Google OAuth는 Identity and Access Management(IAM)와 함께 사용하여 Looker(Google Cloud 핵심 서비스) 사용자를 인증합니다.
인증에 OAuth를 사용하는 경우 Looker(Google Cloud 핵심 서비스)는 OAuth 2.0 프로토콜을 통해 사용자를 인증합니다. 인스턴스를 만들 때 OAuth 2.0 클라이언트를 사용하여 승인 사용자 인증 정보를 만드세요. 하나의 예시로서, 이 페이지에서는 Google Cloud 콘솔을 사용하여 OAuth 사용자 인증 정보를 만드는 Looker(Google Cloud 핵심 서비스) 인스턴스에서 인증을 설정하는 절차를 안내합니다.
다른 인증 방법이 기본 인증인 경우 Google OAuth는 기본적으로 백업 인증 방법입니다. Google OAuth는 Cloud Customer Care가 지원을 제공할 때 사용하는 인증 방법입니다.
OAuth 및 IAM을 사용하여 인증 및 승인
OAuth와 함께 사용되는 Looker(Google Cloud 핵심 서비스) IAM 역할은 특정 Google Cloud 프로젝트 내의 모든 Looker(Google Cloud 핵심 서비스) 인스턴스에 대해 다음 수준의 인증 및 승인을 제공합니다. 부여하려는 액세스 수준에 따라 각 주 구성원에 다음 IAM 역할 중 하나를 할당합니다.
IAM 역할 | 인증 | 승인 |
---|---|---|
Looker 인스턴스 사용자(roles/looker.instanceUser ) |
Looker(Google Cloud 핵심 서비스) 인스턴스에 로그인할 수 있음 |
Looker(Google Cloud 핵심 서비스)에 처음 로그인할 때 새 사용자 역할에 설정된 기본 Looker 역할을 부여 받음 Google Cloud 콘솔에서 Looker(Google Cloud 핵심 서비스) 리소스에 액세스할 수 없음 |
Looker 뷰어(roles/looker.viewer ) |
Looker(Google Cloud 핵심 서비스) 인스턴스에 로그인할 수 있음 | Looker(Google Cloud 핵심 서비스)에 처음 로그인할 때 새 사용자 역할에 설정된 기본 Looker 역할을 부여 받음 Google Cloud 콘솔에서 Looker(Google Cloud 핵심 서비스) 인스턴스 및 인스턴스 세부정보 목록을 볼 수 있음 |
Looker 관리자(roles/looker.admin ) |
Looker(Google Cloud 핵심 서비스) 인스턴스에 로그인할 수 있음 | Looker(Google Cloud 핵심 서비스)에 처음 로그인할 때 이 역할(또는 looker.instances.update 권한을 포함하는 커스텀 역할)은 기본적으로 인스턴스 내의 관리자 Looker 역할로 지정됩니다. Google Cloud 콘솔 내에서 Looker(Google Cloud 핵심 서비스)에 대해 모든 관리 태스크를 수행할 수 있음 |
또한 프로젝트의 owner
역할이 있는 사용자 계정은 해당 프로젝트 내의 모든 Looker(Google Cloud 핵심 서비스) 인스턴스에 로그인하고 인스턴스를 관리할 수 있습니다. 이러한 사용자에게는 관리자 Looker 역할이 부여됩니다.
사전 정의된 역할이 원하는 권한 집합을 제공하지 못하는 경우 자체 맞춤 역할을 만들 수도 있습니다.
Looker(Google Cloud 핵심 서비스) 계정은 Looker(Google Cloud 핵심 서비스) 인스턴스에 처음 로그인할 때 생성됩니다.
Looker(Google Cloud 핵심 서비스) 인스턴스 내에서 OAuth 구성
Looker(Google Cloud 핵심 서비스) 인스턴스 내에서 Google 메뉴의 관리 섹션에 있는 인증 메뉴에서 일부 Google OAuth 설정을 구성할 수 있습니다.
Looker(Google Cloud 핵심 서비스) 인스턴스 내에서 기본 Looker 역할 설정
사용자를 추가하기 전에 Looker(Google Cloud 핵심 서비스) 인스턴스에 처음 로그인할 때 Looker 인스턴스 사용자(roles/looker.instanceUser
) IAM 역할 또는 Looker 뷰어(roles/looker.viewer
) IAM 역할이 있는 사용자 계정에 부여되는 기본 Looker 역할을 설정할 수 있습니다. 기본 역할을 설정하려면 다음 단계를 따르세요.
- 관리 메뉴의 인증 섹션에 있는 Google 페이지로 이동합니다.
- 새 사용자 역할 설정에서 모든 신규 사용자에게 기본적으로 부여할 역할을 선택합니다. 설정에는 Looker(Google Cloud 핵심 서비스) 인스턴스에 있는 모든 기본 역할 및 커스텀 역할 목록이 포함됩니다.
Looker 관리자(roles/looker.admin
) IAM 역할이 있는 사용자 계정에는 신규 사용자 역할 설정에서 선택한 역할에 관계없이 관리자 Looker 역할이 부여됩니다. 필요한 경우 관리자 역할을 다른 역할로 변경할 수 있습니다.
OAuth 사용자를 Looker(Google Cloud 핵심 서비스) 계정에 병합할 때 사용하는 방법 지정
사용자 사용 병합 필드에서 최초 OAuth 로그인을 기존 사용자 계정에 병합하는 데 사용할 방법을 지정합니다. 다음 시스템의 사용자를 병합할 수 있습니다.
- SAML
- OIDC
시스템이 둘 이상인 경우 이 필드에서 병합할 시스템을 두 개 이상 지정할 수 있습니다. Looker(Google Cloud 핵심 서비스)는 지정된 순서대로 나열된 시스템에서 사용자를 조회합니다. 예를 들어 먼저 OIDC를 사용하여 일부 사용자를 만든 후 나중에 SAML을 사용하면 Looker(Google Cloud 핵심 서비스)가 먼저 OIDC를 병합하고 두 번째는 SAML을 통해 병합합니다.
사용자가 OAuth를 통해 처음 로그인하면 이 옵션은 일치하는 이메일 주소로 계정을 찾아 사용자를 기존 계정에 연결합니다. 사용자의 기존 계정이 없으면 새 사용자 계정이 생성됩니다.
Looker(Google Cloud 핵심 서비스) 인스턴스에 사용자 추가
Looker(Google Cloud 핵심 서비스) 인스턴스가 생성되면 IAM을 통해 사용자를 추가할 수 있습니다. 사용자를 추가하려면 다음 단계를 따르세요.
- 프로젝트 IAM 관리자 역할이나 IAM 액세스를 관리할 수 있는 다른 역할이 있는지 확인합니다.
Looker(Google Cloud 핵심 서비스) 인스턴스가 있는 Google Cloud 콘솔 프로젝트로 이동합니다.
Google Cloud 콘솔에서 IAM 및 관리자 > IAM 섹션으로 이동합니다.
액세스 권한 부여를 선택합니다.
주 구성원 추가 섹션에서 다음 중 하나 이상을 추가합니다.
- Google 계정 이메일
- Google 그룹
- Google Workspace 도메인
역할 할당 섹션에서 사전 정의된 Looker(Google Cloud 핵심 서비스) IAM 역할 중 하나 또는 추가한 맞춤 역할을 선택합니다.
저장을 클릭합니다.
새 Looker(Google Cloud 핵심 서비스) 사용자에게 액세스 권한이 부여되었음을 알리고 인스턴스의 URL로 안내합니다. 여기에서 인스턴스에 로그인하면 계정이 생성됩니다. 자동화된 커뮤니케이션은 전송되지 않습니다.
사용자의 IAM 역할을 변경하면 IAM 역할이 몇 분 내에 Looker(Google Cloud 핵심 서비스) 인스턴스에 전파됩니다. 기존 Looker 사용자 계정이 있는 경우 해당 사용자의 Looker 역할은 변경되지 않습니다.
모든 사용자는 Looker(Google Cloud 핵심 서비스) 인스턴스 내에서 Looker API 전용 서비스 계정을 생성할 수 있다는 점을 제외하고는 앞에서 설명한 IAM 단계를 통해 프로비저닝되어야 합니다.
OAuth로 Looker(Google Cloud 핵심 서비스)에 로그인
처음 로그인하면 사용자에게 Google 계정으로 로그인하라는 메시지가 표시됩니다. 액세스 권한을 부여할 때 주 구성원 추가 필드에 나열된 Looker 관리자와 동일한 계정을 사용해야 합니다. OAuth 클라이언트를 만드는 동안 구성된 OAuth 동의 화면이 사용자에게 표시됩니다. 사용자가 동의 화면에 동의하면 Looker(Google Cloud 핵심 서비스) 인스턴스 내의 계정이 생성되고 로그인됩니다.
이후에는 승인이 만료되거나 사용자가 취소하지 않는 한 사용자가 Looker(Google Cloud 핵심 서비스)에 자동으로 로그인됩니다. 이 경우 사용자에게 OAuth 동의 화면이 다시 표시되고 승인에 동의하라는 메시지가 표시됩니다.
일부 사용자에게는 API 액세스 토큰 검색에 사용할 API 사용자 인증 정보가 할당될 수 있습니다. 이러한 사용자의 승인이 만료되거나 취소되면 API 사용자 인증 정보의 작동이 중지됩니다. 현재 API 액세스 토큰도 작동을 중지합니다. 이 문제를 해결하려면 영향을 받는 각 Looker(Google Cloud 핵심 서비스) 인스턴스에 대해 Looker(Google Cloud 핵심 서비스) UI에 다시 로그인하여 사용자 인증 정보를 다시 승인해야 합니다. 또는 API 전용 서비스 계정을 사용하여 API 액세스 토큰에 대한 사용자 인증 정보 승인 실패를 방지할 수 있습니다.
Looker(Google Cloud 핵심 서비스)에 대한 OAuth 액세스 삭제
IAM 액세스 권한을 관리할 수 있는 역할이 있는 경우 액세스 권한을 부여한 IAM 역할을 취소하여 Looker(Google Cloud 핵심 서비스) 인스턴스에 대한 액세스 권한을 삭제할 수 있습니다. 사용자 계정의 IAM 역할을 삭제하면 변경사항이 몇 분 이내에 Looker(Google Cloud 핵심 서비스) 인스턴스에 전파됩니다. 사용자는 더 이상 인스턴스에 인증할 수 없습니다. 하지만 사용자 계정은 사용자 페이지에 활성화된 상태로 계속 표시됩니다. 사용자 페이지에서 사용자 계정을 삭제하려면 Looker(Google Cloud 핵심 서비스) 인스턴스 내에서 사용자를 삭제합니다.
백업 인증 방법으로 OAuth 사용
SAML 또는 OIDC가 기본 인증 방법이면 OAuth는 백업 인증 방법입니다.
OAuth를 백업 방법으로 설정하려면 각 Looker(Google Cloud 핵심 서비스) 사용자에게 적절한 IAM 역할을 부여하고 인스턴스에 로그인할 수 있게 합니다.
백업 방법 설정을 완료하면 다음 단계를 통해 액세스합니다.
- 로그인 페이지에서 Google로 인증을 선택합니다.
- Google 인증을 확인하는 대화상자가 표시됩니다. 대화상자에서 확인을 선택합니다.
그러면 사용자가 Google 계정을 사용하여 로그인할 수 있습니다. OAuth로 처음 로그인하면 인스턴스 생성 중에 설정된 OAuth 동의 화면을 수락하라는 메시지가 표시됩니다.
다음 단계
- Looker(Google Cloud 핵심 서비스)를 데이터베이스에 연결
- Looker(Google Cloud 핵심 서비스) 인스턴스 구성
- Looker(Google Cloud 핵심 서비스) 관리자 설정
- Google Cloud 콘솔에서 Looker(Google Cloud 핵심 서비스) 인스턴스 관리