O OAuth do Google é usado com o Identity and Access Management (IAM) para autenticar os usuários do Looker (Google Cloud Core).
Ao usar o OAuth para autenticação, o Looker (Google Cloud Core) autentica os usuários pelo protocolo OAuth 2.0. Use qualquer cliente OAuth 2.0 para criar credenciais de autorização ao criar uma instância. Por exemplo, esta página mostra as etapas para configurar a autenticação de uma instância do Looker (Google Cloud Core) usando o console do Google Cloud para criar credenciais do OAuth.
Se outro método for a forma principal de autenticação, o OAuth do Google será por padrão o método alternativo de autenticação. O Google OAuth também é o método de autenticação usado pelo Cloud Customer Care para oferecer suporte.
Autenticação e autorização com OAuth e IAM
Quando usados com o OAuth, os papéis do IAM do Looker (Google Cloud Core) oferecem os seguintes níveis de autenticação e autorização para todas as instâncias do Looker (Google Cloud Core) em um determinado projeto do Google Cloud. Atribua um dos seguintes papéis do IAM a cada um dos principais, dependendo dos níveis de acesso que você quer que eles tenham:
| Papel do IAM | Autenticação | Autorização |
|---|---|---|
Usuário da instância do Looker (roles/looker.instanceUser) |
Pode fazer login em instâncias do Looker (Google Cloud Core) |
Após o primeiro login no Looker (Google Cloud Core), receber a função padrão do Looker definida em Funções para novos usuários Não consegue acessar os recursos do Looker (Google Cloud Core) no console do Google Cloud. |
Leitor do Looker (roles/looker.viewer) |
Pode fazer login em instâncias do Looker (Google Cloud Core) | Após o primeiro login no Looker (Google Cloud Core), receber a função padrão do Looker definida em Funções para novos usuários Pode acessar a lista de instâncias do Looker (Google Cloud Core) e os detalhes das instâncias no console do Google Cloud |
Administrador do Looker (roles/looker.admin) |
Pode fazer login em instâncias do Looker (Google Cloud Core) | Após o primeiro login no Looker (Google Cloud Core), esse papel (ou um papel personalizado que inclui a permissão looker.instances.update) assume como padrão o papel de Administrador do Looker na instância Pode executar todas as tarefas administrativas do Looker (Google Cloud Core) no console do Google Cloud |
Além disso, as contas de usuário com o papel owner em um projeto podem fazer login e administrar qualquer instância do Looker (Google Cloud Core) nesse projeto. Esses usuários receberão o papel de administrador do Looker.
Se os papéis predefinidos não fornecerem o conjunto de permissões que você quer, também será possível criar seus próprios papéis personalizados.
As contas do Looker (Google Cloud Core) são criadas quando há o primeiro login em uma instância do Looker (Google Cloud Core).
Configurar o OAuth na instância do Looker (Google Cloud Core)
Na instância do Looker (Google Cloud Core), a página Google na seção Autenticação do menu Administrador permite definir algumas configurações de OAuth do Google.
Definir um papel padrão do Looker na instância do Looker (Google Cloud Core)
Antes de adicionar usuários, defina o papel padrão do Looker que será concedido às contas de usuário com o papel do IAM Usuário da instância do Looker (roles/looker.instanceUser) ou Leitor do Looker (roles/looker.viewer) no primeiro login em uma instância do Looker (Google Cloud Core). Para definir uma função padrão, siga estas etapas:
- Acesse a página Google na seção Autenticação do menu Administrador.
- Na configuração Funções para novos usuários, selecione a função que você quer conceder a todos os novos usuários por padrão. A configuração contém uma lista de todos os papéis padrão e personalizados na instância do Looker (Google Cloud Core).
As contas de usuário com um papel do IAM de administrador do Looker (roles/looker.admin) vão receber o papel de administrador do Looker, seja qual for o papel selecionado na configuração Papéis para novos usuários. Se necessário, você poderá alterar a função de administrador para outra função.
Especificar o método usado para mesclar usuários do OAuth a uma conta do Looker (Google Cloud Core)
No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um primeiro login do OAuth a uma conta de usuário existente. Você pode mesclar usuários dos seguintes sistemas:
- SAML
- OIDC
Se você tiver mais de um sistema, poderá especificar mais de um sistema para mesclar nesse campo. O Looker (Google Cloud Core) vai procurar usuários nos sistemas listados na ordem em que foram especificados. Por exemplo, se você criou alguns usuários primeiro usando o OIDC e depois usou o SAML, o Looker (Google Cloud Core) vai ser mesclado primeiro pelo OIDC e depois pelo SAML.
Quando um usuário fizer login pela primeira vez usando o OAuth, essa opção conectará o usuário à conta atual, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova conta será criada.
Adicionar usuários a uma instância do Looker (Google Cloud Core)
Após a criação de uma instância do Looker (Google Cloud Core), os usuários podem ser adicionados pelo IAM. Para adicionar usuários, siga estas etapas:
- Verifique se você tem o papel Administrador de IAM do projeto ou outro que permita gerenciar o acesso ao IAM.
Acesse o projeto do console do Google Cloud em que a instância do Looker (Google Cloud Core) está localizada.
Acesse a página IAM e Administrador > seção "IAM" do console do Google Cloud.
Selecione Permitir acesso.
Na seção Adicionar participantes, adicione um ou mais dos itens a seguir:
- Um e-mail de uma Conta do Google
- Um Grupo do Google
- Um domínio do Google Workspace
Na seção Atribuir papéis, selecione um dos papéis predefinidos do IAM do Looker (Google Cloud Core) ou um papel personalizado que você adicionou.
Clique em Salvar.
Comunicar aos novos usuários do Looker (Google Cloud Core) que o acesso foi concedido e direcionar ao URL da instância. A partir daí, é possível fazer login na instância e criar as contas. Nenhuma comunicação automatizada será enviada.
Quando você altera o papel do IAM de um usuário, ele é propagado para a instância do Looker (Google Cloud Core) em alguns minutos. Se já houver uma conta de usuário do Looker, a função dele vai continuar igual.
Todos os usuários precisam ser provisionados pelas etapas do IAM descritas anteriormente, com uma exceção: você pode criar contas de serviço somente para a API Looker na instância do Looker (Google Cloud Core).
Como fazer login no Looker (Google Cloud Core) com o OAuth
No primeiro login, os usuários precisam fazer login com a Conta do Google. Ele deve usar a mesma conta que o administrador do Looker listou no campo Adicionar participantes ao conceder acesso. Os usuários verão a tela de consentimento do OAuth que foi configurada durante a criação do cliente OAuth. Depois que os usuários concordam com a tela de consentimento, a conta na instância do Looker (Google Cloud Core) é criada e conectada.
Depois disso, os usuários serão conectados automaticamente ao Looker (Google Cloud Core), a menos que a autorização expire ou seja revogada pelo usuário. Nessas situações, os usuários veem novamente a tela de permissão OAuth e precisam dar o consentimento para a autorização.
Alguns usuários podem receber credenciais de API atribuídas para uso na recuperação de um token de acesso à API. Se a autorização desses usuários expirar ou for revogada, as credenciais da API deles deixarão de funcionar. Todos os tokens de acesso à API atuais também deixarão de funcionar. Para resolver o problema, o usuário precisa autorizar novamente as credenciais fazendo login na UI do Looker (Google Cloud Core) para cada instância afetada. Como alternativa, o uso de contas de serviço somente de API ajuda a evitar uma falha de autorização de credenciais para tokens de acesso à API.
Remoção do acesso OAuth ao Looker (Google Cloud Core)
Se você tiver um papel que permita gerenciar o acesso do IAM, poderá remover o acesso a uma instância do Looker (Google Cloud Core) revogando o papel do IAM que concedeu acesso. Se você remover o papel do IAM de uma conta de usuário, essa alteração será propagada para a instância do Looker (Google Cloud Core) em alguns minutos. O usuário não poderá mais se autenticar na instância. No entanto, a conta do usuário ainda aparecerá ativa na página Usuários. Para remover a conta de usuário da página Usuários, exclua o usuário na instância do Looker (Google Cloud Core).
Usar OAuth como método alternativo de autenticação
OAuth é o método de autenticação alternativo quando SAML ou OIDC é o método principal.
Para configurar um OAuth como método de backup, conceda a cada usuário do Looker (Google Cloud Core) o papel do IAM apropriado para fazer login na instância.
Depois que o método de backup é configurado, os usuários podem acessá-lo seguindo estas etapas:
- Selecione Autenticar com o Google na página de login.
- Uma caixa de diálogo vai aparecer para confirmar a autenticação do Google. Selecione Confirmar na caixa de diálogo.
Os usuários poderão fazer login com as próprias Contas do Google. Ao fazer login com o OAuth pela primeira vez, ele será solicitado a aceitar a tela de consentimento do OAuth que foi configurada durante a criação da instância.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Configurar uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud