签名嵌入是一种向用户呈现私密嵌入的 Look、可视化图表、探索、信息中心或 LookML 信息中心的方式,用户无需登录单独的 Looker。而是会通过您自己的应用对用户进行身份验证。
已签名的嵌入方式是创建一个您将在 iframe 中使用的特殊 Looker 网址。该网址包含您要共享的信息、系统中用户的 ID 以及您希望用户拥有的权限。然后,您将使用 Looker 提供的 Secret 密钥对网址进行签名。
如需了解公开嵌入,请参阅公开分享、导入和嵌入外观文档页面的使用 iframe 标记进行公开嵌入部分。
您必须先让 Looker 管理员在 Looker 管理控制台中启用已签名嵌入,并创建嵌入密钥,然后才能在 Looker 实例中使用已签名嵌入。如需了解相关说明,请参阅嵌入使用入门 - 启用已签名嵌入文档页面。
为签名嵌入提供适当的托管
有些浏览器(例如 Safari)或安装了屏蔽广告或跟踪 Cookie 的扩展程序的浏览器,默认采用的 Cookie 政策会屏蔽第三方 Cookie。启用不使用 Cookie 的嵌入式功能后,屏蔽第三方 Cookie 的浏览器可以在不同网域中对嵌入的 iframe 中的用户进行身份验证。无 Cookie 嵌入身份验证需要进行服务器端配置。如需查看设置示例,请参阅无 Cookie 嵌入文档页面。
如果未启用不使用 Cookie 的嵌入式功能,Looker 会使用 Cookie 进行用户身份验证。在这种情况下,如果浏览器阻止第三方 Cookie,则无法尝试跨网域对嵌入的 iframe 进行身份验证(除非用户修改浏览器的 Cookie 隐私设置)。例如,如果您想在 https://mycompany.com 上嵌入信息,则需要确保 Looker 与 https://analytics.mycompany.com 等共用同一网域。在这种情况下,如果 Looker 托管您的实例,请与 Looker 支持团队联系,设置必要的 DNS 配置以启用自定义网域。这样,Looker 就可以与嵌入应用共享同一网域,并使用第一方 Cookie(所有浏览器都会默认接受第一方 Cookie)。
如果您使用的是客户托管的 Looker 实例,请确保将使用已签名嵌入的应用使用与您的 Looker 实例相同的网域。
使用封闭系统控制客户端可见性
在已签名嵌入配置中,Looker 用户通常会向自己的客户呈现数据,同时客户来自不同的公司或群组,彼此之间不应互相知晓。在这种情况下,为了保护客户的私密信息,我们强烈建议您将 Looker 配置为封闭系统(也称为多租户安装)。在封闭系统中,内容是孤岛化的,以防止不同群组的用户互相了解。因此,我们建议您先启用封闭式系统选项,然后再向任何外部用户授予对您的实例的访问权限。
如需了解详情,请参阅设计和配置访问权限级别系统和嵌入式分析的安全最佳实践文档页面。
生成已签名的嵌入网址
您可以通过多种方式生成签名嵌入网址。您可以使用以下任一方法:
您可以使用信息中心的三点状信息中心菜单或“外观”或“探索”的“探索操作”齿轮菜单中的获取嵌入网址选项生成已签名的嵌入网址。
使用 Looker 嵌入 SDK。
编码已签名的嵌入网址。若要构建正确的网址,您需要编写代码,以便使用 Secret 密钥正确编码网址并生成其他安全相关项。您可以在 Looker 嵌入示例 GitHub 代码库中找到多个示例脚本。以下部分介绍了您需要向这些脚本提供的信息,以及如何在不使用脚本的情况下构建签名嵌入网址。
手动编码签名嵌入网址
如需对已签名的嵌入网址进行编码,请先收集必要的 Looker 信息,然后创建已签名的嵌入网址。
收集必要的 Looker 信息
在构建网址之前,您需要先确定需要包含的所有信息。您需要有:
嵌入网址
检索您要嵌入的数据分析视图、探索、查询可视化图表或信息中心的网址。然后移除网域,并将 /embed 放在路径前面,如下所示:
| 项 | 常规网址格式 | 嵌入网址 |
|---|---|---|
| Look | https://instance_name.looker.com/looks/4 |
/embed/looks/4 |
| 探索 | https://instance_name.looker.com/explore/my_model/my_explore |
/embed/explore/my_model/my_explore |
| 查询可视化 | https://instance_name.looker.com/explore/my_model/my_explore?qid=1234567890abcdefghij12探索广告系列网址中 qid= 参数后面的 22 个字母数字字符组成了 Query.client_id。Query.client_id 值是一个唯一字符串,表示查询和可视化设置。如需嵌入查询可视化图表,请检索查询可视化图表 Query.client_id 值,并将 Query.client_id 复制到您的嵌入网址中。您可以使用 Looker 探索界面构建包含受支持可视化图表的查询,然后从 qid= 参数复制 Query.client_id 值;或者,您也可以使用 Looker API 检索 Query.client_id,例如使用 Get Query 方法。 |
/embed/query-visualization/Query.client_id |
| 用户定义的信息中心 | https://instance_name.looker.com/dashboards/1在信息中心网址中添加任何信息中心过滤条件值,或者如果隐藏过滤条件值,则添加 hide_filter 参数。 |
|
| 用户定义的旧版信息中心 | https://instance_name.looker.com/dashboards-legacy/1 |
/embed/dashboards-legacy/1 |
| LookML 信息中心 | https://instance_name.looker.com/dashboards/my_model::my_dashboard |
/embed/dashboards/my_model::my_dashboard |
| 旧版 LookML 信息中心 | https://instance_name.looker.com/dashboards-legacy/my_model::my_dashboard |
/embed/dashboards-legacy/my_model::my_dashboard |
嵌入的内容始终反映的是内容的正式版。在开发模式下所做的任何更改如果会影响内容且尚未部署到正式版,则不会显示在嵌入内容中。
权限
权限集定义了用户或群组可以执行的操作。您可以通过以下两种方式之一应用权限:
- 特定于模型:此类权限仅适用于属于同一角色的模型集。
- 实例级:此类权限适用于整个 Looker 实例。具有实例级权限的嵌入用户可以在整个 Looker 实例中执行某些功能,但无法访问其角色的模型集中未包含的模型所对应的内容。
确定您希望用户拥有的权限。下表列出了已签名嵌入的所有可用权限。签名嵌入不支持下列列表中未列出的权限:
| 权限 | 依赖项 | 类型 | 定义 |
|---|---|---|---|
access_data |
无 | 特定于模型 | 允许用户访问数据(查看数据洞见、信息中心或探索时必需) |
see_lookml_dashboards |
access_data |
特定于模型 | 允许用户查看 LookML 信息中心 |
see_looks |
access_data |
特定于模型 | 允许用户查看外观 |
see_user_dashboards |
see_looks |
特定于模型 | 允许用户查看用户定义的信息中心,以及从嵌入内容中浏览文件夹 |
explore |
see_looks |
特定于模型 | 允许用户查看“探索”页面 |
create_table_calculations |
explore |
实例级 | 需要此权限才能在“探索”中创建表计算 |
create_custom_fields |
explore |
实例级 | 添加时间:22.4 在探索中创建自定义字段时需要用到 |
can_create_forecast |
explore |
实例级 | 添加时间 22.12 允许用户在可视化图表中创建或修改预测。 |
save_content |
see_looks |
实例级 | 允许用户更改和保存外观和信息中心 |
send_outgoing_webhook |
see_looks |
特定于模型 | 允许用户将 Looker 内容提交到任意 webhook |
send_to_s3 |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容提交到 Amazon S3 存储桶 |
send_to_sftp |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容提交到 SFTP 服务器 |
schedule_look_emails |
see_looks |
特定于模型 | 允许用户安排将 Looker 内容提交到自己的电子邮件地址(如果使用名为“email”的用户属性进行设置),或提交到符合电子邮件网域许可名单限制的电子邮件地址。允许具有 create_alerts 权限的用户向符合电子邮件网域许可名单限制的电子邮件地址发送提醒通知。 |
schedule_external_look_emails |
schedule_look_emails |
特定于模型 | 允许用户安排将 Looker 内容递送到任何电子邮件网域。允许具有 create_alerts 权限的用户向任何电子邮件网域发送提醒通知。 |
send_to_integration |
see_looks |
特定于模型 | 让用户能够通过 Looker 操作中心将 Looker 内容提交到与 Looker 集成的第三方服务。此权限与数据操作无关。 |
create_alerts |
see_looks |
实例级 | 允许用户在信息中心图块上创建提醒,以便在满足或超出指定条件时收到通知。用户可以修改、复制和删除自己的提醒以及其他用户的公开提醒。如果用户的 Slack 工作区未与 Looker 实例相关联,则用户将无法创建向 Slack 发送通知的提醒。 |
download_with_limit |
see_looks |
实例级 | 允许用户下载应用了限制的查询结果 |
download_without_limit |
see_looks |
实例级 | 允许用户下载查询结果,不受限制 |
see_sql |
see_looks |
特定于模型 | 让用户查看查询的 SQL 以及运行查询时产生的任何 SQL 错误 |
clear_cache_refresh |
access_data |
特定于模型 | 新增于 21.14 用户可以清除缓存并刷新嵌入式信息中心、旧版信息中心、信息中心功能块、外观和探索。 |
see_drill_overlay |
access_data |
特定于模型 | 让用户无需前往完整的“探索”页面即可展开细目。 |
embed_browse_spaces |
无 | 实例级 | 启用内容浏览器,以便用户浏览嵌入内容中的文件夹。任何被授予 embed_browse_spaces 权限的嵌入用户都可以访问个人嵌入文件夹以及贵组织的共享文件夹(如果有)。建议为拥有 save_content 权限的用户授予 embed_browse_spaces 权限,以便用户在选择内容保存位置时浏览文件夹。如需查看文件夹中的内容,用户还需要拥有 see_looks、see_user_dashboards 和 see_lookml_dashboards 权限。 |
embed_save_shared_space |
无 | 实例级 |
新增于 21.4
允许同时拥有 save_content 权限的用户从保存对话框中前往组织的共享文件夹(如果有)。拥有 save_content 权限但不拥有 embed_save_shared_space 权限的用户只能将内容保存到其个人嵌入文件夹。embed_save_shared_space 权限不会替换内容访问权限。例如,为了让用户能够保存到共享文件夹,他们仍然需要对共享文件夹拥有管理访问权限、修改权限。此外,如果用户拥有 save_content 权限以及对共享文件夹的管理访问权限、修改权限,但缺少 embed_save_shared_space 权限,那么只要他们有其他方式导航到共享文件夹(例如使用嵌入式信息中心中的从此处浏览选项),就仍然可以将内容保存到该文件夹中。 |
模型访问权限
确定用户应有权访问哪些 LookML 模型。这只是一个模型名称列表。
用户属性
确定用户应具备哪些用户属性(如果有)。您需要提供 Looker 中的用户属性的名称,以及用户应对该属性采用的值。
群组
确定用户应属于哪些群组(如果有)。您需要使用群组 ID,而不是群组名称。将已签名的嵌入用户添加到 Looker 群组后,您可以管理该用户对 Looker 文件夹的访问权限。已登录的嵌入用户将有权访问与其 Looker 群组成员共享的所有文件夹。
您还可以使用 external_group_id 参数创建一个外部 Looker 组。在这种情况下,具有相同 external_group_id 的已登录嵌入用户将有权访问名为“Group”且仅供外部群组使用的共享文件夹。
嵌入式角色
permissions 和 models 参数会为嵌入用户创建角色。此角色会显示为 Looker 管理部分的用户页面中的“嵌入式角色”。如果嵌入网址中同时指定了 permissions、models 和 group_ids 参数,则嵌入的角色会与已分配给 group_ids 参数中列出的群组的任何角色叠加。这与标准角色相同,因为 Looker 中的所有角色都是累加的。
例如,假设您在 Looker 中有一个群组,其群组 ID 为 1,并且该群组已拥有对名为 model_one 的模型的 explore 权限,并且您使用以下参数创建了嵌入网址:
group_ids=["1"]permissions=["access_data","see_looks"]models=["model_two"]
在这种情况下,嵌入用户将继承在 model_one 上查看和探索数据的权限,并且使用上述参数创建的嵌入角色也将授予在 model_two 上查看数据的权限。
创建嵌入网址
签名嵌入网址采用以下格式:
https://HOST/login/embed/嵌入网址?参数&signature=签名
主机
主机是 Looker 实例的托管位置。例如 analytics.mycompany.com。如果您未启用端口转发(例如 analytics.mycompany.com:9999),请务必添加端口号。
嵌入网址
嵌入网址已在之前确定。其格式如下所示:
/embed/looks/4/embed/explore/my_model/my_explore/embed/query-visualization/Query.client_id/embed/dashboards/1或/embed/dashboards-legacy/1/embed/dashboards/my_model::my_dashboard或/embed/dashboards-legacy/my_model::my_dashboard
这确实意味着模式 /embed//embed/ 会显示在最终到达网址中,这是正确的。
如果您使用的是嵌入的 JavaScript 事件,请务必在嵌入网址的末尾添加 embed_domain(使用 iframe 的域名),如下所示:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com
embed_domain 应添加在嵌入网址之后、任何参数之前。因此,如果您已有现有参数(例如 nonce=626),添加 embed_domain 后,代码将如下所示:
/embed/looks/4?nonce=626
/embed/looks/4?embed_domain=https://mywebsite.com?nonce=626
如果您使用的是嵌入 SDK,请务必在嵌入网址的末尾添加 embed_domain 并添加 sdk=2,如下所示:
/embed/looks/4
/embed/looks/4?embed_domain=https://mywebsite.com&sdk=2
借助 sdk=2 参数,Looker 可以识别 SDK 是否存在,并可以利用 SDK 提供的其他功能。SDK 无法自行添加此参数,因为它是已签名网址的一部分。
参数
以下网址参数用于指定签名嵌入的必要信息:
| 参数 | 默认值 | 说明 | 数据类型 | 示例 |
|---|---|---|---|---|
nonce |
值必填 | 您喜欢的任何随机字符串,但不得在一小时内重复使用,且长度不得超过 255 个字符。这样可以防止攻击者重新提交合法用户的网址,以收集不该获得的信息。 | JSON 字符串 | "22b1ee700ef3dc2f500fb7" |
time |
值必填 | 当前时间(以 UNIX 时间戳表示)。 | 整数 | 1407876784 |
session_length |
值必填 | 用户应在 Looker 中保持登录状态的秒数,介于 0 到 2,592,000 秒(30 天)之间。 | 整数 | 86400 |
external_user_id |
值必填 | 嵌入 Looker 的应用中的每位用户的标识符。Looker 使用 external_user_id 来区分已登录的嵌入用户,因此必须为每位用户分配唯一 ID。您可以使用任意字符串为用户创建 external_user_id,但该字符串必须是该用户独有的。每个 ID 都与一组权限、用户属性和模型相关联。单个浏览器一次只能支持一个 external_user_id(即用户会话)。在会话期间,无法更改用户的权限或用户属性。出于安全考虑,请确保您不会在不同的嵌入会话中为不同的互动用户使用相同的 external_user_id,也不会为具有不同权限、用户属性值或模型访问权限的单个用户使用相同的 external_user_id。为多个用户或具有多个权限、用户属性或模型集的同一位用户使用相同的 external_user_id 可能会导致原本无权访问数据的用户看到这些数据。 |
JSON 字符串 | "user-4" |
permissions |
值必填 | 用户应拥有的权限列表。如需查看允许的权限列表,请参阅此页面的权限部分。 | 字符串数组 | [ "access_data", "see_looks"] |
models |
值必填 | 用户应有权访问的模型名称列表。 | 字符串数组 | [ "model_one", "model_two"] |
group_ids |
[] | 用户应属于的 Looker 群组的列表(如果有)。使用群组 ID 而非群组名称。 | 字符串数组 | ["4", "3"] |
external_group_id |
"" | 嵌入 Looker 的应用中用户所属群组的唯一标识符(如有)。有权保存内容且共享外部群组 ID 的用户将能够在名为“Group”(群组)的共享 Looker 文件夹中保存和修改内容。external_group_id 参数是创建嵌入用户外部群组的唯一可用方法。您无法在 Looker 界面中配置外部嵌入用户群组。 |
JSON 字符串 | "Accounting" |
user_attributes |
{} | 用户应具备的用户属性列表(如果有)。包含用户属性名称列表,后跟用户属性值。如果您的 LookML 模型已本地化,您可以在嵌入网址中使用 locale 用户属性来指定嵌入内容的语言。例如,添加参数 user_attributes { "locale" : "fr_FR" } 会导致嵌入内容以法语加载。 |
字符串的哈希值 | { "vendor_id" : "17", "company" : "xactness"} |
access_filters |
值必填 | 在 Looker 3.10 中,此参数已被移除,但网址中仍需要使用此参数。将 access_filters 与空占位符(例如 access_filters={})搭配使用。 |
空占位符 | {} |
first_name |
"" | 用户的名字。如果留空,first_name 将保留上次请求中的值,如果从未设置过名字,则为“嵌入”。 |
JSON 字符串 | "Alice" |
last_name |
"" | 用户的姓氏。如果留空,last_name 将保留上次请求中的值,如果从未设置过姓氏,则为“嵌入”。 |
JSON 字符串 | "Jones" |
user_timezone |
"" | 如果您已启用用户专用时区,请在嵌入式数据分析中或信息中心的时区下拉菜单中设置观看者时区选项的值。此参数不会直接更改内容显示的时区;用户需要从下拉菜单中选择时区。如需了解有效值,请参阅已签名嵌入时区参考文档页面。Chat 团队提示:如果您希望嵌入的内容默认采用观看者的时区,请使用以下方法之一:?query_timezone=user_timezone 添加到嵌入网址。例如:/embed/dashboards/1?query_timezone=user_timezone |
JSON 字符串或 null | "US/Pacific"- 或 -null |
force_logout_login |
值必填 | 如果普通 Looker 用户已登录 Looker,并且查看已签名的嵌入内容,您可以选择:1) 他们应使用当前凭据查看相应内容或2) 他们应退出账号,然后使用已签名的嵌入凭据重新登录。 | 布尔值(true 或 false) | true |
签名
Looker 会使用签名来验证是否使用了正确的嵌入密钥来生成嵌入网址中的签名,以及嵌入网址中的参数是否未发生更改。如果嵌入密钥或网址参数不同或已更改,签名将不匹配,并且系统会拒绝身份验证。
因此,嵌入网址中的签名提供了强大的加密证明,证明嵌入网址在传输过程中未被修改,并且嵌入网址是由拥有嵌入密钥的可信方创建的。
如需生成签名,您需要按照以下步骤操作。
- 按以下顺序收集以下参数值:
- 主机,后跟
login/embed/(例如analytics.mycompany.com/login/embed/) - 嵌入网址
- Nonce
- 当前时间
- 会话时长
- 外部用户 ID
- 权限
- 模型
- 组 ID
- 外部群组 ID
- 用户属性
- 访问权限过滤条件(需要一个空占位符)
- 主机,后跟
- 将主机和嵌入网址以外的所有值设置为 JSON 格式
- 使用换行符 (
\n) 串联值 - 使用 Looker 嵌入密钥对串联的字符串进行 HMAC-SHA1 签名
编码
最后一步是对网址进行网址编码。
在对网址进行编码之前,采用正确格式并使用所有可能参数的嵌入网址可能如下所示:
https://analytics.mycompany.com/login/embed//embed/dashboards/1?
nonce="22b1ee700ef3dc2f500fb7"&
time=1407876784&
session_length=86400&
external_user_id="user-4"&
permissions=["access_data","see_user_dashboards","see_looks"]&
models=["model_one","model_two"]&
group_ids=[4,3]&
external_group_id="Allegra K"&
user_attributes={"vendor_id":"17","company":"xactness"}&
access_filters={}&
first_name="Alice"&
last_name="Jones"&
user_timezone="US/Pacific"&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
如前所述,您的网址中显示 /embed//embed/ 是正确的。
编码后,网址将如下所示:
https://analytics.mycompany.com/login/embed/%2embed%2Fdashboards%2F1?
nonce=%2222b1ee700ef3dc2f500fb7&%22&
time=1407876784&
session_length=86400&
external_user_id=%22user-4%22&
permissions=%5B%22access_data%22%2C%22see_user_dashboards%22%2C%22see_looks%22%5D&
models=%5B%22model_one%22%2C%22model_two%22%5D&
group_ids=%5B4%2C3%5D&
external_group_id=%22Allegra%20K%22&
user_attributes=%7B%22vendor_id%22%3A%2217%22%2C%22company%22%3A%22xactness%22%7D&
access_filters%7B%7D%26%0A
first_name=%22Alice%22&
last_name=%22Jones%22&
user_timezone=%22US%2FPacific%22&
force_logout_login=true&
signature=123456789ABCDEFGHIJKL
使用 Create Signed Embed Url API 端点
Looker API 包含创建已签名的嵌入网址端点,该端点接受一组已签名的嵌入参数(包括要嵌入的内容的网址),并返回经过编码且经过加密签名的完整网址。
如需从 Web 服务器使用此 API 端点,该 Web 服务器必须能够使用管理员权限对 Looker API 进行身份验证。Web 服务器网域还必须列在嵌入网域许可名单中。
您还可以使用 API Explorer 生成使用此端点的已签名网址。您可以从 Looker Marketplace 在 Looker 实例上安装 API Explorer。生成签名网址后,必须完全复制该网址,且只能使用一次,否则将会失败。API Explorer 还非常适合用于生成签名网址,并将其与手动创建的签名网址进行比较,以便进行问题排查。
如需详细了解 Looker API,请参阅 Looker API 使用入门文档页面。
测试嵌入网址
如需测试最终到达网址,请将其粘贴到 Looker 管理部分的嵌入页面上的嵌入 URI 验证器中。虽然此选项无法告诉您您预期的数据和权限是否已正确设置,但可以验证您的身份验证是否正常运行。