Usa Google OAuth para la autenticación de usuarios de Looker (Google Cloud Core)

Google OAuth se usa junto con Identity and Access Management (IAM) para autenticar a los usuarios de Looker (Google Cloud Core).

Es necesario configurar un cliente y credenciales de OAuth durante la creación de instancias de Looker (Google Cloud Core), ya sea que planees o no usar OAuth como el método de autenticación principal.

Para permitir que los usuarios se autentiquen en una instancia de Looker (Google Cloud Core) con OAuth de Google, sigue las instrucciones de esta página.

Si la forma de autenticación principal es otro método, Google OAuth es de forma predeterminada el método de autenticación alternativo. Google OAuth también es el método de autenticación que usa Atención al cliente de Cloud para brindar asistencia.

Autenticación y autorización con IAM y OAuth

Cuando se usan con OAuth, los roles de IAM de Looker (Google Cloud Core) proporcionan los siguientes niveles de autenticación y autorización para todas las instancias de Looker (Google Cloud Core) dentro de un proyecto de Google Cloud determinado. Asigna uno de los siguientes roles de IAM a cada una de tus principales, según los niveles de acceso que desees que tengan:

Rol de IAM Autenticación Autorización
Usuario de la instancia de Looker (roles/looker.instanceUser)

Puede acceder a instancias de Looker (Google Cloud Core)

 Cuando accedas por primera vez a Looker (Google Cloud Core), se le haya otorgado el rol predeterminado de Looker establecido en Roles para usuarios nuevos.

No se puede acceder a los recursos de Looker (Google Cloud Core) en la consola de Google Cloud.
Visualizador de Looker (roles/looker.viewer) Puede acceder a instancias de Looker (Google Cloud Core) Cuando accedas por primera vez a Looker (Google Cloud Core), se le haya otorgado el rol predeterminado de Looker establecido en Roles para usuarios nuevos.

Puede ver la lista de instancias de Looker (Google Cloud Core) y los detalles de las instancias en la consola de Google Cloud
Administrador de Looker (roles/looker.admin) Puede acceder a instancias de Looker (Google Cloud Core) Cuando accedas por primera vez a Looker (Google Cloud Core), este rol (o uno personalizado que incluya el permiso looker.instances.update) tendrá de forma predeterminada el rol de Administrador de Looker en la instancia.

Puede realizar todas las tareas administrativas de Looker (Google Cloud Core) en la consola de Google Cloud

Además, las cuentas de usuario con el rol owner en un proyecto pueden acceder y administrar cualquier instancia de Looker (Google Cloud Core) dentro de ese proyecto. A estos usuarios se les otorgará el rol de administrador de Looker.

Si los roles predefinidos no proporcionan el conjunto de permisos que deseas, también puedes crear tus propios roles personalizados.

Las cuentas de Looker (Google Cloud Core) se crean cuando accedes por primera vez a una instancia de Looker (Google Cloud Core).

Configura OAuth en la instancia de Looker (Google Cloud Core)

En la instancia de Looker (Google Cloud Core), la página Google de la sección Autenticación del menú Administrador te permite establecer algunos parámetros de configuración de OAuth de Google.

Configura un rol predeterminado de Looker en la instancia de Looker (Google Cloud Core)

Antes de agregar a cualquier usuario, puedes establecer el rol de Looker predeterminado que se otorgará a las cuentas de usuario con el rol de IAM de usuario de instancia de Looker (roles/looker.instanceUser) o el rol de IAM de visualizador de Looker (roles/looker.viewer) cuando accedan por primera vez a una instancia de Looker (Google Cloud Core). Para establecer un rol predeterminado, sigue estos pasos:

  1. Navega a la página de Google en la sección Autenticación del menú Administrador.
  2. En el parámetro de configuración Roles para usuarios nuevos, selecciona el rol que deseas otorgar a todos los usuarios nuevos de forma predeterminada. El parámetro de configuración contiene una lista de todos los roles predeterminados y roles personalizados dentro de la instancia de Looker (Google Cloud Core).

A las cuentas de usuario con el rol de IAM Administrador de Looker (roles/looker.admin) se les otorgará el rol de Administrador de Looker, independientemente del rol seleccionado en el parámetro de configuración Roles para usuarios nuevos. Si es necesario, puedes cambiar el rol de administrador por uno diferente.

Especifica el método que se usó para combinar los usuarios de OAuth con una cuenta de Looker (Google Cloud Core)

En el campo Combinar usuarios con, especifica el método que se usará para combinar el primer acceso de OAuth con una cuenta de usuario existente. Puedes combinar usuarios de los siguientes sistemas:

  • SAML
  • OIDC

Si tienes más de un sistema implementado, puedes especificar más de un sistema para combinar en este campo. Looker (Google Cloud Core) buscará usuarios de los sistemas enumerados en el orden en que se especifiquen. Por ejemplo, si primero creaste algunos usuarios con OIDC y, luego, con SAML, Looker (Google Cloud Core) se combinará primero con OIDC y, luego, con SAML.

Cuando un usuario accede por primera vez a través de OAuth, esta opción conecta al usuario con su cuenta existente mediante la búsqueda de la cuenta con una dirección de correo electrónico coincidente. Si no hay una cuenta existente para el usuario, se creará una nueva.

Agrega usuarios a una instancia de Looker (Google Cloud Core)

Una vez que se crea una instancia de Looker (Google Cloud Core), se pueden agregar usuarios a través de IAM. Para agregar usuarios, sigue estos pasos:

  1. Asegúrate de tener el rol de Administrador de IAM del proyecto o de otro rol que te permita administrar el acceso de IAM.

  2. Navega al proyecto de la consola de Google Cloud en el que reside la instancia de Looker (Google Cloud Core).

  3. Navega a la sección IAM y administración > IAM de la consola de Google Cloud.

  4. Selecciona Otorgar acceso.

  5. En la sección Agregar principales, agrega una o más de las siguientes opciones:

    • El correo electrónico de una Cuenta de Google
    • Un Grupo de Google
    • Un dominio de Google Workspace

  6. En la sección Asigna roles, selecciona uno de los roles predefinidos de IAM de Looker (Google Cloud Core) o uno personalizado que hayas agregado.

  7. Haz clic en Guardar.

  8. Informa a los usuarios nuevos de Looker (Google Cloud Core) que se les otorgó acceso y redirecciónalos a la URL de la instancia. Desde allí, pueden acceder a la instancia y, en ese momento, se crearán sus cuentas. No se enviarán comunicaciones automatizadas.

Si cambias el rol de IAM de un usuario, este se propaga a la instancia de Looker (Google Cloud Core) en unos minutos. Si hay una cuenta de usuario de Looker existente, el rol de Looker de ese usuario no se modificará.

Todos los usuarios se deben aprovisionar según los pasos de IAM descritos anteriormente, con una excepción: puedes crear cuentas de servicio exclusivas para la API de Looker dentro de la instancia de Looker (Google Cloud Core).

Accede a Looker (Google Cloud Core) con OAuth

Cuando accedan por primera vez, se les pedirá a los usuarios que accedan con su Cuenta de Google. Se debe usar la misma cuenta que el administrador de Looker indicó en el campo Agregar principales cuando otorgue acceso. Los usuarios verán la pantalla de consentimiento de OAuth que se configuró durante la creación del cliente de OAuth. Después de que los usuarios acepten la pantalla de consentimiento, se crearán sus cuentas en la instancia de Looker (Google Cloud Core) y podrán acceder a sus cuentas.

Después de eso, los usuarios accederán automáticamente a Looker (Google Cloud Core), a menos que su autorización vence o sea revocada por el usuario. En esos casos, los usuarios volverán a ver la pantalla de consentimiento de OAuth y se les pedirá que brinden su consentimiento para obtener la autorización.

Es posible que a algunos usuarios se les asignen credenciales de API para usarlas en la recuperación de un token de acceso a la API. Si la autorización de esos usuarios vence o se revoca, sus credenciales de API dejarán de funcionar. Los tokens de acceso a la API actuales también dejarán de funcionar. Para resolver el problema, el usuario debe volver a autorizar sus credenciales accediendo nuevamente a la IU de Looker (Google Cloud Core) para cada instancia de Looker (Google Cloud Core) que se vea afectada. De manera alternativa, usar cuentas de servicio exclusivas de API ayuda a evitar un error en la autorización de credenciales para los tokens de acceso a la API.

Quitamos el acceso de OAuth a Looker (Google Cloud Core)

Si tienes un rol que te permite administrar el acceso de IAM, puedes quitar el acceso a una instancia de Looker (Google Cloud Core). Para ello, revoca el rol de IAM que otorgó acceso. Si quitas el rol de IAM de una cuenta de usuario, ese cambio se propagará a la instancia de Looker (Google Cloud Core) en unos minutos. El usuario ya no podrá autenticarse en la instancia. Sin embargo, la cuenta de usuario seguirá apareciendo activa en la página Usuarios. Para quitar la cuenta de usuario de la página Usuarios, borra el usuario en la instancia de Looker (Google Cloud Core).

Usa OAuth como método de autenticación de respaldo

OAuth es el método de autenticación de respaldo cuando SAML o OIDC es el método principal de autenticación.

Para configurar OAuth como método de copia de seguridad, otorga a cada usuario de Looker (Google Cloud Core) el rol de IAM adecuado para acceder a la instancia.

Una vez que se haya configurado el método de copia de seguridad, los usuarios podrán acceder a él mediante los siguientes pasos:

  1. Selecciona Autenticar con Google en la página de acceso.
  2. Aparecerá un cuadro de diálogo para confirmar la autenticación de Google. Selecciona Confirmar en el cuadro de diálogo.

Luego, los usuarios pueden acceder con sus Cuentas de Google. Cuando acceda por primera vez con OAuth, se le solicitará que acepte la pantalla de consentimiento de OAuth que se configuró durante la creación de la instancia.

¿Qué sigue?