Google OAuth für die Nutzerauthentifizierung in Looker (Google Cloud Core) verwenden

Google OAuth wird in Verbindung mit Identity and Access Management (IAM) verwendet, um Looker-Nutzer (Google Cloud-Kern) zu authentifizieren.

Wenn Sie OAuth für die Authentifizierung verwenden, authentifiziert Looker (Google Cloud Core) Nutzer über das OAuth 2.0-Protokoll. Sie können jeden OAuth 2.0-Client verwenden, um beim Erstellen einer Instanz Autorisierungsanmeldedaten zu verwenden. Auf dieser Seite wird beispielsweise beschrieben, wie Sie die Authentifizierung für eine Looker (Google Cloud Core)-Instanz einrichten, indem Sie mit der Google Cloud Console OAuth-Anmeldedaten erstellen.

Wenn eine andere Methode die primäre Authentifizierungsmethode ist, ist Google OAuth standardmäßig die Authentifizierungsmethode für die Sicherung. Google OAuth ist auch die Authentifizierungsmethode, die der Cloud-Kundenservice beim Support verwendet.

Der OAuth-Client, der für die Authentifizierung verwendet wird, muss mit dem OAuth-Client übereinstimmen, mit dem die Instanz eingerichtet wurde.

Authentifizierung und Autorisierung mit OAuth und IAM

In Kombination mit OAuth bieten Looker (Google Cloud Core)-IAM-Rollen die folgenden Authentifizierungs- und Autorisierungsebenen für alle Looker (Google Cloud Core)-Instanzen in einem bestimmten Google Cloud Projekt. Weisen Sie jedem Ihrer Hauptkonten je nach gewünschtem Zugriffsniveau eine der folgenden IAM-Rollen zu:

IAM-Rolle Authentifizierung Autorisierung
Looker Instance User (roles/looker.instanceUser)

Sie können sich in Looker-Instanzen (Google Cloud Core) anmelden.

 Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die unter Rollen für neue Nutzer festgelegt ist.

Ich kann nicht auf Looker-Ressourcen (Google Cloud Core) in der Google Cloud Console zugreifen.
Looker-Betrachter (roles/looker.viewer) Sie können sich in Looker-Instanzen (Google Cloud Core) anmelden. Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die unter Rollen für neue Nutzer festgelegt ist.

Liste der Looker (Google Cloud Core)-Instanzen und Instanzdetails in der Google Cloud Console aufrufen
Looker Admin (roles/looker.admin) Sie können sich in Looker-Instanzen (Google Cloud Core) anmelden. Bei der ersten Anmeldung in Looker (Google Cloud Core) wird die Standard-Looker-Rolle zugewiesen, die unter Rollen für neue Nutzer festgelegt ist.

Diese Rolle (oder eine benutzerdefinierte Rolle mit der Berechtigung looker.instances.update) wird bei jeder Anmeldung in Looker (Google Cloud Core) mit primärem OAuth oder Back-up-OAuth und bei jedem Aufruf der Looker API vom Nutzer geprüft. Außerdem wird damit die Rolle Administrator über IAM innerhalb der Instanz gewährt.

Die Rolle Administrator über IAM enthält alle Berechtigungen und Funktionen der Looker-Rolle Administrator. Diese Rolle kann nicht innerhalb der Looker (Google Cloud Core)-Instanz entfernt oder neu zugewiesen werden. Wenn Sie die Rolle Administrator über IAM entfernen möchten, weisen Sie dem Hauptkonto eine andere IAM-Rolle als „Looker-Administrator“ (roles/looker.admin) zu. Änderungen an IAM-Rollen werden automatisch mit der Looker (Google Cloud Core)-Instanz synchronisiert, auch wenn sich der Nutzer nach der Änderung mit einem Identitätsanbieter von Drittanbietern anmeldet. Weitere Informationen finden Sie im Abschnitt „Looker Admin“-Rolle und „Admin via IAM“-Looker-Rolle im Vergleich.

Solange das OAuth-Aktualisierungstoken eines Nutzers gültig ist, wird die Rolle des Nutzers in Looker (Google Cloud Core) als Administrator über IAM angezeigt, auch wenn sich dieser Nutzer später über einen Identitätsanbieter eines Drittanbieters anmeldet. Wenn das OAuth-Aktualisierungstoken abläuft oder widerrufen wird, muss sich der Nutzer über OAuth noch einmal in der Instanz anmelden, um die Rolle Administrator über IAM wiederzuerlangen.

Kann alle administrativen Aufgaben für Looker (Google Cloud Core) in der Google Cloud Console ausführen

Außerdem können sich Nutzerkonten mit der Rolle owner für ein Projekt in allen Looker (Google Cloud Core)-Instanzen in diesem Projekt anmelden und sie verwalten. Diese Nutzer erhalten die Looker-Rolle Administrator.

Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen bieten, können Sie auch eigene benutzerdefinierte Rollen erstellen.

Looker (Google Cloud Core)-Konten werden beim ersten Anmelden in einer Looker (Google Cloud Core)-Instanz erstellt.

Looker-Rolle „Administrator“ und Looker-Rolle „Administrator über IAM“

In einer Looker-Instanz (Google Cloud Core) gibt es zwei Rollen, die den Berechtigungssatz „Administrator“ verwenden und innerhalb der Instanz dieselben Administratorberechtigungen gewähren. In der folgenden Tabelle werden die Gemeinsamkeiten und Unterschiede der beiden Rollen zusammengefasst.

Attribut Looker-Administratorrolle Administrator über IAM-Looker-Rolle
Autoritative Quelle Von einem anderen Administrator in der Looker (Google Cloud Core)-Instanz gewährt Direkt mit der IAM-Rolle „Looker Admin“ verknüpft
Können sie in einer Looker (Google Cloud Core)-Instanz hinzugefügt oder entfernt werden? Ja Nein
Können sie mit IAM hinzugefügt oder entfernt werden? Nein Ja
Berechtigungen in Looker (Google Cloud Core) Alle Berechtigungen Alle Berechtigungen
Berechtigungen in der Google Cloud Console Keine Vollständiger Zugriff auf alle Looker-Ressourcen (Google Cloud Core)
Rollenüberprüfung Kontinuierlich in der Looker-Instanz (Google Cloud Core) Bei jeder Anmeldung in der Looker (Google Cloud Core)-Instanz und bei jedem Looker API-Aufruf.

Es kann einige Minuten dauern, bis Änderungen an einer Rolle mit IAM übernommen werden.
Umfang Einzelne Looker-Instanz (Google Cloud Core) Alle Looker (Google Cloud Core)-Instanzen in einem Google Cloud Projekt

Ein Nutzer kann sowohl die Looker-Rolle Administrator als auch die Rolle Administrator über IAM haben. Wenn Sie Administratorberechtigungen widerrufen möchten, müssen Sie daher sowohl die IAM-Rolle als auch die Rolle Administrator in der Looker (Google Cloud Core)-Instanz entfernen.

OAuth in der Looker-Instanz (Google Cloud Core) konfigurieren

In der Looker (Google Cloud Core)-Instanz können Sie im Menü Verwaltung auf der Seite Google-Authentifizierung im Bereich Authentifizierung einige Google OAuth-Einstellungen konfigurieren. Sie benötigen die Looker-Rolle Administrator.

Nutzerkonten zusammenführen

Geben Sie im Feld Merge Users Using (Nutzer mithilfe von) die Methode an, mit der eine erstmalige OAuth-Anmeldung mit einem vorhandenen Nutzerkonto zusammengeführt werden soll. Wenn sich ein Nutzer zum ersten Mal über OAuth anmeldet, wird er mit dieser Option mit seinem bestehenden Konto verknüpft, indem das Konto mit einer übereinstimmenden E-Mail-Adresse gefunden wird. Wenn kein Konto für den Nutzer vorhanden ist, wird ein neues Nutzerkonto erstellt.

Sie können Nutzer aus den folgenden Systemen zusammenführen:

  • SAML
  • OIDC

Wenn Sie mehrere Systeme haben, können Sie in diesem Feld mehrere Systeme angeben, die zusammengeführt werden sollen. Looker (Google Cloud Core) sucht Nutzer in den aufgeführten Systemen in der Reihenfolge, in der die Systeme angegeben sind. Wenn Sie beispielsweise zuerst einige Nutzer mit OIDC und später mit SAML erstellt haben, sucht Looker (Google Cloud Core) bei der ersten Anmeldung eines Nutzers mit OAuth zuerst nach dem Nutzer mit OIDC. Wenn kein Nutzer mit OIDC gefunden wird, wird nach dem Nutzer mit SAML gesucht.

Wenn Sie nicht möchten, dass Nutzer in Looker (Google Cloud Core) zusammengeführt werden, lassen Sie dieses Feld leer.

Google-Gruppen spiegeln

Wenn Sie Google-Gruppen verwaltet haben, können Sie mit Looker (Google Cloud Core) Looker-Gruppen erstellen, die die Mitgliedschaft Ihrer Google-Gruppen widerspiegeln. Das bedeutet, dass Sie Nutzer nicht direkt in Looker (Google Cloud Core) einrichten müssen, sondern den Nutzerzugriff über die Mitgliedschaft in den Google-Gruppen verwalten können. Außerdem können Sie mit Looker-Gruppen Rollen zu Gruppenmitgliedern zuweisen, Zugriffssteuerungen für Inhalte festlegen, Funktions- und Datenzugriff steuern und Nutzerattribute zuweisen.

Die gespiegelten Looker-Gruppen (und alle zugehörigen Rollen und Zugriffe) werden neuen Nutzern bei der ersten Anmeldung in der Looker (Google Cloud Core)-Instanz zugewiesen. Die Gruppen werden nicht auf bereits vorhandene Nutzer angewendet und sie werden nicht noch einmal angewendet, wenn sie nach der ersten Anmeldung des Nutzers aus seinem Konto in Looker (Google Cloud Core) entfernt werden.

Wir empfehlen, die Gruppenspiegelung nur für die primäre Authentifizierungsmethode für Looker (Google Cloud Core) zu aktivieren. Wenn Sie OAuth als Sicherungsauthentifizierungsmethode verwenden, aktivieren Sie das Gruppenspiegeln für OAuth nicht. Wenn Sie das Gruppenspiegeln sowohl für die primäre als auch für die sekundäre Authentifizierungsmethode aktivieren, geschieht Folgendes:

  • Wenn ein Nutzer Identitäten zusammengeführt hat, wird beim Gruppen-Mirroring die primäre Authentifizierungsmethode verwendet, unabhängig von der tatsächlichen Authentifizierungsmethode, die für die Anmeldung verwendet wurde.
  • Wenn ein Nutzer keine zusammengeführten Identitäten hat, wird das Gruppen-Mirroring anhand der Authentifizierungsmethode abgeglichen, die für die Anmeldung verwendet wurde.

Gespiegelte Gruppen aktivieren

So aktivieren Sie das Gruppen-Mirroring:

  1. Aktivieren Sie in der Google Cloud Console die Cloud Identity API in dem Google Cloud Projekt, das Ihren OAuth-Client enthält. Sie benötigen die IAM-Rolle Service Usage Admin (roles/serviceusage.serviceUsageAdmin), um APIs zu aktivieren.

    API aktivieren

  2. Aktualisieren Sie in der Google Cloud Console den Zustimmungsbildschirm des OAuth-Clients, um den Bereich https://www.googleapis.com/auth/cloud-identity.groups.readonly hinzuzufügen. Sie benötigen die IAM-Berechtigung clientauthconfig.clients.update, um Bereiche hinzuzufügen. Führen Sie die folgenden Schritte aus, um den Einwilligungsbildschirm zu aktualisieren:

    • Rufen Sie den OAuth-Client auf.
    • Wählen Sie die Seite Datenzugriff aus.
    • Klicken Sie auf die Schaltfläche Bereiche hinzufügen oder entfernen. Daraufhin wird der Bereich Ausgewählte Bereiche aktualisieren geöffnet.
    • Suchen Sie den Bereich https://www.googleapis.com/auth/cloud-identity.groups.readonly und klicken Sie das Kästchen daneben an.
    • Klicken Sie auf die Schaltfläche Aktualisieren, um den Umfang hinzuzufügen.

    • Schließen Sie den Bereich und klicken Sie auf der Seite Datenzugriff auf Speichern, um den Umfang zu speichern.

  3. Aktivieren Sie in der Looker (Google Cloud Core)-Instanz auf der Seite Google-Authentifizierung die Option Google-Gruppen spiegeln. Diese Option ist standardmäßig deaktiviert. Füllen Sie die folgenden Felder aus:

    • Geben Sie im Feld Looker-Gruppenname einen Namen für die Looker-Gruppe ein. Dieser Name wird in Looker (Google Cloud Core) auf der Seite Gruppen angezeigt.
    • Geben Sie im Feld Google-Gruppen-ID den Namen oder die E-Mail-Adresse der Google-Gruppe ein, die Sie spiegeln möchten.
    • Geben Sie im Feld Rolle die Looker-Rolle oder -Rollen ein, die Sie den Mitgliedern dieser Gruppe zuweisen möchten.

In Looker (Google Cloud Core) wird für jede Google-Gruppe, die der Seite Google-Authentifizierung hinzugefügt wird, eine Looker-Gruppe erstellt. Sie finden diese Looker-Gruppen in Looker (Google Cloud Core) auf der Seite Gruppen.

Gespiegelte Gruppen bearbeiten

Wenn Sie Änderungen an einer Google Groups-Mitgliedschaft vornehmen, werden diese Änderungen automatisch auf die Mitgliedschaft der gespiegelten Looker-Gruppe übertragen und bei der nächsten Anmeldung jedes Nutzers validiert.

Wenn Sie die Felder Benutzerdefinierter Name oder Rolle bearbeiten, die einer Gruppe auf der Seite Google-Authentifizierung zugewiesen sind, ändert sich die Darstellung des Namens der gespiegelten Looker-Gruppe auf der Seite Gruppen in Looker (Google Cloud Core) oder die der Gruppe zugewiesenen Rollen. Die Gruppenmitglieder bleiben jedoch unverändert.

Wenn Sie den Namen oder die E-Mail-Adresse im Feld Google-Gruppen-ID auf der Seite Google-Authentifizierung in die ID einer neuen Google-Gruppe ändern, werden die Mitglieder der gespiegelten Looker-Gruppe durch die Mitglieder der neuen Google-Gruppe ersetzt. Der Gruppenname und die Rollen bleiben jedoch unverändert, wie auf der Seite Google-Authentifizierung definiert.

Alle Änderungen, die an einer gespiegelten Gruppe vorgenommen werden, werden auf die Nutzer dieser Gruppe angewendet, wenn sie sich das nächste Mal in Looker (Google Cloud Core) anmelden.

Gespiegelte Gruppen deaktivieren

Wenn Sie das Spiegeln Ihrer Google-Gruppen in Looker (Google Cloud Core) beenden möchten, deaktivieren Sie die Option Google-Gruppen spiegeln auf der Seite Google-Authentifizierung der Looker (Google Cloud Core)-Instanz.

Wenn die Option deaktiviert ist, können gespiegelte Looker-Gruppen, die noch Nutzer enthalten, in Looker (Google Cloud Core) verwendet werden. Sie können auch für die Inhaltsverwaltung und Rollenzuweisung verwendet werden. Sobald Google-Gruppen spiegeln deaktiviert ist, können Nutzer den gespiegelten Looker-Gruppen nicht mehr hinzugefügt oder daraus entfernt werden. Alle gespiegelten Looker-Gruppen, die keine Nutzer enthalten, werden gelöscht.

Erweiterte Rollenverwaltung

Wenn die Option Google-Gruppen spiegeln aktiviert ist, werden auf der Seite Google-Authentifizierung die Einstellungen für die Erweiterte Rollenverwaltung angezeigt. Mit den Optionen in diesem Abschnitt wird festgelegt, wie flexibel Looker-Administratoren Looker-Gruppen und Nutzer konfigurieren können, die von Google gespiegelt wurden.

Wenn die Konfiguration Ihrer Looker-Gruppe und Ihrer Nutzer genau mit der Konfiguration von Google Groups übereinstimmen soll, aktivieren Sie alle Optionen für die erweiterte Rollenverwaltung. Wenn alle Optionen aktiviert sind, können Looker-Administratoren keine gespiegelten Gruppenmitgliedschaften ändern und Nutzern nur über Google Groups Rollen zuweisen.

Wenn Sie Ihre Gruppen in Looker (Google Cloud Core) flexibler anpassen möchten, deaktivieren Sie diese Optionen. Ihre Looker-Gruppen (Google Cloud Core) werden weiterhin Ihre Google Groups-Konfiguration widerspiegeln. Sie können jedoch zusätzliche Gruppen- und Nutzerverwaltung in Looker (Google Cloud Core) ausführen, z. B. Google-Nutzer zu Looker-Gruppen hinzufügen oder Google-Nutzern direkt Looker-Rollen zuweisen.

Für Looker (Google Cloud Core)-Instanzen sind diese Optionen standardmäßig deaktiviert.

Der Bereich Erweiterte Rollenverwaltung enthält die folgenden Optionen:

  • Verhindern, dass einzelne Google-Nutzer direkte Rollen erhalten: Wenn Sie diese Option aktivieren, können Looker-Administratoren Google-Nutzern keine Looker-Rollen mehr direkt zuweisen. Google-Nutzer erhalten dann nur Rollen über ihre Gruppenmitgliedschaften. Wenn Google-Nutzer die Mitgliedschaft in integrierten (nicht gespiegelten) Looker-Gruppen erlaubt ist, können sie ihre Rollen weiterhin sowohl von gespiegelten Google-Gruppen als auch von integrierten Looker-Gruppen erben. Bei allen Google-Nutzern, denen zuvor direkt Rollen zugewiesen wurden, werden diese Rollen bei der nächsten Anmeldung entfernt.

    Wenn diese Option deaktiviert ist, können Looker-Administratoren Google-Nutzern innerhalb der Looker (Google Cloud Core)-Instanz Looker-Rollen direkt zuweisen.

  • Direkte Mitgliedschaft in nicht von Google verwalteten Gruppen verhindern: Mit dieser Option können Looker-Administratoren Mitgliedern von gespiegelten Gruppen nicht direkt zu integrierten Looker-Gruppen hinzufügen, die nicht Teil der Konfiguration der gespiegelten Gruppe auf der Seite Google-Authentifizierung sind.

    Wenn diese Option ausgewählt ist, werden alle Google-Nutzer, die zuvor zu integrierten Looker-Gruppen zugewiesen waren, bei der nächsten Anmeldung aus diesen Gruppen entfernt.

    Wenn diese Option deaktiviert ist, können Looker-Administratoren Google-Nutzer direkt zu integrierten Looker-Gruppen hinzufügen.

  • Übernahme von Rollen aus nicht von Google verwalteten Gruppen verhindern: Mit dieser Option wird verhindert, dass Mitglieder von gespiegelten Gruppen Rollen von integrierten Looker-Gruppen übernehmen. Wenn gespiegelte Google-Gruppen Mitglieder von integrierten Looker-Gruppen sein dürfen, können Google-Nutzer die Mitgliedschaft in allen integrierten Looker-Gruppen behalten. Google-Nutzer, die zuvor Rollen von einer integrierten Looker-Gruppe übernommen haben, verlieren diese Rollen bei der nächsten Anmeldung.

    Wenn diese Option deaktiviert ist, erben gespiegelte Gruppen oder Google-Nutzer, die als Mitglieder einer integrierten Looker-Gruppe hinzugefügt werden, die Rollen, die der integrierten Looker-Gruppe zugewiesen sind.

  • Auth Requires Role (Authentifizierung erfordert Rolle): Wenn diese Option aktiviert ist, müssen Google-Nutzern eine Looker-Rolle zugewiesen sein. Google-Nutzer, denen keine Rolle zugewiesen ist, können sich nicht in Looker (Google Cloud Core) anmelden.

    Wenn diese Option deaktiviert ist, können sich Google-Nutzer auch dann bei Looker (Google Cloud Core) authentifizieren, wenn ihnen keine Rolle zugewiesen ist. Nutzer ohne zugewiesene Rolle können keine Daten sehen oder Aktionen in Looker (Google Cloud Core) ausführen, sich aber in Looker (Google Cloud Core) anmelden.

Standard-Looker-Rolle festlegen

Wenn die Option Google Groups spiegeln deaktiviert ist, wird die Einstellung Rollen für neue Nutzer auf der Seite Google-Authentifizierung angezeigt. Mit dieser Einstellung können Sie die Standard-Looker-Rolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser) oder der IAM-Rolle „Looker-Betrachter“ (roles/looker.viewer) bei der ersten Anmeldung in einer Looker-Instanz (Google Cloud Core) gewährt wird. So legen Sie eine Standardrolle fest:

  1. Rufen Sie im Menü Verwaltung im Abschnitt Authentifizierung die Seite Google-Authentifizierung auf.
  2. Wählen Sie unter Rollen für neue Nutzer die Rolle aus, die Sie allen neuen Nutzern standardmäßig zuweisen möchten. Die Einstellung enthält eine Liste aller Standardrollen und benutzerdefinierten Rollen in der Looker (Google Cloud Core)-Instanz.

Administratorrollen können keine Standardrollen sein. Nutzerkonten mit der IAM-Rolle „Looker Admin“ (roles/looker.admin) erhalten bei der ersten Anmeldung zusätzlich zur Rolle, die in der Einstellung Rollen für neue Nutzer ausgewählt ist, die Looker-Rolle Administrator über IAM.

Wenn Sie die Option Google Groups spiegeln aktivieren, nachdem Sie die Einstellung Rollen für neue Nutzer angepasst haben, werden die Rollen, die Nutzern über die Einstellung Rollen für neue Nutzer zugewiesen wurden, bei der nächsten Anmeldung entfernt und durch die Rollen ersetzt, die über die Einstellung Google Groups spiegeln zugewiesen wurden.

Nutzerauthentifizierung testen

Klicken Sie auf die Schaltfläche Google-Authentifizierung testen, um Ihre Einstellungen zu testen. Bei Tests werden Sie zum OAuth-Server von Google weitergeleitet und ein Browsertab wird geöffnet. Auf dem Tab werden die folgenden Informationen angezeigt:

  • Ob Looker (Google Cloud Core) mit dem Server kommunizieren und eine Validierung durchführen konnte.
  • Die Nutzerinformationen, die Looker (Google Cloud Core) vom Server erhält. Sie müssen prüfen, ob der Server die richtigen Ergebnisse zurückgibt.
  • Ein Trace, der zeigt, wie die Informationen gefunden wurden. Verwenden Sie den Trace, um die Fehlerbehebung durchzuführen, wenn die Informationen falsch sind. Wenn Sie weitere Informationen benötigen, können Sie die Roh-XML-Serverdatei lesen.
  • Sowohl die decodierte als auch die Rohversion des empfangenen ID-Tokens. Damit können Nutzerdetails und die Google-Konfiguration bestätigt werden.

Einstellungen speichern und anwenden

Wenn Sie alle Informationen eingegeben haben und alle Tests bestanden wurden, klicken Sie auf das Kästchen Ich habe die oben genannte Konfiguration bestätigt und möchte sie global anwenden und dann auf Senden, um sie zu speichern.

Nutzern eine Looker (Google Cloud Core)-Instanz hinzufügen

Nachdem eine Looker (Google Cloud Core)-Instanz erstellt wurde, können Nutzer über IAM hinzugefügt werden. So fügen Sie Nutzer hinzu:

  1. Sie benötigen die Rolle Projekt-IAM-Administrator oder eine andere Rolle, mit der Sie den IAM-Zugriff verwalten können.

  2. Rufen Sie das Google Cloud Console-Projekt auf, in dem sich die Looker (Google Cloud Core)-Instanz befindet.

  3. Rufen Sie in der Google Cloud Console den Bereich IAM und Verwaltung > IAM auf.

  4. Wählen Sie Zugriff gewähren aus.

  5. Fügen Sie im Abschnitt Hauptkonten hinzufügen eine oder mehrere der folgenden Optionen hinzu:

    • E-Mail-Adresse eines Google-Kontos
    • Eine Google-Gruppe
    • Eine Google Workspace-Domain

  6. Wählen Sie im Bereich Rollen zuweisen eine der vordefinierten IAM-Rollen für Looker (Google Cloud Core) oder eine benutzerdefinierte Rolle aus, die Sie hinzugefügt haben.

  7. Klicken Sie auf Speichern.

  8. Informieren Sie neue Looker (Google Cloud Core)-Nutzer darüber, dass der Zugriff gewährt wurde, und leiten Sie sie zur URL der Instanz weiter. Dort können sie sich in der Instanz anmelden, wodurch ihre Konten erstellt werden. Es wird keine automatische Kommunikation gesendet.

Wenn Sie die IAM-Rolle eines Nutzers ändern, wird die IAM-Rolle innerhalb weniger Minuten an die Looker (Google Cloud Core)-Instanz übertragen. Wenn bereits ein Looker-Nutzerkonto vorhanden ist, bleibt die Looker-Rolle dieses Nutzers unverändert.

Alle Nutzer müssen mit den zuvor beschriebenen IAM-Schritten bereitgestellt werden, mit einer Ausnahme: Sie können nur für die Looker API Dienstkonten in der Looker (Google Cloud Core)-Instanz erstellen.

Mit OAuth in Looker (Google Cloud Core) anmelden

Bei der ersten Anmeldung werden Nutzer aufgefordert, sich mit ihrem Google-Konto anzumelden. Er muss dabei dasselbe Konto verwenden, das der Looker-Administrator beim Gewähren des Zugriffs im Feld Hauptkonten hinzufügen angegeben hat. Nutzer sehen den OAuth-Zustimmungsbildschirm, der beim Erstellen des OAuth-Clients konfiguriert wurde. Nachdem die Nutzer der Einwilligung zugestimmt haben, werden ihre Konten in der Looker (Google Cloud Core)-Instanz erstellt und sie werden angemeldet.

Danach werden Nutzer automatisch in Looker (Google Cloud Core) angemeldet, es sei denn, ihre Autorisierung läuft ab oder wird vom Nutzer widerrufen. In diesen Fällen wird der OAuth-Zustimmungsbildschirm noch einmal angezeigt und die Nutzer werden aufgefordert, der Autorisierung zuzustimmen.

Einigen Nutzern können API-Anmeldedaten zugewiesen werden, die zum Abrufen eines API-Zugriffstokens verwendet werden. Wenn die Autorisierung für diese Nutzer abläuft oder widerrufen wird, funktionieren ihre API-Anmeldedaten nicht mehr. Auch alle aktuellen API-Zugriffstokens funktionieren dann nicht mehr. Um das Problem zu beheben, muss der Nutzer seine Anmeldedaten noch einmal autorisieren, indem er sich für jede betroffene Looker (Google Cloud Core)-Instanz in der Looker (Google Cloud Core)-Benutzeroberfläche anmeldet. Alternativ können Sie nur für APIs verwendete Dienstkonten verwenden, um Autorisierungsfehler für Anmeldedaten für API-Zugriffstokens zu vermeiden.

OAuth-Zugriff auf Looker (Google Cloud Core) entfernen

Wenn Sie eine Rolle haben, mit der Sie den IAM-Zugriff verwalten können, können Sie den Zugriff auf eine Looker-Instanz (Google Cloud Core) entfernen, indem Sie die IAM-Rolle widerrufen, die den Zugriff gewährt hat. Wenn Sie die IAM-Rolle eines Nutzerkontos entfernen, wird diese Änderung innerhalb weniger Minuten an die Looker-Instanz (Google Cloud Core) übertragen. Der Nutzer kann sich nicht mehr bei der Instanz authentifizieren. Das Nutzerkonto wird jedoch weiterhin auf der Seite Nutzer als aktiv angezeigt. Wenn Sie das Nutzerkonto von der Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker-Instanz (Google Cloud Core).

OAuth als Authentifizierungsmethode für den Notfall verwenden

OAuth ist die Authentifizierungsmethode für den Notfall, wenn SAML oder OIDC die primäre Authentifizierungsmethode ist.

Wenn Sie OAuth als Sicherungsmethode einrichten möchten, gewähren Sie jedem Looker (Google Cloud Core)-Nutzer die entsprechende IAM-Rolle, um sich in der Instanz anzumelden.

Sobald die Sicherungsmethode eingerichtet ist, können Nutzer so darauf zugreifen:

  1. Wählen Sie auf der Anmeldeseite Über Google authentifizieren aus.
  2. Ein Dialogfeld zur Bestätigung der Google-Authentifizierung wird angezeigt. Wählen Sie im Dialogfeld Bestätigen aus.

Nutzer können sich dann mit ihren Google-Konten anmelden. Bei der ersten Anmeldung mit OAuth werden sie aufgefordert, den OAuth-Zustimmungsbildschirm zu akzeptieren, der bei der Instanzerstellung eingerichtet wurde.

Nächste Schritte