Un client OAuth doit être configuré et des identifiants OAuth doivent être générés lors de la création d'une instance Looker (Google Cloud Core), même si vous souhaitez utiliser une méthode d'authentification différente pour authentifier vos utilisateurs dans une instance Looker (Google Cloud Core).
Rôles requis
Pour utiliser la console Google Cloud pour créer et modifier des identifiants OAuth, vous devez disposer des autorisations suivantes. (Pour masquer la liste des autorisations, réduisez la section Autorisations requises.)
Autorisations requises
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations dans la documentation sur Identity and Access Management (IAM).
Avant de créer une instance Looker (Google Cloud Core)
Avant de créer une instance Looker (Google Cloud Core), suivez les étapes décrites dans les sections suivantes:
- Générer l'ID client et le secret client OAuth
- Configurer l'écran de consentement des utilisateurs, les champs d'application et les utilisateurs tests
Générer l'ID client et le code secret du client OAuth
Commencez par créer un client OAuth, puis générez son ID client et son code secret du client. Ces valeurs sont requises lors de la création de l'instance Looker (Google Cloud Core).
Vous pouvez configurer le client OAuth dans n'importe quel projet Google Cloud . Il ne doit pas nécessairement s'agir du même projet que l'instance Looker (Google Cloud Core). Toutefois, l'API Looker (Google Cloud Core) doit être activée dans ce projet.
Pour créer le client et ses identifiants, procédez comme suit:
- Accédez au projet dans lequel vous souhaitez créer le client OAuth.
- Accédez à API et services > Identifiants.
- Sur la page Identifiants, cliquez sur Créer des identifiants.
- Dans le menu déroulant, sélectionnez ID client OAuth.
- Dans le menu déroulant Type d'application, sélectionnez Application Web.
- Dans le champ Nom, saisissez un nom pour votre client OAuth.
- À ce stade, vous n'avez pas besoin d'ajouter d'URI dans les sections Origines JavaScript autorisées ou URI de redirection autorisés.
- Cliquez sur Créer.
Après avoir cliqué sur Créer, la fenêtre Client OAuth créé s'affiche. Cette fenêtre affiche l'ID client et le code secret du client créés pour votre client OAuth. Vous aurez besoin de ces valeurs lorsque vous créerez l'instance Looker (Google Cloud Core).
Vous pouvez également cliquer sur Télécharger au format JSON pour télécharger les informations d'identification dans un fichier JSON. Pour fermer la fenêtre, cliquez sur OK.
Configurer l'écran de consentement de l'utilisateur, les portées et les utilisateurs de test
Vous pouvez ensuite configurer l'écran de consentement. L'écran de consentement s'affiche pour un utilisateur de l'instance Looker (Google Cloud core) lors de sa première connexion et à tout moment lorsque son autorisation expire ou est révoquée par l'utilisateur.
Suivez les instructions de la page de documentation Configurer l'écran de consentement OAuth et choisir des habilitations. Lorsque vous configurez votre écran, définissez les paramètres suivants comme décrit:
Dans la section Branding (Marquage), sous Domaines autorisés, le domaine doit correspondre à celui de l'instance Looker (Google Cloud Core) qui utilise les identifiants OAuth. Si vous allez créer un domaine personnalisé pour votre instance Looker (Google Cloud Core) et que vous connaissez le domaine que vous allez lui attribuer, vous pouvez le saisir maintenant. Sinon, vous pouvez laisser ce champ vide. Il sera automatiquement renseigné lorsque vous ajouterez l'URI de redirection autorisé après la création de l'instance Looker (Google Cloud Core).
Dans la section Audience, sous Type d'utilisateur, sélectionnez l'une des options suivantes:
- Interne: il s'agit du paramètre par défaut. Seuls les utilisateurs de votre organisation peuvent accéder à l'instance une fois qu'ils ont été ajoutés via IAM.
- Définir comme externe: les utilisateurs disposant de n'importe quel type de compte Google peuvent accéder à l'instance une fois qu'ils ont été ajoutés via IAM.
Lors de la création de l'instance Looker (Google Cloud Core)
Lorsque vous créez l'instance Looker (Google Cloud Core), ajoutez l'ID client OAuth et le code secret du client dans la section Identifiants d'application OAuth. Vous ne pouvez pas créer d'instance sans identifiants OAuth. Pour trouver l'ID client OAuth et le code secret du client, accédez au client OAuth dans la console Google Cloud .
Après avoir créé une instance Looker (Google Cloud Core)
Pour terminer la configuration, suivez les instructions ci-dessous. Lorsque vous ajoutez un URI de redirection autorisé, il est ajouté à votre écran d'autorisation OAuth en tant que domaine autorisé.
Ajouter l'URI de redirection autorisé au client OAuth
Si ce n'est pas déjà fait, suivez ces étapes pour saisir l'URL de l'instance Looker (Google Cloud Core) nouvellement créée dans le client OAuth.
Une fois que vous avez créé une instance Looker (Google Cloud Core), recherchez et copiez son URL. Vous trouverez l'URL sur la page Instances.
Dans la console Google Cloud , accédez à API et services > Identifiants.
Sous l'en-tête ID client OAuth 2.0, cliquez sur le nom du client que vous avez créé.
Dans la section URI de redirection autorisés, cliquez sur Ajouter un URI.
Collez l'URL de l'instance Looker (Google Cloud Core) dans le champ URI. Ajoutez
/oauth2callbackà la fin de l'URL. Par exemple :https://uuid.looker.app/oauth2callback.Si vous allez configurer l'autorisation OAuth pour BigQuery, vous pouvez également ajouter un deuxième URI de redirection qui pointe vers l'URL de l'instance Looker (Google Cloud Core) suivie de
/external_oauth/redirectà la fin de l'URL. Par exemple :https://uuid.looker.app/external_oauth/redirect.Cliquez sur Enregistrer.
La prise en compte de la mise à jour peut prendre entre cinq minutes et quelques heures.
Gérer les utilisateurs
Une fois le client OAuth configuré et l'instance Looker (Google Cloud Core) créée, vous pouvez choisir la méthode d'authentification pour votre instance.
Si vous utilisez OAuth comme méthode d'authentification principale, suivez les étapes décrites sur la page de documentation Utiliser Google OAuth pour l'authentification des utilisateurs dans Looker (Google Cloud Core) pour configurer OAuth pour l'authentification des utilisateurs.
Une fois votre méthode d'authentification configurée, vous pouvez ajouter ou supprimer des utilisateurs via votre fournisseur d'identité, et les gérer dans Looker.
Modifier le client OAuth pour une instance Looker (Google Cloud Core)
Si vous le souhaitez, vous pouvez modifier les identifiants OAuth de votre instance Looker (Google Cloud Core) en procédant comme suit:
- Configurez le nouveau client ou les nouveaux identifiants.
- Dans la console Google Cloud , sur la page Instances, cliquez sur le nom d'une instance pour ouvrir la page DETAILS (DÉTAILS).
- Sur la page DÉTAILS, cliquez sur Modifier.
- Sur la page Modifier l'instance Looker (Google Cloud Core), saisissez les nouvelles valeurs dans les champs ID client OAuth et Secret client OAuth.
- Cliquez sur Enregistrer.
Étape suivante
- Créer une instance Looker (Google Cloud Core) avec une adresse IP publique
- Créer une instance Looker (Google Cloud Core) avec une adresse IP privée