Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden

Google OAuth wird in Verbindung mit Identity and Access Management (IAM) verwendet, um Looker (Google Cloud Core)-Nutzer zu authentifizieren.

Wenn Sie OAuth zur Authentifizierung verwenden, werden Nutzer in Looker (Google Cloud Core) über das OAuth 2.0-Protokoll authentifiziert. Sie können jeden OAuth 2.0-Client verwenden, um beim Erstellen einer Instanz Autorisierungsanmeldedaten zu erstellen. Auf dieser Seite wird anhand eines Beispiels beschrieben, wie Sie die Authentifizierung für eine Looker (Google Cloud Core)-Instanz einrichten, indem Sie mit der Google Cloud -Konsole OAuth-Anmeldedaten erstellen.

Wenn eine andere Methode die primäre Form der Authentifizierung ist, ist Google OAuth standardmäßig die Sicherungsauthentifizierungsmethode. Google OAuth ist auch die Authentifizierungsmethode, die Cloud Customer Care für den Support verwendet.

Der OAuth-Client, der für die Authentifizierung verwendet wird, muss derselbe sein wie der OAuth-Client, der zum Einrichten der Instanz verwendet wurde.

Authentifizierung und Autorisierung mit OAuth und IAM

In Verbindung mit OAuth bieten Looker (Google Cloud Core)-IAM-Rollen die folgenden Authentifizierungs- und Autorisierungsebenen für alle Looker (Google Cloud Core)-Instanzen in einem bestimmten Google Cloud Projekt. Weisen Sie jedem Ihrer Hauptkonten eine der folgenden IAM-Rollen zu, je nachdem, welche Zugriffsebenen Sie ihnen gewähren möchten:

IAM-Rolle Authentifizierung Autorisierung
Looker Instance User (roles/looker.instanceUser)

Kann sich in Looker (Google Cloud Core)-Instanzen anmelden

 Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die in Rollen für neue Nutzer festgelegt ist.

Sie können nicht auf Looker (Google Cloud Core)-Ressourcen in der Google Cloud Console zugreifen.
Looker-Betrachter (roles/looker.viewer) Kann sich in Looker (Google Cloud Core)-Instanzen anmelden Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die in Rollen für neue Nutzer festgelegt ist.

Kann die Liste der Looker (Google Cloud Core)-Instanzen und Instanzdetails in der Google Cloud Console ansehen
Looker-Administrator (roles/looker.admin) Kann sich in Looker (Google Cloud Core)-Instanzen anmelden Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die in Rollen für neue Nutzer festgelegt ist.

Bei jeder Anmeldung in Looker (Google Cloud Core) mit primärem OAuth oder Backup-OAuth und jedes Mal, wenn der Nutzer einen Aufruf an die Looker API sendet, wird mit dieser Rolle (oder einer benutzerdefinierten Rolle, die die Berechtigung looker.instances.update enthält) auch die Rolle Administrator über IAM in der Instanz gewährt.

Die Rolle Administrator über IAM enthält alle Berechtigungen und Funktionen der Looker-Rolle Administrator. Diese Rolle kann in der Looker (Google Cloud Core)-Instanz nicht entfernt oder neu zugewiesen werden. Wenn Sie die Rolle Administrator über IAM entfernen möchten, weisen Sie dem Prinzipal eine andere IAM-Rolle als „Looker-Administrator“ (roles/looker.admin) zu. Änderungen an IAM-Rollen werden automatisch mit der Looker (Google Cloud Core)-Instanz synchronisiert, auch wenn sich der Nutzer nach der Änderung mit einem Drittanbieter-Identitätsanbieter anmeldet. Weitere Informationen finden Sie im Abschnitt Looker-Administratorrolle im Vergleich zur Looker-Administratorrolle über IAM.

Solange das OAuth-Aktualisierungstoken eines Nutzers gültig ist, wird die Rolle des Nutzers in Looker (Google Cloud Core) als Admin via IAM angezeigt, auch wenn sich der Nutzer später mit einem Drittanbieter-Identitätsanbieter anmeldet. Wenn das OAuth-Aktualisierungstoken abläuft oder widerrufen wird, muss sich der Nutzer noch einmal über OAuth in der Instanz anmelden, um die Rolle Administrator über IAM wieder zu erhalten.

Alle administrativen Aufgaben für Looker (Google Cloud Core) in der Google Cloud Console ausführen

Außerdem können sich Nutzerkonten mit der Rolle owner für ein Projekt bei allen Looker (Google Cloud Core)-Instanzen in diesem Projekt anmelden und diese verwalten. Diesen Nutzern wird die Looker-Rolle Admin zugewiesen.

Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen bieten, können Sie auch eigene benutzerdefinierte Rollen erstellen.

Looker (Google Cloud Core)-Konten werden bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz erstellt.

Looker-Administratorrolle im Vergleich zur Looker-Administratorrolle über IAM

Es gibt zwei Rollen in einer Looker (Google Cloud Core)-Instanz, die das Admin-Berechtigungspaket verwenden und dieselben Administratorberechtigungen innerhalb der Instanz gewähren. In der folgenden Tabelle werden die Gemeinsamkeiten und Unterschiede der beiden Rollen zusammengefasst.

Attribut Looker-Administratorrolle Administrator über IAM-Looker-Rolle
Zuverlässige Quelle Von einem anderen Administrator in der Looker (Google Cloud Core)-Instanz gewährt Direkt mit der IAM-Rolle „Looker Admin“ verknüpft
Kann innerhalb einer Looker (Google Cloud Core)-Instanz hinzugefügt oder entfernt werden? Ja Nein
Kann mit IAM hinzugefügt oder entfernt werden? Nein Ja
Berechtigungen in Looker (Google Cloud Core) Alle Berechtigungen Alle Berechtigungen
Berechtigungen in der Google Cloud Console Keine Vollständiger Zugriff auf alle Looker (Google Cloud Core)-Ressourcen
Rollenvalidierung Kontinuierlich in der Looker (Google Cloud Core)-Instanz Bei jeder Anmeldung bei der Looker (Google Cloud Core)-Instanz und bei jedem Looker API-Aufruf.

Es kann einige Minuten dauern, bis Änderungen an einer Rolle mit IAM wirksam werden.
Umfang Einzelne Looker (Google Cloud Core)-Instanz Alle Looker (Google Cloud Core)-Instanzen in einem Google Cloud -Projekt

Ein Nutzer kann sowohl die Looker-Rolle Administrator als auch die Rolle Administrator über IAM haben. Wenn Sie Administratorberechtigungen widerrufen möchten, müssen Sie daher sowohl die IAM-Rolle als auch die Rolle Administrator in der Looker (Google Cloud Core)-Instanz entfernen.

OAuth in der Looker (Google Cloud Core)-Instanz konfigurieren

Auf der Seite Google-Authentifizierung im Bereich Authentifizierung des Menüs Administrator können Sie in der Looker (Google Cloud Core)-Instanz einige Google OAuth-Einstellungen konfigurieren. Sie benötigen die Looker-Rolle Administrator.

Nutzerkonten zusammenführen

Geben Sie im Feld Nutzer zusammenführen mit die Methode an, die zum Zusammenführen einer erstmaligen OAuth-Anmeldung mit einem bestehenden Nutzerkonto verwendet werden soll. Wenn sich ein Nutzer zum ersten Mal über OAuth anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verknüpft, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gesucht wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Sie können Nutzer aus den folgenden Systemen zusammenführen:

  • SAML
  • OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. In Looker (Google Cloud Core) werden Nutzer in den aufgeführten Systemen in der Reihenfolge gesucht, in der die Systeme angegeben sind. Wenn Sie beispielsweise zuerst einige Nutzer mit OIDC und dann mit SAML erstellt haben und sich ein Nutzer zum ersten Mal mit OAuth anmeldet, sucht Looker (Google Cloud Core) zuerst nach dem Nutzer mit OIDC. Wenn keine Übereinstimmung gefunden wird, wird nach dem Nutzer mit SAML gesucht.

Wenn Sie nicht möchten, dass Nutzer in Looker (Google Cloud Core) zusammengeführt werden, lassen Sie dieses Feld leer.

Google-Gruppen spiegeln

Wenn Sie Google Groups verwalten, kann Looker (Google Cloud Core) Looker-Gruppen erstellen, die die Mitgliedschaft Ihrer Google-Gruppen widerspiegeln. Das bedeutet, dass Sie Nutzer nicht direkt in Looker (Google Cloud Core) einrichten müssen, sondern den Nutzerzugriff über die Verwaltung der Mitgliedschaft der Google-Gruppen steuern können. Außerdem können Looker-Gruppen verwendet werden, um Gruppenmitgliedern Rollen zuzuweisen, Zugriffssteuerungen für Inhalte festzulegen, den Zugriff auf Funktionen und Daten zu steuern und Nutzerattribute zuzuweisen.

Die gespiegelten Looker-Gruppen (und alle zugehörigen Rollen und Zugriffsrechte) werden neuen Nutzern bei der ersten Anmeldung in der Looker (Google Cloud Core)-Instanz zugewiesen. Die Gruppen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht erneut angewendet, wenn sie nach der ersten Anmeldung des Nutzers aus dem Konto eines Nutzers in Looker (Google Cloud Core) entfernt werden.

Wir empfehlen, die Gruppenspiegelung nur für die primäre Authentifizierungsmethode für Looker (Google Cloud Core) zu aktivieren. Wenn Sie OAuth als Sicherungsauthentifizierungsmethode verwenden, aktivieren Sie die Gruppenspiegelung für OAuth nicht. Wenn Sie die Gruppenspiegelung sowohl für die primäre als auch für die sekundäre Authentifizierungsmethode aktivieren, gilt Folgendes:

  • Wenn ein Nutzer Identitäten zusammengeführt hat, wird beim Spiegeln von Gruppen die primäre Authentifizierungsmethode verwendet, unabhängig davon, welche Authentifizierungsmethode tatsächlich für die Anmeldung verwendet wurde.
  • Wenn ein Nutzer keine zusammengeführten Identitäten hat, wird beim Spiegeln von Gruppen die Authentifizierungsmethode verwendet, mit der er sich angemeldet hat.

Spiegelung von Gruppen aktivieren

So aktivieren Sie die Gruppenspiegelung:

  1. Aktivieren Sie die Cloud Identity API in der Google Cloud Console im Google Cloud Projekt, das Ihren OAuth-Client enthält. Sie benötigen die IAM-Rolle Service Usage-Administrator (roles/serviceusage.serviceUsageAdmin), um APIs zu aktivieren.

    API aktivieren

  2. Aktualisieren Sie in der Google Cloud -Konsole den Zustimmungsbildschirm des OAuth-Clients, um den https://www.googleapis.com/auth/cloud-identity.groups.readonly-Gültigkeitsbereich hinzuzufügen. Sie benötigen die IAM-Berechtigung clientauthconfig.clients.update, um Bereiche hinzuzufügen. Führen Sie die folgenden Schritte aus, um den Zustimmungsbildschirm zu aktualisieren:

    • Rufen Sie den OAuth-Client auf.
    • Wählen Sie die Seite Data Access (Datenzugriff) aus.
    • Klicken Sie auf die Schaltfläche Bereiche hinzufügen oder entfernen. Daraufhin öffnet sich der Bereich Ausgewählte Bereiche aktualisieren.
    • Suchen Sie den Bereich https://www.googleapis.com/auth/cloud-identity.groups.readonly und klicken Sie das Kästchen daneben an.
    • Klicken Sie auf die Schaltfläche Aktualisieren, um den Bereich hinzuzufügen.

    • Schließen Sie das Feld und klicken Sie auf der Seite Datenzugriff auf Speichern, um den Bereich zu speichern.

  3. Aktivieren Sie in der Looker (Google Cloud Core)-Instanz auf der Seite Google-Authentifizierung die Ein/Aus-Schaltfläche Google-Gruppen spiegeln. Diese Ein/Aus-Schaltfläche ist standardmäßig deaktiviert. Füllen Sie die folgenden Felder aus:

    • Geben Sie im Feld Looker-Gruppenname einen Namen für die Looker-Gruppe ein. Dies ist der Name, der in Looker (Google Cloud Core) auf der Seite Gruppen angezeigt wird.
    • Geben Sie im Feld Google Group ID (Google-Gruppen-ID) den Namen oder die E-Mail-Adresse der Google-Gruppe ein, die Sie spiegeln möchten.
    • Geben Sie im Feld Rolle die Looker-Rolle(n) ein, die Sie den Mitgliedern dieser Gruppe zuweisen möchten.

In Looker (Google Cloud Core) wird für jede Google-Gruppe, die der Seite Google-Authentifizierung hinzugefügt wird, eine Looker-Gruppe erstellt. Sie können diese Looker-Gruppen in Looker (Google Cloud Core) auf der Seite Gruppen ansehen.

Gespiegelte Gruppen bearbeiten

Wenn Sie Änderungen an einer Google Groups-Mitgliedschaft vornehmen, werden diese Änderungen automatisch auf die Mitgliedschaft der gespiegelten Looker-Gruppe übertragen und bei der nächsten Anmeldung des jeweiligen Nutzers validiert.

Wenn Sie die Felder Benutzerdefinierter Name oder Rolle bearbeiten, die einer Gruppe auf der Seite Google-Authentifizierung zugewiesen sind, ändert sich dadurch, wie der Name der gespiegelten Looker-Gruppe auf der Seite Gruppen von Looker (Google Cloud Core) angezeigt wird, oder die der Gruppe zugewiesenen Rollen. Die Gruppenmitglieder werden dadurch jedoch nicht geändert.

Wenn Sie den Namen oder die E-Mail-Adresse im Feld Google-Gruppen-ID auf der Seite Google-Authentifizierung in die ID einer neuen Google-Gruppe ändern, werden die Mitglieder der gespiegelten Looker-Gruppe in die Mitglieder der neuen Google-Gruppe geändert. Der Gruppenname und die Rollen bleiben jedoch wie auf der Seite Google-Authentifizierung definiert.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker (Google Cloud Core) anmelden.

Gespiegelte Gruppen deaktivieren

Wenn Sie die Spiegelung Ihrer Google-Gruppen in Looker (Google Cloud Core) beenden möchten, deaktivieren Sie auf der Seite Google-Authentifizierung der Looker (Google Cloud Core)-Instanz die Ein/Aus-Schaltfläche Google-Gruppen spiegeln. Wenn Sie die Ein/Aus-Schaltfläche deaktivieren, hat das folgende Auswirkungen:

  • Alle Spiegelgruppen ohne Nutzer werden sofort gelöscht.
  • Alle Spiegelgruppen, die Nutzer enthalten, werden als verwaist markiert. Wenn sich innerhalb von 31 Tagen keine Nutzer dieser Gruppe anmelden, wird die Gruppe gelöscht. Nutzer können nicht mehr zu verwaisten Google-Gruppen hinzugefügt oder daraus entfernt werden.

Erweiterte Rollenverwaltung

Wenn der Schalter Google-Gruppen spiegeln aktiviert ist, werden auf der Seite Google-Authentifizierung die Einstellungen für Erweiterte Rollenverwaltung angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie viel Flexibilität Looker-Administratoren beim Konfigurieren von Looker-Gruppen und -Nutzern haben, die von Google gespiegelt wurden.

Wenn die Konfiguration Ihrer Looker-Gruppe und Ihrer Nutzer genau mit der Konfiguration Ihrer Google-Gruppen übereinstimmen soll, aktivieren Sie alle Optionen für die erweiterte Rollenverwaltung. Wenn alle Optionen aktiviert sind, können Looker-Administratoren gespiegelte Gruppenmitgliedschaften nicht ändern und Nutzern nur über Google Groups Rollen zuweisen.

Wenn Sie mehr Flexibilität beim Anpassen Ihrer Gruppen in Looker (Google Cloud Core) benötigen, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen (Google Cloud Core) spiegeln weiterhin Ihre Google-Gruppenkonfiguration wider. Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltungsaufgaben in Looker (Google Cloud Core) ausführen, z. B. Google-Nutzer zu Looker-Gruppen hinzufügen oder Google-Nutzern direkt Looker-Rollen zuweisen.

Für Looker (Google Cloud Core)-Instanzen sind diese Optionen standardmäßig deaktiviert.

Der Abschnitt Erweiterte Rollenverwaltung enthält die folgenden Optionen:

  • Verhindern, dass einzelne Google-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Google-Nutzern keine Looker-Rollen direkt zuweisen. Google-Nutzer erhalten Rollen nur über ihre Gruppenmitgliedschaften. Wenn Google-Nutzer Mitgliedschaften in integrierten (nicht gespiegelten) Looker-Gruppen haben dürfen, können sie ihre Rollen weiterhin sowohl von gespiegelten Google-Gruppen als auch von integrierten Looker-Gruppen erben. Allen Google-Nutzern, denen zuvor Rollen direkt zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entzogen.

    Wenn diese Option deaktiviert ist, können Looker-Administratoren Google-Nutzern in der Looker (Google Cloud Core)-Instanz direkt Looker-Rollen zuweisen.

  • Direkte Mitgliedschaft in nicht von Google verwalteten Gruppen verhindern: Mit dieser Option wird verhindert, dass Looker-Administratoren Mitglieder gespiegelter Gruppen direkt zu integrierten Looker-Gruppen hinzufügen, die nicht Teil der Konfiguration der gespiegelten Gruppe auf der Seite Google-Authentifizierung sind.

    Wenn diese Option ausgewählt ist, werden alle Google-Nutzer, die zuvor integrierten Looker-Gruppen zugewiesen waren, bei der nächsten Anmeldung aus diesen Gruppen entfernt.

    Wenn diese Option deaktiviert ist, können Looker-Administratoren Google-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

  • Übernahme von Rollen aus nicht von Google verwalteten Gruppen verhindern: Mit dieser Option wird verhindert, dass Mitglieder gespiegelter Gruppen Rollen aus integrierten Looker-Gruppen übernehmen. Wenn gespiegelte Google-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, behalten Google-Nutzer möglicherweise die Mitgliedschaft in allen integrierten Looker-Gruppen. Alle Google-Nutzer, die zuvor Rollen von einer integrierten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

    Wenn diese Option deaktiviert ist, erben gespiegelte Gruppen oder Google-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der integrierten Looker-Gruppe zugewiesen sind.

  • Auth Requires Role: Wenn diese Option aktiviert ist, müssen Google-Nutzer eine Looker-Rolle haben. Google-Nutzer, denen keine Rolle zugewiesen ist, können sich überhaupt nicht in Looker (Google Cloud Core) anmelden.

    Wenn diese Option deaktiviert ist, können sich Google-Nutzer bei Looker (Google Cloud Core) authentifizieren, auch wenn ihnen keine Rolle zugewiesen ist. Einem Nutzer ohne zugewiesene Rolle werden in Looker (Google Cloud Core) keine Daten angezeigt und er kann keine Aktionen ausführen, aber er kann sich in Looker (Google Cloud Core) anmelden.

Standard-Looker-Rolle festlegen

Wenn die Ein/Aus-Schaltfläche Google-Gruppen spiegeln deaktiviert ist, wird die Einstellung Rollen für neue Nutzer auf der Seite Google-Authentifizierung angezeigt. Mit dieser Einstellung können Sie die Standard-Looker-Rolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker Instance User“ (roles/looker.instanceUser) oder „Looker Viewer“ (roles/looker.viewer) bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz zugewiesen wird. So legen Sie eine Standardrolle fest:

  1. Rufen Sie im Menü Admin den Abschnitt Authentifizierung und dort die Seite Google-Authentifizierung auf.
  2. Wählen Sie in der Einstellung Rollen für neue Nutzer die Rolle aus, die Sie allen neuen Nutzern standardmäßig zuweisen möchten. Die Einstellung enthält eine Liste aller Standardrollen und benutzerdefinierten Rollen in der Looker (Google Cloud Core)-Instanz.

Administratorrollen können keine Standardrollen sein. Nutzerkonten mit der IAM-Rolle „Looker Admin“ (roles/looker.admin) erhalten bei der ersten Anmeldung zusätzlich zur Rolle, die in der Einstellung Rollen für neue Nutzer ausgewählt ist, die Looker-Rolle Admin über IAM.

Wenn Sie den Schalter Google Groups spiegeln aktivieren, nachdem Sie die Einstellung Rollen für neue Nutzer angepasst haben, werden die Rollen, die Nutzern über die Einstellung Rollen für neue Nutzer zugewiesen sind, bei der nächsten Anmeldung entfernt und durch die Rollen ersetzt, die über die Einstellung Google Groups spiegeln zugewiesen sind.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Google-Authentifizierung testen, um Ihre Einstellungen zu testen. Bei Tests werden Sie zum OAuth-Server von Google weitergeleitet und ein Browsertab wird geöffnet. Auf dem Tab werden die folgenden Informationen angezeigt:

  • Ob Looker (Google Cloud Core) mit dem Server kommunizieren und die Validierung durchführen konnte.
  • Die Nutzerinformationen, die Looker (Google Cloud Core) vom Server erhält. Sie müssen überprüfen, ob der Server die richtigen Ergebnisse zurückgibt.
  • Ein Trace, der zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace, um Fehler zu beheben, wenn die Informationen falsch sind. Wenn Sie zusätzliche Informationen benötigen, können Sie die XML-Serverdatei im Rohformat lesen.
  • Sowohl decodierte als auch Rohversionen des empfangenen ID-Tokens. Sie können verwendet werden, um Nutzerdetails und die Google-Konfiguration zu bestätigen.

Speichern und Einstellungen anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden wurden, setzen Sie ein Häkchen bei Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden und klicken Sie auf Senden, um die Änderungen zu speichern.

Nutzer einer Looker (Google Cloud Core)-Instanz hinzufügen

Nachdem eine Looker (Google Cloud Core)-Instanz erstellt wurde, können Nutzer über IAM hinzugefügt werden. So fügen Sie Nutzer hinzu:

  1. Sie benötigen die Rolle Projekt-IAM-Administrator oder eine andere Rolle, mit der Sie den IAM-Zugriff verwalten können.

  2. Rufen Sie das Google Cloud Konsolenprojekt auf, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

  3. Rufen Sie in der Google Cloud Console den Bereich IAM & Verwaltung > IAM auf.

  4. Wählen Sie Zugriff gewähren aus.

  5. Fügen Sie im Abschnitt Hauptkonten hinzufügen eines oder mehrere der folgenden Elemente hinzu:

    • E‑Mail-Adresse Ihres Google-Kontos
    • Eine Google-Gruppe
    • Eine Google Workspace-Domain

  6. Wählen Sie im Bereich Rollen zuweisen eine der vordefinierten IAM-Rollen für Looker (Google Cloud Core) oder eine benutzerdefinierte Rolle aus, die Sie hinzugefügt haben.

  7. Klicken Sie auf Speichern.

  8. Teilen Sie neuen Looker (Google Cloud Core)-Nutzern mit, dass ihnen Zugriff gewährt wurde, und verweisen Sie sie auf die URL für die Instanz. Dort können sie sich in der Instanz anmelden. Dann werden ihre Konten erstellt. Es werden keine automatischen Benachrichtigungen gesendet.

Wenn Sie die IAM-Rolle eines Nutzers ändern, wird die IAM-Rolle innerhalb weniger Minuten auf die Looker (Google Cloud Core)-Instanz übertragen. Wenn ein Looker-Nutzerkonto vorhanden ist, bleibt die Looker-Rolle des Nutzers unverändert.

Alle Nutzer müssen über die oben beschriebenen IAM-Schritte bereitgestellt werden. Eine Ausnahme: Sie können Dienstkonten erstellen, die nur für die Looker API verwendet werden.

Mit OAuth in Looker (Google Cloud Core) anmelden

Bei der ersten Anmeldung werden Nutzer aufgefordert, sich mit ihrem Google-Konto anzumelden. Sie sollten dasselbe Konto verwenden, das der Looker-Administrator beim Gewähren des Zugriffs im Feld Hauptkonten hinzufügen angegeben hat. Nutzer sehen den OAuth-Zustimmungsbildschirm, der beim Erstellen des OAuth-Clients konfiguriert wurde. Nachdem Nutzer der Einwilligungsaufforderung zugestimmt haben, werden ihre Konten in der Looker (Google Cloud Core)-Instanz erstellt und sie werden angemeldet.

Danach werden Nutzer automatisch in Looker (Google Cloud Core) angemeldet, sofern ihre Autorisierung nicht abläuft oder vom Nutzer widerrufen wird. In diesen Fällen sehen Nutzer den OAuth-Zustimmungsbildschirm noch einmal und werden aufgefordert, der Autorisierung zuzustimmen.

Einigen Nutzern werden möglicherweise API-Anmeldedaten zugewiesen, die zum Abrufen eines API-Zugriffstokens verwendet werden können. Wenn die Autorisierung für diese Nutzer abläuft oder widerrufen wird, funktionieren ihre API-Anmeldedaten nicht mehr. Alle aktuellen API-Zugriffstokens funktionieren dann ebenfalls nicht mehr. Um das Problem zu beheben, muss der Nutzer seine Anmeldedaten neu autorisieren, indem er sich für jede betroffene Looker (Google Cloud Core)-Instanz wieder in der Looker (Google Cloud Core)-Benutzeroberfläche anmeldet. Alternativ können Sie reine API-Dienstkonten verwenden, um einen Fehler bei der Autorisierung von Anmeldedaten für API-Zugriffstokens zu vermeiden.

OAuth-Zugriff auf Looker (Google Cloud Core) entfernen

Wenn Sie eine Rolle haben, mit der Sie den IAM-Zugriff verwalten können, können Sie den Zugriff auf eine Looker (Google Cloud Core)-Instanz entfernen, indem Sie die IAM-Rolle widerrufen, mit der der Zugriff gewährt wurde. Wenn Sie die IAM-Rolle eines Nutzerkontos entfernen, wird diese Änderung innerhalb weniger Minuten auf die Looker (Google Cloud Core)-Instanz übertragen. Der Nutzer kann sich nicht mehr bei der Instanz authentifizieren. Das Nutzerkonto wird jedoch weiterhin als aktiv auf der Seite Nutzer angezeigt. Wenn Sie das Nutzerkonto von der Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker (Google Cloud Core)-Instanz.

OAuth als alternative Authentifizierungsmethode verwenden

OAuth ist die Backup-Authentifizierungsmethode, wenn SAML oder OIDC die primäre Authentifizierungsmethode ist.

Wenn Sie OAuth als Sicherungsmethode einrichten möchten, gewähren Sie jedem Looker (Google Cloud Core)-Nutzer die entsprechende IAM-Rolle, um sich in der Instanz anzumelden.

Nachdem die Sicherungsmethode eingerichtet wurde, können Nutzer über die folgenden Schritte darauf zugreifen:

  1. Wählen Sie auf der Anmeldeseite Mit Google authentifizieren aus.
  2. Ein Dialogfeld zur Bestätigung der Google-Authentifizierung wird angezeigt. Wählen Sie im Dialogfeld Bestätigen aus.

Nutzer können sich dann mit ihren Google-Konten anmelden. Wenn sie sich zum ersten Mal mit OAuth anmelden, werden sie aufgefordert, den OAuth-Zustimmungsbildschirm zu akzeptieren, der bei der Instanzerstellung eingerichtet wurde.

Nächste Schritte