建立 Looker (Google Cloud Core) 執行個體時,必須設定 OAuth 用戶端,並產生 OAuth 憑證,即使您想使用其他驗證方法驗證 Looker (Google Cloud Core) 執行個體的使用者,也一樣。
必要的角色
如要使用 Google Cloud 控制台建立及編輯 OAuth 憑證,您必須具備下列權限。(如要隱藏權限清單,請收合「必要權限」部分)。
所需權限
- clientauthconfig.*
- clientauthconfig.brands.create
- clientauthconfig.brands.delete
- clientauthconfig.brands.get
- clientauthconfig.brands.list
- clientauthconfig.brands.update
- clientauthconfig.clients.create
- clientauthconfig.clients.createSecret
- clientauthconfig.clients.delete
- clientauthconfig.clients.get
- clientauthconfig.clients.getWithSecret
- clientauthconfig.clients.list
- clientauthconfig.clients.listWithSecrets
- clientauthconfig.clients.undelete
- clientauthconfig.clients.update
- oauthconfig.*
- oauthconfig.clientpolicy.get
- oauthconfig.testusers.get
- oauthconfig.testusers.update
- oauthconfig.verification.get
- oauthconfig.verification.submit
- oauthconfig.verification.update
您或許還可透過自訂角色或其他預先定義的角色取得必要權限。如要進一步瞭解如何授予角色,請參閱 Identity and Access Management (IAM) 說明文件中的「管理專案、資料夾和機構的存取權」頁面。
建立 Looker (Google Cloud Core) 執行個體之前
建立 Looker (Google Cloud Core) 執行個體前,請先完成下列各節所述的步驟:
產生 OAuth 用戶端 ID 和用戶端密鑰
首先,請建立 OAuth 用戶端,並為該用戶端產生用戶端 ID 和用戶端密鑰。建立 Looker (Google Cloud Core) 執行個體時,必須提供這些值。
您可以在任何想要的 Google Cloud 專案中設定 OAuth 用戶端。不必與 Looker (Google Cloud Core) 執行個體位於相同專案中。不過,您必須在這個專案中啟用 Looker (Google Cloud Core) API。
如要建立用戶端及其憑證,請按照下列步驟操作:
- 前往要建立 OAuth 用戶端的專案。
- 依序前往「API 和服務」>「憑證」。
- 在「憑證」頁面中,按一下「建立憑證」。
- 在下拉式選單中選取「OAuth 用戶端 ID」。
- 在「應用程式類型」下拉式選單中,選取「網頁應用程式」。
- 在「名稱」欄位中,輸入 OAuth 用戶端的名稱。
- 目前,您不必在「已授權的 JavaScript 來源」或「已授權的重新導向 URI」部分中新增 URI。
- 按一下 [建立]。
點選「建立」後,系統會顯示「OAuth 用戶端已建立」視窗。這個視窗會顯示為 OAuth 用戶端建立的用戶端 ID 和用戶端密碼。建立 Looker (Google Cloud Core) 執行個體時,必須提供這些值。
您可以選擇按一下「Download JSON」,將憑證資訊下載為 JSON 檔案。按一下「確定」關閉視窗。
設定使用者同意畫面、範圍和測試使用者
接著,您可能要設定同意畫面。當 Looker (Google Cloud 核心) 執行個體的使用者首次登入,以及授權到期或遭到使用者撤銷時,系統會向使用者顯示同意畫面。
請按照「設定 OAuth 同意畫面並選擇範圍」說明文件中的指示操作。設定螢幕時,請按照下列說明完成以下設定:
在「品牌」部分的「授權網域」下方,網域必須與使用 OAuth 憑證的 Looker (Google Cloud Core) 執行個體網域相符。如果您要為 Looker (Google Cloud Core) 執行個體建立自訂網域,且已知要指派給該執行個體的網域,請現在輸入該網域。否則,您可以將這個欄位留空;在建立 Looker (Google Cloud Core) 執行個體後,新增授權的重新導向 URI,系統就會自動填入這個欄位。
在「目標對象」部分的「使用者類型」下方,選取下列其中一個選項:
在 Looker (Google Cloud Core) 執行個體建立期間
建立 Looker (Google Cloud Core) 執行個體時,請在「OAuth Application Credentials」(OAuth 應用程式憑證) 專區中新增 OAuth 用戶端 ID 和用戶端密鑰。您必須具備 OAuth 憑證,才能建立執行個體。在 Google Cloud 控制台中前往 OAuth 用戶端,即可找到 OAuth 用戶端 ID 和用戶端密碼。
建立 Looker (Google Cloud Core) 執行個體後
請按照下列操作說明完成設定。新增授權的重新導向 URI 後,系統會將其新增至 OAuth 同意畫面做為已授權的網域。
將已授權的重新導向 URI 新增至 OAuth 用戶端
如果尚未完成,請按照下列步驟,在 OAuth 用戶端中輸入新建 Looker (Google Cloud Core) 執行個體的網址。
建立 Looker (Google Cloud Core) 執行個體後,請找出並複製該執行個體的網址。您可以在「Instances」頁面上找到網址。
在 Google Cloud 控制台中,依序前往「API 和服務」>「憑證」。
在「OAuth 2.0 Client IDs」標題下方,按一下您建立的用戶端名稱。
在「已授權的重新導向 URI」部分中,按一下「新增 URI」。
將 Looker (Google Cloud Core) 執行個體的網址貼到「URI」欄位。在網址結尾加上
/oauth2callback。例如:https://uuid.looker.app/oauth2callback。如果您要設定 BigQuery 的 OAuth 授權,也可以新增第二個重新導向 URI,指向 Looker (Google Cloud 核心) 執行個體的網址,並在網址結尾加上
/external_oauth/redirect。例如:https://uuid.looker.app/external_oauth/redirect。按一下 [儲存]。
更新可能需要五分鐘至數小時才會生效。
管理使用者
設定 OAuth 用戶端並建立 Looker (Google Cloud Core) 執行個體後,您可以為執行個體選擇驗證方法。
如果您使用 OAuth 做為主要驗證方法,請按照「使用 Google OAuth 進行 Looker (Google Cloud Core) 使用者驗證」說明文件頁面所述的步驟,完成 OAuth 使用者驗證設定。
設定驗證方法後,您可以透過識別資訊提供者新增或移除使用者,並在 Looker 中管理使用者。
編輯 Looker (Google Cloud Core) 執行個體的 OAuth 用戶端
如有需要,您可以按照下列步驟編輯或變更 Looker (Google Cloud Core) 執行個體的 OAuth 憑證:
- 設定新用戶端或憑證。
- 在 Google Cloud 控制台的「Instances」頁面中,按一下執行個體名稱,開啟「DETAILS」頁面。
- 在「詳細資料」頁面中,按一下「編輯」。
- 在「Edit Looker (Google Cloud core) instance」頁面中,在「OAuth Client ID」和「OAuth Client Secret」欄位中輸入新的值。
- 按一下 [儲存]。