Utilizzare OAuth di Google per l'autenticazione degli utenti di Looker (Google Cloud core)

Google OAuth viene utilizzato insieme a Identity and Access Management (IAM) per autenticare gli utenti di Looker (Google Cloud core).

Quando utilizzi OAuth per l'autenticazione, Looker (Google Cloud core) autentica gli utenti tramite il protocollo OAuth 2.0. Utilizza qualsiasi client OAuth 2.0 per creare le credenziali di autorizzazione quando crei un'istanza. Ad esempio, questa pagina descrive i passaggi per configurare l'autenticazione per un'istanza di Looker (Google Cloud core) utilizzando la console Google Cloud per creare credenziali OAuth.

Se un altro metodo è la forma principale di autenticazione, Google OAuth è per impostazione predefinita il metodo di autenticazione di backup. OAuth di Google è anche il metodo di autenticazione utilizzato dall'assistenza clienti Google Cloud quando fornisce assistenza.

Il client OAuth utilizzato per l'autenticazione deve essere lo stesso utilizzato per configurare l'istanza.

Autenticazione e autorizzazione con OAuth e IAM

Se utilizzati con OAuth, i ruoli IAM di Looker (Google Cloud core) forniscono i seguenti livelli di autenticazione e autorizzazione per tutte le istanze di Looker (Google Cloud core) all'interno di un determinato progetto Google Cloud . Assegna uno dei seguenti ruoli IAM a ogni entità, a seconda dei livelli di accesso che vuoi che abbia:

Ruolo IAM Autenticazione Autorizzazione
Utente istanza Looker (roles/looker.instanceUser)

Può accedere alle istanze di Looker (Google Cloud core)

 Al primo accesso a Looker (Google Cloud core), viene concesso il set di ruoli Looker predefinito impostato in Ruoli per i nuovi utenti.

Non può accedere alle risorse di Looker (Google Cloud core) nella console Google Cloud .
Looker Viewer (roles/looker.viewer) Può accedere alle istanze di Looker (Google Cloud core) Al primo accesso a Looker (Google Cloud core), viene concesso il set di ruoli Looker predefinito impostato in Ruoli per i nuovi utenti.

Può visualizzare l'elenco delle istanze di Looker (Google Cloud core) e i dettagli delle istanze nella console Google Cloud
Looker Admin (roles/looker.admin) Può accedere alle istanze di Looker (Google Cloud core) Al primo accesso a Looker (Google Cloud core), viene concesso il set di ruoli Looker predefinito impostato in Ruoli per i nuovi utenti.

Verificato a ogni accesso a Looker (Google Cloud core) che utilizza OAuth principale o OAuth di backup e ogni volta che l'utente effettua una chiamata all'API Looker, questo ruolo (o un ruolo personalizzato che include l'autorizzazione looker.instances.update) concede anche il ruolo Amministratore tramite IAM all'interno dell'istanza.

Il ruolo Amministratore tramite IAM contiene tutte le autorizzazioni e le funzionalità del ruolo Amministratore di Looker. Questo ruolo non può essere rimosso o riassegnato all'interno dell'istanza di Looker (Google Cloud core). Per rimuovere il ruolo Amministratore tramite IAM, riassegna l'entità a un ruolo IAM diverso da Amministratore Looker (roles/looker.admin). Le modifiche ai ruoli IAM vengono sincronizzate automaticamente con l'istanza di Looker (Google Cloud core) anche se l'utente accede con un provider di identità di terze parti dopo la modifica. Per maggiori informazioni, consulta la sezione Ruolo di amministratore di Looker e ruolo di amministratore tramite IAM di Looker.

Finché il token di aggiornamento OAuth di un utente è valido, il ruolo dell'utente viene visualizzato come Amministratore tramite IAM in Looker (Google Cloud core), anche se l'utente accede in un secondo momento con un provider di identità di terze parti. Se il token di aggiornamento OAuth scade o viene revocato, l'utente deve utilizzare OAuth per accedere nuovamente all'istanza per riottenere il ruolo Amministratore tramite IAM.

Può eseguire tutte le attività amministrative per Looker (Google Cloud core) all'interno della console Google Cloud

Inoltre, gli account utente con il ruolo owner per un progetto possono accedere e amministrare qualsiasi istanza di Looker (Google Cloud core) all'interno di quel progetto. A questi utenti verrà assegnato il ruolo Looker Amministratore.

Se i ruoli predefiniti non forniscono il set di autorizzazioni che ti interessa, puoi anche creare ruoli personalizzati.

Gli account Looker (Google Cloud core) vengono creati al momento del primo accesso a un'istanza di Looker (Google Cloud core).

Ruolo Amministratore di Looker e ruolo Amministratore tramite IAM di Looker

Esistono due ruoli all'interno di un'istanza di Looker (Google Cloud core) che utilizzano il set di autorizzazioni Amministratore e conferiscono gli stessi privilegi amministrativi all'interno dell'istanza. La seguente tabella riassume le similitudini e le differenze tra i due ruoli.

Proprietà Ruolo Amministratore Looker Amministrazione tramite ruolo IAM di Looker
Fonte autorevole Concesso da un altro amministratore nell'istanza di Looker (Google Cloud core) Collegato direttamente al ruolo IAM di amministratore di Looker
Possono essere aggiunti o rimossi all'interno di un'istanza di Looker (Google Cloud core)? No
Possono essere aggiunti o rimossi con IAM? No
Autorizzazioni in Looker (Google Cloud core) Tutte le autorizzazioni Tutte le autorizzazioni
Autorizzazioni nella console Google Cloud Nessuno Accesso completo a tutte le risorse di Looker (Google Cloud core)
Convalida del ruolo Continuamente all'interno dell'istanza di Looker (Google Cloud core) A ogni accesso all'istanza di Looker (Google Cloud core) e a ogni chiamata all'API Looker.

La propagazione delle modifiche a un ruolo con IAM può richiedere diversi minuti.
Ambito Singola istanza di Looker (Google Cloud core) Tutte le istanze di Looker (Google Cloud core) all'interno di un progetto Google Cloud

Un utente può avere sia il ruolo Amministratore sia il ruolo Amministratore tramite IAM di Looker. Pertanto, se vuoi revocare i privilegi amministrativi, assicurati di rimuovere sia il ruolo IAM sia il ruolo Amministratore all'interno dell'istanza di Looker (Google Cloud core).

Configurazione di OAuth all'interno dell'istanza di Looker (Google Cloud core)

All'interno dell'istanza di Looker (Google Cloud core), la pagina Autenticazione Google nella sezione Autenticazione del menu Amministrazione consente di configurare alcune impostazioni di Google OAuth. Devi disporre del ruolo Looker Amministratore.

Unire gli account utente

Nel campo Unisci utenti utilizzando, specifica il metodo da utilizzare per unire un accesso OAuth alla prima volta a un account utente esistente. Quando un utente accede per la prima volta tramite OAuth, questa opzione lo connette al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.

Puoi unire gli utenti dei seguenti sistemi:

  • SAML
  • OIDC

Se hai più di un sistema in atto, puoi specificare più di un sistema da unire in questo campo. Looker (Google Cloud core) cercherà gli utenti nei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, se prima hai creato alcuni utenti utilizzando OIDC e poi hai utilizzato SAML, quando un utente tenta di accedere con OAuth per la prima volta, Looker (Google Cloud core) cerca prima l'utente utilizzando OIDC e poi, se non trova una corrispondenza per l'utente con OIDC, lo cerca utilizzando SAML.

Se non vuoi che Looker (Google Cloud core) unisca gli utenti, lascia vuoto questo campo.

Esegui il mirroring dei gruppi Google

Se hai gestito Google Gruppi, Looker (Google Cloud core) può creare gruppi Looker che rispecchiano l'appartenenza ai tuoi gruppi Google. Ciò significa che non devi configurare gli utenti direttamente in Looker (Google Cloud core), ma puoi gestire l'accesso degli utenti gestendo l'iscrizione ai gruppi Google. Inoltre, i gruppi Looker possono essere utilizzati per assegnare ruoli ai membri del gruppo, impostare controlli dell'accesso ai contenuti, controllare l'accesso a funzionalità e dati e assegnare attributi utente.

I gruppi Looker sottoposti a mirroring (e tutti i ruoli e gli accessi associati) vengono applicati ai nuovi utenti al primo accesso all'istanza di Looker (Google Cloud core). I gruppi non vengono applicati agli utenti esistenti e non vengono riapplicati se vengono rimossi dall'account di un utente in Looker (Google Cloud core) dopo l'accesso iniziale dell'utente.

Ti consigliamo di abilitare il mirroring dei gruppi solo per il metodo di autenticazione principale per Looker (Google Cloud core). Se utilizzi OAuth come metodo di autenticazione di backup, non attivare il mirroring dei gruppi per OAuth. Se abiliti il mirroring dei gruppi sia per il metodo di autenticazione principale che per quello secondario, si verificano i seguenti comportamenti:

  • Se un utente ha unito le identità, il mirroring dei gruppi corrisponderà al metodo di autenticazione principale, indipendentemente dal metodo di autenticazione effettivo utilizzato per accedere.
  • Se un utente non ha identità unite, il mirroring dei gruppi corrisponderà al metodo di autenticazione utilizzato per accedere.

Procedura per attivare i gruppi speculari

Per attivare il mirroring dei gruppi, completa i seguenti passaggi:

  1. Nella console Google Cloud , abilita l'API Cloud Identity nel progetto Google Cloud che contiene il client OAuth. Per abilitare le API, devi disporre del ruolo IAM Amministratore Service Usage (roles/serviceusage.serviceUsageAdmin).

    Abilita l'API

  2. Nella console Google Cloud , aggiorna la schermata per il consenso OAuth del client OAuth per aggiungere l'ambito https://www.googleapis.com/auth/cloud-identity.groups.readonly. Per aggiungere ambiti, devi disporre dell'autorizzazione IAM clientauthconfig.clients.update. Per aggiornare la schermata del consenso:

    • Vai al client OAuth.
    • Scegli la pagina Accesso ai dati.
    • Fai clic sul pulsante Aggiungi o rimuovi ambiti. Si aprirà il riquadro Aggiorna gli ambiti selezionati.
    • Trova l'ambito https://www.googleapis.com/auth/cloud-identity.groups.readonly e seleziona la casella di controllo accanto.
    • Fai clic sul pulsante Aggiorna per aggiungere l'ambito.

    • Chiudi il riquadro e fai clic su Salva nella pagina Accesso ai dati per salvare l'ambito.

  3. Nell'istanza di Looker (Google Cloud core), attiva il pulsante di attivazione/disattivazione Mirror Google Groups nella pagina Autenticazione Google. Questo pulsante è disattivato per impostazione predefinita. Completa i seguenti campi:

    • Nel campo Nome gruppo Looker, aggiungi un nome per il gruppo Looker. Questo è il nome che verrà visualizzato nella pagina Gruppi in Looker (Google Cloud core).
    • Nel campo ID gruppo Google, inserisci il nome o l'indirizzo email del gruppo Google che vuoi eseguire il mirroring.
    • Nel campo Ruolo, inserisci il ruolo o i ruoli Looker che vuoi assegnare ai membri del gruppo.

Looker (Google Cloud core) creerà un gruppo Looker per ogni gruppo Google aggiunto alla pagina Autenticazione Google. Puoi visualizzare questi gruppi Looker nella pagina Gruppi di Looker (Google Cloud core).

Modifica dei gruppi speculari

Quando apporti modifiche all'appartenenza a un gruppo Google, queste vengono propagate automaticamente all'appartenenza al gruppo Looker sottoposto a mirroring e convalidate al successivo accesso di ogni utente.

Se modifichi i campi Nome personalizzato o Ruolo assegnati a un gruppo nella pagina Autenticazione Google, cambia il modo in cui viene visualizzato il nome del gruppo Looker sottoposto a mirroring nella pagina Gruppi di Looker (Google Cloud core) o i ruoli assegnati al gruppo, ma non i membri del gruppo.

Se modifichi il nome o l'email nel campo ID gruppo Google nella pagina Autenticazione Google con l'ID di un nuovo gruppo Google, i membri del gruppo Looker sottoposto a mirroring vengono modificati in base ai membri del nuovo gruppo Google, ma il nome e i ruoli del gruppo vengono mantenuti come definiti nella pagina Autenticazione Google.

Le modifiche apportate a un gruppo sottoposto a mirroring verranno applicate agli utenti del gruppo al successivo accesso a Looker (Google Cloud core).

Disattivazione dei gruppi sottoposti a mirroring

Se vuoi interrompere il mirroring dei tuoi gruppi Google in Looker (Google Cloud core), disattiva il pulsante di attivazione/disattivazione Mirror Google Groups nella pagina Autenticazione Google dell'istanza di Looker (Google Cloud core). La disattivazione del pulsante attiva/disattiva comporta il seguente comportamento:

  • Qualsiasi gruppo Google speculare senza utenti viene eliminato immediatamente.
  • Qualsiasi gruppo Google mirror che contiene utenti viene contrassegnato come orfano. Se nessun utente di questo gruppo esegue l'accesso entro 31 giorni, il gruppo viene eliminato. Gli utenti non possono più essere aggiunti o rimossi dai gruppi Google orfani.

Gestione avanzata dei ruoli

Se l'opzione Mirror Google Groups è attivata, la pagina Autenticazione Google mostra le impostazioni di Gestione avanzata dei ruoli. Le opzioni in questa sezione determinano la flessibilità degli amministratori di Looker durante la configurazione di gruppi e utenti di Looker sottoposti a mirroring da Google.

Se vuoi che la configurazione di gruppi e utenti di Looker corrisponda esattamente a quella di Google Gruppi, attiva tutte le opzioni di Gestione avanzata dei ruoli. Quando tutte le opzioni sono abilitate, gli amministratori di Looker non possono modificare le iscrizioni ai gruppi sottoposti a mirroring e possono assegnare ruoli agli utenti solo tramite Google Gruppi.

Se vuoi avere maggiore flessibilità per personalizzare i gruppi in Looker (Google Cloud core), disattiva queste opzioni. I gruppi Looker (Google Cloud core) continueranno a rispecchiare la configurazione di Google Gruppi, ma potrai eseguire ulteriori operazioni di gestione di gruppi e utenti in Looker (Google Cloud core), ad esempio aggiungere utenti Google ai gruppi Looker o assegnare ruoli Looker direttamente agli utenti Google.

Per l'istanza di Looker (Google Cloud core), queste opzioni sono disattivate per impostazione predefinita.

La sezione Gestione avanzata dei ruoli contiene le seguenti opzioni:

  • Impedisci ai singoli utenti Google di ricevere ruoli diretti: se attivi questa opzione, gli amministratori di Looker non possono assegnare ruoli di Looker direttamente agli utenti Google. Gli utenti Google riceveranno i ruoli solo tramite le iscrizioni ai gruppi. Se agli utenti Google è consentita l'iscrizione ai gruppi Looker integrati (non sottoposti a mirroring), possono comunque ereditare i ruoli sia dai gruppi Google sottoposti a mirroring sia dai gruppi Looker integrati. I ruoli assegnati direttamente agli utenti Google verranno rimossi al successivo accesso.

    Se questa opzione è disattivata, gli amministratori di Looker possono assegnare ruoli di Looker direttamente agli utenti Google all'interno dell'istanza di Looker (Google Cloud core).

  • Impedisci l'iscrizione diretta ai gruppi non Google: questa opzione impedisce agli amministratori di Looker di aggiungere membri di gruppi sottoposti a mirroring direttamente ai gruppi Looker integrati che non fanno parte della configurazione del gruppo sottoposto a mirroring nella pagina Autenticazione Google.

    Se questa opzione è selezionata, gli utenti Google precedentemente assegnati ai gruppi Looker integrati verranno rimossi da questi gruppi al successivo accesso.

    Se questa opzione è deselezionata, gli amministratori di Looker possono aggiungere utenti Google direttamente ai gruppi Looker integrati.

  • Impedisci l'ereditarietà dei ruoli dai gruppi non Google: questa opzione impedisce ai membri dei gruppi sottoposti a mirroring di ereditare i ruoli dai gruppi Looker integrati. Se i gruppi Google di cui è stato eseguito il mirroring possono essere membri di gruppi Looker integrati, gli utenti Google potrebbero mantenere l'iscrizione a qualsiasi gruppo Looker integrato. Gli utenti Google che in precedenza hanno ereditato ruoli da un gruppo Looker integrato perderanno questi ruoli al successivo accesso.

    Se questa opzione è disattivata, i gruppi sottoposti a mirroring o gli utenti Google aggiunti come membri di un gruppo Looker integrato ereditano i ruoli assegnati al gruppo Looker integrato.

  • Auth Requires Role: se questa opzione è attiva, gli utenti Google devono avere un ruolo Looker assegnato. Gli utenti Google a cui non è stato assegnato un ruolo non potranno accedere a Looker (Google Cloud core).

    Se questa opzione è disattivata, gli utenti Google possono autenticarsi in Looker (Google Cloud core) anche se non hanno alcun ruolo assegnato. Un utente senza un ruolo assegnato non potrà visualizzare alcun dato o intraprendere alcuna azione in Looker (Google Cloud core), ma potrà accedere a Looker (Google Cloud core).

Impostare un ruolo Looker predefinito

Se il pulsante di attivazione/disattivazione Mirror Google Groups è disattivato, l'impostazione Ruoli per i nuovi utenti viene visualizzata nella pagina Autenticazione Google. Questa impostazione ti consente di impostare il ruolo Looker predefinito che verrà concesso agli account utente con il ruolo IAM Utente istanza Looker (roles/looker.instanceUser) o Visualizzatore Looker (roles/looker.viewer) al primo accesso a un'istanza di Looker (Google Cloud core). Per impostare un ruolo predefinito:

  1. Vai alla pagina Autenticazione Google nella sezione Autenticazione del menu Amministrazione.
  2. Nell'impostazione Ruoli per i nuovi utenti, seleziona il ruolo che vuoi concedere a tutti i nuovi utenti per impostazione predefinita. L'impostazione contiene un elenco di tutti i ruoli predefiniti e ruoli personalizzati all'interno dell'istanza di Looker (Google Cloud core).

I ruoli amministrativi non possono essere ruoli predefiniti. Agli account utente con un ruolo IAM Amministratore di Looker (roles/looker.admin) verrà concesso il ruolo Looker Amministratore tramite IAM al primo accesso, oltre al ruolo selezionato nell'impostazione Ruoli per i nuovi utenti.

Se attivi il pulsante di attivazione/disattivazione Duplica gruppi Google dopo aver personalizzato l'impostazione Ruoli per i nuovi utenti, i ruoli assegnati agli utenti tramite l'impostazione Ruoli per i nuovi utenti verranno rimossi per gli utenti al successivo accesso e sostituiti dai ruoli assegnati tramite l'impostazione Duplica gruppi Google.

Testa l'autenticazione utente

Fai clic sul pulsante Test Google Authentication (Testa autenticazione Google) per testare le impostazioni. I test reindirizzeranno al server OAuth di Google e apriranno una scheda del browser. La scheda mostra le seguenti informazioni:

  • Se Looker (Google Cloud core) è riuscito a comunicare con il server e a eseguire la convalida.
  • Le informazioni utente che Looker (Google Cloud core) riceve dal server. Devi verificare che il server restituisca i risultati corretti.
  • Una traccia per mostrare come sono state trovate le informazioni. Utilizza la traccia per risolvere il problema se le informazioni non sono corrette. Se hai bisogno di ulteriori informazioni, puoi leggere il file XML server non elaborato.
  • Sono state ricevute sia la versione decodificata che quella non elaborata del token ID. Questi possono essere utilizzati per confermare i dettagli dell'utente e la configurazione di Google.

Salva e applica le impostazioni

Una volta inserite le informazioni e superati tutti i test, seleziona la casella di controllo Ho confermato la configurazione precedente e voglio attivarla a livello globale e fai clic su Invia per salvare.

Aggiungere utenti a un'istanza di Looker (Google Cloud core)

Una volta creata un'istanza di Looker (Google Cloud core), gli utenti possono essere aggiunti tramite IAM. Per aggiungere utenti:

  1. Assicurati di disporre del ruolo Amministratore IAM progetto o di un altro ruolo che ti consenta di gestire l'accesso IAM.

  2. Vai al progetto della console Google Cloud in cui si trova l'istanza di Looker (Google Cloud core).

  3. Vai alla sezione IAM e amministrazione > IAM della console Google Cloud .

  4. Seleziona Concedi l'accesso.

  5. Nella sezione Aggiungi entità, aggiungi uno o più dei seguenti elementi:

    • Un indirizzo email dell'Account Google
    • Un gruppo Google
    • Un dominio Google Workspace

  6. Nella sezione Assegna ruoli, seleziona uno dei ruoli IAM predefiniti di Looker (Google Cloud core) o un ruolo personalizzato che hai aggiunto.

  7. Fai clic su Salva.

  8. Comunica ai nuovi utenti di Looker (Google Cloud core) che è stato concesso l'accesso e indirizzali all'URL dell'istanza. Da lì, possono accedere all'istanza e i loro account verranno creati. Non verrà inviata alcuna comunicazione automatica.

Se modifichi il ruolo IAM di un utente, questo viene propagato all'istanza di Looker (Google Cloud core) in pochi minuti. Se esiste un account utente Looker, il ruolo Looker dell'utente rimane invariato.

Tutti gli utenti devono essere sottoposti al provisioning tramite i passaggi IAM descritti in precedenza, con un'eccezione: puoi creare account di servizio solo API Looker all'interno dell'istanza di Looker (Google Cloud core).

Accedere a Looker (Google Cloud core) con OAuth

Al primo accesso, agli utenti verrà chiesto di accedere con il proprio Account Google. Quando concede l'accesso, deve utilizzare lo stesso account elencato dall'amministratore di Looker nel campo Aggiungi entità. Gli utenti visualizzeranno la schermata per il consenso OAuth configurata durante la creazione del client OAuth. Dopo che gli utenti accettano la schermata del consenso, vengono creati i loro account all'interno dell'istanza di Looker (Google Cloud core) e viene eseguito l'accesso.

Dopodiché, gli utenti accederanno automaticamente a Looker (Google Cloud core), a meno che la loro autorizzazione non scada o non venga revocata dall'utente. In questi scenari, gli utenti visualizzeranno di nuovo la schermata per il consenso OAuth e verrà chiesto loro di acconsentire all'autorizzazione.

Ad alcuni utenti potrebbero essere assegnate credenziali API da utilizzare per recuperare un token di accesso API. Se l'autorizzazione per questi utenti scade o viene revocata, le loro credenziali API smettono di funzionare. Anche i token di accesso all'API attuali smetteranno di funzionare. Per risolvere il problema, l'utente deve riautorizzare le proprie credenziali accedendo di nuovo all'interfaccia utente di Looker (Google Cloud core) per ogni istanza di Looker (Google Cloud core) interessata. In alternativa, l'utilizzo di service account solo API consente di evitare un errore di autorizzazione delle credenziali per i token di accesso API.

Rimozione dell'accesso OAuth a Looker (Google Cloud core)

Se disponi di un ruolo che ti consente di gestire l'accesso IAM, puoi rimuovere l'accesso a un'istanza di Looker (Google Cloud core) revocando il ruolo IAM che ha concesso l'accesso. Se rimuovi il ruolo IAM di un account utente, la modifica viene propagata all'istanza di Looker (Google Cloud core) entro pochi minuti. L'utente non sarà più in grado di autenticarsi all'istanza. Tuttavia, l'account utente continuerà a essere visualizzato come attivo nella pagina Utenti. Per rimuovere l'account utente dalla pagina Utenti, elimina l'utente all'interno dell'istanza di Looker (Google Cloud core).

Utilizzo di OAuth come metodo di autenticazione di backup

OAuth è il metodo di autenticazione di backup quando SAML o OIDC è il metodo di autenticazione principale.

Per configurare OAuth come metodo di backup, concedi a ogni utente di Looker (Google Cloud core) il ruolo IAM appropriato per accedere all'istanza.

Una volta configurato il metodo di backup, gli utenti possono accedervi seguendo questi passaggi:

  1. Seleziona Autenticati con Google nella pagina di accesso.
  2. Viene visualizzata una finestra di dialogo per confermare l'autenticazione di Google. Seleziona Conferma nella finestra di dialogo.

Gli utenti possono quindi accedere utilizzando i propri Account Google. Al primo accesso con OAuth, verrà chiesto di accettare la schermata per il consenso OAuth configurata durante la creazione dell'istanza.

Passaggi successivi