通过签名嵌入,您可以向用户呈现私密的嵌入式 Look、可视化图表、“探索”功能、信息中心或 LookML 信息中心,而无需用户单独登录 Looker。而是通过您自己的应用对用户进行身份验证。
签名嵌入通过创建一个特殊 Looker 网址来实现,您将在 iframe 中使用该网址。该网址包含您要共享的信息、您系统中用户的 ID 以及您希望该用户拥有的权限。然后,您将使用 Looker 提供的密钥对该网址进行签名。
对于公开嵌入,请参阅公开共享、导入和嵌入 Look 文档页面的使用 iframe 标记公开嵌入部分。
Looker 管理员必须在 Looker 管理控制台中启用签名嵌入并创建嵌入密钥,然后您才能在 Looker 实例上使用签名嵌入。有关说明,请参阅嵌入使用入门 - 启用签名嵌入文档页面。
为签名嵌入提供适当的托管
某些浏览器(例如 Safari 或安装了屏蔽广告或跟踪 Cookie 的扩展程序)会默认采用可屏蔽第三方 Cookie 的 Cookie 政策。无 Cookie 嵌入功能启用后,屏蔽第三方 Cookie 的浏览器便可在嵌入式 iframe 中跨不同网域对用户进行身份验证。无 Cookie 嵌入身份验证需要服务器端配置。如需查看设置示例,请参阅无 Cookie 嵌入文档页面。
如果未启用 Cookieless Embed 功能,Looker 会使用 Cookie 进行用户身份验证。在这种情况下,在阻止第三方 Cookie 的浏览器中,无法尝试跨网域对嵌入的 iframe 进行身份验证(除非用户修改了浏览器的 Cookie 隐私设置)。例如,如果您要在 https://mycompany.com 中嵌入信息,则需要确保 Looker 使用相同的域名,如 https://analytics.mycompany.com。在这种情况下,如果您的实例是由 Looker 托管,请与 Looker 支持团队联系,以设置必要的 DNS 配置以启用自定义网域使用。这样一来,Looker 就可以与嵌入应用共享同一网域,并能够利用第一方 Cookie(所有浏览器都默认接受这些 Cookie)。
如果您有客户托管的 Looker 实例,请确保使用签名嵌入的应用与您的 Looker 实例使用相同的网域。
使用封闭系统控制客户端可见性
在已签名的嵌入配置中,Looker 用户通常会向自己的客户展示数据,而来自不同公司或群组的客户彼此之间应该互不了解,这种情况很常见。在这种情况下,为了保护客户的隐私信息,我们强烈建议您将 Looker 配置为封闭式系统,也称为多租户安装。在封闭系统中,内容彼此孤立,以阻止不同群组的用户相互了解。因此,我们建议您先启用封闭系统选项,然后再向任何外部用户授予对您实例的访问权限。
有关详情,请参阅设计和配置访问权限级别系统以及嵌入式分析的安全最佳实践文档页面。
生成已签名的嵌入网址
您可以通过多种方式生成带签名的嵌入网址。您可以使用以下方法之一:
您可以使用信息中心三点状信息中心菜单上的获取嵌入网址选项,或者 Look 或“探索”的“探索”操作齿轮菜单上的获取嵌入网址选项来生成已签名的嵌入网址。
使用 Looker API 创建签名嵌入网址端点,如本文档后面部分所述。
使用 Looker Embed SDK。
对已签名的嵌入网址进行编码。构建正确的网址需要您编写代码,以便您可以使用密钥对该网址进行正确编码,并生成其他安全相关项。您可以在 Looker 嵌入示例 GitHub 代码库中找到多个示例脚本。以下部分介绍了您需要向这些脚本提供的信息,以及如何在不使用脚本的情况下构建已签名的嵌入网址。
对已签名的嵌入网址进行手动编码
如需对已签名的嵌入网址进行编码,请先收集必要的 Looker 信息,然后创建已签名的嵌入网址。
收集必要的 Looker 信息
要构建网址,首先需要确定需要添加的所有信息。您需要有:
嵌入网址
检索您要嵌入的 Look、探索、查询可视化图表或信息中心的网址。然后,移除该域名,并将 /embed 放在该路径前面,如下所示:
| 错误 | 常规网址格式 | 嵌入网址 |
|---|---|---|
| Look | https://instance_name.looker.com/looks/4 |
/embed/looks/4 |
| 探索 | https://instance_name.looker.com/explore/my_model/my_explore |
/embed/explore/my_model/my_explore |
| 查询可视化 | https://instance_name.looker.com/explore/my_model/my_explore?qid=1234567890abcdefghij12“探索”网址中 qid= 参数后面的 22 个字母数字字符构成了 Query.client_id。Query.client_id 值是一个唯一字符串,表示查询和可视化设置。如需嵌入查询可视化图表,请检索查询可视化图表 Query.client_id 值,并将 Query.client_id 复制到嵌入网址中。您可以使用 Looker 探索界面构建具有受支持的可视化图表的查询,并从 qid= 参数复制 Query.client_id 值,或者也可以使用 Looker API 检索 Query.client_id,例如使用 Get Query 方法。 |
/embed/query-visualization/Query.client_id |
| 用户定义的信息中心 | https://instance_name.looker.com/dashboards/1添加所有信息中心过滤条件值;如果隐藏过滤条件值,请在信息中心网址中添加 hide_filter 参数。 |
|
| 用户定义的旧版信息中心 | https://instance_name.looker.com/dashboards-legacy/1 |
/embed/dashboards-legacy/1 |
| LookML 信息中心 | https://instance_name.looker.com/dashboards/my_model::my_dashboard |
/embed/dashboards/my_model::my_dashboard |
| 旧版 LookML 信息中心 | https://instance_name.looker.com/dashboards-legacy/my_model::my_dashboard |
/embed/dashboards-legacy/my_model::my_dashboard |
嵌入的内容始终反映的是内容的制作版本。在开发模式下,如果所做更改会影响内容,并且尚未部署到生产环境中,这些更改就不会在嵌入中显示。
权限
权限集定义了用户或群组可以执行的操作。您可以通过以下两种方式之一来应用权限:
- 特定于模型:这种类型的权限仅适用于同一角色中的模型集。
- 实例级:此类权限适用于整个 Looker 实例。拥有实例级权限的嵌入用户可以在整个 Looker 实例中执行某些功能,但无法访问基于其角色模型集未涵盖的模型的内容。
确定您希望用户拥有的权限。以下列表显示了签名嵌入的所有可用权限。签名嵌入不支持以下列表中未包含的权限:
| 权限 | 取决于 | 类型 | 定义 |
|---|---|---|---|
access_data |
无 | 特定于模型 | 允许用户访问数据(查看 Look、信息中心或探索时必须这样做) |
see_lookml_dashboards |
access_data |
特定于模型 | 允许用户查看 LookML 信息中心 |
see_looks |
access_data |
特定于模型 | 允许用户查看 Look |
see_user_dashboards |
see_looks |
特定于模型 | 允许用户查看用户定义的信息中心以及通过嵌入功能浏览文件夹 |
explore |
see_looks |
特定于模型 | 允许用户查看“探索”页面 |
create_table_calculations |
explore |
实例级 | 需要在探索中创建表格计算 |
create_custom_fields |
explore |
实例级 | 已添加 22.4 在探索中创建自定义字段时需要 |
can_create_forecast |
explore |
实例级 | 增加 22.12 允许用户在可视化图表中创建或修改预测。 |
save_content |
see_looks |
实例级 | 允许用户更改和保存对 Look 和信息中心所做的更改 |
send_outgoing_webhook |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容传送到任意 webhook |
send_to_s3 |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容传送至 Amazon S3 存储桶 |
send_to_sftp |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容传送到 SFTP 服务器 |
schedule_look_emails |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容递送到他们自己的电子邮件地址(如果使用名为“email”的用户属性进行设置)或发送到电子邮件网域许可名单所设限制的电子邮件地址。允许拥有 create_alerts 权限的用户向电子邮件网域许可名单所设限制范围内的电子邮件地址发送提醒通知。 |
schedule_external_look_emails |
schedule_look_emails |
特定于模型 | 允许用户安排将 Looker 内容递送至任何电子邮件网域。允许拥有 create_alerts 权限的用户向任何电子邮件网域发送提醒通知。 |
send_to_integration |
see_looks |
特定于模型 | 允许用户通过 Looker Action Hub 将 Looker 内容传送到与 Looker 集成的第三方服务。此权限与数据操作无关。 |
create_alerts |
see_looks |
实例级 | 允许用户在信息中心图块上创建提醒,以便在满足或超过指定条件时收到通知。用户可以修改、复制和删除自己的快讯以及其他用户的公开快讯。如果用户的 Slack 工作区未连接到 Looker 实例,则用户将无法创建向 Slack 发送通知的提醒。 |
download_with_limit |
see_looks |
实例级 | 允许用户下载应用了限制的查询结果 |
download_without_limit |
see_looks |
实例级 | 允许用户下载查询结果,不应用任何限制 |
see_sql |
see_looks |
特定于模型 | 允许用户查看查询的 SQL 以及运行查询导致的任何 SQL 错误 |
clear_cache_refresh |
access_data |
特定于模型 | 新增 21.14 用户可以清除缓存和刷新嵌入式信息中心、旧版信息中心、信息中心图块、Look 和探索。 |
see_drill_overlay |
access_data |
特定于模型 | 让用户无需前往完整的“探索”页面即可深入探索。 |
embed_browse_spaces |
无 | 实例级 | 启用内容浏览器,以便用户通过嵌入内容浏览文件夹。任何被授予 embed_browse_spaces 权限的嵌入用户都会获得个人嵌入文件夹和贵组织的共享文件夹(如果有)的访问权限。建议拥有 save_content 权限的用户使用 embed_browse_spaces 权限,以便用户在选择内容的保存位置时可以浏览文件夹。如需查看文件夹中的内容,用户还需要 see_looks、see_user_dashboards 和 see_lookml_dashboards 权限。 |
embed_save_shared_space |
无 | 实例级 |
ADDED 21.4
允许用户从保存对话框中导航到组织的 Shared 文件夹(如果有)。save_content如果用户拥有 save_content 权限但没有 embed_save_shared_space 权限,则只能选择将内容保存到自己的个人嵌入文件夹中。embed_save_shared_space 权限不会替换内容访问权限。例如,要让用户能够将内容保存到 Shared 文件夹,他们仍需拥有 Shared 文件夹的管理访问权限、修改权限。此外,如果用户拥有 save_content 权限以及对 Shared 文件夹的管理、修改权限,但可以通过其他方式导航到 Shared 文件夹(例如使用嵌入式信息中心内的从此处探索选项),那么即使没有 embed_save_shared_space 权限,系统也无法阻止该用户在此文件夹中保存内容。 |
模型访问权限
确定用户应有权访问哪些 LookML 模型。这只是一个模型名称列表。
用户属性
确定用户应具备哪些用户属性(如果有)。您需要来自 Looker 的用户属性名称,以及用户应为该属性设置的值。
群组
确定用户应所属的群组(如果有)。您需要提供群组 ID,而不是群组名称。将经过签名的嵌入用户添加到 Looker 群组后,您可以管理该用户对 Looker 文件夹的访问权限。已签名的嵌入用户将有权访问与其 Looker 群组成员共享的任何文件夹。
您还可以使用 external_group_id 参数创建常规 Looker 群组外部的群组。在这种情况下,具有相同 external_group_id 的已签名嵌入用户将可以访问名为“群组”的共享文件夹,该文件夹是外部群组独有的。
嵌入式角色
permissions 和 models 参数会为嵌入用户创建角色。此角色在 Looker 管理部分的用户页面中显示为“嵌入式角色”。如果嵌入网址中的 permissions、models 和 group_ids 参数全都指定了,那么嵌入的角色会附加于已分配给 group_ids 参数中列出的群组的任何角色。这与标准角色相同,因为 Looker 中的所有角色都是附加角色。
例如,假设您在 Looker 中已有群组 ID 为 1 的群组,该群组已拥有名为 model_one 的模型的 explore 权限,然后您使用以下参数创建了嵌入网址:
group_ids=["1"]permissions=["access_data","see_looks"]models=["model_two"]
在这种情况下,嵌入用户将继承查看和探索 model_one 上数据的权限,使用上述参数创建的嵌入角色也将授予查看 model_two 上数据的权限。
创建嵌入网址
已签名的嵌入网址采用以下格式:
https://HOST/login/embed/嵌入式网址?PARAMETERS&signature=SIGNATURE
主机
主机是托管您的 Looker 实例的位置。例如 analytics.mycompany.com。如果您未启用端口转发,请务必包含端口号,例如 analytics.mycompany.com:9999。
嵌入网址
嵌入网址之前已确定。其格式如下:
/embed/looks/4/embed/explore/my_model/my_explore/embed/query-visualization/Query.client_id/embed/dashboards/1或/embed/dashboards-legacy/1/embed/dashboards/my_model::my_dashboard或/embed/dashboards-legacy/my_model::my_dashboard
这意味着,/embed//embed/ 格式会显示在您的最终到达网址中;这是正确的。
如果您使用的是嵌入式 JavaScript 事件,请务必将 embed_domain(使用 iframe 的网域)添加到嵌入网址的末尾,例如:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com
embed_domain 添加在嵌入网址的后面、任何参数之前。因此,如果您有现有参数(例如 nonce=626),则添加 embed_domain 将如下所示:
/embed/looks/4?nonce=626
/embed/looks/4?embed_domain=https://mywebsite.com?nonce=626
如果您使用的是 Embed SDK,请务必添加 embed_domain,并将 sdk=2 也添加到嵌入网址的末尾,如下所示:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com&sdk=2
sdk=2 参数让 Looker 能够确定该 SDK 是否存在,并能够利用该 SDK 提供的其他功能。SDK 无法自行添加此参数,因为它是签名网址的一部分。
参数
以下网址参数用于指定带签名的嵌入的必要信息:
| 参数 | 默认值 | 说明 | 数据类型 | 示例 |
|---|---|---|---|---|
nonce |
必须提供值 | 您可以任意随机字符串,但不能在一小时内重复,并且长度必须少于 255 个字符。这样可以防止攻击者重新提交合法用户的网址,以收集他们本不应该拥有的信息。 | JSON 字符串 | "22b1ee700ef3dc2f500fb7" |
time |
必须提供值 | 以 UNIX 时间戳表示的当前时间。 | 整数 | 1407876784 |
session_length |
必须提供值 | 用户应保持登录 Looker 的秒数,介于 0 到 2,592,000 秒(30 天)之间。 | 整数 | 86400 |
external_user_id |
必须提供值 | 嵌入 Looker 的应用中每个用户的标识符。Looker 使用 external_user_id 区分已签名的嵌入用户,因此必须为每位用户分配一个唯一 ID。您可以使用您喜欢的任何字符串为用户创建 external_user_id,只要该字符串对于该用户而言是唯一的。每个 ID 都与一组权限、用户属性和模型相关联。一个浏览器一次只能支持一个 external_user_id(用户会话)。会话期间无法对用户的权限或用户属性进行任何更改。出于安全考虑,请确保您没有为不同的交互式用户在不同嵌入会话中使用相同的 external_user_id,并确保不要为具有不同权限、用户属性值或模型访问权限的单个用户使用相同的 external_user_id。对多位用户或拥有多项权限、用户属性或模型集的同一用户使用相同的 external_user_id,可能会导致原本无权访问该数据的用户能够看到这些数据。 |
JSON 字符串 | "user-4" |
permissions |
必须提供值 | 用户应拥有的权限列表。如需查看允许的权限列表,请参阅此页面上的权限部分。 | 字符串数组 | [ "access_data", "see_looks"] |
models |
必须提供值 | 用户应有权访问的模型名称列表。 | 字符串数组 | [ "model_one", "model_two"] |
group_ids |
[] | 用户应加入的 Looker 群组列表(如果有)。请使用群组 ID 而不是群组名称。 | 字符串数组 | ["4", "3"] |
external_group_id |
"" | 用户所属群组的唯一标识符(在嵌入 Looker 的应用中,如果需要的话)。有权保存内容并共享外部群组 ID 的用户将能够在名为“群组”的共享 Looker 文件夹中保存和修改内容。external_group_id 参数是创建嵌入用户的外部群组的唯一可用方法。无法在 Looker 界面中配置外部嵌入用户群组。 |
JSON 字符串 | "Accounting" |
user_attributes |
{} | 用户应具有的用户属性列表(如果有)。包含一系列用户属性名称,后跟用户属性值。如果您的 LookML 模型已本地化,您可以在嵌入网址中使用 locale 用户属性来指定嵌入的语言。例如,添加参数 user_attributes { "locale" : "fr_FR" } 会导致嵌入将法语加载为其语言。 |
字符串的哈希值 | { "vendor_id" : "17", "company" : "xactness"} |
access_filters |
必须提供值 | 在 Looker 3.10 中,此参数已被移除,但仍然需要网址中使用。使用 access_filters 和空占位符,例如 access_filters={}。 |
空白占位符 | {} |
first_name |
"" | 用户的名字。如果留空,first_name 将保留上次请求的值;如果尚未设置名字,则值为“Embed”。 |
JSON 字符串 | "Alice" |
last_name |
"" | 用户的姓氏。如果留空,last_name 将保留上次请求的值;如果尚未设置姓氏,则值为“Embed”。 |
JSON 字符串 | "Jones" |
user_timezone |
"" | 如果您已启用用户专属时区,请在嵌入式 Look 或信息中心的时区下拉菜单中设置查看者时区选项的值。此参数不会直接更改内容显示的时区;用户需要从下拉列表中选择一个时区。请参阅签名嵌入时区参考文档页面,查看有效值。聊天团队提示:如果您希望将嵌入的内容默认使用观看者的时区,请使用以下方法之一:?query_timezone=user_timezone 添加到嵌入网址中。例如:/embed/dashboards/1?query_timezone=user_timezone |
JSON 字符串或 null | "US/Pacific"- 或 -null |
force_logout_login |
必须提供值 | 如果普通 Looker 用户已登录 Looker,并且他们查看了已签名的嵌入内容,那么您可以选择:1) 他们应使用当前凭据查看商品或2) 他们应退出登录,然后使用已签名的嵌入凭据重新登录。 | 布尔值(true 或 false) | true |
签名
Looker 使用该签名来验证在嵌入网址中生成签名时使用了正确的嵌入密钥,以及嵌入网址中的参数是否未更改。如果嵌入密钥或网址参数不同或已更改,则签名不匹配,身份验证将被拒绝。
因此,嵌入网址中的签名可提供强有力的加密证据,证明嵌入网址在传输过程中未经过修改,且是由拥有嵌入密钥的可信方创建的。
要生成签名,您需要按以下步骤操作。
- 按顺序收集以下参数值:
- 主机,后跟
login/embed/(例如analytics.mycompany.com/login/embed/) - 嵌入网址
- Nonce
- 当前时间
- 会话时长
- 外部用户 ID
- 权限
- 模型
- 组 ID
- 外部群组 ID
- 用户属性
- 访问过滤器(需要空占位符)
- 主机,后跟
- 将除 Host 和 Embed 网址 外的所有值均设置为 JSON 格式
- 使用换行符 (
\n) 串联值 - HMAC-SHA1 使用 Looker 嵌入密钥对串联的字符串进行签名
编码
最后一步是对您的网址进行网址编码。
在对网址进行编码之前,使用所有可能的参数且格式正确的嵌入网址可能如下所示:
https://analytics.mycompany.com/login/embed//embed/dashboards/1?
nonce="22b1ee700ef3dc2f500fb7"&
time=1407876784&
session_length=86400&
external_user_id="user-4"&
permissions=["access_data","see_user_dashboards","see_looks"]&
models=["model_one","model_two"]&
group_ids=[4,3]&
external_group_id="Allegra K"&
user_attributes={"vendor_id":"17","company":"xactness"}&
access_filters={}&
first_name="Alice"&
last_name="Jones"&
user_timezone="US/Pacific"&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
如前所述,/embed//embed/ 出现在网址中是正确的。
对网址进行编码后,显示如下:
https://analytics.mycompany.com/login/embed/%2embed%2Fdashboards%2F1?
nonce=%2222b1ee700ef3dc2f500fb7&%22&
time=1407876784&
session_length=86400&
external_user_id=%22user-4%22&
permissions=%5B%22access_data%22%2C%22see_user_dashboards%22%2C%22see_looks%22%5D&
models=%5B%22model_one%22%2C%22model_two%22%5D&
group_ids=%5B4%2C3%5D&
external_group_id=%22Allegra%20K%22&
user_attributes=%7B%22vendor_id%22%3A%2217%22%2C%22company%22%3A%22xactness%22%7D&
access_filters%7B%7D%26%0A
first_name=%22Alice%22&
last_name=%22Jones%22&
user_timezone=%22US%2FPacific%22&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
使用 Create Signed Embed Url API 端点
Looker API 包含创建签名嵌入网址端点,该端点采用一组签名的嵌入参数(包含您要嵌入的内容的网址),并返回经过编码和加密签名的完整网址。
如需从 Web 服务器使用此 API 端点,该 Web 服务器必须能够以管理员权限通过身份验证进入 Looker API。此外,该 Web 服务器网域还必须列在嵌入网域许可名单中。
您还可以使用 API Explorer 生成使用此端点的签名网址。您可以通过 Looker Marketplace 在 Looker 实例上安装 API Explorer。生成后,必须完全复制签名网址,并且只能使用一次,否则签名网址将失败。API Explorer 也可用于生成签名网址并将其与手动创建的签名网址进行比较,以便进行问题排查。
如需详细了解 Looker API,请参阅 Looker API 使用入门文档页面。
测试嵌入网址
如需测试最终到达网址,请将其粘贴到 Looker 管理部分的嵌入页面上的嵌入 URI 验证工具中。虽然此选项无法告诉您数据和权限是否已正确设置,但它可以验证您的身份验证是否正常运作。