OAuth di Google viene utilizzato in combinazione con Identity and Access Management (IAM) per autenticare gli utenti di Looker (Google Cloud core).
Quando utilizzi OAuth per l'autenticazione, Looker (Google Cloud core) autentica gli utenti tramite il protocollo OAuth 2.0. Utilizza qualsiasi client OAuth 2.0 per creare le credenziali di autorizzazione quando crei un'istanza. Ad esempio, questa pagina illustra la procedura per configurare l'autenticazione per un'istanza di Looker (Google Cloud core) utilizzando la console Google Cloud per creare credenziali OAuth.
Se un altro metodo è la forma di autenticazione principale, OAuth di Google è per impostazione predefinita il metodo di autenticazione di backup. OAuth di Google è anche il metodo di autenticazione utilizzato dall'assistenza clienti di Cloud per fornire assistenza.
Autenticazione e autorizzazione con OAuth e IAM
Se utilizzati con OAuth, i ruoli IAM di Looker (Google Cloud core) forniscono i seguenti livelli di autenticazione e autorizzazione per tutte le istanze di Looker (Google Cloud core) all'interno di un determinato Google Cloud progetto. Assegna uno dei seguenti ruoli IAM a ciascuna entità, a seconda dei livelli di accesso che vuoi che abbia:
| Ruolo IAM | Autenticazione | Autorizzazione |
|---|---|---|
Utente istanza Looker (roles/looker.instanceUser) |
Può accedere alle istanze di Looker (Google Cloud core) |
Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo predefinito di Looker impostato in Ruoli per i nuovi utenti. Impossibile accedere alle risorse di Looker (Google Cloud core) nella console Google Cloud. |
Looker Viewer (roles/looker.viewer) |
Può accedere alle istanze di Looker (Google Cloud core) | Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo predefinito di Looker impostato in Ruoli per i nuovi utenti. Può visualizzare l'elenco delle istanze di Looker (Google Cloud core) e i relativi dettagli nella console Google Cloud |
Looker Admin (roles/looker.admin) |
Può accedere alle istanze di Looker (Google Cloud core) | Al primo accesso a Looker (Google Cloud core), è stato concesso il ruolo predefinito di Looker impostato in Ruoli per i nuovi utenti. Verificato a ogni accesso a Looker (Google Cloud core) che utilizza OAuth principale o OAuth di riserva e ogni volta che l'utente effettua una chiamata all'API Looker, questo ruolo (o un ruolo personalizzato che include l'autorizzazione |
Inoltre, gli account utente con il ruolo owner per un progetto possono accedere e amministrare qualsiasi istanza di Looker (Google Cloud core) all'interno del progetto. A questi utenti verrà assegnato il ruolo di amministratore di Looker.
Se i ruoli predefiniti non forniscono l'insieme di autorizzazioni che ti serve, puoi anche creare i tuoi ruoli personalizzati.
Gli account Looker (Google Cloud core) vengono creati al momento del primo accesso a un'istanza di Looker (Google Cloud core).
Ruolo di amministratore di Looker e ruolo di amministratore di Looker tramite IAM
In un'istanza di Looker (Google Cloud core) esistono due ruoli che utilizzano il set di autorizzazioni Amministrazione e conferiscono gli stessi privilegi amministrativi all'interno dell'istanza. La seguente tabella riassume le similitudini e le differenze tra i due ruoli.
| Proprietà | Ruolo amministratore di Looker | Ruolo di amministratore di Looker tramite IAM |
|---|---|---|
| Fonte attendibile | Concessi da un altro amministratore nell'istanza di Looker (Google Cloud core) | Collega direttamente al ruolo IAM di amministratore di Looker |
| Può essere aggiunto o rimosso all'interno di un'istanza di Looker (Google Cloud core)? | Sì | No |
| Può essere aggiunto o rimosso con IAM? | No | Sì |
| Autorizzazioni in Looker (Google Cloud core) | Tutte le autorizzazioni | Tutte le autorizzazioni |
| Autorizzazioni nella console Google Cloud | Nessuno | Accesso completo a tutte le risorse di Looker (Google Cloud core) |
| Convalida dei ruoli | Continuamente all'interno dell'istanza di Looker (Google Cloud core) | A ogni accesso all'istanza di Looker (Google Cloud core) e a ogni chiamata all'API Looker.La propagazione delle modifiche a un ruolo con IAM può richiedere diversi minuti. |
| Ambito | Singola istanza di Looker (Google Cloud core) | Tutte le istanze di Looker (Google Cloud core) all'interno di un Google Cloud progetto |
Un utente può avere sia il ruolo di Amministratore sia il ruolo di Amministratore tramite IAM di Looker. Pertanto, se vuoi revocare i privilegi amministrativi, assicurati di rimuovere sia il ruolo IAM sia il ruolo Amministratore all'interno dell'istanza di Looker (Google Cloud core).
Configurazione di OAuth all'interno dell'istanza di Looker (Google Cloud core)
All'interno dell'istanza di Looker (Google Cloud core), la pagina Google nella sezione Autenticazione del menu Amministrazione ti consente di configurare alcune impostazioni di OAuth di Google.
Impostazione di un ruolo Looker predefinito all'interno dell'istanza di Looker (Google Cloud core)
Prima di aggiungere utenti, puoi impostare il ruolo di Looker predefinito che verrà concesso agli account utente con il ruolo IAM Utente istanza di Looker (roles/looker.instanceUser) o il ruolo IAM Visualizzatore di Looker (roles/looker.viewer) al primo accesso a un'istanza di Looker (Google Cloud core). Per impostare un ruolo predefinito:
- Vai alla pagina Google nella sezione Autenticazione del menu Amministrazione.
- Nell'impostazione Ruoli per i nuovi utenti, seleziona il ruolo che vuoi concedere a tutti i nuovi utenti per impostazione predefinita. L'impostazione contiene un elenco di tutti i ruoli predefiniti e i ruoli personalizzati all'interno dell'istanza di Looker (Google Cloud core).
I ruoli amministrativi non possono essere ruoli predefiniti. Agli account utente con un ruolo IAM di amministratore di Looker (roles/looker.admin) verrà concesso il ruolo di Amministratore tramite IAM di Looker al primo accesso, oltre al ruolo selezionato nell'impostazione Ruoli per i nuovi utenti.
Specifica il metodo utilizzato per unire gli utenti OAuth a un account Looker (Google Cloud core)
Nel campo Unisci gli utenti utilizzando, specifica il metodo da utilizzare per unire un primo accesso OAuth a un account utente esistente. Puoi unire gli utenti dei seguenti sistemi:
- SAML
- OIDC
Se hai più di un sistema, puoi specificare più di un sistema per l'unione in questo campo. Looker (Google Cloud core) cercherà gli utenti dei sistemi elencati nell'ordine in cui sono specificati. Ad esempio, se hai creato alcuni utenti utilizzando OIDC e in un secondo momento hai utilizzato SAML, Looker (Google Cloud core) eseguirà l'unione prima in base a OIDC e poi in base a SAML.
Quando un utente accede per la prima volta tramite OAuth, questa opzione lo collega al suo account esistente trovando l'account con un indirizzo email corrispondente. Se non esiste un account per l'utente, ne verrà creato uno nuovo.
Aggiungere utenti a un'istanza di Looker (Google Cloud core)
Una volta creata un'istanza di Looker (Google Cloud core), gli utenti possono essere aggiunti tramite IAM. Per aggiungere utenti:
- Assicurati di disporre del ruolo Amministratore IAM progetto o di un altro ruolo che ti consenta di gestire l'accesso IAM.
Vai al Google Cloud progetto della console in cui si trova l'istanza di Looker (Google Cloud core).
Vai alla sezione IAM e amministrazione > IAM della console Google Cloud.
Seleziona Concedi l'accesso.
Nella sezione Aggiungi entità, aggiungi uno o più dei seguenti elementi:
- Un indirizzo email dell'Account Google
- Un gruppo Google
- Un dominio Google Workspace
Nella sezione Assegna ruoli, seleziona uno dei ruoli IAM di Looker (Google Cloud core) predefiniti o un ruolo personalizzato che hai aggiunto.
Fai clic su Salva.
Comunica ai nuovi utenti di Looker (Google Cloud core) che è stato concesso l'accesso e indirizzali all'URL dell'istanza. Da qui possono accedere all'istanza, a quel punto i loro account verranno creati. Non verrà inviata alcuna comunicazione automatica.
Se modifichi il ruolo IAM di un utente, il ruolo IAM viene propagato all'istanza di Looker (Google Cloud core) entro pochi minuti. Se esiste un account utente Looker, il ruolo di questo utente in Looker rimarrà invariato.
Per tutti gli utenti deve essere eseguito il provisioning seguendo i passaggi IAM descritti in precedenza, con un'eccezione: puoi creare account di servizio solo API Looker all'interno dell'istanza Looker (Google Cloud core).
Accedere a Looker (Google Cloud core) con OAuth
Al primo accesso, agli utenti verrà chiesto di accedere con il proprio Account Google. Quando concede l'accesso, deve utilizzare lo stesso account elencato dall'amministratore di Looker nel campo Aggiungi principali. Gli utenti visualizzeranno la schermata di consenso OAuth configurata durante la creazione del client OAuth. Dopo che gli utenti hanno accettato la schermata del consenso, i loro account all'interno dell'istanza di Looker (Google Cloud core) vengono creati e gli utenti avranno eseguito l'accesso.
Dopodiché, gli utenti accederanno automaticamente a Looker (Google Cloud core), a meno che l'autorizzazione non scada o non venga revocata dall'utente. In questi scenari, gli utenti visualizzeranno di nuovo la schermata di consenso OAuth e gli verrà chiesto di acconsentire all'autorizzazione.
Ad alcuni utenti potrebbero essere assegnate credenziali API da utilizzare per recuperare un token di accesso API. Se l'autorizzazione per questi utenti scade o viene revocata, le relative credenziali API smettono di funzionare. Anche tutti i token di accesso all'API attuali non funzioneranno più. Per risolvere il problema, l'utente deve autorizzare nuovamente le proprie credenziali accedendo di nuovo all'interfaccia utente di Looker (Google Cloud core) per ogni istanza di Looker (Google Cloud core) interessata. In alternativa, l'utilizzo di account di servizio solo API consente di evitare un errore di autorizzazione delle credenziali per i token di accesso API.
Rimozione dell'accesso OAuth a Looker (Google Cloud core)
Se disponi di un ruolo che ti consente di gestire l'accesso IAM, puoi rimuovere l'accesso a un'istanza di Looker (Google Cloud core) revocandolo. Se rimuovi il ruolo IAM di un account utente, la modifica viene propagata all'istanza di Looker (Google Cloud core) entro pochi minuti. L'utente non potrà più autenticarsi nell'istanza. Tuttavia, l'account utente continuerà a essere visualizzato come attivo nella pagina Utenti. Per rimuovere l'account utente dalla pagina Utenti, elimina l'utente all'interno dell'istanza di Looker (Google Cloud core).
Utilizzare OAuth come metodo di autenticazione di riserva
OAuth è il metodo di autenticazione di riserva quando SAML o OIDC è il metodo di autenticazione principale.
Per configurare un OAuth come metodo di backup, concedi a ogni utente di Looker (Google Cloud core) il ruolo IAM appropriato per accedere all'istanza.
Una volta configurato il metodo di backup, gli utenti possono accedervi seguendo i seguenti passaggi:
- Seleziona Autenticati con Google nella pagina di accesso.
- Viene visualizzata una finestra di dialogo per confermare l'autenticazione Google. Seleziona Conferma nella finestra di dialogo.
Gli utenti possono quindi accedere utilizzando i propri Account Google. Al primo accesso con OAuth, gli utenti dovranno accettare la schermata per il consenso OAuth configurata durante la creazione dell'istanza.
Passaggi successivi
- Connetti Looker (Google Cloud core) al tuo database
- Configura un'istanza di Looker (Google Cloud core)
- Impostazioni di amministrazione di Looker (Google Cloud core)
- Amministra un'istanza di Looker (Google Cloud core) dalla console Google Cloud