Gestire l'accesso degli utenti a un'istanza di Looker (Google Cloud Core)

Looker (Google Cloud core) utilizza Identity and Access Management (IAM) per eseguire il provisioning dell'accesso di utenti e amministratori tramite un insieme di ruoli predefiniti. Per una descrizione dettagliata di Google Cloud IAM, consulta la documentazione di IAM.

Ruoli IAM e ruoli Looker

Due diversi tipi di ruoli concedono le autorizzazioni per Looker (Google Cloud core): ruoli IAM e ruoli Looker.

  • Ruoli IAM di Looker (Google Cloud Core): questi tipi di ruoli regolano quanto segue:

    • Funzionalità degli utenti all'interno della console Google Cloud per quanto riguarda Looker (Google Cloud core)
    • Capacità degli utenti di accedere a un'istanza di Looker (Google Cloud Core)
    • Indica se un utente ha il ruolo Looker amministrativo dopo aver eseguito l'accesso a un'istanza di Looker (Google Cloud Core).

    Per informazioni su come concedere i ruoli IAM, consulta la documentazione IAM.

  • Ruoli Looker:questi tipi di ruoli regolano le azioni che gli utenti possono eseguire dopo aver eseguito l'accesso a un'istanza di Looker (Google Cloud Core). Per informazioni su come concedere i ruoli Looker, consulta le pagine della documentazione relative a ruoli e gruppi.

Gli utenti possono avere più di un tipo di ruolo.

Ruoli IAM di Looker (Google Cloud core)

Esistono tre ruoli predefiniti per Looker (Google Cloud core):

Nome
del ruolo		 Descrizione
Autorizzazioni di Looker (Google Cloud Core)
roles/looker.viewer
Visualizzatore Looker		 Accesso in sola lettura per visualizzare l'elenco delle istanze nella pagina Istanze.

looker.instances.list
looker.instances.get
roles/looker.instanceUser
Utente istanza Looker		 Accesso a un'istanza Looker.

looker.instances.get
looker.instances.login
roles/looker.admin
Amministratore Looker		 Accesso completo a tutte le risorse di Looker.

looker.instances.list
looker.instances.get
looker.instances.login
looker.instances.create
looker.instances.delete
looker.instances.update
looker.instances.import
looker.instances.export

Gli account utente con un ruolo Visualizzatore Looker non possono accedere alle istanze Looker (Google Cloud Core), ma possono visualizzare l'elenco delle istanze nella pagina Istanze.

La prima volta che un utente il cui account dispone del ruolo IAM Utente istanza Looker accede a un'istanza di Looker (Google Cloud Core), gli verrà concesso il ruolo Looker selezionato nell'impostazione Ruoli per i nuovi utenti.

Gli account utente con il ruolo IAM amministrativo Looker hanno il ruolo Looker amministratore nelle istanze Looker (Google Cloud core). Tutti gli utenti con un ruolo IAM di amministratore Looker per un progetto Google Cloud dispongono dei privilegi di amministratore per tutte le istanze di Looker (Google Cloud Core) all'interno del progetto.

Se i ruoli predefiniti non forniscono l'insieme di autorizzazioni che preferisci, puoi anche creare ruoli personalizzati personalizzati.

Impostazione di un ruolo Looker predefinito nell'istanza di Looker (Google Cloud Core)

Prima di aggiungere un utente, è utile impostare il ruolo Looker predefinito che verrà concesso agli account utente con il ruolo IAM Utente istanza Looker al primo accesso a un'istanza Looker (Google Cloud Core). Per impostare un ruolo predefinito, procedi nel seguente modo:

  1. Assicurati di disporre del ruolo IAM Amministratore di Looker per il progetto in cui si trova l'istanza.
  2. Nell'istanza di Looker (Google Cloud Core), vai alla pagina Admin > Autenticazione > Google nel riquadro Amministrazione.
  3. L'impostazione Ruoli per i nuovi utenti contiene un elenco di tutti i ruoli predefiniti e dei ruoli personalizzati all'interno dell'istanza di Looker (Google Cloud Core). Seleziona il ruolo che vuoi assegnare a tutti i nuovi utenti per impostazione predefinita.
  4. Agli account utente con un ruolo IAM di amministratore verranno concesse tutte le autorizzazioni assegnate al ruolo predefinito di amministratore Looker indipendentemente dall'impostazione selezionata in Ruoli per i nuovi utenti.

Aggiungere utenti a un'istanza di Looker (Google Cloud Core)

Dopo aver creato e configurato un'istanza di Looker (Google Cloud core), è possibile aggiungere utenti. Per aggiungere utenti, procedi nel seguente modo:

  1. Assicurati di avere il ruolo Amministratore IAM progetto o un altro ruolo che ti consenta di gestire l'accesso IAM.

  2. Vai al progetto nella console Google Cloud in cui si trova l'istanza di Looker (Google Cloud Core).

  3. Vai alla sezione IAM e amministrazione > IAM della console Google Cloud.

  4. Seleziona Concedi l'accesso.

  5. Nella sezione Aggiungi entità, aggiungi una o più delle seguenti opzioni:

    • L'indirizzo email di un Account Google.
    • Un gruppo Google
    • Un dominio Google Workspace

  6. Nella sezione Assegna ruoli, seleziona uno dei ruoli IAM Looker (Google Cloud core) predefiniti o un ruolo personalizzato che hai aggiunto.

  7. Fai clic su Salva.

  8. Comunicare ai nuovi utenti Looker (Google Cloud Core) che l'accesso è stato concesso e indirizzarli all'URL dell'istanza. Da qui può accedere all'istanza, quindi verrà creato il suo account. Non verrà inviata alcuna comunicazione automatica.

Se modifichi il ruolo IAM di un utente, le modifiche si propagano all'istanza di Looker (Google Cloud Core) entro pochi minuti.

Il provisioning di tutti gli utenti deve essere eseguito in base ai passaggi IAM descritti in precedenza, con una eccezione: puoi creare account di servizio solo API di Looker all'interno dell'istanza di Looker (Google Cloud Core).

Creazione di un account di servizio solo API

Se hai il ruolo IAM Amministratore di Looker, puoi creare account solo API (spesso chiamati "account di servizio") dalla pagina Amministrazione > Utenti. A questi account possono essere concessi i ruoli Amministratore Looker e le credenziali API Looker. Tuttavia, questi account non possono accedere a Looker (Google Cloud Core) tramite l'interfaccia utente.

Accesso a Looker (Google Cloud core)

Al primo accesso, agli utenti verrà chiesto di accedere con il loro Account Google. Quando autorizzano l'accesso, devono utilizzare lo stesso account indicato dall'amministratore di Looker nel campo Aggiungi entità. Gli utenti vedranno la schermata per il consenso OAuth configurata durante la creazione del client OAuth. Dopo che gli utenti hanno accettato la schermata per il consenso, i loro account all'interno dell'istanza di Looker (Google Cloud Core) vengono creati e vi accedono.

Successivamente, gli utenti accederanno automaticamente a Looker (Google Cloud Core) a meno che la loro autorizzazione scada o non sia stata revocata dall'utente. In questi casi, gli utenti visualizzano nuovamente la schermata per il consenso OAuth e viene chiesto di fornire l'autorizzazione.

Ad alcuni utenti potrebbero essere assegnate le credenziali API da usare per recuperare un token di accesso all'API. Se l'autorizzazione per questi utenti scade o viene revocata, le credenziali dell'API smettono di funzionare. Anche gli eventuali token di accesso all'API correnti smetteranno di funzionare. Per risolvere il problema, l'utente deve autorizzare nuovamente le proprie credenziali accedendo nuovamente all'interfaccia utente di Looker (Google Cloud Core) per ogni istanza di Looker (Google Cloud Core) interessata. In alternativa, l'utilizzo di account di servizio solo API consente di evitare un errore di autorizzazione delle credenziali per i token di accesso alle API.

Visualizzare gli utenti all'interno di Looker (Google Cloud core)

Se hai il ruolo IAM Amministratore di Looker, puoi visualizzare gli utenti all'interno di un'istanza di Looker (Google Cloud Core) accedendo ad Amministratore > Utenti all'interno del pannello di amministrazione Looker (core Google Cloud).

La pagina Users in un'istanza di Looker (Google Cloud core) è diversa dalla pagina Users di un'istanza di Looker (originale) per i seguenti aspetti:

Modificare i ruoli e le autorizzazioni degli utenti all'interno di Looker (Google Cloud core)

Se hai il ruolo IAM Amministratore di Looker, puoi modificare le autorizzazioni Looker (Google Cloud Core) degli utenti all'interno di un'istanza Looker (core Google Cloud).

Le pagine della documentazione relative a gruppi e ruoli descrivono come concedere l'accesso e le autorizzazioni all'interno di un'istanza di Looker (Google Cloud Core).

La concessione dei ruoli e delle autorizzazioni Looker in un'istanza Looker (Google Cloud Core) è diversa da quella (originale) in quanto è possibile concedere il ruolo Looker solo agli account di servizio.

Rimozione dell'accesso a Looker (Google Cloud core)

Se hai un ruolo che ti consente di gestire l'accesso IAM, puoi rimuovere l'accesso a un'istanza di Looker (Google Cloud Core) revocando il ruolo IAM che ha concesso l'accesso. Se rimuovi il ruolo IAM di un account utente, queste modifiche si propagano all'istanza di Looker (Google Cloud Core) entro pochi minuti. Anche se l'utente non può più accedere all'istanza, l'account utente può comunque apparire attivo nella pagina Utenti.

Passaggi successivi