O OAuth do Google é usado com o Identity and Access Management (IAM) para autenticar os usuários do Looker (Google Cloud Core).
Ao usar o OAuth para autenticação, o Looker (Google Cloud Core) autentica os usuários pelo protocolo OAuth 2.0. Use qualquer cliente OAuth 2.0 para criar credenciais de autorização ao criar uma instância. Por exemplo, esta página mostra as etapas para configurar a autenticação de uma instância do Looker (Google Cloud Core) usando o console do Google Cloud para criar credenciais do OAuth.
Se outro método for a forma principal de autenticação, o Google OAuth será o método de autenticação de backup padrão. O Google OAuth também é o método de autenticação usado pelo Cloud Customer Care para oferecer suporte.
Autenticação e autorização com OAuth e IAM
Quando usadas com o OAuth, as funções do IAM do Looker (Google Cloud Core) fornecem os seguintes níveis de autenticação e autorização para todas as instâncias do Looker (Google Cloud Core) em um determinado projeto do Google Cloud. Atribua um dos seguintes papéis do IAM a cada um dos principais, dependendo dos níveis de acesso que você quer que eles tenham:
| Papel do IAM | Autenticação | Autorização |
|---|---|---|
Usuário da instância do Looker (roles/looker.instanceUser) |
Pode fazer login em instâncias do Looker (Google Cloud Core) |
Após o primeiro login no Looker (Google Cloud Core), receber a função padrão do Looker definida em Funções para novos usuários Não é possível acessar os recursos do Looker (Google Cloud Core) no console do Google Cloud. |
Visualizador do Looker (roles/looker.viewer) |
Pode fazer login em instâncias do Looker (Google Cloud Core) | Após o primeiro login no Looker (Google Cloud Core), receber a função padrão do Looker definida em Funções para novos usuários Consegue conferir a lista de instâncias do Looker (Google Cloud Core) e os detalhes das instâncias no console do Google Cloud |
Administrador do Looker (roles/looker.admin) |
Pode fazer login em instâncias do Looker (Google Cloud Core) | Após o primeiro login no Looker (Google Cloud Core), esse papel (ou um papel personalizado que inclui a permissão looker.instances.update) assume como padrão o papel de Administrador do Looker na instância Pode realizar todas as tarefas administrativas do Looker (Google Cloud Core) no console do Google Cloud |
Além disso, as contas de usuário com o papel owner em um projeto podem fazer login e administrar qualquer instância do Looker (Google Cloud Core) nesse projeto. Esses usuários receberão o papel de administrador do Looker.
Se os papéis predefinidos não fornecerem o conjunto de permissões que você quer, também será possível criar seus próprios papéis personalizados.
As contas do Looker (Google Cloud Core) são criadas quando há o primeiro login em uma instância do Looker (Google Cloud Core).
Como configurar o OAuth na instância do Looker (Google Cloud Core)
Na instância do Looker (Google Cloud Core), a página Google na seção Autenticação do menu Administrador permite definir algumas configurações do OAuth do Google.
Definir um papel padrão do Looker na instância do Looker (Google Cloud Core)
Antes de adicionar usuários, defina o papel padrão do Looker que será concedido às contas de usuário com o papel do IAM Usuário da instância do Looker (roles/looker.instanceUser) ou Leitor do Looker (roles/looker.viewer) no primeiro login em uma instância do Looker (Google Cloud Core). Para definir uma função padrão, siga estas etapas:
- Acesse a página Google na seção Autenticação do menu Administrador.
- Na configuração Funções para novos usuários, selecione a função que você quer conceder a todos os novos usuários por padrão. A configuração contém uma lista de todos os papéis padrão e personalizados na instância do Looker (Google Cloud Core).
As contas de usuário com um papel do IAM de administrador do Looker (roles/looker.admin) vão receber o papel de administrador do Looker, seja qual for o papel selecionado na configuração Papéis para novos usuários. Se necessário, mude a função de administrador para outra.
Especificar o método usado para mesclar usuários do OAuth a uma conta do Looker (Google Cloud Core)
No campo Mesclar usuários usando, especifique o método a ser usado para mesclar um primeiro login do OAuth a uma conta de usuário existente. Você pode mesclar usuários dos seguintes sistemas:
- SAML
- OIDC
Se você tiver mais de um sistema, poderá especificar mais de um sistema para mesclagem neste campo. O Looker (Google Cloud Core) vai procurar usuários nos sistemas listados na ordem em que foram especificados. Por exemplo, se você criou alguns usuários usando o OIDC e depois usou o SAML, o Looker (núcleo do Google Cloud) seria mesclado primeiro pelo OIDC e depois pelo SAML.
Quando um usuário faz login pela primeira vez usando o OAuth, essa opção conecta o usuário à conta existente, encontrando a conta com um endereço de e-mail correspondente. Se não houver uma conta para o usuário, uma nova conta será criada.
Como adicionar usuários a uma instância do Looker (Google Cloud Core)
Após a criação de uma instância do Looker (Google Cloud Core), os usuários podem ser adicionados pelo IAM. Para adicionar usuários, siga estas etapas:
- Verifique se você tem o papel de Administrador de IAM do projeto ou outro papel que permita gerenciar o acesso ao IAM.
Acesse o projeto do console do Google Cloud em que a instância do Looker (Google Cloud Core) está localizada.
Acesse a página IAM e Administrador > seção "IAM" do console do Google Cloud.
Selecione Permitir acesso.
Na seção Adicionar participantes, adicione um ou mais dos itens a seguir:
- Um e-mail de uma Conta do Google
- Um Grupo do Google
- Um domínio do Google Workspace
Na seção Atribuir papéis, selecione um dos papéis predefinidos do IAM do Looker (Google Cloud Core) ou um papel personalizado que você adicionou.
Clique em Salvar.
Informe aos novos usuários do Looker (Google Cloud Core) que o acesso foi concedido e direcione-os ao URL da instância. Depois disso, eles podem fazer login na instância, momento em que as contas serão criadas. Nenhuma comunicação automatizada será enviada.
Se você mudar o papel do IAM de um usuário, ele será propagado para a instância do Looker (Google Cloud Core) em alguns minutos. Se houver uma conta de usuário do Looker, o papel do usuário no Looker não será alterado.
Todos os usuários precisam ser provisionados pelas etapas do IAM descritas anteriormente, com uma exceção: você pode criar contas de serviço somente para a API Looker na instância do Looker (Google Cloud Core).
Como fazer login no Looker (Google Cloud Core) com o OAuth
No primeiro login, os usuários vão precisar fazer login com a Conta do Google. Ele deve usar a mesma conta que o administrador do Looker listou no campo Adicionar participantes ao conceder acesso. Os usuários vão ver a tela de consentimento do OAuth que foi configurada durante a criação do cliente OAuth. Depois que os usuários concordam com a tela de consentimento, a conta na instância do Looker (Google Cloud Core) é criada e conectada.
Depois disso, os usuários serão conectados automaticamente ao Looker (Google Cloud Core), a menos que a autorização expire ou seja revogada pelo usuário. Nessas situações, os usuários veem novamente a tela de permissão OAuth e precisam dar o consentimento para a autorização.
Algumas credenciais de API podem ser atribuídas a alguns usuários para uso na recuperação de um token de acesso da API. Se a autorização desses usuários expirar ou for revogada, as credenciais da API vão parar de funcionar. Todos os tokens de acesso à API atuais também deixarão de funcionar. Para resolver o problema, o usuário precisa autorizar novamente as credenciais fazendo login na UI do Looker (Google Cloud Core) para cada instância afetada. Como alternativa, o uso de contas de serviço somente de API ajuda a evitar uma falha de autorização de credenciais para tokens de acesso à API.
Remoção do acesso OAuth ao Looker (Google Cloud Core)
Se você tiver um papel que permita gerenciar o acesso do IAM, poderá remover o acesso a uma instância do Looker (Google Cloud Core) revogando o papel do IAM que concedeu acesso. Se você remover a função do IAM de uma conta de usuário, essa mudança será propagada para a instância do Looker (Google Cloud core) em alguns minutos. O usuário não poderá mais se autenticar na instância. No entanto, a conta do usuário ainda aparecerá ativa na página Usuários. Para remover a conta de usuário da página Usuários, exclua o usuário na instância do Looker (Google Cloud core).
Como usar o OAuth como um método de autenticação reserva
O OAuth é o método de autenticação de backup quando o SAML ou o OIDC é o método principal.
Para configurar um OAuth como o método de backup, conceda a cada usuário do Looker (Google Cloud Core) o papel do IAM apropriado para fazer login na instância.
Depois que o método de backup é configurado, os usuários podem acessá-lo seguindo estas etapas:
- Selecione Autenticar com o Google na página de login.
- Uma caixa de diálogo vai aparecer para confirmar a autenticação do Google. Selecione Confirmar na caixa de diálogo.
Os usuários podem fazer login usando as Contas do Google. Ao fazer login pela primeira vez com o OAuth, eles precisarão aceitar a tela de consentimento do OAuth que foi configurada durante a criação da instância.
A seguir
- Conectar o Looker (Google Cloud Core) ao seu banco de dados
- Configurar uma instância do Looker (Google Cloud Core)
- Configurações de administrador do Looker (Google Cloud Core)
- Administrar uma instância do Looker (Google Cloud Core) no console do Google Cloud