Utiliser Google OAuth pour l'authentification des utilisateurs de Looker (Google Cloud Core)

Google OAuth est utilisé avec Identity and Access Management (IAM) pour authentifier les utilisateurs de Looker (Google Cloud core).

Lorsque vous utilisez OAuth pour l'authentification, Looker (Google Cloud Core) authentifie les utilisateurs via le protocole OAuth 2.0. Utilisez n'importe quel client OAuth 2.0 pour créer des identifiants d'autorisation lorsque vous créez une instance. Par exemple, cette page vous explique comment configurer l'authentification pour une instance Looker (Google Cloud Core) à l'aide de la console Google Cloud pour créer des identifiants OAuth.

Si une autre méthode est la méthode d'authentification principale, Google OAuth est la méthode d'authentification de secours par défaut. Google OAuth est également la méthode d'authentification utilisée par l'Cloud Customer Care pour fournir une assistance.

Le client OAuth utilisé pour l'authentification doit être le même que celui utilisé pour configurer l'instance.

Authentification et autorisation avec OAuth et IAM

Lorsqu'ils sont utilisés avec OAuth, les rôles IAM Looker (Google Cloud Core) fournissent les niveaux d'authentification et d'autorisation suivants pour toutes les instances Looker (Google Cloud Core) d'un Google Cloud projet donné. Attribuez l'un des rôles IAM suivants à chacun de vos comptes principaux, en fonction des niveaux d'accès que vous souhaitez leur accorder:

Rôle IAM Authentification Autorisation
Utilisateur de l'instance Looker (roles/looker.instanceUser)

peut se connecter aux instances Looker (Google Cloud Core) ;

 Lors de la première connexion à Looker (Google Cloud Core), le rôle Looker par défaut défini dans Rôles pour les nouveaux utilisateurs est accordé.

Impossible d'accéder aux ressources Looker (Google Cloud Core) dans la console Google Cloud .
Lecteur Looker (roles/looker.viewer) peut se connecter aux instances Looker (Google Cloud Core) ; Lors de la première connexion à Looker (Google Cloud Core), le rôle Looker par défaut défini dans Rôles pour les nouveaux utilisateurs est accordé.

peut afficher la liste des instances Looker (Google Cloud Core) et les détails des instances dans la console Google Cloud  ;
Administrateur Looker (roles/looker.admin) peut se connecter aux instances Looker (Google Cloud Core) ; Lors de la première connexion à Looker (Google Cloud Core), le rôle Looker par défaut défini dans Rôles pour les nouveaux utilisateurs est accordé.

Validé à chaque connexion à Looker (Google Cloud Core) qui utilise OAuth principal ou OAuth de secours, et chaque fois que l'utilisateur appelle l'API Looker, ce rôle (ou un rôle personnalisé qui inclut l'autorisation looker.instances.update) accorde également le rôle Administrateur via IAM dans l'instance.

Le rôle Administrateur via IAM contient toutes les autorisations et fonctionnalités du rôle Administrateur Looker. Ce rôle ne peut pas être supprimé ni réaffecté dans l'instance Looker (Google Cloud Core). Pour supprimer le rôle Admin via IAM, réattribuez le compte principal à un rôle IAM autre que Looker Admin (roles/looker.admin). Les modifications apportées aux rôles IAM sont automatiquement synchronisées avec l'instance Looker (Google Cloud Core), même si l'utilisateur se connecte avec un fournisseur d'identité tiers après la modification. Pour en savoir plus, consultez la section Rôle d'administrateur Looker par rapport au rôle d'administrateur via le rôle d'administrateur Looker IAM.

Tant que le jeton d'actualisation OAuth d'un utilisateur est valide, son rôle s'affiche comme Administrateur via IAM dans Looker (Google Cloud Core), même si cet utilisateur se connecte ultérieurement avec un fournisseur d'identité tiers. Si le jeton d'actualisation OAuth expire ou est révoqué, l'utilisateur doit se reconnecter à l'instance via OAuth pour récupérer le rôle Administrateur via IAM.

peut effectuer toutes les tâches administratives pour Looker (Google Cloud Core) dans la console Google Cloud  ;

De plus, les comptes utilisateur disposant du rôle owner pour un projet peuvent se connecter à toutes les instances Looker (Google Cloud Core) de ce projet et les administrer. Ces utilisateurs se verront attribuer le rôle Administrateur Looker.

Si les rôles prédéfinis ne fournissent pas l'ensemble d'autorisations souhaité, vous pouvez également créer vos propres rôles personnalisés.

Les comptes Looker (Google Cloud Core) sont créés lors de la première connexion à une instance Looker (Google Cloud Core).

Rôle d'administrateur Looker par rapport au rôle d'administrateur via le rôle d'administrateur Looker IAM

Dans une instance Looker (Google Cloud Core), deux rôles utilisent l'ensemble d'autorisations administrateur et confèrent les mêmes droits d'administrateur dans l'instance. Le tableau suivant récapitule les similitudes et les différences entre les deux rôles.

Propriété Rôle Administrateur Looker Rôle Administrateur Looker IAM
Source fiable Accordé par un autre administrateur dans l'instance Looker (Google Cloud Core) Lié directement au rôle IAM d'administrateur Looker
peuvent être ajoutés ou supprimés dans une instance Looker (Google Cloud Core) ? Oui Non
Peut-on ajouter ou supprimer des rôles avec IAM ? Non Oui
Autorisations dans Looker (Google Cloud Core) Toutes les autorisations Toutes les autorisations
Autorisations dans la console Google Cloud Aucun Accès complet à toutes les ressources Looker (Google Cloud Core)
Validation des rôles En continu dans l'instance Looker (Google Cloud Core) À chaque connexion à l'instance Looker (Google Cloud Core) et à chaque appel d'API Looker.

La propagation des modifications apportées à un rôle avec IAM peut prendre plusieurs minutes.
Champ d'application Instance Looker (Google Cloud Core) individuelle Toutes les instances Looker (Google Cloud Core) d'un Google Cloud projet

Un utilisateur peut disposer à la fois des rôles Administrateur et Administrateur via IAM dans Looker. Par conséquent, si vous souhaitez révoquer les droits d'administrateur, veillez à supprimer à la fois le rôle IAM et le rôle administrateur dans l'instance Looker (Google Cloud Core).

.

Configurer OAuth dans l'instance Looker (Google Cloud Core)

Dans l'instance Looker (Google Cloud Core), la page Authentification Google de la section Authentification du menu Administration vous permet de configurer certains paramètres OAuth Google. Vous devez disposer du rôle Administrateur Looker.

Fusionner des comptes utilisateur

Dans le champ Fusionner les utilisateurs à l'aide de, spécifiez la méthode à utiliser pour fusionner une première connexion OAuth avec un compte utilisateur existant. Lorsqu'un utilisateur se connecte pour la première fois via OAuth, cette option le connecte à son compte existant en recherchant le compte associé à une adresse e-mail correspondante. Si aucun compte n'existe pour l'utilisateur, un compte utilisateur sera créé.

Vous pouvez fusionner des utilisateurs à partir des systèmes suivants:

  • SAML
  • OIDC

Si vous avez mis en place plusieurs systèmes, vous pouvez en spécifier plusieurs dans ce champ. Looker (Google Cloud Core) recherche les utilisateurs des systèmes listés dans l'ordre dans lequel ils sont spécifiés. Par exemple, si vous avez d'abord créé des utilisateurs avec OIDC, puis utilisé SAML, lorsqu'un utilisateur tente de se connecter avec OAuth pour la première fois, Looker (Google Cloud Core) recherche d'abord l'utilisateur avec OIDC, puis, s'il ne trouve pas de correspondance avec OIDC, il recherche l'utilisateur avec SAML.

Si vous ne souhaitez pas que Looker (Google Cloud Core) fusionne les utilisateurs, laissez ce champ vide.

Dupliquer les groupes Google

Si vous avez géré des groupes Google, Looker (Google Cloud Core) peut créer des groupes Looker qui reflètent les adhésions à vos groupes Google. Vous n'avez donc pas besoin de configurer directement les utilisateurs dans Looker (Google Cloud Core), mais vous pouvez gérer leur accès en gérant l'appartenance aux groupes Google. Vous pouvez également utiliser des groupes Looker pour attribuer des rôles aux membres du groupe, définir des contrôles d'accès au contenu, contrôler l'accès aux fonctionnalités et aux données, et attribuer des attributs utilisateur.

Les groupes Looker clonés (ainsi que les rôles et les accès associés) sont appliqués aux nouveaux utilisateurs lors de leur première connexion à l'instance Looker (Google Cloud Core). Les groupes ne sont pas appliqués aux utilisateurs existants, et ne sont pas appliqués à nouveau s'ils sont supprimés du compte d'un utilisateur dans Looker (Google Cloud Core) après sa première connexion.

Nous vous recommandons d'activer la duplication de groupe uniquement pour la méthode d'authentification principale de Looker (Google Cloud Core). Si vous utilisez OAuth comme méthode d'authentification de secours, n'activez pas la duplication de groupe pour OAuth. Si vous activez la duplication de groupe pour les méthodes d'authentification principale et secondaire, les comportements suivants se produisent:

  • Si un utilisateur a fusionné des identités, la duplication de groupe correspond à la méthode d'authentification principale, quelle que soit la méthode d'authentification utilisée pour la connexion.
  • Si un utilisateur n'a pas fusionné d'identités, la duplication de groupe correspond à la méthode d'authentification utilisée pour se connecter.

Procédure à suivre pour activer les groupes miroirs

Pour activer la duplication de groupe, procédez comme suit:

  1. Dans la Google Cloud console, activez l'API Cloud Identity dans le Google Cloud projet qui contient votre client OAuth. Vous devez disposer du rôle IAM Administrateur Service Usage (roles/serviceusage.serviceUsageAdmin) pour activer des API.

    Activer l'API

  2. Dans la console Google Cloud , mettez à jour l'écran de consentement du client OAuth pour ajouter le champ d'application https://www.googleapis.com/auth/cloud-identity.groups.readonly. Vous devez disposer de l'autorisation IAM clientauthconfig.clients.update pour ajouter des portées. Pour mettre à jour l'écran d'autorisation, procédez comme suit:

    • Accédez au client OAuth.
    • Sélectionnez la page Accès aux données.
    • Cliquez sur le bouton Ajouter ou supprimer des champs d'application. Le panneau Mettre à jour les champs d'application sélectionnés s'ouvre.
    • Recherchez la portée https://www.googleapis.com/auth/cloud-identity.groups.readonly, puis cochez la case correspondante.
    • Cliquez sur le bouton Mettre à jour pour ajouter le champ d'application.

    • Fermez le panneau, puis cliquez sur Enregistrer sur la page Accès aux données pour enregistrer la portée.

  3. Dans l'instance Looker (Google Cloud Core), activez l'option Mirror Google Groups (Refléter les groupes Google) sur la page Google Authentication (Authentification Google). Cette option est désactivée par défaut. Remplissez les champs suivants :

    • Dans le champ Nom du groupe Looker, ajoutez un nom au groupe Looker. Il s'agit du nom qui s'affichera sur la page Groupes de Looker (Google Cloud Core).
    • Dans le champ ID de groupe Google, saisissez le nom ou l'adresse e-mail du groupe Google que vous souhaitez dupliquer.
    • Dans le champ Rôle, saisissez le ou les rôles de visionneuse que vous souhaitez attribuer aux membres de ce groupe.

Looker (Google Cloud Core) crée un groupe Looker pour chaque groupe Google ajouté à la page Authentification Google. Vous pouvez afficher ces groupes Looker sur la page Groups (Groupes) de Looker (Google Cloud Core).

Modifier les groupes miroirs

Lorsque vous modifiez l'appartenance à un groupe Google Groupes, ces modifications sont automatiquement propagées à l'appartenance du groupe Looker miroir et validées lors de la prochaine connexion de chaque utilisateur.

Si vous modifiez les champs Nom personnalisé ou Rôle attribués à un groupe sur la page Authentification Google, le nom du groupe Looker dupliqué apparaîtra différemment sur la page Groupes de Looker (Google Cloud Core) ou le ou les rôles attribués au groupe seront modifiés, mais les membres du groupe ne changeront pas.

Si vous remplacez le nom ou l'adresse e-mail dans le champ ID de groupe Google de la page Authentification Google par l'ID d'un nouveau groupe Google, les membres du groupe Looker miroir seront remplacés par les membres du nouveau groupe Google, mais le nom et les rôles du groupe resteront les mêmes, comme définis sur la page Authentification Google.

Toutes les modifications apportées à un groupe miroir seront appliquées aux utilisateurs de ce groupe lors de leur prochaine connexion à Looker (Google Cloud Core).

Désactiver les groupes en miroir

Si vous souhaitez arrêter de dupliquer vos groupes Google dans Looker (Google Cloud Core), désactivez l'option Dupliquer les groupes Google sur la page Authentification Google de l'instance Looker (Google Cloud Core).

Lorsque l'option est désactivée, les groupes Looker dupliqués qui contiennent encore des utilisateurs restent disponibles dans Looker (Google Cloud Core) et peuvent être utilisés pour la gestion du contenu et l'attribution de rôles. Toutefois, vous ne pouvez plus ajouter ni supprimer d'utilisateurs dans les groupes Looker clonés une fois que l'option Cloner les groupes Google est désactivée. Tous les groupes Looker clonés qui ne contiennent pas d'utilisateurs seront supprimés.

Gestion avancée des rôles

Si l'option Refléter les groupes Google est activée, la page Authentification Google affiche les paramètres de Gestion des rôles avancée. Les options de cette section déterminent le niveau de flexibilité des administrateurs Looker lorsqu'ils configurent des groupes Looker et des utilisateurs qui ont été mis en miroir à partir de Google.

Si vous souhaitez que la configuration de votre groupe Looker et de vos utilisateurs corresponde exactement à celle de Google Groups, activez toutes les options de gestion avancée des rôles. Lorsque toutes les options sont activées, les administrateurs Looker ne peuvent pas modifier les adhésions aux groupes miroirs et ne peuvent attribuer des rôles aux utilisateurs que via Google Groupes.

Si vous souhaitez personnaliser plus facilement vos groupes dans Looker (Google Cloud Core), désactivez ces options. Vos groupes Looker (Google Cloud Core) continueront de refléter votre configuration Google Groupes, mais vous pourrez effectuer une gestion supplémentaire des groupes et des utilisateurs dans Looker (Google Cloud Core), par exemple en ajoutant des utilisateurs Google à des groupes Looker ou en attribuant des rôles Looker directement à des utilisateurs Google.

Pour les instances Looker (Google Cloud Core), ces options sont désactivées par défaut.

La section Gestion avancée des rôles contient les options suivantes:

  • Empêcher les utilisateurs Google individuels de recevoir des rôles directs: si vous activez cette option, les administrateurs Looker ne pourront plus attribuer des rôles Looker directement aux utilisateurs Google. Les utilisateurs Google ne recevront des rôles que s'ils sont membres d'un groupe. Si les utilisateurs Google sont autorisés à être membres de groupes Looker intégrés (et non dupliqués), ils peuvent toujours hériter de leurs rôles à la fois des groupes Google dupliqués et des groupes Looker intégrés. Les rôles qui étaient auparavant attribués directement aux utilisateurs Google seront supprimés lors de leur prochaine connexion.

    Si cette option est désactivée, les administrateurs Looker peuvent attribuer des rôles Looker directement aux utilisateurs Google dans l'instance Looker (Google Cloud Core).

  • Empêcher l'adhésion directe à des groupes autres que Google: cette option empêche les administrateurs Looker d'ajouter directement des membres de groupes miroirs à des groupes Looker intégrés qui ne font pas partie de la configuration du groupe miroir sur la page Authentification Google.

    Si vous sélectionnez cette option, tous les utilisateurs Google qui étaient auparavant affectés à des groupes Looker intégrés seront supprimés de ces groupes lors de leur prochaine connexion.

    Si cette option n'est pas cochée, les administrateurs Looker peuvent ajouter des utilisateurs Google directement à des groupes Looker intégrés.

  • Empêcher l'héritage des rôles depuis des groupes autres que Google: cette option empêche les membres des groupes miroirs d'hériter des rôles des groupes Looker intégrés. Si les groupes Google clonés sont autorisés à être membres de groupes Looker intégrés, les utilisateurs Google peuvent conserver leur appartenance à tous les groupes Looker intégrés. Tous les utilisateurs Google qui héritaient auparavant de rôles d'un groupe Looker intégré perdront ces rôles lors de leur prochaine connexion.

    Si cette option est désactivée, les groupes clonés ou les utilisateurs Google ajoutés en tant que membres d'un groupe Looker intégré hériteront des rôles attribués à ce groupe.

  • Auth Requires Role (Authentification nécessitant un rôle) : si cette option est activée, les utilisateurs Google doivent disposer d'un rôle Looker. Les utilisateurs Google auxquels aucun rôle n'est attribué ne pourront pas se connecter à Looker (Google Cloud Core).

    Si cette option est désactivée, les utilisateurs Google peuvent s'authentifier auprès de Looker (Google Cloud Core) même s'ils ne disposent d'aucun rôle. Un utilisateur sans rôle attribué ne pourra voir aucune donnée ni effectuer aucune action dans Looker (Google Cloud Core), mais il pourra se connecter à Looker (Google Cloud Core).

Définir un rôle Looker par défaut

Si le bouton bascule Refléter les groupes Google est désactivé, le paramètre Rôles pour les nouveaux utilisateurs s'affiche sur la page Authentification Google. Ce paramètre vous permet de définir le rôle Looker par défaut qui sera attribué aux comptes utilisateur disposant du rôle IAM Utilisateur d'instance Looker (roles/looker.instanceUser) ou du rôle IAM Lecteur Looker (roles/looker.viewer) lors de leur première connexion à une instance Looker (Google Cloud Core). Pour définir un rôle par défaut, procédez comme suit:

  1. Accédez à la page Authentification Google dans la section Authentification du menu Administration.
  2. Dans le paramètre Rôles pour les nouveaux utilisateurs, sélectionnez le rôle que vous souhaitez attribuer à tous les nouveaux utilisateurs par défaut. Ce paramètre contient la liste de tous les rôles par défaut et des rôles personnalisés de l'instance Looker (Google Cloud Core).

Les rôles d'administrateur ne peuvent pas être des rôles par défaut. Les comptes utilisateur disposant d'un rôle IAM administrateur Looker (roles/looker.admin) se verront attribuer le rôle Looker Administrateur via IAM lors de leur première connexion, en plus du rôle sélectionné dans le paramètre Rôles pour les nouveaux utilisateurs.

Si vous activez l'option Refléter les groupes Google après avoir personnalisé le paramètre Rôles pour les nouveaux utilisateurs, les rôles attribués aux utilisateurs via le paramètre Rôles pour les nouveaux utilisateurs seront supprimés lors de leur prochaine connexion et remplacés par les rôles attribués via le paramètre Refléter les groupes Google.

Tester l'authentification des utilisateurs

Cliquez sur le bouton Tester l'authentification Google pour tester vos paramètres. Les tests seront redirigés vers le serveur OAuth de Google et ouvriront un nouvel onglet du navigateur. L'onglet affiche les informations suivantes:

  • Indique si Looker (Google Cloud Core) a pu communiquer avec le serveur et le valider.
  • Informations utilisateur obtenues par Looker (Google Cloud Core) auprès du serveur. Vous devez vérifier que le serveur renvoie les résultats appropriés.
  • Une trace pour montrer comment les informations ont été trouvées. Si les informations sont incorrectes, utilisez la trace pour résoudre le problème. Si vous avez besoin d'informations supplémentaires, vous pouvez lire le fichier serveur XML brut.
  • Versions décodées et brutes du jeton d'identification reçu. Vous pouvez les utiliser pour confirmer les informations utilisateur et la configuration Google.

Enregistrer et appliquer les paramètres

Une fois que vous avez saisi vos informations et que tous les tests sont réussis, cochez la case J'ai confirmé la configuration ci-dessus et je souhaite l'appliquer globalement, puis cliquez sur Envoyer pour enregistrer.

Ajouter des utilisateurs à une instance Looker (Google Cloud Core)

Une fois une instance Looker (Google Cloud Core) créée, vous pouvez ajouter des utilisateurs via IAM. Pour ajouter des utilisateurs, procédez comme suit:

  1. Assurez-vous de disposer du rôle Administrateur de projet IAM ou d'un autre rôle vous permettant de gérer l'accès IAM.

  2. Accédez au projet de console Google Cloud dans lequel se trouve l'instance Looker (Google Cloud Core).

  3. Accédez à la section IAM et administration > IAM de la console Google Cloud .

  4. Sélectionnez Accorder l'accès.

  5. Dans la section Ajouter des comptes principaux, ajoutez une ou plusieurs des informations suivantes:

    • Adresse e-mail du compte Google
    • un groupe Google
    • Un domaine Google Workspace

  6. Dans la section Attribuer des rôles, sélectionnez l'un des rôles IAM Looker (Google Cloud Core) prédéfinis ou un rôle personnalisé que vous avez ajouté.

  7. Cliquez sur Enregistrer.

  8. Informez les nouveaux utilisateurs de Looker (Google Cloud Core) que l'accès leur a été accordé et redirigez-les vers l'URL de l'instance. Ils peuvent ensuite se connecter à l'instance, et leurs comptes seront créés. Aucune communication automatique ne sera envoyée.

Si vous modifiez le rôle IAM d'un utilisateur, il est propagé à l'instance Looker (Google Cloud Core) en quelques minutes. Si un compte utilisateur Looker existe déjà, le rôle Looker de cet utilisateur reste inchangé.

Tous les utilisateurs doivent être provisionnés en suivant les étapes IAM décrites précédemment, à une exception près: vous pouvez créer des comptes de service réservés à l'API Looker dans l'instance Looker (Google Cloud Core).

Se connecter à Looker (Google Cloud Core) avec OAuth

Lors de la première connexion, les utilisateurs sont invités à se connecter avec leur compte Google. Ils doivent utiliser le même compte que celui indiqué par l'administrateur Looker dans le champ Ajouter des comptes principaux lors de l'octroi de l'accès. Les utilisateurs verront l'écran de consentement OAuth configuré lors de la création du client OAuth. Une fois que les utilisateurs ont accepté l'écran de consentement, leurs comptes sont créés dans l'instance Looker (Google Cloud Core) et ils sont connectés.

Les utilisateurs seront ensuite automatiquement connectés à Looker (Google Cloud Core), sauf si leur autorisation expire ou est révoquée par l'utilisateur. Dans ces cas, les utilisateurs verront à nouveau l'écran de consentement OAuth et seront invités à donner leur consentement pour l'autorisation.

Certains utilisateurs peuvent se voir attribuer des identifiants API pour récupérer un jeton d'accès à l'API. Si l'autorisation de ces utilisateurs expire ou est révoquée, leurs identifiants API ne fonctionnent plus. Tous les jetons d'accès à l'API actuels cesseront également de fonctionner. Pour résoudre le problème, l'utilisateur doit réautoriser ses identifiants en se reconnectant à l'interface utilisateur de Looker (Google Cloud Core) pour chaque instance Looker (Google Cloud Core) concernée. Vous pouvez également utiliser des comptes de service réservés aux API pour éviter une erreur d'autorisation des identifiants pour les jetons d'accès aux API.

Supprimer l'accès OAuth à Looker (Google Cloud Core)

Si vous disposez d'un rôle vous permettant de gérer l'accès IAM, vous pouvez supprimer l'accès à une instance Looker (Google Cloud Core) en révoquant le rôle IAM qui a accordé l'accès. Si vous supprimez le rôle IAM d'un compte utilisateur, ce changement se propage dans l'instance Looker (Google Cloud Core) en quelques minutes. L'utilisateur ne pourra plus s'authentifier auprès de l'instance. Toutefois, le compte utilisateur apparaîtra toujours comme actif sur la page Utilisateurs. Pour supprimer le compte utilisateur de la page Utilisateurs, supprimez l'utilisateur dans l'instance Looker (Google Cloud Core).

Utiliser OAuth comme méthode d'authentification de secours

OAuth est la méthode d'authentification de secours lorsque SAML ou OIDC est la méthode d'authentification principale.

Pour configurer OAuth comme méthode de sauvegarde, accordez à chaque utilisateur Looker (Google Cloud Core) le rôle IAM approprié pour se connecter à l'instance.

Une fois la méthode de sauvegarde configurée, les utilisateurs y accèdent en procédant comme suit:

  1. Sélectionnez S'authentifier avec Google sur la page de connexion.
  2. Une boîte de dialogue s'affiche pour confirmer l'authentification Google. Sélectionnez Confirmer dans la boîte de dialogue.

Les utilisateurs peuvent ensuite se connecter avec leur compte Google. Lors de la première connexion avec OAuth, ils seront invités à accepter l'écran de consentement OAuth configuré lors de la création de l'instance.

Étape suivante