Google OAuth wird in Verbindung mit Identity and Access Management (IAM) verwendet, um Nutzer von Looker (Google Cloud Core) zu authentifizieren.
Sie müssen beim Erstellen von Instanzen in Looker (Google Cloud Core) einen OAuth-Client und Anmeldedaten einrichten, unabhängig davon, ob Sie OAuth als primäre Authentifizierungsmethode verwenden möchten.
Folgen Sie der Anleitung auf dieser Seite, um Nutzern die Authentifizierung bei einer Looker (Google Cloud Core)-Instanz mit Google OAuth zu ermöglichen.
Wenn eine andere Methode als primäre Authentifizierungsmethode festgelegt ist, ist Google OAuth standardmäßig die sekundäre Authentifizierungsmethode. Google OAuth ist auch die Authentifizierungsmethode, die Cloud Customer Care für den Support verwendet.
Authentifizierung und Autorisierung mit OAuth und IAM
Bei Verwendung mit OAuth bieten IAM-Rollen von Looker (Google Cloud Core) die folgenden Authentifizierungs- und Autorisierungsebenen für alle Instanzen von Looker (Google Cloud Core) innerhalb eines Google Cloud-Projekts. Weisen Sie jedem Ihrer Hauptkonten eine der folgenden IAM-Rollen zu, je nach den gewünschten Zugriffsebenen:
| IAM-Rolle | Authentifizierung | Autorisierung |
|---|---|---|
Looker-Instanznutzer (roles/looker.instanceUser) |
Kann sich in Looker (Google Cloud Core)-Instanzen anmelden |
Bei der ersten Anmeldung in Looker (Google Cloud Core) wurde die unter Rollen für neue Nutzer festgelegte Standard-Looker-Rolle gewährt. Zugriff auf Looker (Google Cloud Core)-Ressourcen in der Google Cloud Console nicht möglich. |
Looker-Betrachter (roles/looker.viewer) |
Kann sich in Looker (Google Cloud Core)-Instanzen anmelden | Bei der ersten Anmeldung in Looker (Google Cloud Core) wurde die unter Rollen für neue Nutzer festgelegte Standard-Looker-Rolle gewährt. Kann die Liste der Instanzen von Looker (Google Cloud Core) und Instanzdetails in der Google Cloud Console ansehen |
Looker-Administrator (roles/looker.admin) |
Kann sich in Looker (Google Cloud Core)-Instanzen anmelden | Bei der ersten Anmeldung in Looker (Google Cloud Core) ist diese Rolle (oder eine benutzerdefinierte Rolle mit der Berechtigung looker.instances.update) standardmäßig auf die Looker-Rolle Administrator innerhalb der Instanz festgelegt Kann alle Verwaltungsaufgaben für Looker (Google Cloud Core) in der Google Cloud Console ausführen |
Darüber hinaus können sich Nutzerkonten mit der Rolle owner für ein Projekt in allen Looker (Google Cloud Core)-Instanzen anmelden und diese verwalten. Diesen Nutzern wird die Looker-Rolle Administrator gewährt.
Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen enthalten, können Sie auch eigene benutzerdefinierte Rollen erstellen.
Looker (Google Cloud Core)-Konten werden bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz erstellt.
OAuth in der Looker (Google Cloud Core)-Instanz konfigurieren
In der Looker (Google Cloud Core)-Instanz können Sie auf der Seite Google im Bereich Authentifizierung des Menüs Verwaltung einige Google OAuth-Einstellungen konfigurieren.
Standard-Looker-Rolle in der Looker (Google Cloud Core)-Instanz festlegen
Bevor Sie Nutzer hinzufügen, können Sie die Looker-Standardrolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser) oder der IAM-Rolle „Looker-Betrachter“ (roles/looker.viewer) bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz gewährt wird. So legen Sie eine Standardrolle fest:
- Rufen Sie im Bereich Authentifizierung des Menüs Verwaltung die Seite Google auf.
- Wählen Sie unter Rollen für neue Nutzer die Rolle aus, die standardmäßig allen neuen Nutzern zugewiesen werden soll. Die Einstellung enthält eine Liste aller Standardrollen und benutzerdefinierten Rollen in der Looker (Google Cloud Core)-Instanz.
Nutzerkonten mit einer Looker-Administrator-IAM-Rolle (roles/looker.admin) wird die Looker-Rolle Administrator unabhängig von der Rolle gewährt, die in der Einstellung Rollen für neue Nutzer ausgewählt wurde. Bei Bedarf können Sie der Administratorrolle eine andere Rolle zuweisen.
Geben Sie die Methode an, die zum Zusammenführen von OAuth-Nutzern mit einem Looker (Google Cloud Core)-Konto verwendet wird
Geben Sie im Feld Nutzer zusammenführen mit die Methode an, mit der eine erstmalige OAuth-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:
- SAML
- OIDC
Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. Looker (Google Cloud Core) sucht Nutzer aus den aufgeführten Systemen in der angegebenen Reihenfolge. Wenn Sie beispielsweise einige Nutzer zuerst mit OIDC erstellt und später SAML verwendet haben, wird Looker (Google Cloud Core) zuerst von OIDC und dann durch SAML zusammengeführt.
Wenn sich ein Nutzer zum ersten Mal über OAuth anmeldet, wird über diese Option eine Verbindung zu seinem bestehenden Konto hergestellt, indem das Konto mit einer passenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer noch kein Konto vorhanden ist, wird ein neues Konto erstellt.
Nutzer zu einer Looker (Google Cloud Core)-Instanz hinzufügen
Sobald eine Looker (Google Cloud Core)-Instanz erstellt wurde, können Nutzer über IAM hinzugefügt werden. So fügen Sie Nutzer hinzu:
- Sie benötigen die Rolle Projekt-IAM-Administrator oder eine andere Rolle, mit der Sie den IAM-Zugriff verwalten können.
Rufen Sie das Google Cloud Console-Projekt auf, in dem sich die Looker (Google Cloud Core)-Instanz befindet.
Rufen Sie in der Google Cloud Console den Bereich IAM und Verwaltung > IAM auf.
Wählen Sie Zugriff gewähren aus.
Fügen Sie im Bereich Hauptkonten hinzufügen eines oder mehrere der folgenden Elemente hinzu:
- E-Mail-Adresse eines Google-Kontos
- Eine Google-Gruppe
- Eine Google Workspace-Domain
Wählen Sie im Abschnitt Rollen zuweisen eine der vordefinierten IAM-Rollen für Looker (Google Cloud Core) oder eine von Ihnen hinzugefügte benutzerdefinierte Rolle aus.
Klicken Sie auf Speichern.
Teilen Sie neuen Looker (Google Cloud Core)-Nutzern mit, dass Zugriff gewährt wurde, und verweisen Sie sie auf die URL für die Instanz. Von dort aus können sie sich bei der Instanz anmelden. Zu diesem Zeitpunkt werden ihre Konten erstellt. Es wird keine automatisierte Mitteilung gesendet.
Wenn Sie die IAM-Rolle eines Nutzers ändern, wird sie innerhalb weniger Minuten auf die Looker (Google Cloud Core)-Instanz übertragen. Wenn bereits ein Looker-Nutzerkonto vorhanden ist, bleibt die Looker-Rolle dieses Nutzers unverändert.
Alle Nutzer müssen über die oben beschriebenen IAM-Schritte bereitgestellt werden. Es gibt jedoch eine Ausnahme: Sie können in der Looker (Google Cloud Core)-Instanz Dienstkonten nur für die Looker API erstellen.
Mit OAuth bei Looker (Google Cloud Core) anmelden
Bei der ersten Anmeldung werden Nutzer aufgefordert, sich mit ihrem Google-Konto anzumelden. Er sollte dasselbe Konto verwenden, das der Looker-Administrator beim Gewähren von Zugriff im Feld Hauptkonten hinzufügen aufgeführt hat. Nutzer sehen den OAuth-Zustimmungsbildschirm, der beim Erstellen des OAuth-Clients konfiguriert wurde. Nachdem Nutzer dem Zustimmungsbildschirm zugestimmt haben, werden ihre Konten in der Looker (Google Cloud Core)-Instanz erstellt und angemeldet.
Danach werden Nutzer automatisch bei Looker (Google Cloud Core) angemeldet, sofern ihre Autorisierung nicht läuft oder vom Nutzer widerrufen wird. In diesen Szenarien wird der Nutzer wieder den OAuth-Zustimmungsbildschirm aufrufen und aufgefordert, der Autorisierung zuzustimmen.
Einigen Nutzern werden möglicherweise API-Anmeldedaten zugewiesen, um ein API-Zugriffstoken abzurufen. Wenn die Autorisierung für diese Nutzer abläuft oder widerrufen wird, funktionieren ihre API-Anmeldedaten nicht mehr. Alle aktuellen API-Zugriffstokens funktionieren dann ebenfalls nicht mehr. Um das Problem zu beheben, muss der Nutzer seine Anmeldedaten noch einmal autorisieren. Dazu muss er sich für jede betroffene Looker (Google Cloud Core)-Instanz wieder in der UI von Looker (Google Cloud Core) anmelden. Alternativ können Sie durch die Verwendung von Nur-API-Dienstkonten einen Fehler bei der Autorisierung der Anmeldedaten für API-Zugriffstokens vermeiden.
OAuth-Zugriff auf Looker (Google Cloud Core) entfernen
Wenn Sie eine Rolle haben, mit der Sie den IAM-Zugriff verwalten können, können Sie den Zugriff auf eine Looker (Google Cloud Core)-Instanz entfernen, indem Sie die IAM-Rolle widerrufen, die den Zugriff gewährt hat. Wenn Sie die IAM-Rolle eines Nutzerkontos entfernen, wird diese Änderung innerhalb weniger Minuten auf die Looker (Google Cloud Core)-Instanz übertragen. Der Nutzer kann sich nicht mehr bei der Instanz authentifizieren. Auf der Seite Nutzer wird das Nutzerkonto jedoch weiterhin als aktiv angezeigt. Wenn Sie das Nutzerkonto von der Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker (Google Cloud Core)-Instanz.
OAuth als sekundäre Authentifizierungsmethode verwenden
OAuth ist die sekundäre Authentifizierungsmethode, wenn SAML oder OIDC die primäre Authentifizierungsmethode ist.
Um OAuth als Sicherungsmethode einzurichten, müssen Sie jedem Looker (Google Cloud Core)-Nutzer die entsprechende IAM-Rolle für die Anmeldung bei der Instanz zuweisen.
Sobald die Sicherungsmethode eingerichtet ist, greifen Nutzer mit den folgenden Schritten darauf zu:
- Wählen Sie auf der Anmeldeseite Mit Google authentifizieren aus.
- Es wird ein Dialogfeld angezeigt, in dem Sie die Google-Authentifizierung bestätigen können. Wählen Sie im Dialogfeld Bestätigen aus.
Nutzer können sich dann mit ihrem Google-Konto anmelden. Bei der ersten Anmeldung mit OAuth werden sie aufgefordert, den OAuth-Zustimmungsbildschirm zu akzeptieren, der bei der Instanzerstellung eingerichtet wurde.
Nächste Schritte
- Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
- Looker (Google Cloud Core)-Instanz konfigurieren
- Administratoreinstellungen für Looker (Google Cloud Core)
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten