Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Google OAuth wird in Verbindung mit Identity and Access Management (IAM) verwendet, um Looker-Nutzer (Google Cloud-Kern) zu authentifizieren.

Wenn Sie OAuth für die Authentifizierung verwenden, authentifiziert Looker (Google Cloud Core) Nutzer über das OAuth 2.0-Protokoll. Sie können jeden OAuth 2.0-Client verwenden, um beim Erstellen einer Instanz Autorisierungsanmeldedaten zu verwenden. Auf dieser Seite wird beispielsweise beschrieben, wie Sie die Authentifizierung für eine Looker (Google Cloud Core)-Instanz einrichten, indem Sie mit der Google Cloud Console OAuth-Anmeldedaten erstellen.

Wenn eine andere Methode die primäre Authentifizierungsmethode ist, ist Google OAuth standardmäßig die Authentifizierungsmethode für die Sicherung. Google OAuth ist auch die Authentifizierungsmethode, die der Cloud-Kundenservice beim Support verwendet.

Authentifizierung und Autorisierung mit OAuth und IAM

In Kombination mit OAuth bieten Looker (Google Cloud Core)-IAM-Rollen die folgenden Authentifizierungs- und Autorisierungsebenen für alle Looker (Google Cloud Core)-Instanzen in einem bestimmten Google Cloud Projekt. Weisen Sie jedem Ihrer Hauptkonten je nach gewünschtem Zugriffsniveau eine der folgenden IAM-Rollen zu:

IAM-Rolle	Authentifizierung	Autorisierung
Looker Instance User (roles/looker.instanceUser)	Sie können sich in Looker-Instanzen (Google Cloud Core) anmelden.	Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die unter Rollen für neue Nutzer festgelegt ist. Ich kann in der Google Cloud Console nicht auf Looker-Ressourcen (Google Cloud Core) zugreifen.
Looker-Betrachter (roles/looker.viewer)	Sie können sich in Looker-Instanzen (Google Cloud Core) anmelden.	Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die unter Rollen für neue Nutzer festgelegt ist. Liste der Looker (Google Cloud Core)-Instanzen und Instanzdetails in der Google Cloud Console aufrufen
Looker Admin (roles/looker.admin)	Sie können sich in Looker-Instanzen (Google Cloud Core) anmelden.	Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die unter Rollen für neue Nutzer festgelegt ist. Diese Rolle (oder eine benutzerdefinierte Rolle mit der Berechtigung looker.instances.update) wird der Rolle Administrator über IAM innerhalb der Instanz bei jeder Anmeldung in Looker (Google Cloud Core) mit primärem OAuth oder Back-up-OAuth und bei jedem Aufruf der Looker API zugewiesen. Die Rolle Administrator über IAM enthält alle Berechtigungen und Funktionen der Looker-Rolle Administrator. Diese Rolle kann nicht innerhalb der Looker (Google Cloud Core)-Instanz entfernt oder neu zugewiesen werden. Wenn Sie die Rolle Administrator über IAM entfernen möchten, weisen Sie dem Hauptkonto eine andere IAM-Rolle als „Looker-Administrator“ (roles/looker.admin) zu. Änderungen an IAM-Rollen werden automatisch mit der Looker (Google Cloud Core)-Instanz synchronisiert, auch wenn sich der Nutzer nach der Änderung mit einem Identitätsanbieter von Drittanbietern anmeldet. Weitere Informationen finden Sie im Abschnitt „Looker Admin“-Rolle und „Admin via IAM“-Looker-Rolle im Vergleich. Solange das OAuth-Aktualisierungstoken eines Nutzers gültig ist, wird die Rolle des Nutzers in Looker (Google Cloud Core) als Administrator über IAM angezeigt, auch wenn sich dieser Nutzer später über einen Identitätsanbieter eines Drittanbieters anmeldet. Wenn das OAuth-Aktualisierungstoken abläuft oder widerrufen wird, muss sich der Nutzer über OAuth noch einmal in der Instanz anmelden, um die Rolle Administrator über IAM wiederzuerlangen. Kann alle administrativen Aufgaben für Looker (Google Cloud Core) in der Google Cloud Console ausführen

Außerdem können sich Nutzerkonten mit der Rolle owner für ein Projekt in allen Looker (Google Cloud Core)-Instanzen in diesem Projekt anmelden und sie verwalten. Diese Nutzer erhalten die Looker-Rolle Administrator.

Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen bieten, können Sie auch eigene benutzerdefinierte Rollen erstellen.

Looker (Google Cloud Core)-Konten werden bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz erstellt.

Looker-Rolle „Administrator“ und IAM-Looker-Rolle „Administrator“ im Vergleich

In einer Looker-Instanz (Google Cloud Core) gibt es zwei Rollen, die den Administratorberechtigungssatz verwenden und innerhalb der Instanz dieselben Administratorberechtigungen gewähren. In der folgenden Tabelle werden die Gemeinsamkeiten und Unterschiede der beiden Rollen zusammengefasst.

Attribut	Looker-Administratorrolle	Administrator über IAM-Looker-Rolle
Autoritative Quelle	Von einem anderen Administrator in der Looker (Google Cloud Core)-Instanz gewährt	Direkt mit der IAM-Rolle „Looker Admin“ verknüpft
Können sie in einer Looker (Google Cloud Core)-Instanz hinzugefügt oder entfernt werden?	Ja	Nein
Können sie mit IAM hinzugefügt oder entfernt werden?	Nein	Ja
Berechtigungen in Looker (Google Cloud Core)	Alle Berechtigungen	Alle Berechtigungen
Berechtigungen in der Google Cloud Console	Keine	Vollständiger Zugriff auf alle Looker-Ressourcen (Google Cloud Core)
Rollenüberprüfung	Kontinuierlich in der Looker-Instanz (Google Cloud Core)	Bei jeder Anmeldung in der Looker (Google Cloud Core)-Instanz und bei jedem Looker API-Aufruf. Es kann einige Minuten dauern, bis Änderungen an einer Rolle mit IAM übernommen werden.
Umfang	Einzelne Looker-Instanz (Google Cloud Core)	Alle Looker (Google Cloud Core)-Instanzen in einem Google Cloud Projekt

Ein Nutzer kann sowohl die Looker-Rolle Administrator als auch die Rolle Administrator über IAM haben. Wenn Sie Administratorberechtigungen widerrufen möchten, müssen Sie daher sowohl die IAM-Rolle als auch die Rolle Administrator in der Looker (Google Cloud Core)-Instanz entfernen.

OAuth in der Looker-Instanz (Google Cloud Core) konfigurieren

In der Looker (Google Cloud Core)-Instanz können Sie im Menü Verwaltung auf der Seite Google im Bereich Authentifizierung einige Google OAuth-Einstellungen konfigurieren.

Standard-Looker-Rolle in der Looker (Google Cloud Core)-Instanz festlegen

Bevor Sie Nutzer hinzufügen, können Sie die Standard-Looker-Rolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser) oder der IAM-Rolle „Looker-Betrachter“ (roles/looker.viewer) bei der ersten Anmeldung in einer Looker-Instanz (Google Cloud Core) gewährt wird. So legen Sie eine Standardrolle fest:

1. Rufen Sie im Menü Verwaltung im Bereich Authentifizierung die Seite Google auf.
2. Wählen Sie unter Rollen für neue Nutzer die Rolle aus, die Sie allen neuen Nutzern standardmäßig zuweisen möchten. Die Einstellung enthält eine Liste aller Standardrollen und benutzerdefinierten Rollen in der Looker (Google Cloud Core)-Instanz.

Administratorrollen können keine Standardrollen sein. Nutzerkonten mit der IAM-Rolle „Looker Admin“ (roles/looker.admin) erhalten bei der ersten Anmeldung zusätzlich zur Rolle, die in der Einstellung Rollen für neue Nutzer ausgewählt ist, die Looker-Rolle Administrator über IAM.

Methode angeben, mit der OAuth-Nutzer mit einem Looker (Google Cloud Core)-Konto zusammengeführt werden

Geben Sie im Feld Merge Users Using (Nutzer mithilfe von …) an, wie eine erstmalige OAuth-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Sie können Nutzer aus den folgenden Systemen zusammenführen:

• SAML
• OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. In Looker (Google Cloud Core) werden Nutzer aus den aufgeführten Systemen in der Reihenfolge ihrer Angabe gesucht. Wenn Sie beispielsweise zuerst einige Nutzer mit OIDC und später mit SAML erstellt haben, werden sie in Looker (Google Cloud Core) zuerst nach OIDC und dann nach SAML zusammengeführt.

Wenn sich ein Nutzer zum ersten Mal über OAuth anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verbunden, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.

Nutzern eine Looker (Google Cloud Core)-Instanz hinzufügen

Nachdem eine Looker (Google Cloud Core)-Instanz erstellt wurde, können Nutzer über IAM hinzugefügt werden. So fügen Sie Nutzer hinzu:

1. Sie benötigen die Rolle Projekt-IAM-Administrator oder eine andere Rolle, mit der Sie den IAM-Zugriff verwalten können.

2. Rufen Sie das Google Cloud Console-Projekt auf, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

3. Rufen Sie in der Google Cloud Console den Bereich IAM und Verwaltung > IAM auf.

4. Wählen Sie Zugriff gewähren aus.

5. Fügen Sie im Bereich Hauptkonten hinzufügen eine oder mehrere der folgenden Optionen hinzu:

   • E-Mail-Adresse Ihres Google-Kontos
   • Eine Google-Gruppe
   • Eine Google Workspace-Domain

6. Wählen Sie im Bereich Rollen zuweisen eine der vordefinierten IAM-Rollen für Looker (Google Cloud Core) oder eine benutzerdefinierte Rolle aus, die Sie hinzugefügt haben.

7. Klicken Sie auf Speichern.

8. Informieren Sie neue Looker (Google Cloud Core)-Nutzer darüber, dass der Zugriff gewährt wurde, und leiten Sie sie zur URL der Instanz weiter. Dort können sie sich in der Instanz anmelden, wodurch ihre Konten erstellt werden. Es wird keine automatische Kommunikation gesendet.

Wenn Sie die IAM-Rolle eines Nutzers ändern, wird die IAM-Rolle innerhalb weniger Minuten an die Looker (Google Cloud Core)-Instanz übertragen. Wenn bereits ein Looker-Nutzerkonto vorhanden ist, bleibt die Looker-Rolle dieses Nutzers unverändert.

Alle Nutzer müssen mit den zuvor beschriebenen IAM-Schritten bereitgestellt werden, mit einer Ausnahme: Sie können nur für die Looker API Dienstkonten in der Looker (Google Cloud Core)-Instanz erstellen.

Mit OAuth in Looker (Google Cloud Core) anmelden

Bei der ersten Anmeldung werden Nutzer aufgefordert, sich mit ihrem Google-Konto anzumelden. Er muss dabei dasselbe Konto verwenden, das der Looker-Administrator im Feld Hauptkonten hinzufügen bei der Gewährung des Zugriffs angegeben hat. Nutzer sehen den OAuth-Zustimmungsbildschirm, der beim Erstellen des OAuth-Clients konfiguriert wurde. Nachdem die Nutzer der Einwilligung zugestimmt haben, werden ihre Konten in der Looker (Google Cloud Core)-Instanz erstellt und sie werden angemeldet.

Danach werden Nutzer automatisch in Looker (Google Cloud Core) angemeldet, es sei denn, ihre Autorisierung läuft ab oder wird vom Nutzer widerrufen. In diesen Fällen wird der OAuth-Zustimmungsbildschirm noch einmal angezeigt und die Nutzer werden aufgefordert, der Autorisierung zuzustimmen.

Einigen Nutzern können API-Anmeldedaten zugewiesen werden, die zum Abrufen eines API-Zugriffstokens verwendet werden. Wenn die Autorisierung für diese Nutzer abläuft oder widerrufen wird, funktionieren ihre API-Anmeldedaten nicht mehr. Alle aktuellen API-Zugriffstokens funktionieren dann nicht mehr. Um das Problem zu beheben, muss der Nutzer seine Anmeldedaten noch einmal autorisieren, indem er sich für jede betroffene Looker (Google Cloud Core)-Instanz in der Looker (Google Cloud Core)-Benutzeroberfläche anmeldet. Alternativ können Sie nur für APIs verwendete Dienstkonten verwenden, um Autorisierungsfehler für Anmeldedaten für API-Zugriffstokens zu vermeiden.

OAuth-Zugriff auf Looker (Google Cloud Core) entfernen

Wenn Sie eine Rolle haben, mit der Sie den IAM-Zugriff verwalten können, können Sie den Zugriff auf eine Looker-Instanz (Google Cloud Core) entfernen, indem Sie die IAM-Rolle widerrufen, die den Zugriff gewährt hat. Wenn Sie die IAM-Rolle eines Nutzerkontos entfernen, wird diese Änderung innerhalb weniger Minuten an die Looker-Instanz (Google Cloud Core) übertragen. Der Nutzer kann sich nicht mehr bei der Instanz authentifizieren. Das Nutzerkonto wird jedoch weiterhin auf der Seite Nutzer als aktiv angezeigt. Wenn Sie das Nutzerkonto von der Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker (Google Cloud Core)-Instanz.

OAuth als Authentifizierungsmethode für den Notfall verwenden

OAuth ist die Authentifizierungsmethode für den Notfall, wenn SAML oder OIDC die primäre Authentifizierungsmethode ist.

Wenn Sie OAuth als Sicherungsmethode einrichten möchten, gewähren Sie jedem Looker (Google Cloud Core)-Nutzer die entsprechende IAM-Rolle, um sich in der Instanz anzumelden.

Sobald die Sicherungsmethode eingerichtet ist, können Nutzer so darauf zugreifen:

1. Wählen Sie auf der Anmeldeseite Über Google authentifizieren aus.
2. Ein Dialogfeld zur Bestätigung der Google-Authentifizierung wird angezeigt. Wählen Sie im Dialogfeld Bestätigen aus.

Nutzer können sich dann mit ihren Google-Konten anmelden. Bei der ersten Anmeldung mit OAuth werden sie aufgefordert, den OAuth-Zustimmungsbildschirm zu akzeptieren, der bei der Instanzerstellung eingerichtet wurde.

Nächste Schritte

• Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
• Looker-Instanz (Google Cloud Core) erstellen
• Looker-Verwaltungseinstellungen (Google Cloud Core)
• Looker-Instanz (Google Cloud Core) über die Google Cloud Console verwalten