Use o OAuth da Google para a autenticação de utilizadores do Looker (Google Cloud Core)

O OAuth da Google é usado em conjunto com a gestão de identidade e de acesso (IAM) para autenticar utilizadores do Looker (Google Cloud core).

Quando usa o OAuth para autenticação, o Looker (Google Cloud core) autentica os utilizadores através do protocolo OAuth 2.0. Use qualquer cliente OAuth 2.0 para criar credenciais de autorização quando criar uma instância. Por exemplo, esta página explica os passos para configurar a autenticação para uma instância do Looker (Google Cloud core) através da Google Cloud consola para criar credenciais do OAuth.

Se outro método for a forma principal de autenticação, o Google OAuth é, por predefinição, o método de autenticação alternativo. O OAuth da Google também é o método de autenticação que o apoio ao cliente do Google Cloud usa quando fornece apoio técnico.

O cliente OAuth usado para autenticação tem de ser o mesmo que o cliente OAuth usado para configurar a instância.

Autenticação e autorização com OAuth e IAM

Quando usadas com o OAuth, as funções do IAM do Looker (essencial para o Google Cloud) oferecem os seguintes níveis de autenticação e autorização para todas as instâncias do Looker (essencial para o Google Cloud) num determinado Google Cloud projeto. Atribua uma das seguintes funções de IAM a cada um dos seus principais, consoante os níveis de acesso que quer que tenham:

Função de IAM Autenticação Autorização
Utilizador da instância do Looker (roles/looker.instanceUser)

Pode iniciar sessão em instâncias do Looker (Google Cloud Core)

 No primeiro início de sessão no Looker (Google Cloud core), é-lhe concedido o conjunto de funções predefinido do Looker definido em Funções para novos utilizadores.

Não é possível aceder aos recursos do Looker (Google Cloud core) na Google Cloud consola.
Leitor do Looker (roles/looker.viewer) Pode iniciar sessão em instâncias do Looker (Google Cloud Core) No primeiro início de sessão no Looker (Google Cloud core), é-lhe concedido o conjunto de funções predefinido do Looker definido em Funções para novos utilizadores.

Pode ver a lista de instâncias do Looker (Google Cloud core) e os detalhes das instâncias na Google Cloud consola
Administrador do Looker (roles/looker.admin) Pode iniciar sessão em instâncias do Looker (Google Cloud Core) No primeiro início de sessão no Looker (Google Cloud core), é-lhe concedido o conjunto de funções predefinido do Looker definido em Funções para novos utilizadores.

Verificado em cada início de sessão no Looker (Google Cloud core) que usa o OAuth principal ou o OAuth de cópia de segurança e sempre que o utilizador faz uma chamada à API Looker, esta função (ou uma função personalizada que inclua a autorização looker.instances.update) também concede a função Administrador através do IAM na instância.

A função Administrador através do IAM contém todas as autorizações e capacidades da função do Looker Administrador. Não é possível remover nem reatribuir esta função na instância do Looker (Google Cloud core). Para remover a função Administrador através do IAM, reatribua o principal a uma função do IAM que não seja a de administrador do Looker (roles/looker.admin). As alterações às funções do IAM são sincronizadas automaticamente com a instância do Looker (Google Cloud core), mesmo que o utilizador inicie sessão com um fornecedor de identidade de terceiros após a alteração. Para mais informações, consulte a secção Função de administrador do Looker vs. função de administrador através do IAM do Looker.

Enquanto o token de atualização do OAuth de um utilizador for válido, a função do utilizador é apresentada como Administrador através do IAM no Looker (Google Cloud core), mesmo que o utilizador inicie sessão mais tarde com um fornecedor de identidade de terceiros. Se o token de atualização do OAuth expirar ou for revogado, o utilizador tem de usar o OAuth para iniciar sessão novamente na instância para recuperar a função de administrador através do IAM.

Pode realizar todas as tarefas administrativas do Looker (Google Cloud Core) na Google Cloud consola

Além disso, as contas de utilizador com a função owner para um projeto podem iniciar sessão e administrar quaisquer instâncias do Looker (Google Cloud core) nesse projeto. Estes utilizadores vão receber a função do Looker Administrador.

Se as funções predefinidas não oferecerem o conjunto de autorizações que quer, também pode criar as suas próprias funções personalizadas.

As contas do Looker (Google Cloud Core) são criadas no momento do primeiro início de sessão numa instância do Looker (Google Cloud Core).

Função de administrador do Looker vs. função de administrador do Looker através do IAM

Existem duas funções numa instância do Looker (essencial para o Google Cloud) que usam o conjunto de autorizações de administrador e conferem os mesmos privilégios de administrador na instância. A tabela seguinte resume as semelhanças e as diferenças entre as duas funções.

Propriedade Função de administrador do Looker Administrador através da função do Looker de IAM
Fonte fiável Concedido por outro administrador na instância do Looker (Google Cloud Core) Diretamente associada à função IAM de administrador do Looker
Pode ser adicionado ou removido numa instância do Looker (Google Cloud core)? Sim Não
Pode ser adicionado ou removido com o IAM? Não Sim
Autorizações no Looker (Google Cloud Core) Todas as autorizações Todas as autorizações
Autorizações na consola Google Cloud Nenhum Acesso total a todos os recursos do Looker (Google Cloud Core)
Validação de funções Continuamente na instância do Looker (Google Cloud Core) Em cada início de sessão na instância do Looker (Google Cloud core) e em cada chamada da API Looker.

As alterações a uma função com o IAM podem demorar vários minutos a propagar-se.
Âmbito Instância individual do Looker (Google Cloud Core) Todas as instâncias do Looker (Google Cloud Core) num Google Cloud projeto

Um utilizador pode ter as funções do Looker Administrador e Administrador através do IAM. Por conseguinte, se quiser revogar os privilégios de administrador, certifique-se de que remove a função do IAM e a função de administrador na instância do Looker (Google Cloud core).

Configurar o OAuth na instância do Looker (Google Cloud Core)

Na instância do Looker (Google Cloud core), a página Autenticação Google na secção Autenticação do menu Administração permite-lhe configurar algumas definições do Google OAuth. Tem de ter a função do Looker de administrador.

Una contas de utilizador

No campo Unir utilizadores através de, especifique o método a usar para unir um início de sessão OAuth pela primeira vez a uma conta de utilizador existente. Quando um utilizador inicia sessão pela primeira vez através do OAuth, esta opção associa o utilizador à respetiva conta existente através da procura da conta com um endereço de email correspondente. Se não existir uma conta para o utilizador, é criada uma nova conta de utilizador.

Pode unir utilizadores dos seguintes sistemas:

  • SAML
  • OIDC

Se tiver mais do que um sistema implementado, pode especificar mais do que um sistema para unir neste campo. O Looker (Google Cloud core) procura utilizadores nos sistemas listados pela ordem em que os sistemas são especificados. Por exemplo, se criou primeiro alguns utilizadores com OIDC e, posteriormente, usou SAML, quando um utilizador tenta iniciar sessão com OAuth pela primeira vez, o Looker (Google Cloud core) procura primeiro o utilizador com OIDC e, se não encontrar uma correspondência para o utilizador com OIDC, procura o utilizador com SAML.

Se não quiser que o Looker (Google Cloud core) faça a união de utilizadores, deixe este campo em branco.

Refletir Grupos Google

Se tiver Grupos Google geridos, o Looker (Google Cloud core) pode criar grupos do Looker que refletem os membros dos seus Grupos Google. Isto significa que não tem de configurar os utilizadores diretamente no Looker (Google Cloud core), mas pode gerir o acesso dos utilizadores gerindo a associação dos grupos Google. Além disso, os grupos do Looker podem ser usados para atribuir funções aos membros do grupo, definir controlos de acesso ao conteúdo, controlar o acesso a funcionalidades e dados e atribuir atributos do utilizador.

Os grupos do Looker espelhados (e quaisquer funções e acesso associados) são aplicados aos novos utilizadores no respetivo início de sessão inicial na instância do Looker (Google Cloud core). Os grupos não são aplicados a utilizadores pré-existentes e não são reaplicados se forem removidos da conta de um utilizador no Looker (Google Cloud core) após o início de sessão inicial do utilizador.

Recomendamos que ative a sincronização de grupos apenas para o método de autenticação principal do Looker (Google Cloud core). Se estiver a usar o OAuth como o método de autenticação alternativo, não ative a sincronização de grupos para o OAuth. Se ativar a sincronização de grupos para os métodos de autenticação principal e secundário, ocorrem os seguintes comportamentos:

  • Se um utilizador tiver identidades unidas, a sincronização de grupos vai corresponder ao método de autenticação principal, independentemente do método de autenticação real usado para iniciar sessão.
  • Se um utilizador não tiver identidades unidas, a sincronização de grupos vai corresponder ao método de autenticação usado para iniciar sessão.

Passos para ativar grupos espelhados

Para ativar a sincronização de grupos, conclua os seguintes passos:

  1. Na Google Cloud consola, ative a API Cloud Identity no Google Cloud projeto que contém o seu cliente OAuth. Tem de ter a função do IAM Administrador de utilização de serviços (roles/serviceusage.serviceUsageAdmin) para ativar APIs.

    Ative a API

  2. Na Google Cloud consola, atualize o ecrã de consentimento do cliente OAuth para adicionar o https://www.googleapis.com/auth/cloud-identity.groups.readonly âmbito. Tem de ter a autorização de IAM clientauthconfig.clients.update para adicionar âmbitos. Conclua os passos seguintes para atualizar o ecrã de consentimento:

    • Navegue para o cliente OAuth.
    • Escolha a página Acesso aos dados.
    • Clique no botão Adicionar ou remover âmbitos. É aberto um painel Atualizar âmbitos selecionados.
    • Encontre o âmbito https://www.googleapis.com/auth/cloud-identity.groups.readonly e selecione a caixa de verificação junto ao mesmo.
    • Clique no botão Atualizar para adicionar o âmbito.

    • Feche o painel e clique em Guardar na página Acesso aos dados para guardar o âmbito.

  3. Na instância do Looker (Google Cloud core), ative o botão Refletir grupos Google na página Autenticação Google. Este botão está desativado por predefinição. Preencha os seguintes campos:

    • No campo Nome do grupo do Looker, adicione um nome para o grupo do Looker. Este é o nome que aparece na página Grupos no Looker (Google Cloud core).
    • No campo ID do Grupo Google, introduza o nome ou o email do Grupo Google que quer duplicar.
    • No campo Função, introduza a função ou as funções do Looker que quer atribuir aos membros desse grupo.

O Looker (Google Cloud Core) cria um grupo do Looker para cada grupo Google adicionado à página Autenticação Google. Pode ver esses grupos do Looker na página Grupos do Looker (Google Cloud Core).

Editar grupos espelhados

Quando faz alterações a uma adesão ao Google Groups, essas alterações são propagadas automaticamente à adesão do grupo do Looker espelhado e validadas no momento do início de sessão seguinte de cada utilizador.

Se editar os campos Nome personalizado ou Função atribuídos a um grupo na página Autenticação Google, isto altera a forma como o nome do grupo espelhado do Looker aparece na página Grupos do Looker (Google Cloud core) ou as funções atribuídas ao grupo, mas não altera os membros do grupo.

Se alterar o nome ou o email no campo ID do grupo Google na página Autenticação Google para o ID de um novo grupo Google, isso altera os membros do grupo Looker espelhado para os membros do novo grupo Google, mas mantém o nome e as funções do grupo conforme definidos na página Autenticação Google.

As edições feitas a um grupo espelhado são aplicadas aos utilizadores desse grupo quando iniciarem sessão no Looker (Google Cloud core) da próxima vez.

Desativar grupos espelhados

Se quiser parar de espelhar os seus grupos Google no Looker (Google Cloud Core), desative o botão Espelhar grupos Google na página Autenticação Google da instância do Looker (Google Cloud Core). A desativação do botão resulta no seguinte comportamento:

  • Qualquer grupo Google espelhado sem utilizadores é eliminado imediatamente.
  • Qualquer grupo Google espelhado que não contenha utilizadores é marcado como órfão. Se nenhum utilizador deste grupo iniciar sessão no prazo de 31 dias, o grupo é eliminado. Já não é possível adicionar nem remover utilizadores de Grupos Google órfãos.

Gestão avançada de funções

Se o botão Refletir grupos Google estiver ativado, a página Autenticação Google apresenta as definições de Gestão avançada de funções. As opções nesta secção determinam a flexibilidade dos administradores do Looker ao configurar grupos e utilizadores do Looker que foram espelhados a partir do Google.

Se quiser que a configuração de utilizadores e grupos do Looker corresponda rigorosamente à configuração do Google Groups, ative todas as opções de gestão avançada de funções. Quando todas as opções estão ativadas, os administradores do Looker não podem modificar as subscrições de grupos espelhadas e só podem atribuir funções aos utilizadores através dos Grupos Google.

Se quiser ter mais flexibilidade para personalizar os seus grupos no Looker (Google Cloud core), desative estas opções. Os seus grupos do Looker (Google Cloud core) continuam a refletir a configuração dos Grupos Google, mas pode realizar a gestão adicional de grupos e utilizadores no Looker (Google Cloud core), como adicionar utilizadores Google a grupos do Looker ou atribuir funções do Looker diretamente a utilizadores Google.

Para a instância do Looker (Google Cloud core), estas opções estão desativadas por predefinição.

A secção Gestão avançada de funções contém as seguintes opções:

  • Impedir que utilizadores individuais da Google recebam funções diretas: a ativação desta opção impede que os administradores do Looker atribuam funções do Looker diretamente a utilizadores da Google. Os utilizadores do Google recebem funções apenas através das respetivas subscrições de grupos. Se os utilizadores Google tiverem autorização de adesão a grupos do Looker incorporados (não sincronizados), podem continuar a herdar as respetivas funções de grupos Google sincronizados e de grupos do Looker incorporados. As funções atribuídas diretamente a utilizadores Google são removidas no próximo início de sessão.

    Se esta opção estiver desativada, os administradores do Looker podem atribuir funções do Looker diretamente a utilizadores Google na instância do Looker (Google Cloud core).

  • Impedir a associação direta a grupos não Google: esta opção impede que os administradores do Looker adicionem membros de grupos espelhados diretamente a grupos incorporados do Looker que não fazem parte da configuração de grupos espelhados na página Autenticação Google.

    Se esta opção estiver selecionada, todos os utilizadores Google que foram atribuídos anteriormente a grupos incorporados do Looker são removidos desses grupos no próximo início de sessão.

    Se esta opção estiver desmarcada, os administradores do Looker podem adicionar utilizadores Google diretamente a grupos do Looker incorporados.

  • Impedir a herança de funções de grupos não pertencentes ao Google Groups: esta opção impede que os membros de grupos espelhados herdem funções de grupos do Looker incorporados. Se os Grupos Google sincronizados forem permitidos como membros de grupos do Looker incorporados, os utilizadores Google podem manter a associação a quaisquer grupos do Looker incorporados. Todos os utilizadores Google que herdaram anteriormente funções de um grupo incorporado do Looker perdem essas funções no próximo início de sessão.

    Se esta opção estiver desativada, os grupos espelhados ou os utilizadores do Google adicionados como membros de um grupo incorporado do Looker herdam as funções atribuídas ao grupo incorporado do Looker.

  • A autenticação requer uma função: se esta opção estiver ativada, os utilizadores do Google têm de ter uma função do Looker atribuída. Os utilizadores Google que não tenham uma função atribuída não podem iniciar sessão no Looker (Google Cloud core).

    Se esta opção estiver desativada, os utilizadores do Google podem autenticar-se no Looker (Google Cloud core) mesmo que não tenham nenhuma função atribuída. Um utilizador sem uma função atribuída não pode ver dados nem realizar ações no Looker (Google Cloud core), mas pode iniciar sessão no Looker (Google Cloud core).

Predefina uma função do Looker

Se o botão Refletir grupos Google estiver desativado, a definição Funções para novos utilizadores é apresentada na página Autenticação Google. Esta definição permite-lhe definir a função do Looker predefinida que vai ser concedida às contas de utilizador com a função do IAM Utilizador da instância do Looker (roles/looker.instanceUser) ou a função do IAM Leitor do Looker (roles/looker.viewer) no primeiro início de sessão numa instância do Looker (Google Cloud core). Para definir uma função predefinida, siga estes passos:

  1. Navegue para a página Autenticação Google na secção Autenticação do menu Administração.
  2. Na definição Funções para novos utilizadores, selecione a função que quer conceder a todos os novos utilizadores por predefinição. A definição contém uma lista de todas as funções predefinidas e funções personalizadas na instância do Looker (Google Cloud core).

As funções de administrador não podem ser funções predefinidas. As contas de utilizador com uma função de IAM de administrador do Looker (roles/looker.admin) recebem a função do Looker Administrador através do IAM no primeiro início de sessão, além da função selecionada na definição Funções para novos utilizadores.

Se ativar o botão Refletir Grupos Google depois de personalizar a definição Funções para novos utilizadores, as funções atribuídas aos utilizadores através da definição Funções para novos utilizadores são removidas para os utilizadores no início de sessão seguinte e substituídas pelas funções atribuídas através da definição Refletir Grupos Google.

Teste a autenticação de utilizadores

Clique no botão Testar autenticação Google para testar as suas definições. Os testes vão redirecionar para o servidor OAuth da Google e abrir um separador do navegador. O separador apresenta as seguintes informações:

  • Se o Looker (essencial para o Google Cloud) conseguiu comunicar com o servidor e validar.
  • As informações do utilizador que o Looker (essencial para o Google Cloud) recebe do servidor. Tem de validar se o servidor devolve os resultados adequados.
  • Um rastreio para mostrar como as informações foram encontradas. Use o rastreio para resolver problemas se as informações estiverem incorretas. Se precisar de informações adicionais, pode ler o ficheiro de servidor XML não processado.
  • As versões descodificadas e não processadas do token de ID recebido. Estes podem ser usados para confirmar os detalhes do utilizador, bem como a configuração do Google.

Guardar e aplicar definições

Quando terminar de introduzir as informações e todos os testes forem aprovados, selecione a caixa de verificação Confirmei a configuração acima e quero ativá-la globalmente e clique em Enviar para guardar.

Adicionar utilizadores a uma instância do Looker (Google Cloud Core)

Depois de criar uma instância do Looker (Google Cloud core), é possível adicionar utilizadores através do IAM. Para adicionar utilizadores, siga estes passos:

  1. Certifique-se de que tem a função de administrador de IAM do projeto ou outra função que lhe permita gerir o acesso ao IAM.

  2. Navegue para o Google Cloud projeto da consola no qual a instância do Looker (Google Cloud core) reside.

  3. Navegue para a secção IAM e administração > IAM da Google Cloud consola.

  4. Selecione Conceder acesso.

  5. Na secção Adicionar responsáveis, adicione um ou mais dos seguintes elementos:

    • Um email da Conta Google
    • Um Grupo do Google
    • Um domínio do Google Workspace

  6. Na secção Atribuir funções, selecione uma das funções do IAM do Looker (Google Cloud core) predefinidas ou uma função personalizada que tenha adicionado.

  7. Clique em Guardar.

  8. Comunique aos novos utilizadores do Looker (Google Cloud core) que o acesso foi concedido e direcione-os para o URL da instância. A partir daí, podem iniciar sessão na instância, momento em que as respetivas contas são criadas. Não é enviada nenhuma comunicação automática.

Se alterar a função de IAM de um utilizador, a função de IAM propaga-se à instância do Looker (Google Cloud core) no prazo de alguns minutos. Se existir uma conta de utilizador do Looker, a função do Looker desse utilizador permanece inalterada.

Todos os utilizadores têm de ser aprovisionados através dos passos do IAM descritos anteriormente, com uma exceção: pode criar contas de serviço apenas da API Looker na instância do Looker (Google Cloud core).

Iniciar sessão no Looker (Google Cloud Core) com o OAuth

No primeiro início de sessão, é pedido aos utilizadores que iniciem sessão com a respetiva Conta Google. Deve usar a mesma conta que o administrador do Looker indicou no campo Adicionar responsáveis ao conceder acesso. Os utilizadores veem o ecrã de consentimento OAuth que foi configurado durante a criação do cliente OAuth. Depois de os utilizadores aceitarem o ecrã de consentimento, as respetivas contas na instância do Looker (essencial para o Google Cloud) são criadas e os utilizadores iniciam sessão.

Depois disso, os utilizadores iniciam sessão automaticamente no Looker (Google Cloud core), a menos que a respetiva autorização expire ou seja revogada pelo utilizador. Nesses cenários, os utilizadores voltam a ver o ecrã de consentimento OAuth e é-lhes pedido que consintam a autorização.

Alguns utilizadores podem ter credenciais da API atribuídas para utilização na obtenção de um token de acesso à API. Se a autorização desses utilizadores expirar ou for revogada, as respetivas credenciais da API deixam de funcionar. Todos os tokens de acesso à API atuais também vão deixar de funcionar. Para resolver o problema, o utilizador tem de voltar a autorizar as respetivas credenciais iniciando sessão novamente na IU do Looker (Google Cloud core) para cada instância do Looker (Google Cloud core) afetada. Em alternativa, a utilização de contas de serviço apenas de API ajuda a evitar uma falha de autorização de credenciais para chaves de acesso da API.

Remover o acesso OAuth ao Looker (Google Cloud Core)

Se tiver uma função que lhe permita gerir o acesso ao IAM, pode remover o acesso a uma instância do Looker (Google Cloud core) revogando a função do IAM que concedeu o acesso. Se remover a função do IAM de uma conta de utilizador, essa alteração é propagada para a instância do Looker (Google Cloud core) em poucos minutos. O utilizador já não vai poder autenticar-se na instância. No entanto, a conta de utilizador continua a aparecer como ativa na página Utilizadores. Para remover a conta de utilizador da página Utilizadores, elimine o utilizador na instância do Looker (Google Cloud core).

Usar o OAuth como método de autenticação alternativo

O OAuth é o método de autenticação alternativo quando o SAML ou o OIDC é o método de autenticação principal.

Para configurar um OAuth como método de cópia de segurança, conceda a cada utilizador do Looker (Google Cloud core) a função do IAM adequada para iniciar sessão na instância.

Depois de configurar o método de cópia de segurança, os utilizadores acedem a este através dos seguintes passos:

  1. Selecione Autenticar com o Google na página de início de sessão.
  2. É apresentada uma caixa de diálogo para confirmar a autenticação Google. Selecione Confirmar na caixa de diálogo.

Em seguida, os utilizadores podem iniciar sessão com as respetivas Contas Google. Quando iniciarem sessão pela primeira vez com o OAuth, é-lhes pedido que aceitem o ecrã de consentimento de OAuth configurado durante a criação da instância.

O que se segue?