在「管理」選單的「驗證」專區中,您可以透過「Google 驗證」頁面在 Looker 端設定 Google OAuth。
功能總覽
Looker 可針對已註冊 Google Workspace 帳戶的使用者,使用 Google OAuth 執行驗證。
- 使用 Google Google Workspace 的機構可以驗證擁有 Google 帳戶的 Looker 使用者。
- 使用者可透過 Google 帳戶驗證登入 Looker。
- 新 Google 帳戶會自動取得 Looker 存取權。您不必另外邀請使用者加入 Looker。您可以為新使用者設定預設角色,限制他們對功能和資料的存取權。
- 啟用後,Looker 會僅使用 Google OAuth 驗證使用者,除非選取「其他登入方式」選項 (請參閱下文的「啟用電子郵件登入功能,同時啟用 Google 驗證」一節)。
- 導覽列中會顯示使用者的 Google 顯示圖片,而非標準使用者圖示。
- 啟用 Google OAuth 時,Looker 例項可以將現有使用者帳戶與 Google 註冊的網域合併,但僅限電子郵件地址與網域相符的帳戶。所有其他非管理員帳戶都將無法登入。
- 指定網域中的所有使用者都能存取 Looker 執行個體。
- 新 Google 使用者的權限預設為指定模型清單的基本存取權 (可選為零模型存取權)。管理員可以在建立帳戶後更新權限。
- 使用 Google OAuth 驗證的新 Looker 帳戶無法切換為密碼驗證,即使已為 Looker 執行個體停用 OAuth 也一樣。
初步要求
使用 Google OAuth 需要符合下列條件:
- 貴機構的 Google Workspace 帳戶。
- 由機構控管且註冊至 Google Workspace 帳戶的網域。
- 電子郵件地址位於與 Google 帳戶相關聯網域中的使用者。
- 每位使用者都必須在 Google Workspace 中擁有受管理的使用者帳戶。如要尋找及遷移任何擁有非受管使用者帳戶的使用者,請使用非受管使用者轉移工具。
使用 Google OAuth 啟用驗證
如要啟用 Google OAuth 驗證功能,系統管理員必須在 Google 和 Looker 端執行步驟,如後續章節所述。
Google 端設定
本節將說明在 Google 端啟用 Google OAuth 的步驟。如需這些步驟的一般說明,請參閱 Google 支援頁面,瞭解如何設定 OAuth 2.0。您也可以參閱 Google Cloud 控制台說明說明文件。
前往 Google Cloud 控制台。
按一下「Select a project」下拉式選單中的向下箭頭。下拉式選單中可能會顯示現有專案的名稱。無論如何,請按一下向下箭頭,系統就會帶您前往建立新專案的選項。
在「選取專案」頁面中,按一下「新專案」。
Google 會顯示「新專案」頁面。
在「New Project」頁面填寫資訊,然後按一下「Create」。
Google 完成建立新專案後,就會將您帶回 Google Cloud 控制台,並顯示新專案。
在左側選單中,依序選取「API 和服務」>「憑證」。
在「憑證」頁面中,按一下「建立憑證」按鈕,然後在下拉式選單中選取「OAuth 用戶端 ID」。
Google 會顯示「Create OAuth client ID」(建立 OAuth 用戶端 ID) 頁面。
Google 要求您設定 OAuth 同意畫面,讓使用者選擇如何授予私人資料存取權,並提供機構組織的服務條款和隱私權政策連結。按一下「設定同意畫面」。(如果您已為先前的專案設定 OAuth 同意,就不會看到這個選項,您可以直接跳到步驟 13)。
Google 會顯示 OAuth 同意畫面頁面。
在「Authorized domains」欄位中輸入 Looker 執行個體的網域。舉例來說,如果 Looker 在
https://mycompany.looker.com
上代管您的執行個體,網域就是looker.com
。如果是客戶代管的 Looker 部署,請輸入代管 Looker 的網域。設定 OAuth 同意畫面,然後按一下「儲存並繼續」。
在「範圍」頁面上,按一下「儲存並繼續」。不需要額外的範圍設定。
在「摘要」頁面中,按一下「返回資訊主頁」。
Google 會將您帶回「建立 OAuth 用戶端 ID」頁面。
在「Application type」(應用程式類型) 下方,選取 [Web application] (網頁應用程式)。
在「名稱」欄位中,輸入 OAuth 用戶端 ID 的名稱。
在「已授權的 JavaScript 來源」欄位中,輸入 Looker 執行個體的網址,包括
https://
。例如:- 如果 Looker 代管您的執行個體:
https://mycompany.looker.com
- 如果您有客戶代管的 Looker 執行個體:
https://looker.mycompany.com
- 如果 Looker 執行個體需要通訊埠號碼:
https://looker.mycompany.com:9999
- 如果 Looker 代管您的執行個體:
在「Authorized redirect URIs」欄位中輸入 Looker 執行個體的網址,後面加上
/oauth2callback
。例如https://mycompany.looker.com/oauth2callback
或https://looker.mycompany.com:9999/oauth2callback
。按一下 [建立]。
複製用戶端 ID 和用戶端密鑰值,因為您需要這些值來設定 Looker。
Looker 端的設定
使用 OAuth 的情況如要在 Looker 端啟用 Google OAuth,請按照下列步驟操作。
以管理員身分登入 Looker 應用程式後,按一下「管理」下拉式選單,開啟「管理」選單。
在「Authentication」群組下方,點選「Google」。Looker 會顯示「Google 驗證」頁面。
按一下「已啟用」即可顯示及編輯 Google OAuth 設定。(這不會立即啟用 Google 驗證功能,您必須稍後再確認選擇)。
輸入 Google 驗證設定。
- 用戶端 ID 和用戶端密鑰:複製並貼上 Google OAuth 用戶端頁面中的這些值,如前述 Google 設定說明所述。
- 網域:貴機構由 Google 管理的網域名稱。指定網域中的任何 Google 使用者都可以登入 Looker 執行個體。如果你控制多個 Google 網域,可以輸入這些網域,並以半形逗號分隔。
輸入「遷移選項」,以便在遷移至 Google OAuth 期間控管 Looker 執行個體的行為。
- 管理員的備用登入方式:讓管理員繼續使用電子郵件和密碼登入,這是在設定 Google OAuth 時發生問題時的備用方式。我們建議您啟用這項設定,詳情請參閱「啟用電子郵件登入功能,同時啟用 Google 驗證」一文。
- 依電子郵件地址合併:將所有現有使用者 (電子郵件地址位於指定網域) 轉換為使用 Google OAuth,在下次登入時生效。建議採用此設定。
- 新使用者的角色:指定新使用者 (非管理員) 具備的功能和模型存取權。這份清單日後可能會更新。如果空白,新註冊的 Google 驗證使用者在 Looker 平台內的功能將受到限制,直到管理員為他們的帳戶新增角色為止。由於 Google 網域中的所有使用者都能登入 Looker,建議您為新使用者指定預設角色,以便適當限制存取權。
點選「測試 Google 驗證」,使用目前的設定,並嘗試在新視窗中驗證目前的瀏覽器。這項操作「不會」儲存目前的設定,也不會將這些設定套用至 Looker 執行個體。
如果您尚未登入 Google,系統會提示您登入,並要求您同意使用 Google 帳戶資訊。這個流程會使用您在 Google 端設定時使用的自訂同意聲明畫面設定。
成功後,系統會顯示「使用者資訊」專區,其中包含您的姓名、電子郵件和網域。如果有這個「使用者資訊」部分,表示 Looker 已成功驗證該使用者。
失敗時,系統會顯示錯誤說明。常見問題包括:
- 複製的用戶端 ID 或用戶端密碼有誤。請務必仔細複製並貼上完整的內容。
- 使用者不在網域內。如果您看到「Person Info」專區,但沒有「User Info」專區,可能是因為使用者不在您指定的網域中。這表示該使用者已向 Google 正確驗證身分,但並未使用您允許存取 Looker 執行個體的 Google 帳戶。
- 您在 Google 中為 Looker 執行個體設定的 Looker 網址或重新導向網址有誤。
如要儲存並套用變更,請勾選「我已確認上述設定,並想全域套用這些設定」。按一下「更新」。
提示
如要測試完整的驗證週期,您可以登出 Google,然後嘗試登入 Looker,看看 Google 是否會提示您再次登入。
在 Google 中,您可以按一下個人下拉式選單 (Google Workspace 頁面右上方電子郵件地址旁) 中的「帳戶」,管理個人帳戶。
在該管理頁面上,您會看到「安全性」分頁,其中包含「帳戶權限」專區。按一下「應用程式和網站」中的「查看全部」,即可查看及管理您已授予權限的服務和應用程式。
按一下您授予的 Looker 權限 (用於登入),即可顯示使用者在先前自訂的同意畫面中看到的詳細資料。您也可以點選「撤銷存取權」,這樣下次登入 Looker (或測試授權) 時,系統就會再次顯示同意聲明畫面。您可以使用這個工作流程自訂同意畫面,並查看使用者將看到的內容。
疑難排解
如果使用者嘗試登入失敗,請先確認使用者在 Google 帳戶中輸入了姓名和名字。如果使用者已從 Google 帳戶中刪除自己的名字或姓氏,Looker 可能無法透過 Google OAuth 驗證使用者。
如果使用者嘗試登入失敗,且 Looker 顯示
User not in the authorized domain
等錯誤,請檢查 JSON 回應的hd
欄位。如果hd
欄位包含網域,請確認該網域已註冊至您的 Google Workspace 帳戶。如果hd
欄位為空白,請使用非受管使用者轉移工具邀請使用者將帳戶轉換為貴機構網域中的代管帳戶。如果使用者嘗試登入失敗,但 Looker 沒有顯示錯誤訊息,表示使用者可能已編輯 Google Workspace 帳戶名稱,並刪除自己的名字或姓氏。在這種情況下,Google 管理控制台可能仍會顯示完整的 Google Workspace 帳戶名稱,但可能不會顯示使用者所做的編輯。為避免發生這個問題,Google Workspace 管理員可以停用「允許使用者自訂這項設定」選項。
在啟用 Google 驗證的情況下啟用電子郵件登入功能
新 Google 帳戶會自動取得 Looker 存取權,因此您不需要新增 Google 網域中的使用者。
如要新增使用者,但使用者電子郵件地址不在 Google 網域中,請按照下列步驟操作:
- 在 Google 驗證頁面中啟用「管理員和指定使用者的備用登入方式」選項
- 建立或修改現有使用者角色,以便新增
login_special_email
權限 - 在「使用者」面板中點選「新增使用者」(/admin/users/new)
- 新增要加入的電子郵件地址,以及這些使用者應具備的角色,其中必須包含具備
login_special_email
權限的角色 - 這些使用者現在可以使用 https://mycompany.looker.com/login/email (隱藏的網址) 登入
啟用 Google 驗證後停用
如果您想在已啟用 Google 驗證的 Looker 執行個體中停用 Google 驗證,請考量下列事項:
- 在 Google 驗證功能推出前建立的使用者,如果已設定一般電子郵件登入資訊和密碼,仍可正常使用。
- 在 Google 驗證功能新增後建立的使用者將無法再登入。雖然帳戶仍存在,但他們無法存取帳戶,因此帳戶實際上是孤立的。
因此,我們建議您避免使用這條路線。如果您必須採取這項做法,可以使用 Looker API 修正孤立帳戶。如需其他指引,請與 Looker 支援團隊聯絡。