Usa OAuth de Google para la autenticación de usuarios de Looker (Google Cloud Core)

Google OAuth se usa junto con Identity and Access Management (IAM) para autenticar a los usuarios de Looker (Google Cloud Core).

Cuando se usa OAuth para la autenticación, Looker (Google Cloud Core) autentica a los usuarios a través del protocolo OAuth 2.0. Usa cualquier cliente de OAuth 2.0 para crear credenciales de autorización cuando crees una instancia. Como ejemplo, en esta página, se explican los pasos para configurar la autenticación de una instancia de Looker (Google Cloud Core) con la Google Cloud consola para crear credenciales de OAuth.

Si otro método es la forma principal de autenticación, Google OAuth será, de forma predeterminada, el método de autenticación de respaldo. El OAuth de Google también es el método de autenticación que usa la Atención al cliente de Cloud cuando brinda asistencia.

El cliente de OAuth que se usa para la autenticación debe ser el mismo que se usó para configurar la instancia.

Autenticación y autorización con OAuth y IAM

Cuando se usan con OAuth, los roles de IAM de Looker (Google Cloud Core) proporcionan los siguientes niveles de autenticación y autorización para todas las instancias de Looker (Google Cloud Core) dentro de un proyecto Google Cloud determinado. Asigna uno de los siguientes roles de IAM a cada uno de tus principales, según los niveles de acceso que quieras que tengan:

Función de IAM Autenticación Autorización
Usuario de la instancia de Looker (roles/looker.instanceUser)

Puede acceder a instancias de Looker (Google Cloud Core)

 En el primer acceso a Looker (Google Cloud Core), se otorga el conjunto de roles predeterminado de Looker establecido en Roles para usuarios nuevos.

No se puede acceder a los recursos de Looker (Google Cloud Core) en la consola de Google Cloud .
Visualizador de Looker (roles/looker.viewer) Puede acceder a instancias de Looker (Google Cloud Core) En el primer acceso a Looker (Google Cloud Core), se otorga el conjunto de roles predeterminado de Looker establecido en Roles para usuarios nuevos.

Puede ver la lista de instancias de Looker (Google Cloud Core) y los detalles de las instancias en la consola de Google Cloud .
Administrador de Looker (roles/looker.admin) Puede acceder a instancias de Looker (Google Cloud Core) En el primer acceso a Looker (Google Cloud Core), se otorga el conjunto de roles predeterminado de Looker establecido en Roles para usuarios nuevos.

Este rol (o un rol personalizado que incluye el permiso looker.instances.update) también otorga el rol de Administrador a través de IAM dentro de la instancia, que se verifica en cada acceso a Looker (Google Cloud Core) que usa OAuth principal o OAuth de copia de seguridad y cada vez que el usuario realiza una llamada a la API de Looker.

El rol de Administrador a través de IAM contiene todos los permisos y las capacidades del rol de Administrador de Looker. Este rol no se puede quitar ni reasignar dentro de la instancia de Looker (Google Cloud Core). Para quitar el rol de Administrador a través de IAM, reasigna el principal a un rol de IAM que no sea el de administrador de Looker (roles/looker.admin). Los cambios en los roles de IAM se sincronizan automáticamente con la instancia de Looker (Google Cloud Core) incluso si el usuario accede con un proveedor de identidad externo después del cambio. Para obtener más información, consulta la sección Rol de administrador de Looker en comparación con el rol de administrador de Looker a través de IAM.

Mientras el token de actualización de OAuth de un usuario sea válido, su rol se mostrará como Administrador a través de IAM en Looker (Google Cloud Core), incluso si el usuario accede más tarde con un proveedor de identidad externo. Si el token de actualización de OAuth vence o se revoca, el usuario debe volver a acceder a la instancia con OAuth para recuperar el rol de Administrador a través de IAM.

Puede realizar todas las tareas administrativas de Looker (Google Cloud Core) en la consola de Google Cloud .

Además, las cuentas de usuario con el rol owner para un proyecto pueden acceder a cualquier instancia de Looker (Google Cloud Core) dentro de ese proyecto y administrarla. A estos usuarios se les otorgará el rol de administrador de Looker.

Si las funciones predefinidas no proporcionan el conjunto de permisos que deseas, también puedes crear tus propias funciones personalizadas.

Las cuentas de Looker (Google Cloud Core) se crean en el momento del primer acceso a una instancia de Looker (Google Cloud Core).

Rol de administrador de Looker en comparación con el rol de administrador de Looker a través de IAM

En una instancia de Looker (Google Cloud Core), hay dos roles que usan el conjunto de permisos de administrador y otorgan los mismos privilegios de administrador dentro de la instancia. En la siguiente tabla, se resumen las similitudes y diferencias entre los dos roles.

Propiedad Rol de administrador de Looker Rol de administrador a través de IAM de Looker
Fuente autorizada Otro administrador de la instancia de Looker (Google Cloud Core) otorgó el acceso. Vinculado directamente al rol de administrador de Looker de IAM
¿Se puede agregar o quitar dentro de una instancia de Looker (Google Cloud Core)? No
¿Se puede agregar o quitar con IAM? No
Permisos en Looker (Google Cloud Core) Todos los permisos Todos los permisos
Permisos en la consola de Google Cloud Ninguno Acceso completo a todos los recursos de Looker (Google Cloud Core)
Validación de roles De forma continua dentro de la instancia de Looker (Google Cloud Core) En cada acceso a la instancia de Looker (Google Cloud Core) y en cada llamada a la API de Looker

Los cambios en un rol con IAM pueden tardar varios minutos en propagarse.
Alcance Instancia individual de Looker (Google Cloud Core) Todas las instancias de Looker (Google Cloud Core) dentro de un proyecto de Google Cloud

Un usuario puede tener los roles de Looker Administrador y Administrador a través de IAM. Por lo tanto, si deseas revocar los privilegios de administrador, asegúrate de quitar el rol de IAM y el rol de administrador dentro de la instancia de Looker (Google Cloud Core).

Configura OAuth en la instancia de Looker (Google Cloud Core)

En la instancia de Looker (Google Cloud Core), la página Autenticación de Google de la sección Autenticación del menú Administrador te permite configurar algunos parámetros de configuración de OAuth de Google. Debes tener el rol de administrador de Looker.

Cómo combinar cuentas de usuario

En el campo Merge Users Using, especifica el método que se usará para combinar el acceso con OAuth por primera vez con una cuenta de usuario existente. Cuando un usuario accede por primera vez a través de OAuth, esta opción lo conectará a su cuenta existente buscando la cuenta con una dirección de correo electrónico coincidente. Si no existe una cuenta para el usuario, se creará una nueva.

Puedes combinar usuarios de los siguientes sistemas:

  • SAML
  • OIDC

Si tienes más de un sistema implementado, puedes especificar más de un sistema para combinar en este campo. Looker (Google Cloud Core) buscará usuarios en los sistemas enumerados en el orden en que se especifican los sistemas. Por ejemplo, si primero creaste algunos usuarios con OIDC y, luego, usaste SAML, cuando un usuario intente acceder con OAuth por primera vez, Looker (Google Cloud Core) primero buscará al usuario con OIDC y, luego, si no encuentra una coincidencia para el usuario con OIDC, buscará al usuario con SAML.

Si no quieres que Looker (Google Cloud Core) combine usuarios, deja este campo en blanco.

Replicar Grupos de Google

Si administras Grupos de Google, Looker (Google Cloud Core) puede crear grupos de Looker que reflejen la membresía de tus Grupos de Google. Esto significa que no tienes que configurar usuarios en Looker (Google Cloud Core) directamente, sino que puedes administrar el acceso de los usuarios administrando la membresía de los Grupos de Google. Además, los grupos de Looker se pueden usar para asignar roles a los miembros del grupo, establecer controles de acceso al contenido, controlar el acceso a funciones y datos, y asignar atributos de usuario.

Los grupos de Looker duplicados (y los roles y el acceso asociados) se aplican a los usuarios nuevos en su acceso inicial a la instancia de Looker (Google Cloud Core). Los grupos no se aplican a los usuarios existentes y no se vuelven a aplicar si se quitan de la cuenta de un usuario en Looker (Google Cloud Core) después del acceso inicial del usuario.

Te recomendamos que habilites la duplicación de grupos solo para el método de autenticación principal de Looker (Google Cloud Core). Si usas OAuth como el método de autenticación de respaldo, no habilites la duplicación de grupos para OAuth. Si habilitas la duplicación de grupos para los métodos de autenticación principal y secundario, se producirán los siguientes comportamientos:

  • Si un usuario tiene identidades combinadas, la duplicación de grupos coincidirá con el método de autenticación principal, independientemente del método de autenticación real que se use para acceder.
  • Si un usuario no tiene identidades combinadas, la duplicación de grupos coincidirá con el método de autenticación que se usó para acceder.

Pasos para habilitar los grupos duplicados

Para habilitar la duplicación de grupos, completa los siguientes pasos:

  1. En la consola de Google Cloud , habilita la API de Cloud Identity en el proyecto de Google Cloud que contiene tu cliente de OAuth. Debes tener el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin) para habilitar las APIs.

    Habilita la API

  2. En la consola de Google Cloud , actualiza la pantalla de consentimiento del cliente de OAuth para agregar el alcance dehttps://www.googleapis.com/auth/cloud-identity.groups.readonly. Debes tener el permiso de IAM clientauthconfig.clients.update para agregar alcances. Para actualizar la pantalla de consentimiento, sigue estos pasos:

    • Navega al cliente de OAuth.
    • Elige la página Acceso a los datos.
    • Haz clic en el botón Agregar o quitar permisos. Se abrirá un panel Actualizar los permisos seleccionados.
    • Busca el alcance https://www.googleapis.com/auth/cloud-identity.groups.readonly y selecciona la casilla de verificación junto a él.
    • Haz clic en el botón Actualizar para agregar el alcance.

    • Cierra el panel y haz clic en Guardar en la página Acceso a los datos para guardar el alcance.

  3. En la instancia de Looker (Google Cloud Core), habilita el botón de activación Mirror Google Groups en la página Google Authentication. Este botón de activación está inhabilitado de forma predeterminada. Completa los siguientes campos:

    • En el campo Nombre del grupo de Looker, agrega un nombre para el grupo de Looker. Este es el nombre que aparecerá en la página Grupos en Looker (Google Cloud Core).
    • En el campo ID del Grupo de Google, ingresa el nombre o correo electrónico del Grupo de Google que deseas duplicar.
    • En el campo Rol, ingresa el rol o los roles de Looker que deseas asignar a los miembros de ese grupo.

Looker (Google Cloud Core) creará un grupo de Looker para cada Grupo de Google que se agregue a la página Autenticación de Google. Puedes ver esos grupos de Looker en la página Grupos de Looker (Google Cloud Core).

Cómo editar grupos duplicados

Cuando realizas cambios en la membresía de un grupo de Google, esos cambios se propagan automáticamente a la membresía del grupo de Looker duplicado y se validan en el momento del próximo acceso de cada usuario.

Si editas los campos Nombre personalizado o Rol que se asignan a un grupo en la página Autenticación de Google, se modificará la forma en que aparece el nombre del grupo duplicado de Looker en la página Grupos de Looker (Google Cloud Core) o los roles asignados al grupo, pero no se modificarán los miembros del grupo.

Si cambias el nombre o el correo electrónico en el campo ID de grupo de Google de la página Autenticación de Google por el ID de un nuevo grupo de Google, se cambiarán los miembros del grupo de Looker duplicado por los miembros del nuevo grupo de Google, pero se mantendrán el nombre y los roles del grupo tal como se definieron en la página Autenticación de Google.

Cualquier edición que se realice en un grupo duplicado se aplicará a los usuarios de ese grupo la próxima vez que accedan a Looker (Google Cloud Core).

Cómo inhabilitar los grupos duplicados

Si quieres dejar de duplicar tus Grupos de Google en Looker (Google Cloud Core), inhabilita el botón de activación Duplicar Grupos de Google en la página Autenticación de Google de la instancia de Looker (Google Cloud Core). Si se inhabilita el botón de activación, se producirá el siguiente comportamiento:

  • Cualquier grupo de Google duplicado que no tenga usuarios se borrará de inmediato.
  • Cualquier grupo de Google duplicado que contenga usuarios se marcará como huérfano. Si ningún usuario de este grupo accede en un plazo de 31 días, el grupo se borrará. Ya no se pueden agregar ni quitar usuarios de los grupos de Google huérfanos.

Administración avanzada de roles

Si el botón de activación Duplicar Grupos de Google está habilitado, en la página Autenticación de Google, se mostrará la configuración de Administración avanzada de roles. Las opciones de esta sección determinan el nivel de flexibilidad que tienen los administradores de Looker cuando configuran grupos y usuarios de Looker que se duplicaron desde Google.

Si deseas que la configuración de usuarios y grupos de Looker coincida estrictamente con la configuración de Google Groups, activa todas las opciones de Administración avanzada de roles. Cuando todas las opciones están habilitadas, los administradores de Looker no pueden modificar las membresías de grupos replicados y solo pueden asignar roles a los usuarios a través de Grupos de Google.

Si deseas tener más flexibilidad para personalizar tus grupos en Looker (Google Cloud Core), desactiva estas opciones. Tus grupos de Looker (Google Cloud Core) seguirán replicando la configuración de tus Grupos de Google, pero podrás realizar tareas adicionales de administración de grupos y usuarios en Looker (Google Cloud Core), como agregar usuarios de Google a grupos de Looker o asignar roles de Looker directamente a usuarios de Google.

En el caso de la instancia de Looker (Google Cloud Core), estas opciones están desactivadas de forma predeterminada.

La sección Administración avanzada de roles contiene las siguientes opciones:

  • Impedir que los usuarios individuales de Google reciban roles directos: Si activas esta opción, los administradores de Looker no podrán asignar roles de Looker directamente a los usuarios de Google. Los usuarios de Google recibirán roles solo a través de sus pertenencias a grupos. Si se permite que los usuarios de Google sean miembros de grupos integrados de Looker (no replicados), podrán heredar sus roles de los grupos de Google replicados y de los grupos integrados de Looker. A los usuarios de Google a los que se les asignaron roles directamente se les quitarán esos roles cuando vuelvan a acceder.

    Si esta opción está desactivada, los administradores de Looker pueden asignar roles de Looker directamente a los usuarios de Google dentro de la instancia de Looker (Google Cloud Core).

  • Impedir la pertenencia directa a grupos que no pertenecen a Google: Esta opción impide que los administradores de Looker agreguen miembros de grupos duplicados directamente a grupos integrados de Looker que no forman parte de la configuración de grupos duplicados en la página Autenticación de Google.

    Si se selecciona esta opción, los usuarios de Google que se hayan asignado previamente a grupos integrados de Looker se quitarán de esos grupos cuando vuelvan a acceder.

    Si esta opción no está marcada, los administradores de Looker pueden agregar usuarios de Google directamente a los grupos integrados de Looker.

  • Prevent Role Inheritance from non-Google Groups: Esta opción impide que los miembros de los grupos duplicados hereden roles de los grupos integrados de Looker. Si se permite que los Grupos de Google replicados sean miembros de los grupos integrados de Looker, es posible que los usuarios de Google conserven la membresía en cualquier grupo integrado de Looker. Los usuarios de Google que anteriormente heredaron roles de un grupo integrado de Looker perderán esos roles la próxima vez que accedan.

    Si esta opción está desactivada, los grupos duplicados o los usuarios de Google que se agreguen como miembros de un grupo integrado de Looker heredarán los roles que se asignen al grupo integrado de Looker.

  • Auth Requires Role: Si esta opción está activada, los usuarios de Google deben tener un rol de Looker asignado. Los usuarios de Google que no tengan un rol asignado no podrán acceder a Looker (Google Cloud Core).

    Si esta opción está desactivada, los usuarios de Google pueden autenticarse en Looker (Google Cloud Core) incluso si no tienen un rol asignado. Un usuario sin un rol asignado no podrá ver ningún dato ni realizar ninguna acción en Looker (Google Cloud Core), pero podrá acceder a Looker (Google Cloud Core).

Cómo establecer un rol de Looker predeterminado

Si el botón de activación Duplicar Grupos de Google está inhabilitado, el parámetro de configuración Roles para usuarios nuevos aparecerá en la página Autenticación de Google. Este parámetro de configuración te permite establecer el rol de Looker predeterminado que se otorgará a las cuentas de usuario con el rol de IAM de usuario de instancia de Looker (roles/looker.instanceUser) o el rol de IAM de visualizador de Looker (roles/looker.viewer) cuando accedan por primera vez a una instancia de Looker (Google Cloud Core). Para establecer un rol predeterminado, sigue estos pasos:

  1. Navega a la página Google Authentication en la sección Authentication del menú Admin.
  2. En el parámetro de configuración Roles para usuarios nuevos, selecciona el rol que deseas otorgar a todos los usuarios nuevos de forma predeterminada. El parámetro de configuración contiene una lista de todos los roles predeterminados y roles personalizados dentro de la instancia de Looker (Google Cloud Core).

Los roles de administrador no pueden ser roles predeterminados. A las cuentas de usuario con el rol de IAM de administrador de Looker (roles/looker.admin) se les otorgará el rol de Looker Administrador a través de IAM cuando accedan por primera vez, además del rol que se selecciona en el parámetro de configuración Roles para usuarios nuevos.

Si habilitas el botón de activación Duplicar Grupos de Google después de personalizar el parámetro de configuración Roles para usuarios nuevos, los roles que se asignen a los usuarios a través del parámetro de configuración Roles para usuarios nuevos se quitarán para los usuarios cuando vuelvan a acceder y se reemplazarán por los roles asignados a través del parámetro de configuración Duplicar Grupos de Google.

Probar la autenticación de usuarios

Haz clic en el botón Probar la autenticación de Google para probar tu configuración. Las pruebas redireccionarán al servidor de OAuth de Google y abrirán una pestaña del navegador. En la pestaña, se muestra la siguiente información:

  • Indica si Looker (Google Cloud Core) pudo comunicarse con el servidor y realizar la validación.
  • Es la información del usuario que Looker (Google Cloud Core) obtiene del servidor. Debes validar que el servidor devuelva los resultados adecuados.
  • Es un registro para mostrar cómo se encontró la información. Usa el registro para solucionar problemas si la información es incorrecta. Si necesitas información adicional, puedes leer el archivo sin procesar del servidor XML.
  • Son las versiones decodificada y sin procesar del token de ID recibido. Se pueden usar para confirmar los detalles del usuario y la configuración de Google.

Guardar y aplicar la configuración

Una vez que termines de ingresar tu información y todas las pruebas se aprueben, selecciona la casilla de verificación Confirmé la configuración anterior y quiero habilitar su aplicación a nivel global y haz clic en Enviar para guardar.

Cómo agregar usuarios a una instancia de Looker (Google Cloud Core)

Una vez que se crea una instancia de Looker (Google Cloud Core), se pueden agregar usuarios a través de IAM. Para agregar usuarios, sigue estos pasos:

  1. Asegúrate de tener el rol de administrador de IAM del proyecto o otro rol que te permita administrar el acceso a IAM.

  2. Navega al proyecto de la consola Google Cloud en el que reside la instancia de Looker (Google Cloud Core).

  3. Navega a la sección IAM y administración > IAM de la consola de Google Cloud .

  4. Selecciona Otorgar acceso.

  5. En la sección Agregar principales, agrega uno o más de los siguientes elementos:

    • Un correo electrónico de la Cuenta de Google
    • Un Grupo de Google
    • Un dominio de Google Workspace

  6. En la sección Asignar roles, selecciona uno de los roles de IAM predefinidos de Looker (Google Cloud Core) o un rol personalizado que hayas agregado.

  7. Haz clic en Guardar.

  8. Comunícate con los usuarios nuevos de Looker (Google Cloud Core) para informarles que se les otorgó acceso y dirígelos a la URL de la instancia. Desde allí, pueden acceder a la instancia, momento en el que se crearán sus cuentas. No se enviará ninguna comunicación automática.

Si cambias el rol de IAM de un usuario, este se propagará a la instancia de Looker (Google Cloud Core) en unos minutos. Si existe una cuenta de usuario de Looker, el rol de Looker de ese usuario no se modificará.

Todos los usuarios deben aprovisionarse con los pasos de IAM descritos anteriormente, con una excepción: puedes crear cuentas de servicio solo para la API de Looker dentro de la instancia de Looker (Google Cloud Core).

Accede a Looker (Google Cloud Core) con OAuth

La primera vez que accedan, se les pedirá a los usuarios que accedan con su Cuenta de Google. Debe usar la misma cuenta que el administrador de Looker indicó en el campo Agregar principales cuando otorgue acceso. Los usuarios verán la pantalla de consentimiento de OAuth que se configuró durante la creación del cliente de OAuth. Después de que los usuarios acepten la pantalla de consentimiento, se crearán sus cuentas en la instancia de Looker (Google Cloud Core) y se accederá a ellas.

Después de eso, los usuarios accederán automáticamente a Looker (Google Cloud Core), a menos que su autorización venza o el usuario la revoque. En esos casos, los usuarios volverán a ver la pantalla de consentimiento de OAuth y se les pedirá que den su consentimiento para la autorización.

Es posible que a algunos usuarios se les asignen credenciales de API para recuperar un token de acceso a la API. Si vence o se revoca la autorización de esos usuarios, sus credenciales de la API dejarán de funcionar. Los tokens de acceso a la API actuales también dejarán de funcionar. Para resolver el problema, el usuario debe volver a autorizar sus credenciales accediendo nuevamente a la IU de Looker (Google Cloud Core) para cada instancia de Looker (Google Cloud Core) afectada. Como alternativa, usar cuentas de servicio solo para la API ayuda a evitar una falla en la autorización de credenciales para los tokens de acceso a la API.

Cómo quitar el acceso de OAuth a Looker (Google Cloud Core)

Si tienes un rol que te permite administrar el acceso a IAM, puedes quitar el acceso a una instancia de Looker (Google Cloud Core) revocando el rol de IAM que otorgó el acceso. Si quitas el rol de IAM de una cuenta de usuario, ese cambio se propagará a la instancia de Looker (Google Cloud Core) en unos minutos. El usuario ya no podrá autenticarse en la instancia. Sin embargo, la cuenta de usuario seguirá apareciendo como activa en la página Usuarios. Para quitar la cuenta de usuario de la página Usuarios, borra el usuario en la instancia de Looker (Google Cloud Core).

Cómo usar OAuth como método de autenticación de respaldo

OAuth es el método de autenticación de respaldo cuando SAML o OIDC son los métodos de autenticación principales.

Para configurar OAuth como método de copia de seguridad, otorga a cada usuario de Looker (Google Cloud Core) el rol de IAM adecuado para acceder a la instancia.

Una vez que se configura el método de copia de seguridad, los usuarios pueden acceder a él siguiendo estos pasos:

  1. Selecciona Autenticar con Google en la página de acceso.
  2. Aparecerá un diálogo para confirmar la autenticación de Google. Selecciona Confirmar en el diálogo.

Luego, los usuarios pueden acceder con sus Cuentas de Google. Cuando accedan por primera vez con OAuth, se les pedirá que acepten la pantalla de consentimiento de OAuth que se configuró durante la creación de la instancia.

¿Qué sigue?