O Google OAuth é usado com o Identity and Access Management (IAM) para autenticar usuários do Looker (Google Cloud Core).
É necessário configurar um cliente OAuth e as credenciais durante a criação da instância do Looker (Google Cloud Core), mesmo que você não pretenda usar o OAuth como o método de autenticação principal.
Para permitir que os usuários se autentiquem em uma instância do Looker (Google Cloud Core) usando o OAuth do Google, siga as instruções nesta página.
Se outro método for a forma principal de autenticação, o Google OAuth será, por padrão, o método de autenticação de backup. O Google OAuth também é o método de autenticação que o Cloud Customer Care usa para fornecer suporte.
Autenticação e autorização com OAuth e IAM
Quando usados com o OAuth, os papéis do IAM do Looker (Google Cloud Core) oferecem os seguintes níveis de autenticação e autorização para todas as instâncias do Looker (Google Cloud Core) em um determinado projeto do Google Cloud. Atribua um dos seguintes papéis do IAM a cada um dos principais, dependendo dos níveis de acesso que você quer que eles tenham:
| Papel do IAM | Autenticação | Autorização |
|---|---|---|
Usuário da instância do Looker (roles/looker.instanceUser) |
Pode fazer login nas instâncias do Looker (Google Cloud Core) |
Após o primeiro login no Looker (Google Cloud Core), ele recebeu o papel padrão do Looker definido em Papéis para novos usuários. Não é possível acessar os recursos do Looker (Google Cloud Core) no console do Google Cloud. |
Leitor do Looker (roles/looker.viewer) |
Pode fazer login nas instâncias do Looker (Google Cloud Core) | Após o primeiro login no Looker (Google Cloud Core), ele recebeu o papel padrão do Looker definido em Papéis para novos usuários. Pode conferir a lista de instâncias do Looker (Google Cloud Core) e os detalhes delas no console do Google Cloud |
Administrador do Looker (roles/looker.admin) |
Pode fazer login nas instâncias do Looker (Google Cloud Core) | Após o primeiro login no Looker (Google Cloud Core), esse papel (ou um papel personalizado que inclua a permissão looker.instances.update) tenha como padrão o papel Administrador do Looker na instância Pode realizar todas as tarefas administrativas do Looker (Google Cloud Core) no console do Google Cloud |
Além disso, as contas de usuário com o papel owner em um projeto podem fazer login e administrar qualquer instância do Looker (Google Cloud Core) nesse projeto. Esses usuários vão receber o papel de administrador do Looker.
Se os papéis predefinidos não fornecerem o conjunto de permissões que você quer, crie seus próprios papéis personalizados.
As contas do Looker (Google Cloud Core) são criadas no primeiro login em uma instância do Looker (Google Cloud Core).
Como configurar o OAuth na instância do Looker (Google Cloud Core)
Na instância do Looker (Google Cloud Core), a página Google na seção Autenticação do menu Administrador permite definir algumas configurações do OAuth do Google.
Como definir um papel padrão do Looker na instância do Looker (Google Cloud Core)
Antes de adicionar usuários, defina o papel padrão do Looker que será concedido às contas de usuário com o papel do IAM de Usuário da instância do Looker (roles/looker.instanceUser) ou o papel do IAM de Leitor do Looker (roles/looker.viewer) no primeiro login em uma instância do Looker (Google Cloud Core). Para definir uma função padrão, siga estas etapas:
- Navegue até a página do Google na seção Autenticação do menu Administrador.
- Na configuração Funções para novos usuários, selecione a função que você quer conceder a todos os novos usuários por padrão. A configuração contém uma lista de todos os papéis padrão e personalizados na instância do Looker (Google Cloud Core).
As contas de usuário com um papel do IAM de administrador do Looker (roles/looker.admin) vão receber o papel de Administrador do Looker, seja qual for o papel selecionado na configuração Funções para novos usuários. Se necessário, você pode mudar a função de administrador.
Especifique o método usado para mesclar usuários OAuth a uma conta do Looker (Google Cloud Core)
No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um primeiro login OAuth com uma conta de usuário existente. É possível mesclar usuários dos seguintes sistemas:
- SAML (em inglês)
- OIDC
Se você tiver mais de um sistema, poderá especificar mais de um sistema neste campo. O Looker (Google Cloud Core) procura os usuários dos sistemas listados na ordem em que são especificados. Por exemplo, se você criasse alguns usuários com o OIDC e depois usasse o SAML, o Looker (Google Cloud Core) seria mesclado primeiro com o OIDC e depois com o SAML.
Quando um usuário fizer login pela primeira vez usando o OAuth, essa opção o conectará à conta atual, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova conta de usuário será criada.
Adicionar usuários a uma instância do Looker (Google Cloud Core)
Depois que uma instância do Looker (Google Cloud Core) for criada, os usuários poderão ser adicionados pelo IAM. Para adicionar usuários, siga estas etapas:
- Verifique se você tem o papel Administrador do IAM do projeto ou outro papel que permita gerenciar o acesso do IAM.
Navegue até o projeto do console do Google Cloud em que a instância do Looker (Google Cloud Core) está localizada.
Acesse a seção IAM e administrador > IAM do console do Google Cloud.
Selecione Conceder acesso.
Na seção Adicionar principais, adicione um ou mais dos itens a seguir:
- O e-mail de uma Conta do Google
- Um Grupo do Google
- Um domínio do Google Workspace
Na seção Atribuir papéis, selecione um dos papéis predefinidos do IAM para o Looker (Google Cloud Core) ou um papel personalizado que você tenha adicionado.
Clique em Salvar.
Informe aos novos usuários do Looker (Google Cloud Core) que o acesso foi concedido e direcione-os ao URL da instância. A partir daí, eles podem fazer login na instância e, nesse momento, as contas serão criadas. Nenhum comunicado automático será enviado.
Quando você altera o papel do IAM de um usuário, ele é propagado para a instância do Looker (Google Cloud Core) em alguns minutos. Se já houver uma conta de usuário do Looker, a função desse usuário vai continuar igual.
Todos os usuários precisam ser provisionados pelas etapas do IAM descritas anteriormente, com uma exceção: você pode criar contas de serviço somente da API Looker na instância do Looker (Google Cloud Core).
Como fazer login no Looker (Google Cloud Core) com OAuth
No primeiro login, é solicitado que os usuários façam login com a Conta do Google. Eles precisam usar a mesma conta que o administrador do Looker listou no campo Adicionar principais ao conceder acesso. Os usuários vão acessar a tela de permissão OAuth configurada durante a criação do cliente OAuth. Depois que os usuários concordam com a tela de consentimento, as contas na instância do Looker (Google Cloud Core) são criadas e conectadas.
Depois disso, os usuários serão conectados automaticamente ao Looker (Google Cloud Core), a menos que a autorização expire ou seja revogada pelo usuário. Nesses cenários, os usuários vão acessar novamente a tela de permissão OAuth e pedir o consentimento para a autorização.
Alguns usuários podem receber credenciais de API para uso na recuperação de um token de acesso à API. Se a autorização desses usuários expirar ou for revogada, as credenciais da API deles deixarão de funcionar. Os tokens de acesso atuais à API também vão deixar de funcionar. Para resolver o problema, o usuário precisa autorizar as credenciais novamente fazendo login na UI do Looker (Google Cloud Core) de cada instância afetada do Looker (Google Cloud Core). Como alternativa, o uso de contas de serviço somente de API ajuda a evitar uma falha na autorização de credenciais para tokens de acesso à API.
Remover o acesso OAuth ao Looker (Google Cloud Core)
Se você tiver um papel que permita gerenciar o acesso do IAM, poderá remover o acesso a uma instância do Looker (Google Cloud Core) revogando o papel do IAM que concedeu o acesso. Se você remover o papel do IAM de uma conta de usuário, essa alteração será propagada para a instância do Looker (Google Cloud Core) em alguns minutos. O usuário não poderá mais se autenticar na instância. No entanto, a conta do usuário vai continuar ativa na página Usuários. Para remover a conta de usuário da página Usuários, exclua o usuário na instância do Looker (Google Cloud Core).
Usar o OAuth como método de autenticação de backup
O OAuth é o método de autenticação de backup quando SAML ou OIDC é o método de autenticação principal.
Para definir um OAuth como método de backup, conceda a cada usuário do Looker (Google Cloud Core) o papel do IAM apropriado para fazer login na instância.
Após a configuração do método de backup, os usuários podem acessá-lo seguindo estas etapas:
- Selecione Autenticar com o Google na página de login.
- Uma caixa de diálogo vai aparecer para confirmar a autenticação do Google. Selecione Confirmar na caixa de diálogo.
Os usuários podem, então, fazer login usando as próprias Contas do Google. Ao fazer login pela primeira vez com o OAuth, o usuário precisa aceitar a tela de permissão OAuth que foi configurada durante a criação da instância.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Configure uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) pelo console do Google Cloud