Google OAuth est utilisé conjointement avec Identity and Access Management (IAM) pour authentifier les utilisateurs de Looker (Google Cloud Core).
Vous devez configurer un client OAuth et des identifiants lors de la création d'une instance Looker (Google Cloud Core), que vous prévoyiez ou non d'utiliser OAuth comme méthode d'authentification principale.
Pour autoriser les utilisateurs à s'authentifier auprès d'une instance Looker (Google Cloud Core) à l'aide de Google OAuth, suivez les instructions figurant sur cette page.
Si une autre méthode est la méthode d'authentification principale, Google OAuth est la méthode d'authentification de secours par défaut. Google OAuth est également la méthode d'authentification utilisée par Cloud Customer Care pour fournir une assistance.
Authentification et autorisation avec OAuth et IAM
Lorsqu'ils sont utilisés avec OAuth, les rôles IAM de Looker (Google Cloud Core) fournissent les niveaux d'authentification et d'autorisation suivants pour toutes les instances Looker (Google Cloud Core) d'un projet Google Cloud donné. Attribuez l'un des rôles IAM suivants à chacun de vos comptes principaux, en fonction des niveaux d'accès que vous souhaitez leur accorder:
| Rôle IAM | Authentification | Autorisation |
|---|---|---|
Utilisateur de l'instance Looker (roles/looker.instanceUser) |
Peut se connecter aux instances Looker (Google Cloud Core) |
Lors de la première connexion à Looker (Google Cloud Core), le rôle Looker par défaut défini dans Rôles pour les nouveaux utilisateurs a été attribué Impossible d'accéder aux ressources Looker (Google Cloud Core) dans la console Google Cloud. |
Lecteur Looker (roles/looker.viewer) |
Peut se connecter aux instances Looker (Google Cloud Core) | Lors de la première connexion à Looker (Google Cloud Core), le rôle Looker par défaut défini dans Rôles pour les nouveaux utilisateurs a été attribué Peut afficher la liste des instances Looker (Google Cloud Core) et les détails des instances dans la console Google Cloud |
Administrateur Looker (roles/looker.admin) |
Peut se connecter aux instances Looker (Google Cloud Core) | Lors de la première connexion à Looker (Google Cloud Core), ce rôle (ou un rôle personnalisé incluant l'autorisation looker.instances.update) est défini par défaut sur le rôle Looker Administrateur dans l'instance Peut effectuer toutes les tâches d'administration pour Looker (Google Cloud Core) dans la console Google Cloud |
De plus, les comptes utilisateur disposant du rôle owner pour un projet peuvent se connecter et administrer toutes les instances Looker (Google Cloud Core) de ce projet. Ces utilisateurs se verront attribuer le rôle Looker Administrateur.
Si les rôles prédéfinis n'offrent pas les autorisations souhaitées, vous pouvez également créer vos propres rôles personnalisés.
Les comptes Looker (Google Cloud Core) sont créés lors de la première connexion à une instance Looker (Google Cloud Core).
Configurer OAuth dans l'instance Looker (Google Cloud Core)
Dans l'instance Looker (Google Cloud Core), la page Google de la section Authentification du menu Admin vous permet de configurer certains paramètres Google OAuth.
Définir un rôle Looker par défaut dans l'instance Looker (Google Cloud Core)
Avant d'ajouter des utilisateurs, vous pouvez définir le rôle Looker par défaut qui sera attribué aux comptes utilisateur dotés du rôle IAM Utilisateur d'instances Looker (roles/looker.instanceUser) ou Lecteur Looker (roles/looker.viewer) lors de leur première connexion à une instance Looker (Google Cloud Core). Pour définir un rôle par défaut, procédez comme suit:
- Accédez à la page Google depuis la section Authentification du menu Admin.
- Dans le paramètre Rôles pour les nouveaux utilisateurs, sélectionnez le rôle que vous souhaitez attribuer par défaut à tous les nouveaux utilisateurs. Ce paramètre contient la liste de tous les rôles par défaut et rôles personnalisés de l'instance Looker (Google Cloud Core).
Les comptes utilisateur disposant d'un rôle IAM d'administrateur Looker (roles/looker.admin) se verront attribuer le rôle Looker Administrateur, quel que soit le rôle sélectionné dans le paramètre Rôles pour les nouveaux utilisateurs. Si nécessaire, vous pouvez modifier le rôle d'administrateur.
Indiquer la méthode utilisée pour fusionner des utilisateurs OAuth avec un compte Looker (Google Cloud Core)
Dans le champ Fusionner les utilisateurs à l'aide, spécifiez la méthode à utiliser pour fusionner une première connexion OAuth avec un compte utilisateur existant. Vous pouvez fusionner les utilisateurs des systèmes suivants:
- SAML
- OIDC
Si vous avez mis en place plusieurs systèmes, vous pouvez en spécifier plusieurs dans ce champ. Looker (Google Cloud Core) recherchera les utilisateurs dans les systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, si vous avez d'abord créé des utilisateurs avec OIDC, puis utilisé SAML, Looker (Google Cloud Core) fusionne d'abord avec OIDC, puis avec SAML.
Lorsqu'un utilisateur se connecte pour la première fois via OAuth, cette option connecte l'utilisateur à son compte existant en recherchant le compte avec une adresse e-mail correspondante. S'il n'existe pas de compte pour l'utilisateur, un nouveau compte est créé.
Ajouter des utilisateurs à une instance Looker (Google Cloud Core)
Une fois qu'une instance Looker (Google Cloud Core) a été créée, des utilisateurs peuvent être ajoutés via IAM. Pour ajouter des utilisateurs, procédez comme suit:
- Assurez-vous de disposer du rôle Administrateur IAM du projet ou d'un autre rôle vous permettant de gérer l'accès IAM.
Accédez au projet de la console Google Cloud dans lequel se trouve l'instance Looker (Google Cloud Core).
Accédez à la section IAM et administration > IAM de la console Google Cloud.
Sélectionnez Accorder l'accès.
Dans la section Ajouter des comptes principaux, ajoutez un ou plusieurs des éléments suivants:
- L'adresse e-mail d'un compte Google
- un groupe Google
- Un domaine Google Workspace
Dans la section Attribuer des rôles, sélectionnez l'un des rôles IAM prédéfinis pour Looker (Google Cloud Core) ou un rôle personnalisé que vous avez ajouté.
Cliquez sur Enregistrer.
Communiquez avec les nouveaux utilisateurs Looker (Google Cloud Core) auxquels l'accès a été accordé et redirigez-les vers l'URL de l'instance. Il pourra alors se connecter à l'instance, et son compte sera alors créé. Aucune communication automatisée ne sera envoyée.
Si vous modifiez le rôle IAM d'un utilisateur, il est propagé à l'instance Looker (Google Cloud Core) en quelques minutes. Si un compte utilisateur Looker existe déjà, son rôle Looker reste inchangé.
Tous les utilisateurs doivent être provisionnés par les étapes IAM décrites précédemment, à une exception près: vous pouvez créer des comptes de service Looker uniquement pour l'API dans l'instance Looker (Google Cloud Core).
Se connecter à Looker (Google Cloud Core) avec OAuth
Lors de leur première connexion, les utilisateurs sont invités à se connecter avec leur compte Google. Ils doivent utiliser le même compte que celui indiqué par l'administrateur Looker dans le champ Ajouter des comptes principaux lorsqu'ils accordent l'accès. Les utilisateurs verront l'écran de consentement OAuth configuré lors de la création du client OAuth. Une fois que les utilisateurs ont accepté l'écran de consentement, leur compte est créé dans l'instance Looker (Google Cloud Core) et ils sont connectés.
Passé ce délai, les utilisateurs seront automatiquement connectés à Looker (Google Cloud Core), sauf si leur autorisation expire ou est révoquée par l'utilisateur. Dans ce cas, les utilisateurs verront à nouveau l'écran de consentement OAuth et seront invités à donner leur autorisation.
Certains utilisateurs peuvent se voir attribuer des identifiants d'API leur permettant de récupérer un jeton d'accès à l'API. Si l'autorisation de ces utilisateurs expire ou est révoquée, leurs identifiants pour l'API cessent de fonctionner. Par ailleurs, tous les jetons d'accès aux API actuels cesseront de fonctionner. Pour résoudre le problème, l'utilisateur doit autoriser à nouveau ses identifiants en se reconnectant à l'interface utilisateur de Looker (Google Cloud Core) pour chaque instance Looker (Google Cloud Core) concernée. L'utilisation de comptes de service API uniquement permet également d'éviter l'échec de l'autorisation des identifiants pour les jetons d'accès à l'API.
Supprimer l'accès OAuth à Looker (Google Cloud Core)
Si vous disposez d'un rôle qui vous permet de gérer l'accès IAM, vous pouvez supprimer l'accès à une instance Looker (Google Cloud Core) en révoquant le rôle IAM qui a accordé l'accès. Si vous supprimez le rôle IAM d'un compte utilisateur, cette modification est propagée à l'instance Looker (Google Cloud Core) en quelques minutes. L'utilisateur ne pourra plus s'authentifier auprès de l'instance. Toutefois, le compte utilisateur restera actif sur la page Utilisateurs. Pour supprimer le compte utilisateur de la page Utilisateurs, supprimez l'utilisateur dans l'instance Looker (Google Cloud Core).
Utiliser OAuth comme méthode d'authentification de secours
OAuth est la méthode d'authentification de secours lorsque SAML ou OIDC est la méthode d'authentification principale.
Pour configurer OAuth comme méthode de sauvegarde, accordez à chaque utilisateur Looker (Google Cloud Core) le rôle IAM approprié pour se connecter à l'instance.
Une fois la méthode de sauvegarde configurée, les utilisateurs y accèdent en procédant comme suit:
- Sélectionnez S'authentifier avec Google sur la page de connexion.
- Une boîte de dialogue s'affiche pour confirmer l'authentification Google. Sélectionnez Confirmer dans la boîte de dialogue.
Ils peuvent ensuite se connecter à l'aide de leur compte Google. Lors de sa première connexion avec OAuth, il est invité à accepter l'écran de consentement OAuth configuré lors de la création de l'instance.
Étapes suivantes
- Connecter Looker (Google Cloud Core) à votre base de données
- Configurer une instance Looker (Google Cloud Core)
- Paramètres d'administration de Looker (Google Cloud Core)
- Administrer une instance Looker (Google Cloud Core) depuis la console Google Cloud