OAuth-Anmeldedaten für eine Looker (Google Cloud Core)-Instanz erstellen

Beim Erstellen einer Looker (Google Cloud Core)-Instanz müssen ein OAuth-Client eingerichtet und OAuth-Anmeldedaten generiert werden, auch wenn Sie eine andere Authentifizierungsmethode für die Authentifizierung Ihrer Nutzer in einer Looker (Google Cloud Core)-Instanz verwenden möchten.

Erforderliche Rollen

Wenn Sie OAuth-Anmeldedaten in der Google Cloud Console erstellen und bearbeiten möchten, benötigen Sie die folgenden Berechtigungen. Wenn Sie die Liste der Berechtigungen ausblenden möchten, minimieren Sie den Abschnitt Erforderliche Berechtigungen.

Erforderliche Berechtigungen

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten. Weitere Informationen zum Zuweisen von Rollen finden Sie in der IAM-Dokumentation (Identity and Access Management) auf der Seite Zugriff auf Projekte, Ordner und Organisationen verwalten.

Vor dem Erstellen einer Looker-Instanz (Google Cloud Core)

Bevor Sie eine Looker (Google Cloud Core)-Instanz erstellen, führen Sie die Schritte in den folgenden Abschnitten aus:

OAuth-Client-ID und Clientschlüssel generieren

Erstellen Sie zuerst einen OAuth-Client und generieren Sie die Client-ID und den Clientschlüssel für diesen Client. Diese Werte sind beim Erstellen der Looker-Instanz (Google Cloud Core) erforderlich.

Sie können den OAuth-Client in einem beliebigen Google Cloud Projekt einrichten. Es muss sich nicht um dasselbe Projekt wie die Looker (Google Cloud Core)-Instanz handeln. Die Looker API (Google Cloud Core) muss jedoch in diesem Projekt aktiviert sein.

So erstellen Sie den Client und seine Anmeldedaten:

  1. Rufen Sie das Projekt auf, in dem Sie den OAuth-Client erstellen möchten.
  2. Gehen Sie zu APIs & Dienste > Anmeldedaten.
  3. Klicken Sie auf der Seite Anmeldedaten auf Anmeldedaten erstellen.
  4. Wählen Sie im Drop-down-Menü die Option OAuth-Client-ID aus.
  5. Wählen Sie im Drop-down-Menü Anwendungstyp die Option Webanwendung aus.
  6. Geben Sie im Feld Name einen Namen für Ihren OAuth-Client ein.
  7. In diesem Fall müssen Sie keine URIs in den Abschnitten Autorisierte JavaScript-Quellen oder Autorisierte Weiterleitungs-URIs hinzufügen.
  8. Klicken Sie auf Erstellen.

Nachdem Sie auf Erstellen geklickt haben, wird das Fenster OAuth-Client erstellt angezeigt. In diesem Fenster werden die Client-ID und der Clientschlüssel angezeigt, die für Ihren OAuth-Client erstellt wurden. Diese Werte sind erforderlich, wenn Sie die Looker-Instanz (Google Cloud Core) erstellen.

Optional können Sie auf JSON herunterladen klicken, um die Anmeldedaten in einer JSON-Datei herunterzuladen. Klicken Sie auf OK, um das Fenster zu schließen.

Als Nächstes können Sie den Zustimmungsbildschirm konfigurieren. Der Einwilligungsbildschirm wird einem Nutzer der Looker-Instanz (Google Cloud Core) bei der ersten Anmeldung und immer dann angezeigt, wenn seine Autorisierung abläuft oder vom Nutzer widerrufen wird.

Folgen Sie der Anleitung auf der Seite OAuth-Zustimmungsbildschirm konfigurieren und Bereiche auswählen. Konfigurieren Sie den Bildschirm und nehmen Sie die folgenden Einstellungen vor:

  • Im Bereich Branding unter Autorisierte Domains muss die Domain mit der Domain der Looker (Google Cloud Core)-Instanz übereinstimmen, für die die OAuth-Anmeldedaten verwendet werden. Wenn Sie eine benutzerdefinierte Domain für Ihre Looker (Google Cloud Core)-Instanz erstellen und die Domain kennen, die Sie ihr zuweisen möchten, können Sie sie jetzt eingeben. Andernfalls können Sie dieses Feld leer lassen. Es wird automatisch ausgefüllt, wenn Sie nach dem Erstellen der Looker (Google Cloud Core)-Instanz die autorisierte Weiterleitungs-URI hinzufügen.

  • Wählen Sie im Bereich Zielgruppe unter Nutzertyp eine der folgenden Optionen aus:

Während der Erstellung einer Looker-Instanz (Google Cloud Core)

Fügen Sie beim Erstellen der Looker-Instanz (Google Cloud Core) die OAuth-Client-ID und das OAuth-Secret im Abschnitt Anmeldedaten für OAuth-Anwendung hinzu. Ohne OAuth-Anmeldedaten können Sie keine Instanz erstellen. Rufen Sie in der Google Cloud Konsole den OAuth-Client auf, um die OAuth-Client-ID und den Clientschlüssel zu finden.

Nach dem Erstellen einer Looker (Google Cloud Core)-Instanz

Führen Sie die folgenden Schritte aus, um die Konfiguration abzuschließen. Wenn Sie einen autorisierten Weiterleitungs-URI hinzufügen, wird er Ihrem OAuth-Zustimmungsbildschirm als autorisierte Domain hinzugefügt.

Autorisierten Weiterleitungs-URI zum OAuth-Client hinzufügen

Wenn Sie dies noch nicht getan haben, folgen Sie dieser Anleitung, um die URL der neu erstellten Looker (Google Cloud Core)-Instanz in den OAuth-Client einzugeben.

  1. Nachdem Sie eine Looker (Google Cloud Core)-Instanz erstellt haben, suchen Sie die URL für die Instanz und kopieren Sie sie. Sie finden die URL auf der Seite Instanzen.

  2. Gehen Sie in der Google Cloud Console zu APIs & Dienste > Anmeldedaten.

  3. Klicken Sie unter der Überschrift OAuth 2.0-Client-IDs auf den Namen des von Ihnen erstellten Clients.

  4. Klicken Sie im Abschnitt Autorisierte Weiterleitungs-URIs auf URI hinzufügen.

  5. Fügen Sie die URL der Looker (Google Cloud Core)-Instanz in das Feld URIs ein. Fügen Sie am Ende der URL /oauth2callback hinzu. Beispiel: https://uuid.looker.app/oauth2callback.

    Wenn Sie die OAuth-Autorisierung für BigQuery einrichten, können Sie auch einen zweiten Weiterleitungs-URI hinzufügen, der auf die URL der Looker-Instanz (Google Cloud Core) verweist, gefolgt von /external_oauth/redirect am Ende der URL. Beispiel: https://uuid.looker.app/external_oauth/redirect.

  6. Klicken Sie auf Speichern.

Es kann fünf Minuten bis mehrere Stunden dauern, bis die Aktualisierung wirksam wird.

Nutzer verwalten

Nachdem der OAuth-Client konfiguriert und die Looker (Google Cloud Core)-Instanz erstellt wurde, können Sie die Authentifizierungsmethode für Ihre Instanz auswählen.

Wenn Sie OAuth als primäre Authentifizierungsmethode verwenden, führen Sie die Schritte auf der Dokumentationsseite Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden aus, um die OAuth-Einrichtung für die Nutzerauthentifizierung abzuschließen.

Sobald die Authentifizierungsmethode eingerichtet ist, können Sie Nutzer über Ihren Identitätsanbieter hinzufügen oder entfernen und in Looker verwalten.

OAuth-Client für eine Looker (Google Cloud Core)-Instanz bearbeiten

Sie können die OAuth-Anmeldedaten für Ihre Looker (Google Cloud Core)-Instanz bearbeiten oder ändern. Gehen Sie dazu so vor:

  1. Richte den neuen Client oder die neuen Anmeldedaten ein.
  2. Klicken Sie in der Google Cloud Konsole auf der Seite Instanzen auf den Namen einer Instanz, um die Seite DETAILS zu öffnen.
  3. Klicken Sie auf der Seite DETAILS auf Bearbeiten.
  4. Geben Sie auf der Seite Looker (Google Cloud Core)-Instanz bearbeiten in die Felder OAuth-Client-ID und OAuth-Clientschlüssel die neuen Werte ein.
  5. Klicken Sie auf Speichern.

Nächste Schritte