为 Looker (Google Cloud Core) 实例创建 OAuth 授权凭据

在创建 Looker (Google Cloud Core) 实例时,必须设置 OAuth 客户端并生成 OAuth 凭据,即使您想使用其他身份验证方法对用户进行身份验证以便他们登录 Looker (Google Cloud Core) 实例也是如此。

所需的角色

如需使用 Google Cloud 控制台创建和修改 OAuth 凭据,您需要拥有以下权限。(如需隐藏权限列表,请收起所需权限部分。)

所需权限

  • clientauthconfig.*
    • clientauthconfig.brands.create
    • clientauthconfig.brands.delete
    • clientauthconfig.brands.get
    • clientauthconfig.brands.list
    • clientauthconfig.brands.update
    • clientauthconfig.clients.create
    • clientauthconfig.clients.createSecret
    • clientauthconfig.clients.delete
    • clientauthconfig.clients.get
    • clientauthconfig.clients.getWithSecret
    • clientauthconfig.clients.list
    • clientauthconfig.clients.listWithSecrets
    • clientauthconfig.clients.undelete
    • clientauthconfig.clients.update
  • oauthconfig.*
    • oauthconfig.clientpolicy.get
    • oauthconfig.testusers.get
    • oauthconfig.testusers.update
    • oauthconfig.verification.get
    • oauthconfig.verification.submit
    • oauthconfig.verification.update

您也可以通过自定义角色或其他预定义角色来获取所需的权限。如需详细了解如何授予角色,请参阅 Identity and Access Management (IAM) 文档中的管理对项目、文件夹和组织的访问权限页面。

在创建 Looker (Google Cloud Core) 实例之前

在创建 Looker (Google Cloud core) 实例之前,请完成以下部分中介绍的步骤:

生成 OAuth 客户端 ID 和客户端密钥

首先,创建一个 OAuth 客户端,并为该客户端生成客户端 ID 和客户端密钥。在创建 Looker (Google Cloud Core) 实例时,需要使用这些值。

您可以在任何 Google Cloud 项目中设置 OAuth 客户端。该项目不必与 Looker (Google Cloud Core) 实例位于同一项目中。不过,此项目中必须启用 Looker (Google Cloud Core)API。

如需创建客户端及其凭据,请按以下步骤操作:

  1. 前往您要创建 OAuth 客户端的项目。
  2. 依次前往 API 和服务 > 凭据
  3. 凭据页面中,点击创建凭据
  4. 从下拉菜单中选择 OAuth 客户端 ID
  5. 应用类型下拉菜单中,选择网络应用
  6. 名称字段中,为您的 OAuth 客户端输入名称。
  7. 目前,您无需已获授权的 JavaScript 来源已获授权的重定向 URI 部分中添加 URI。
  8. 点击创建

点击创建后,系统会显示 OAuth 客户端已创建窗口。此窗口会显示为您的 OAuth 客户端创建的客户端 ID 和客户端密钥。在创建 Looker (Google Cloud Core) 实例时,您需要使用这些值。

您可以选择点击下载 JSON,以 JSON 文件的形式下载凭据信息。点击 OK 关闭窗口。

接下来,您可能需要配置意见征求页面。在 Looker (Google Cloud Core)实例的用户首次登录时,以及在其授权到期被用户撤消的任何时候,系统都会向其显示意见征求界面。

请按照配置 OAuth 权限请求页面并选择范围文档页面上的说明操作。在配置屏幕时,请按照以下说明完成以下设置:

  • 品牌部分的已获授权的网域下,网域必须与使用 OAuth 凭据的 Looker (Google Cloud Core) 实例的网域一致。如果您要为 Looker (Google Cloud Core) 实例创建自定义网域,并且知道要为其分配的网域,可以立即输入该网域。否则,您可以将此字段留空;在创建 Looker (Google Cloud Core) 实例后,当您添加已获授权的重定向 URI 时,系统会自动填充此字段。

  • 受众群体部分的用户类型下,选择以下选项之一:

在 Looker (Google Cloud Core) 实例创建期间

创建 Looker (Google Cloud Core) 实例时,请在 OAuth 应用凭据部分中添加 OAuth 客户端 ID 和客户端密钥。没有 OAuth 凭据,您将无法创建实例。在 Google Cloud 控制台中前往 OAuth 客户端,找到 OAuth 客户端 ID 和客户端密钥。

创建 Looker (Google Cloud Core) 实例后

请按照以下说明完成配置。添加已获授权的重定向 URI 后,该 URI 会作为已获授权的网域添加到 OAuth 权限请求页面。

将已获授权的重定向 URI 添加到 OAuth 客户端

如果您尚未执行此操作,请按照以下步骤将新创建的 Looker (Google Cloud Core) 实例的网址输入 OAuth 客户端。

  1. 创建 Looker (Google Cloud Core) 实例后,找到并复制该实例的网址。您可以在实例页面上找到该网址。

  2. 在 Google Cloud 控制台中,依次前往 API 和服务 > 凭据

  3. OAuth 2.0 客户端 ID 标题下,点击您创建的客户端的名称。

  4. 已获授权的重定向 URI 部分中,点击添加 URI

  5. 将 Looker (Google Cloud Core) 实例的网址粘贴到 URI 字段中。将 /oauth2callback 添加到网址的末尾。例如:https://uuid.looker.app/oauth2callback

    如果您要设置 BigQuery 的 OAuth 授权,还可以添加第二个重定向 URI,该 URI 应指向 Looker (Google Cloud Core)实例的网址,并在网址末尾添加 /external_oauth/redirect。例如:https://uuid.looker.app/external_oauth/redirect

  6. 点击保存

更新可能需要 5 分钟到几小时才会生效。

管理用户

配置 OAuth 客户端并创建 Looker (Google Cloud Core) 实例后,您可以为实例选择身份验证方法

如果您使用 OAuth 作为主要身份验证方法,请按照使用 Google OAuth 进行 Looker (Google Cloud Core) 用户身份验证文档页面中所述的步骤完成 OAuth 设置,以便进行用户身份验证。

设置身份验证方法后,您可以通过身份提供方添加或移除用户,并在 Looker 中管理用户

修改 Looker (Google Cloud Core) 实例的 OAuth 客户端

如果需要,您可以按照以下步骤修改或更改 Looker (Google Cloud Core) 实例的 OAuth 凭据:

  1. 设置新的客户端或凭据。
  2. 在 Google Cloud 控制台中,点击实例页面中的某个实例名称,以打开详细信息页面。
  3. DETAILS 页面上,点击 Edit
  4. 修改 Looker (Google Cloud Core) 实例页面上,在 OAuth 客户端 IDOAuth 客户端密钥字段中输入新值。
  5. 点击保存

后续步骤