Google OAuth viene utilizzato insieme a Identity and Access Management (IAM) per autenticare gli utenti di Looker (Google Cloud core).
Quando utilizzi OAuth per l'autenticazione, Looker (Google Cloud core) autentica gli utenti tramite il protocollo OAuth 2.0. Utilizza qualsiasi client OAuth 2.0 per creare le credenziali di autorizzazione durante la creazione di un'istanza. Ad esempio, questa pagina illustra i passaggi per configurare l'autenticazione per un'istanza di Looker (Google Cloud core) utilizzando la console Google Cloud per creare credenziali OAuth.
Se la forma principale di autenticazione è un altro metodo, Google OAuth è per impostazione predefinita il metodo di autenticazione di backup. Google OAuth è anche il metodo di autenticazione utilizzato dall'assistenza clienti Google Cloud quando fornisce supporto.
Autenticazione e autorizzazione con OAuth e IAM
Se utilizzati con OAuth, i ruoli IAM di Looker (Google Cloud core) forniscono i seguenti livelli di autenticazione e autorizzazione per tutte le istanze di Looker (Google Cloud core) all'interno di un determinato progetto Google Cloud. Assegna uno dei seguenti ruoli IAM a ciascuna delle tue entità, a seconda dei livelli di accesso che vuoi concedere:
| Ruolo IAM | Autenticazione | Autorizzazione |
|---|---|---|
Utente istanza Looker (roles/looker.instanceUser) |
Può accedere alle istanze di Looker (Google Cloud core) |
Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo Looker predefinito impostato in Ruoli per i nuovi utenti Impossibile accedere alle risorse Looker (Google Cloud core) nella console Google Cloud. |
Visualizzatore Looker (roles/looker.viewer) |
Può accedere alle istanze di Looker (Google Cloud core) | Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo Looker predefinito impostato in Ruoli per i nuovi utenti Può visualizzare l'elenco di istanze di Looker (Google Cloud core) e i relativi dettagli nella console Google Cloud |
Amministratore Looker (roles/looker.admin) |
Può accedere alle istanze di Looker (Google Cloud core) | Al primo accesso a Looker (Google Cloud core), questo ruolo (o un ruolo personalizzato che include l'autorizzazione looker.instances.update) per impostazione predefinita viene impostato sul ruolo Looker Amministratore nell'istanza Può eseguire tutte le attività amministrative per Looker (Google Cloud core) all'interno della console Google Cloud |
Inoltre, gli account utente con il ruolo owner per un progetto possono accedere a qualsiasi istanza di Looker (Google Cloud core) all'interno del progetto e amministrarla. A questi utenti verrà concesso il ruolo Looker Amministratore.
Se i ruoli predefiniti non forniscono l'insieme di autorizzazioni che vuoi, puoi anche creare ruoli personalizzati.
Gli account Looker (Google Cloud core) vengono creati al momento del primo accesso a un'istanza di Looker (Google Cloud core).
Configurazione di OAuth all'interno dell'istanza di Looker (Google Cloud core)
All'interno dell'istanza di Looker (Google Cloud core), la pagina Google nella sezione Autenticazione del menu Amministrazione consente di configurare alcune impostazioni OAuth di Google.
Impostazione di un ruolo di Looker predefinito nell'istanza di Looker (Google Cloud core)
Prima di aggiungere utenti, puoi impostare il ruolo Looker predefinito che verrà concesso agli account utente con il ruolo IAM Utente istanza Looker (roles/looker.instanceUser) o Visualizzatore Looker (roles/looker.viewer) al primo accesso a un'istanza di Looker (Google Cloud core). Per impostare un ruolo predefinito, segui questi passaggi:
- Accedi alla pagina Google nella sezione Autenticazione del menu Amministrazione.
- Nell'impostazione Ruoli per i nuovi utenti, seleziona il ruolo che vuoi concedere a tutti i nuovi utenti per impostazione predefinita. L'impostazione contiene un elenco di tutti i ruoli predefiniti e i ruoli personalizzati all'interno dell'istanza di Looker (Google Cloud core).
Agli account utente con un ruolo IAM Amministratore Looker (roles/looker.admin) verrà concesso il ruolo Looker Amministratore, indipendentemente dal ruolo selezionato nell'impostazione Ruoli per nuovi utenti. Se necessario, puoi cambiare il ruolo di amministratore in un altro ruolo.
Specifica il metodo utilizzato per unire gli utenti OAuth a un account Looker (Google Cloud core)
Nel campo Unisci utenti con, specifica il metodo da utilizzare per unire il primo accesso OAuth a un account utente esistente. Puoi unire gli utenti dai seguenti sistemi:
- SAML
- OIDC
Se hai configurato più sistemi, puoi specificare più di un sistema in base al quale eseguire l'unione in questo campo. Looker (Google Cloud core) cercherà gli utenti dai sistemi elencati nell'ordine in cui sono stati specificati. Ad esempio, se hai creato prima alcuni utenti utilizzando OIDC e poi hai utilizzato SAML, Looker (Google Cloud core) viene unito prima tramite OIDC e poi a SAML.
Quando un utente accede per la prima volta tramite OAuth, questa opzione connette l'utente al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.
Aggiunta di utenti a un'istanza di Looker (Google Cloud core)
Dopo aver creato un'istanza di Looker (Google Cloud core), è possibile aggiungere gli utenti mediante IAM. Per aggiungere utenti, segui questi passaggi:
- Assicurati di avere il ruolo di Amministratore IAM progetto o di un altro ruolo che ti consente di gestire l'accesso IAM.
Vai al progetto della console Google Cloud in cui si trova l'istanza di Looker (Google Cloud core).
Accedi alla sezione IAM e Amministratore > IAM della console Google Cloud.
Seleziona Concedi l'accesso.
Nella sezione Aggiungi entità, aggiungi uno o più dei seguenti elementi:
- L'indirizzo email di un Account Google
- Un gruppo Google
- Un dominio Google Workspace
Nella sezione Assegna ruoli, seleziona uno dei ruoli IAM predefiniti di Looker (Google Cloud core) o un ruolo personalizzato che hai aggiunto.
Fai clic su Salva.
Comunica ai nuovi utenti di Looker (Google Cloud core) che l'accesso è stato concesso e indirizzali all'URL dell'istanza. Da qui possono accedere all'istanza e a quel punto verranno creati i loro account. Non verrà inviata alcuna comunicazione automatica.
Se modifichi il ruolo IAM di un utente, questo si propaga all'istanza di Looker (Google Cloud core) entro pochi minuti. Se esiste già un account utente Looker, il suo ruolo di Looker rimane invariato.
Per tutti gli utenti è necessario eseguire il provisioning dei passaggi IAM descritti in precedenza, con un'eccezione: puoi creare account di servizio solo per API Looker all'interno dell'istanza di Looker (Google Cloud core).
Accedere a Looker (Google Cloud core) con OAuth
Al primo accesso, agli utenti verrà chiesto di accedere con il proprio Account Google. Quando concede l'accesso, deve utilizzare lo stesso account elencato dall'amministratore di Looker nel campo Aggiungi entità. Gli utenti vedranno la schermata per il consenso OAuth che è stata configurata durante la creazione del client OAuth. Dopo che gli utenti accettano la schermata per il consenso, i loro account all'interno dell'istanza di Looker (Google Cloud core) vengono creati e gli utenti potranno accedere.
Dopodiché, gli utenti accederanno automaticamente a Looker (Google Cloud core) a meno che la loro autorizzazione non scada o non venga revocata dall'utente. In questi scenari, gli utenti vedranno nuovamente la schermata per il consenso OAuth e riceveranno la richiesta di consenso all'autorizzazione.
Ad alcuni utenti potrebbero essere assegnate credenziali API da utilizzare per il recupero di un token di accesso API. Se l'autorizzazione per questi utenti scade o viene revocata, le loro credenziali API smetteranno di funzionare. Anche tutti gli attuali token di accesso all'API smetteranno di funzionare. Per risolvere il problema, l'utente deve autorizzare di nuovo le proprie credenziali accedendo nuovamente all'interfaccia utente di Looker (Google Cloud core) per ogni istanza di Looker (Google Cloud core) interessata. In alternativa, l'utilizzo di account di servizio solo API consente di evitare un errore di autorizzazione delle credenziali per i token di accesso alle API.
Rimozione dell'accesso OAuth a Looker (Google Cloud core)
Se disponi di un ruolo che consente di gestire l'accesso IAM, puoi rimuovere l'accesso a un'istanza di Looker (Google Cloud core) revocando il ruolo IAM che ha concesso l'accesso. Se rimuovi il ruolo IAM di un account utente, la modifica si propaga all'istanza di Looker (Google Cloud core) entro pochi minuti. L'utente non potrà più autenticarsi nell'istanza. Tuttavia, l'account utente sarà comunque attivo nella pagina Utenti. Per rimuovere l'account utente dalla pagina Utenti, elimina l'utente all'interno dell'istanza di Looker (Google Cloud core).
Utilizzo di OAuth come metodo di autenticazione di backup
OAuth è il metodo di autenticazione di backup quando SAML o OIDC è il metodo di autenticazione principale.
Per configurare un OAuth come metodo di backup, concedi a ogni utente di Looker (Google Cloud core) il ruolo IAM appropriato per accedere all'istanza.
Una volta configurato il metodo di backup, gli utenti possono accedervi tramite i seguenti passaggi:
- Seleziona Autentica con Google nella pagina di accesso.
- Viene visualizzata una finestra di dialogo per confermare l'autenticazione di Google. Seleziona Conferma nella finestra di dialogo.
Gli utenti potranno quindi accedere utilizzando i propri Account Google. Al primo accesso con OAuth, gli verrà chiesto di accettare la schermata per il consenso OAuth configurata durante la creazione dell'istanza.
Passaggi successivi
- Connetti Looker (Google Cloud core) al tuo database
- Configura un'istanza di Looker (Google Cloud core)
- Impostazioni amministratore di Looker (Google Cloud core)
- Gestire un'istanza di Looker (Google Cloud core) dalla console Google Cloud