É necessário configurar um cliente OAuth e gerar credenciais OAuth como parte da criação de uma instância do Looker (Google Cloud Core), mesmo que você queira usar um método de autenticação diferente para autenticar seus usuários em uma instância do Looker (Google Cloud Core).
Funções exigidas
Para usar o console do Google Cloud e criar e editar credenciais OAuth, você precisa das seguintes permissões. Para ocultar a lista de permissões, feche a seção Permissões necessárias.
Permissões necessárias
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
Também é possível receber as permissões necessárias com papéis personalizados ou outros papéis predefinidos. Para mais informações sobre a concessão de papéis, consulte a página Gerenciar o acesso a projetos, pastas e organizações na documentação do Identity and Access Management (IAM).
Antes de criar uma instância do Looker (Google Cloud Core)
Antes de criar uma instância do Looker (núcleo do Google Cloud), conclua as etapas descritas nestas seções:
- Gerar o ID e a chave secreta do cliente OAuth
- Configurar a tela de consentimento do usuário, os escopos e os usuários de teste
Gerar o ID e a chave secreta do cliente OAuth
Primeiro, crie um cliente OAuth e gere o ID e a chave secreta dele. Esses valores são necessários durante a criação da instância do Looker (Google Cloud Core).
É possível configurar o cliente OAuth em qualquer projeto Google Cloud . Ele não precisa ser o mesmo projeto da instância do Looker (Google Cloud Core). No entanto, a API Looker (núcleo do Google Cloud) precisa estar ativada nesse projeto.
Para criar o cliente e as credenciais dele, siga estas etapas:
- Navegue até o projeto em que você quer criar o cliente OAuth.
- Acesse APIs e serviços > Credenciais.
- Na página Credenciais, clique em Criar credenciais.
- No menu suspenso, selecione ID do cliente do OAuth.
- No menu suspenso Tipo de aplicativo, selecione Aplicativo da Web.
- No campo Nome, insira um nome para o cliente OAuth.
- Neste ponto, não é necessário adicionar URIs nas seções Origens JavaScript autorizadas ou URIs de redirecionamento autorizados.
- Clique em Criar.
Depois de clicar em Criar, uma janela Cliente OAuth criado vai aparecer. Essa janela mostra o ID e a chave secreta do cliente criados para o cliente OAuth. Esses valores serão necessários quando você criar a instância do Looker (Google Cloud Core).
Se preferir, clique em Fazer o download do JSON para fazer o download das informações de credencial em um arquivo JSON. Para fechar a janela, clique em OK.
Configurar a tela de consentimento do usuário, os escopos e os usuários de teste
Em seguida, configure a tela de consentimento. A tela de consentimento é mostrada a um usuário da instância do Looker (núcleo do Google Cloud) no primeiro login e a qualquer momento quando a autorização expira ou é revogada pelo usuário.
Siga as instruções na página de documentação Configurar a tela de consentimento OAuth e escolher escopos. Ao configurar a tela, conclua as seguintes configurações conforme descrito:
Na seção Marca, em Domínios autorizados, o domínio precisa corresponder ao domínio da instância do Looker (Google Cloud Core) que usa as credenciais do OAuth. Se você vai criar um domínio personalizado para sua instância do Looker (Google Cloud Core) e sabe qual será o domínio atribuído, insira-o agora. Caso contrário, deixe o campo em branco. Ele será preenchido automaticamente quando você adicionar o URI de redirecionamento autorizado após a criação da instância do Looker (núcleo do Google Cloud).
Na seção Público-alvo, em Tipo de usuário, selecione uma das seguintes opções:
- Interna: essa é a configuração padrão. Somente os usuários da sua organização podem acessar a instância depois de serem adicionados pelo IAM.
- Externo: os usuários com qualquer tipo de Conta do Google podem acessar a instância depois de serem adicionados pelo IAM.
Durante a criação da instância do Looker (Google Cloud Core)
Ao criar a instância do Looker (Google Cloud core), adicione o ID e a chave secreta do cliente OAuth na seção Credenciais do aplicativo OAuth. Não é possível criar uma instância sem credenciais do OAuth. Encontre o ID e a chave secreta do cliente OAuth acessando o cliente OAuth no console do Google Cloud.
Depois de criar uma instância do Looker (Google Cloud Core)
Siga as instruções a seguir para concluir a configuração. Quando você adiciona um URI de redirecionamento autorizado, ele é adicionado à tela de consentimento do OAuth como um domínio autorizado.
Adicionar o URI de redirecionamento autorizado ao cliente OAuth
Se ainda não fez isso, siga estas etapas para inserir o URL da instância do Looker (Google Cloud Core) recém-criada no cliente OAuth.
Depois de criar uma instância do Looker (Google Cloud Core), encontre e copie o URL dela. Encontre o URL na página Instâncias.
No console do Google Cloud, acesse APIs e serviços > Credenciais.
No cabeçalho IDs de cliente OAuth 2.0, clique no nome do cliente que você criou.
Na seção URIs de redirecionamento autorizados, clique em Adicionar URI.
Cole o URL da instância do Looker (núcleo do Google Cloud) no campo URIs. Adicione
/oauth2callbackao final do URL. Por exemplo:https://uuid.looker.app/oauth2callback.Se você for configurar a autorização OAuth para o BigQuery, também poderá adicionar um segundo URI de redirecionamento que aponte para o URL da instância do Looker (núcleo do Google Cloud), seguido de
/external_oauth/redirectadicionado ao final do URL. Por exemplo:https://uuid.looker.app/external_oauth/redirect.Clique em Salvar.
A atualização pode levar de cinco minutos a algumas horas para entrar em vigor.
Gerenciar usuários
Depois que o cliente OAuth for configurado e a instância do Looker (Google Cloud Core) for criada, você poderá escolher o método de autenticação da instância.
Se você estiver usando o OAuth como método de autenticação principal, siga as etapas descritas na página de documentação Usar o OAuth do Google para autenticação de usuários do Looker (Google Cloud Core) para concluir a configuração do OAuth para autenticação de usuários.
Depois de configurar o método de autenticação, você pode adicionar ou remover usuários pelo provedor de identidade e gerenciar no Looker.
Editar o cliente OAuth de uma instância do Looker (Google Cloud Core)
Se quiser, você pode editar ou alterar as credenciais do OAuth da sua instância do Looker (Google Cloud Core) seguindo estas etapas:
- Configure o novo cliente ou as novas credenciais.
- No console do Google Cloud, na página Instâncias, clique no nome de uma instância para abrir a página DETALHES.
- Na página DETALHES, clique em Editar.
- Na página Editar instância do Looker (Google Cloud Core), insira os novos valores nos campos ID do cliente OAuth e Chave secreta do cliente OAuth.
- Clique em Salvar.
A seguir
- Criar uma instância do Looker (Google Cloud Core) com IP público
- Criar uma instância do Looker (Google Cloud Core) com IP particular