atención al cliente de Cloud usa cuando brinda asistencia.
Autenticación y autorización con IAM y OAuth
Cuando se usan con OAuth, los roles de IAM de Looker (Google Cloud Core) proporcionan los siguientes niveles de autenticación y autorización para todas las instancias de Looker (Google Cloud Core) dentro de un proyecto determinado de Google Cloud. Asigna uno de los siguientes roles de IAM a cada una de tus principales, según los niveles de acceso que quieres que tengan:
| Función de IAM | Autenticación | Autorización |
|---|---|---|
Usuario de instancia de Looker (roles/looker.instanceUser) |
Puede acceder a instancias de Looker (Google Cloud Core) |
Cuando accedas por primera vez a Looker (Google Cloud Core), se te otorgará el rol predeterminado de Looker configurado en Roles para usuarios nuevos. No se puede acceder a los recursos de Looker (Google Cloud Core) en la consola de Google Cloud. |
Visualizador de Looker (roles/looker.viewer) |
Puede acceder a instancias de Looker (Google Cloud Core) | Cuando accedas por primera vez a Looker (Google Cloud Core), se te otorgará el rol predeterminado de Looker configurado en Roles para usuarios nuevos. Puede ver la lista de instancias de Looker (Google Cloud Core) y los detalles de las instancias en la consola de Google Cloud |
Administrador de Looker (roles/looker.admin) |
Puede acceder a instancias de Looker (Google Cloud Core) | Cuando accedas por primera vez a Looker (Google Cloud Core), este rol (o uno personalizado que incluya el permiso looker.instances.update) se establecerá de forma predeterminada en el rol Administrador de Looker en la instancia. Puede realizar todas las tareas administrativas para Looker (Google Cloud Core) en la consola de Google Cloud. |
Además, las cuentas de usuario con el rol owner de un proyecto pueden acceder y administrar cualquier instancia de Looker (Google Cloud Core) dentro de ese proyecto. A estos usuarios se les otorgará el rol Administrador de Looker.
Si los roles predefinidos no proporcionan el conjunto de permisos que deseas, también puedes crear tus propios roles personalizados.
Las cuentas de Looker (Google Cloud Core) se crean cuando se accede por primera vez a una instancia de Looker (Google Cloud Core).
Configura OAuth dentro de la instancia de Looker (Google Cloud Core)
En la instancia de Looker (Google Cloud Core), la página de Google en la sección Autenticación del menú Administrador te permite establecer algunos parámetros de configuración de OAuth de Google.
Configura un rol predeterminado de Looker en la instancia de Looker (Google Cloud Core)
Antes de agregar usuarios, puedes configurar el rol de Looker predeterminado que se otorgará a las cuentas de usuario con el rol de IAM Usuario de instancia de Looker (roles/looker.instanceUser) o el rol de IAM Visualizador de Looker (roles/looker.viewer) la primera vez que accedan a una instancia de Looker (Google Cloud Core). Para establecer un rol predeterminado, sigue estos pasos:
- Navega a la página de Google en la sección Autenticación del menú Administrador.
- En el parámetro de configuración Roles para usuarios nuevos, selecciona el rol que deseas otorgar a todos los usuarios nuevos de forma predeterminada. El parámetro de configuración contiene una lista de todos los roles predeterminados y roles personalizados dentro de la instancia de Looker (Google Cloud Core).
A las cuentas de usuario con un rol de IAM de administrador de Looker (roles/looker.admin) se les otorgará el rol de administrador de Looker, independientemente del rol seleccionado en el parámetro de configuración Roles para usuarios nuevos. Si es necesario, puedes cambiar el rol de administrador por uno diferente.
Especifica el método que se usa para combinar usuarios de OAuth con una cuenta de Looker (Google Cloud Core)
En el campo Combinar usuarios con, especifica el método que se usará para combinar un acceso de OAuth por primera vez con una cuenta de usuario existente. Puedes combinar usuarios de los siguientes sistemas:
- SAML
- OIDC
Si tienes más de un sistema implementado, puedes especificar más de un sistema para combinar en este campo. Looker (Google Cloud Core) buscará usuarios de los sistemas enumerados en el orden en que se especifiquen. Por ejemplo, si primero creaste algunos usuarios con OIDC y, luego, usaste SAML, Looker (Google Cloud Core) se combinaría primero con OIDC y segundo con SAML.
Cuando un usuario accede por primera vez a través de OAuth, esta opción conecta al usuario con su cuenta existente, ya que encuentra la cuenta que tiene una dirección de correo electrónico coincidente. Si el usuario no tiene una cuenta existente, se creará una nueva.
Agrega usuarios a una instancia de Looker (Google Cloud Core)
Una vez que se crea una instancia de Looker (Google Cloud Core), se pueden agregar usuarios a través de IAM. Para agregar usuarios, sigue estos pasos:
- Asegúrate de tener el rol de Administrador de IAM del proyecto o de otro rol que te permita administrar el acceso de IAM.
Navega hasta el proyecto de la consola de Google Cloud en el que reside la instancia de Looker (Google Cloud Core).
Navega a IAM y Administrador > IAM de la consola de Google Cloud.
Selecciona Otorgar acceso.
En la sección Agregar principales, agrega una o más de las siguientes opciones:
- El correo electrónico de una Cuenta de Google
- Un Grupo de Google
- Un dominio de Google Workspace
En la sección Asignar roles, selecciona uno de los roles predefinidos de IAM de Looker (Google Cloud Core) o un rol personalizado que hayas agregado.
Haz clic en Guardar.
Comunicarles a los usuarios nuevos de Looker (Google Cloud Core) que se les otorgó acceso y dirigirlos a la URL de la instancia Desde allí pueden acceder a la instancia y, a partir de ese momento, se crearán sus cuentas. No se enviará ninguna comunicación automatizada.
Si cambias el rol de IAM de un usuario, este se propaga a la instancia de Looker (Google Cloud Core) en unos minutos. Si hay una cuenta de usuario de Looker existente, el rol de Looker de ese usuario no se modificará.
Todos los usuarios deben aprovisionarse según los pasos de IAM descritos anteriormente, con una excepción: puedes crear cuentas de servicio exclusivas de la API de Looker en la instancia de Looker (Google Cloud Core).
Accede a Looker (Google Cloud Core) con OAuth
Cuando accedan por primera vez, se les pedirá a los usuarios que accedan con su Cuenta de Google. Debe usar la misma cuenta que el administrador de Looker enumeró en el campo Agregar principales cuando otorgue acceso. Los usuarios verán la pantalla de consentimiento de OAuth que se configuró durante la creación del cliente de OAuth. Una vez que los usuarios aceptan la pantalla de consentimiento, se crean sus cuentas dentro de la instancia de Looker (Google Cloud Core) y acceden a sus cuentas.
Luego, los usuarios accederán automáticamente a Looker (Google Cloud Core), a menos que su autorización venzca o revoque el usuario. En esos casos, los usuarios volverán a ver la pantalla de consentimiento de OAuth y se les pedirá su consentimiento para la autorización.
Es posible que a algunos usuarios se les asignen credenciales de API para recuperar un token de acceso a la API. Si la autorización de esos usuarios vence o se revoca, sus credenciales de API dejan de funcionar. También dejarán de funcionar los tokens de acceso a la API actuales. Para resolver el problema, el usuario debe volver a autorizar sus credenciales. Para ello, debe volver a acceder a la IU de Looker (Google Cloud Core) por cada instancia de Looker (Google Cloud Core) afectada. De manera alternativa, el uso de cuentas de servicio solo de API ayuda a evitar una falla en la autorización de credenciales para los tokens de acceso a la API.
Quitando el acceso de OAuth a Looker (Google Cloud Core)
Si tienes un rol que te permite administrar el acceso a IAM, puedes quitar el acceso a una instancia de Looker (Google Cloud Core) revocando el rol de IAM que otorgó acceso. Si quitas el rol de IAM de una cuenta de usuario, ese cambio se propaga a la instancia de Looker (Google Cloud Core) en unos minutos. El usuario ya no podrá autenticarse en la instancia. Sin embargo, la cuenta de usuario seguirá apareciendo activa en la página Usuarios. Para quitar la cuenta de usuario de la página Usuarios, borra el usuario de la instancia de Looker (Google Cloud Core).
Uso de OAuth como método de autenticación de respaldo
OAuth es el método de autenticación de respaldo cuando SAML o OIDC son el método de autenticación principal.
Para configurar OAuth como método de copia de seguridad, otorga a cada usuario de Looker (Google Cloud Core) el rol de IAM adecuado para acceder a la instancia.
Una vez configurado el método de copia de seguridad, los usuarios acceden a él mediante los siguientes pasos:
- Selecciona Autenticar con Google en la página de acceso.
- Aparecerá un cuadro de diálogo para confirmar la autenticación de Google. Selecciona Confirmar en el cuadro de diálogo.
Luego, los usuarios podrán acceder con sus Cuentas de Google. Cuando accedan por primera vez con OAuth, se les pedirá que acepten la pantalla de consentimiento de OAuth que se configuró durante la creación de la instancia.
¿Qué sigue?
- Conecta Looker (Google Cloud Core) a tu base de datos
- Configura una instancia de Looker (Google Cloud core)
- Configuración para administradores de Looker (Google Cloud Core)
- Administra una instancia de Looker (Google Cloud Core) desde la consola de Google Cloud