Looker(Google Cloud コア)へのユーザー認証に別の認証方法を使用する場合でも、Looker(Google Cloud コア)インスタンスの作成の一環として OAuth 認証情報を生成する必要があります。
必要なロール
Google Cloud コンソールを使用して OAuth 認証情報を作成および編集するには、次の権限が必要です(権限のリストを非表示にするには、[必要な権限] セクションを閉じます。)
必要な権限
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。ロール付与の詳細については、Identity and Access Management(IAM)ドキュメントのプロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。
Looker(Google Cloud コア)インスタンスを作成する前
Looker(Google Cloud コア)インスタンスを作成する前に、次の手順を実行してください。
ユーザーの同意画面、スコープ、テストユーザーを設定する
OAuth 認証情報を作成する最初のステップは、同意画面を構成することです。同意画面は、最初のログイン時と、承認の有効期限が切れた時点またはユーザーが取り消した時点で、Looker(Google Cloud コア)インスタンスのユーザーに表示されます。
- OAuth クライアントを作成するプロジェクトに移動します。OAuth クライアントは、任意の Google Cloud プロジェクトで設定できます。Looker(Google Cloud コア)インスタンスと同じプロジェクトに設定する必要はありません。ただし、設定したプロジェクトで Looker(Google Cloud コア)API を有効にする必要があります。
- [API とサービス] > [認証情報] に移動します。
- [認証情報を作成] をクリックします。
- プルダウン メニューで [OAuth クライアント ID] を選択します。
- [同意画面を構成] をクリックします。
[ユーザータイプ] で、次のいずれかを選択します。
- 内部: 組織内のユーザーのみ
- 外部: 種類を問わず Google アカウントを持つユーザー
[作成] をクリックします。
[作成] をクリックすると、[OAuth 同意画面] パネルが開きます。
- [アプリ名]、[ユーザー サポートのメールアドレス]、[デベロッパーの連絡先情報] の各フィールドは必須です。
- [承認済みドメイン] セクションで、ドメインが OAuth 認証情報を使用する Looker(Google Cloud コア)インスタンスのドメインと一致している必要があります。Looker(Google Cloud コア)インスタンスのカスタム ドメインを作成し、そのインスタンスに割り当てるドメインがわかっている場合は、ここで入力できます。それ以外の場合は、このフィールドを空白のままにして、Looker(Google Cloud コア)インスタンスの作成後に承認済みリダイレクト URI を追加できます。
[保存して次へ] をクリックします。
必要に応じて、[スコープ] パネルにスコープを追加します。[保存して次へ] をクリックします。
必要に応じて、[テストユーザー] パネルでテストユーザーを追加します。[保存して次へ] をクリックします。
[概要] パネルで [ダッシュボードに戻る] をクリックします。[OAuth クライアント ID の作成] ページに戻ります。
OAuth クライアント ID とクライアント シークレットを生成する
同意画面の初期設定が完了したら、OAuth クライアントを作成して、そのクライアントのクライアント ID とクライアント シークレットを生成できます。これらの値は、Looker(Google Cloud コア)インスタンスの作成時に必要です。
- [認証情報] ページで、[認証情報を作成] をクリックします。
- プルダウン メニューで [OAuth クライアント ID] を選択します。
- [アプリケーションの種類] プルダウンで、[ウェブ アプリケーション] を選択します。
- [名前] フィールドに、実際の OAuth クライアントの名前を入力します。
- [作成] をクリックします。
[作成] をクリックすると、[OAuth クライアントを作成しました] ウィンドウが表示されます。このウィンドウには、OAuth クライアント用に作成されたクライアント ID とクライアント シークレットが表示されます。これらの値は、Looker(Google Cloud コア)インスタンスを作成するときに必要になります。
必要に応じて、[JSON をダウンロード] をクリックして、認証情報を .json
ファイルにダウンロードします。[OK] をクリックしてウィンドウを閉じます。
Looker(Google Cloud コア)インスタンスの作成時
Looker(Google Cloud コア)インスタンスを作成するとき、OAuth クライアント ID とクライアント シークレットを [OAuth アプリケーション認証情報] セクションに追加します。OAuth 認証情報なしでインスタンスを作成することはできません。
Looker(Google Cloud コア)インスタンスを作成した後
OAuth クライアントが Looker(Google Cloud コア)インスタンスの正しい承認済みドメインを取得するとすぐに、使用できるようになります。クライアントの設定中に承認済みドメインを追加した場合、OAuth 構成は完了します。セットアップ中に承認済みドメインを追加しなかった場合は、こちらの手順に沿って設定を完了します。
承認済みのリダイレクト URI を OAuth クライアントに追加する
まだ行っていない場合は、次の手順に沿って、新しく作成した Looker(Google Cloud コア)インスタンスの URL を OAuth クライアントに入力します。
- Looker(Google Cloud コア)インスタンスを作成したら、インスタンスの URL を見つけてコピーします。URL は、[インスタンス] ページで確認できます。
- Google Cloud コンソールで、[API とサービス] > [認証情報] に移動します。
- [OAuth 2.0 クライアント ID] という見出しの下で、作成したクライアントの名前をクリックします。
- [承認済みのリダイレクト URI] セクションで、[URI を追加] をクリックします。
- Looker(Google Cloud コア)インスタンスの URL を [URI] フィールドに貼り付けます。URL の末尾に
/oauth2callback
を追加します。例:https://uuid.looker.app/oauth2callback
- [保存] をクリックします。
ユーザーを管理
OAuth クライアントを構成し、Looker(Google Cloud コア)インスタンスを作成したら、インスタンスの認証方法を選択できます。
主な認証方法として OAuth を使用する場合は、Looker(Google Cloud コア)ユーザー認証に Google OAuth を使用するのドキュメント ページに記載されている手順に沿って、ユーザー認証用の OAuth 設定を完了してください。
認証方法を設定したら、ID プロバイダを使用してユーザーを追加または削除し、Looker 内でユーザーを管理できます。
Looker(Google Cloud コア)インスタンスの OAuth クライアントを編集する
必要に応じて、以下の手順に沿って Looker(Google Cloud コア)インスタンスの OAuth 認証情報を編集または変更できます。
- 新しいクライアントまたは認証情報を設定します。
- Google Cloud コンソールの [インスタンス] ページで、インスタンス名をクリックして [詳細] ページを開きます。
- [詳細] ページで [編集] をクリックします。
- [Looker(Google Cloud コア)インスタンスの編集] ページで、[OAuth クライアント ID] フィールドと [OAuth クライアント シークレット] フィールドに新しい値を入力します。
- [保存] をクリックします。