Google OAuth se usa junto con Identity and Access Management (IAM) para autenticar usuarios de Looker (Google Cloud Core).
Cuando se usa OAuth para la autenticación, Looker (Google Cloud Core) autentica a los usuarios a través del protocolo OAuth 2.0. Usa cualquier cliente de OAuth 2.0 para crear credenciales de autorización cuando crees una instancia. A modo de ejemplo, esta página te guía a través de los pasos para configurar la autenticación de una instancia de Looker (Google Cloud Core) con la consola de Google Cloud para crear credenciales de OAuth.
Si otro método es la forma principal de autenticación, Google OAuth es, de forma predeterminada, el método de autenticación de respaldo. Google OAuth también es el método de autenticación que usa el equipo de Atención al cliente de Cloud cuando brinda asistencia.
Autenticación y autorización con OAuth y IAM
Cuando se usan con OAuth, los roles de IAM de Looker (Google Cloud Core) proporcionan los siguientes niveles de autenticación y autorización para todas las instancias de Looker (Google Cloud Core) dentro de un proyecto determinado de Google Cloud. Asigna uno de los siguientes roles de IAM a cada uno de tus principales, según los niveles de acceso que desees que tengan:
Función de IAM | Autenticación | Autorización |
---|---|---|
Usuario de la instancia de Looker (roles/looker.instanceUser ) |
Puede acceder a instancias de Looker (Google Cloud Core) |
Cuando accedes a Looker (Google Cloud Core) por primera vez, se te otorga el rol predeterminado de Looker establecido en Roles para usuarios nuevos. No se puede acceder a los recursos de Looker (Google Cloud Core) en la consola de Google Cloud. |
Visualizador de Looker (roles/looker.viewer ) |
Puede acceder a instancias de Looker (Google Cloud Core) | Cuando accedes a Looker (Google Cloud Core) por primera vez, se te otorga el rol predeterminado de Looker establecido en Roles para usuarios nuevos. Puede ver la lista de instancias de Looker (Google Cloud Core) y sus detalles en la consola de Google Cloud |
Administrador de Looker (roles/looker.admin ) |
Puede acceder a instancias de Looker (Google Cloud Core) | Cuando accedas por primera vez a Looker (Google Cloud Core), este rol (o uno personalizado que incluya el permiso looker.instances.update ) se establecerá de forma predeterminada en el rol de administrador de Looker en la instancia. Puede realizar todas las tareas administrativas de Looker (Google Cloud Core) en la consola de Google Cloud |
Además, las cuentas de usuario con el rol owner
de un proyecto pueden acceder y administrar cualquier instancia de Looker (Google Cloud Core) dentro de ese proyecto. A estos usuarios se les otorgará el rol Administrador de Looker.
Si los roles predefinidos no proporcionan el conjunto de permisos que deseas, también puedes crear tus propios roles personalizados.
Las cuentas de Looker (Google Cloud Core) se crean cuando se accede por primera vez a una instancia de Looker (Google Cloud Core).
Cómo configurar OAuth en la instancia de Looker (Google Cloud Core)
En la instancia de Looker (Google Cloud Core), la página Google de la sección Authentication del menú Admin te permite configurar algunos parámetros de configuración de OAuth de Google.
Cómo establecer un rol predeterminado de Looker en la instancia de Looker (Google Cloud Core)
Antes de agregar usuarios, puedes establecer el rol de Looker predeterminado que se otorgará a las cuentas de usuario con el rol de IAM de usuario de la instancia de Looker (roles/looker.instanceUser
) o el rol de IAM de visualizador de Looker (roles/looker.viewer
) cuando accedan por primera vez a una instancia de Looker (Google Cloud Core). Para establecer un rol predeterminado, sigue estos pasos:
- Navega a la página de Google en la sección Autenticación del menú Administrador.
- En la configuración Roles para usuarios nuevos, selecciona el rol que deseas otorgar a todos los usuarios nuevos de forma predeterminada. La configuración contiene una lista de todos los roles predeterminados y roles personalizados de la instancia de Looker (Google Cloud Core).
A las cuentas de usuario con un rol de IAM de administrador de Looker (roles/looker.admin
) se les otorgará el rol de administrador de Looker, independientemente del rol seleccionado en el parámetro de configuración Roles para usuarios nuevos. Si es necesario, puedes cambiar el rol de administrador por uno diferente.
Especifica el método que se usa para combinar usuarios de OAuth en una cuenta de Looker (Google Cloud Core)
En el campo Combinar usuarios con, especifica el método que se usará para combinar un acceso de OAuth por primera vez con una cuenta de usuario existente. Puedes combinar usuarios de los siguientes sistemas:
- SAML
- OIDC
Si tienes más de un sistema implementado, puedes especificar más de uno para combinar en este campo. Looker (Google Cloud Core) buscará usuarios de los sistemas enumerados en el orden en que se especifiquen. Por ejemplo, si primero creaste algunos usuarios con OIDC y, luego, usaste SAML, Looker (Google Cloud Core) combinaría primero con OIDC y segundo con SAML.
Cuando un usuario accede por primera vez a través de OAuth, esta opción lo conectará a su cuenta existente buscando la cuenta con una dirección de correo electrónico coincidente. Si no hay una cuenta existente para el usuario, se creará una nueva.
Agrega usuarios a una instancia de Looker (Google Cloud Core)
Una vez que se crea una instancia de Looker (Google Cloud Core), se pueden agregar usuarios a través de IAM. Para agregar usuarios, sigue estos pasos:
- Asegúrate de tener el rol de Administrador de IAM de proyecto o otro rol que te permita administrar el acceso de IAM.
Navega hasta el proyecto de la consola de Google Cloud en el que reside la instancia de Looker (Google Cloud Core).
Navega a la sección IAM y administración > IAM de la consola de Google Cloud.
Selecciona Otorgar acceso.
En la sección Agregar principales, agrega una o más de las siguientes opciones:
- Un correo electrónico de la Cuenta de Google
- Un Grupo de Google
- Un dominio de Google Workspace
En la sección Asignar roles, selecciona uno de los roles de IAM predefinidos de Looker (Google Cloud Core) o un rol personalizado que hayas agregado.
Haz clic en Guardar.
Comunica a los usuarios nuevos de Looker (Google Cloud Core) que se les otorgó acceso y diríjalos a la URL de la instancia. Desde allí pueden acceder a la instancia y, a partir de ese momento, se crearán sus cuentas. No se enviará ninguna comunicación automática.
Si cambias el rol de IAM de un usuario, este se propagará a la instancia de Looker (Google Cloud Core) en pocos minutos. Si hay una cuenta de usuario de Looker existente, el rol de Looker de ese usuario no se modificará.
Todos los usuarios deben aprovisionarse mediante los pasos de IAM descritos anteriormente, con una excepción: Puedes crear cuentas de servicio solo para la API de Looker en la instancia de Looker (Google Cloud Core).
Cómo acceder a Looker (Google Cloud Core) con OAuth
Cuando accedan por primera vez, se les pedirá a los usuarios que acedezcan con su Cuenta de Google. Cuando otorgue acceso, debe usar la misma cuenta que el administrador de Looker incluyó en el campo Agregar principales. Los usuarios verán la pantalla de consentimiento de OAuth que se configuró durante la creación del cliente de OAuth. Después de que los usuarios acepten la pantalla de consentimiento, se crearán sus cuentas en la instancia de Looker (Google Cloud Core) y accederán a ellas.
Luego, los usuarios accederán automáticamente a Looker (Google Cloud Core), a menos que su autorización venzca o revoque el usuario. En esos casos, los usuarios volverán a ver la pantalla de consentimiento de OAuth y se les pedirá que den su consentimiento para la autorización.
Es posible que a algunos usuarios se les asignen credenciales de API para recuperar un token de acceso a la API. Si la autorización de esos usuarios vence o se revoca, sus credenciales de API dejarán de funcionar. También dejarán de funcionar todos los tokens de acceso a la API actuales. Para resolver el problema, el usuario debe volver a autorizar sus credenciales. Para ello, debe volver a acceder a la IU de Looker (Google Cloud Core) en cada instancia de Looker (Google Cloud Core) afectada. Como alternativa, usar cuentas de servicio solo para la API ayuda a evitar una falla de autorización de credenciales para los tokens de acceso a la API.
Cómo quitar el acceso de OAuth a Looker (Google Cloud Core)
Si tienes un rol que te permite administrar el acceso a IAM, puedes quitar el acceso a una instancia de Looker (Google Cloud Core) revocando el rol de IAM que otorgó acceso. Si quitas el rol de IAM de una cuenta de usuario, ese cambio se propaga a la instancia de Looker (Google Cloud Core) en unos minutos. El usuario ya no podrá autenticarse en la instancia. Sin embargo, la cuenta de usuario seguirá apareciendo activa en la página Usuarios. Para quitar la cuenta de usuario de la página Usuarios, borra al usuario en la instancia de Looker (Google Cloud Core).
Cómo usar OAuth como método de autenticación alternativo
OAuth es el método de autenticación de respaldo cuando OIDC o SAML son el método de autenticación principal.
Para configurar OAuth como método de copia de seguridad, otorga a cada usuario de Looker (Google Cloud Core) el rol de IAM adecuado para acceder a la instancia.
Una vez que se configura el método de copia de seguridad, los usuarios pueden acceder a él mediante los siguientes pasos:
- Selecciona Autenticar con Google en la página de acceso.
- Aparecerá un diálogo para confirmar la autenticación de Google. Selecciona Confirmar en el diálogo.
Luego, los usuarios pueden acceder con sus Cuentas de Google. Cuando acceda por primera vez con OAuth, se le pedirá que acepte la pantalla de consentimiento de OAuth que se configuró durante la creación de la instancia.
¿Qué sigue?
- Conecta Looker (Google Cloud Core) a tu base de datos
- Configura una instancia de Looker (Google Cloud core)
- Configuración para administradores de Looker (Google Cloud Core)
- Administra una instancia de Looker (Google Cloud Core) desde la consola de Google Cloud