Google OAuth wird in Verbindung mit Identity and Access Management (IAM) verwendet, um Looker (Google Cloud Core)-Nutzer zu authentifizieren.
Bei Verwendung von OAuth zur Authentifizierung authentifiziert Looker (Google Cloud Core) Nutzer über das OAuth 2.0-Protokoll. Verwenden Sie einen beliebigen OAuth 2.0-Client, um beim Erstellen einer Instanz Autorisierungsanmeldedaten zu erstellen. Auf dieser Seite werden Sie beispielsweise durch die Schritte zum Einrichten der Authentifizierung für eine Looker (Google Cloud Core)-Instanz mithilfe der Google Cloud Console geführt, um OAuth-Anmeldedaten zu erstellen.
Wenn eine andere Methode die primäre Form der Authentifizierung ist, ist Google OAuth standardmäßig die alternative Authentifizierungsmethode. Google OAuth ist außerdem die Authentifizierungsmethode, die Cloud Customer Care im Support verwendet.
Authentifizierung und Autorisierung mit OAuth und IAM
Bei der Verwendung mit OAuth bieten IAM-Rollen von Looker (Google Cloud Core) die folgenden Ebenen der Authentifizierung und Autorisierung für alle Instanzen von Looker (Google Cloud Core) in einem bestimmten Google Cloud-Projekt. Weisen Sie jedem Ihrer Hauptkonten eine der folgenden IAM-Rollen zu, je nach den gewünschten Zugriffsebenen:
| IAM-Rolle | Authentifizierung | Autorisierung |
|---|---|---|
Looker-Instanznutzer (roles/looker.instanceUser) |
Kann sich in Looker (Google Cloud Core)-Instanzen anmelden |
Gewährt bei der ersten Anmeldung in Looker (Google Cloud Core) die unter Rollen für neue Nutzer festgelegte Looker-Standardrolle Ich kann nicht auf Looker-Ressourcen (Google Cloud Core) in der Google Cloud Console zugreifen. |
Looker-Betrachter (roles/looker.viewer) |
Sie können sich in Looker (Google Cloud Core)-Instanzen anmelden. | Gewährt bei der ersten Anmeldung in Looker (Google Cloud Core) die unter Rollen für neue Nutzer festgelegte Looker-Standardrolle Kann die Liste der Instanzen von Looker (Google Cloud Core) und Instanzdetails in der Google Cloud Console aufrufen |
Looker Admin (roles/looker.admin) |
Kann sich in Looker (Google Cloud Core)-Instanzen anmelden | Bei der ersten Anmeldung in Looker (Google Cloud Core) wird diese Rolle (oder eine benutzerdefinierte Rolle mit der Berechtigung looker.instances.update) standardmäßig auf die Looker-Rolle Administrator in der Instanz festgelegt Kann alle administrativen Aufgaben für Looker (Google Cloud Core) in der Google Cloud Console ausführen |
Darüber hinaus können sich Nutzerkonten mit der Rolle owner für ein Projekt bei allen Looker (Google Cloud Core)-Instanzen in diesem Projekt anmelden und diese verwalten. Diese Nutzer erhalten die Looker-Rolle Administrator.
Wenn die vordefinierten Rollen nicht die gewünschten Berechtigungen enthalten, können Sie auch Ihre eigenen benutzerdefinierten Rollen erstellen.
Looker (Google Cloud Core)-Konten werden bei der ersten Anmeldung in einer Looker (Google Cloud Core)-Instanz erstellt.
OAuth in der Looker-Instanz (Google Cloud Core) konfigurieren
Auf der Looker (Google Cloud Core)-Instanz können Sie im Bereich Authentifizierung des Menüs Admin auf der Seite Google einige Google OAuth-Einstellungen konfigurieren.
Standard-Looker-Rolle innerhalb der Looker (Google Cloud Core)-Instanz festlegen
Bevor Sie Nutzer hinzufügen, können Sie die standardmäßige Looker-Rolle festlegen, die Nutzerkonten mit der IAM-Rolle „Looker-Instanznutzer“ (roles/looker.instanceUser) oder der IAM-Rolle „Looker-Betrachter“ (roles/looker.viewer) bei der ersten Anmeldung in einer Looker-Instanz (Google Cloud Core) gewährt wird. So legen Sie eine Standardrolle fest:
- Gehen Sie im Bereich Authentication (Authentifizierung) des Menüs Admin zur Seite Google.
- Wählen Sie unter Rollen für neue Nutzer die Rolle aus, die Sie allen neuen Nutzern standardmäßig zuweisen möchten. Die Einstellung enthält eine Liste aller Standardrollen und benutzerdefinierten Rollen innerhalb der Looker (Google Cloud Core)-Instanz.
Nutzerkonten mit der IAM-Rolle „Looker-Administrator“ (roles/looker.admin) wird unabhängig von der in der Einstellung Rollen für neue Nutzer ausgewählten Rolle die Looker-Rolle Administrator zugewiesen. Bei Bedarf können Sie der Administratorrolle eine andere Rolle zuweisen.
Geben Sie die Methode an, mit der OAuth-Nutzer mit einem Looker (Google Cloud Core)-Konto zusammengeführt werden
Geben Sie im Feld Nutzer zusammenführen über die Methode an, die verwendet werden soll, um erstmalige OAuth-Anmeldungen mit einem vorhandenen Nutzerkonto zusammenzuführen. Sie können Nutzer aus den folgenden Systemen zusammenführen:
- SAML
- OIDC
Wenn Sie mehrere Systeme eingerichtet haben, können Sie in diesem Feld mehrere Systeme für die Zusammenführung angeben. In Looker (Google Cloud Core) werden Nutzer in der Reihenfolge, in der sie angegeben sind, in den aufgeführten Systemen gesucht. Wenn Sie beispielsweise einige Nutzer zuerst über OIDC erstellt und später über SAML erstellt haben, wird Looker (Google Cloud Core) zuerst mit OIDC und dann mit SAML zusammengeführt.
Wenn sich ein Nutzer zum ersten Mal über OAuth anmeldet, wird mit dieser Option der Nutzer mit seinem bestehenden Konto verknüpft, indem das Konto mit einer passenden E-Mail-Adresse gefunden wird. Wenn für den Nutzer kein Konto vorhanden ist, wird ein neues Nutzerkonto erstellt.
Nutzer einer Looker (Google Cloud Core)-Instanz hinzufügen
Sobald eine Looker (Google Cloud Core)-Instanz erstellt wurde, können Nutzer über IAM hinzugefügt werden. So fügen Sie Nutzer hinzu:
- Sie benötigen die Rolle Projekt-IAM-Administrator oder eine andere Rolle, mit der Sie den IAM-Zugriff verwalten können.
Rufen Sie das Google Cloud Console-Projekt auf, in dem sich die Looker (Google Cloud Core)-Instanz befindet.
Rufen Sie die Seite IAM & Verwaltung > IAM der Google Cloud Console.
Wählen Sie Zugriff gewähren aus.
Fügen Sie im Bereich Hauptkonten hinzufügen eine oder mehrere der folgenden Optionen hinzu:
- E-Mail-Adresse eines Google-Kontos
- Eine Google-Gruppe
- Eine Google Workspace-Domain
Wählen Sie im Bereich Rollen zuweisen eine der vordefinierten IAM-Rollen für Looker (Google Cloud Core) oder eine benutzerdefinierte Rolle aus, die Sie hinzugefügt haben.
Klicken Sie auf Speichern.
Kommunizieren Sie neuen Looker (Google Cloud Core)-Nutzern, dass der Zugriff gewährt wurde, und leiten Sie sie zur URL für die Instanz weiter. Von dort aus können sie sich bei der Instanz anmelden, wo ihre Konten erstellt werden. Es wird keine automatisierte Kommunikation gesendet.
Wenn Sie die IAM-Rolle eines Nutzers ändern, wird die IAM-Rolle innerhalb weniger Minuten an die Looker (Google Cloud Core)-Instanz weitergegeben. Wenn bereits ein Looker-Nutzerkonto vorhanden ist, bleibt die Looker-Rolle dieses Nutzers unverändert.
Alle Nutzer müssen gemäß den oben beschriebenen IAM-Schritten bereitgestellt werden. Es gibt jedoch eine Ausnahme: Sie können innerhalb der Looker (Google Cloud Core)-Instanz ausschließlich Looker API-Dienstkonten erstellen.
Mit OAuth bei Looker (Google Cloud Core) anmelden
Bei der ersten Anmeldung werden die Nutzer aufgefordert, sich mit ihrem Google-Konto anzumelden. Er sollte dasselbe Konto verwenden, das der Looker-Administrator im Feld Hauptkonten hinzufügen angegeben hat, wenn er Zugriff gewährt. Nutzer sehen den OAuth-Zustimmungsbildschirm, der beim Erstellen des OAuth-Clients konfiguriert wurde. Nachdem die Nutzer dem Zustimmungsbildschirm zugestimmt haben, werden ihre Konten in der Instanz von Looker (Google Cloud Core) erstellt und angemeldet.
Danach werden die Nutzer automatisch in Looker (Google Cloud Core) angemeldet, es sei denn, ihre Autorisierung läuft ab oder wird vom Nutzer widerrufen. In diesen Fällen wird der OAuth-Zustimmungsbildschirm erneut angezeigt und die Nutzer werden um ihre Zustimmung zur Autorisierung gebeten.
Einigen Nutzern können API-Anmeldedaten für den Abruf von API-Zugriffstokens zugewiesen werden. Wenn die Autorisierung für diese Nutzer abläuft oder widerrufen wird, funktionieren ihre API-Anmeldedaten nicht mehr. Alle aktuellen API-Zugriffstokens funktionieren dann ebenfalls nicht mehr. Zum Beheben des Problems muss der Nutzer seine Anmeldedaten noch einmal autorisieren, indem er sich für jede betroffene Looker (Google Cloud Core)-Instanz wieder in der Looker (Google Cloud Core)-UI anmeldet. Alternativ können Sie ausschließlich API-Dienstkonten verwenden, um Fehler bei der Autorisierung von Anmeldedaten für API-Zugriffstokens zu vermeiden.
OAuth-Zugriff auf Looker (Google Cloud Core) entfernen
Wenn Sie eine Rolle haben, mit der Sie den IAM-Zugriff verwalten können, können Sie den Zugriff auf eine Looker (Google Cloud Core)-Instanz entfernen, indem Sie die IAM-Rolle widerrufen, die den Zugriff gewährt hat. Wenn Sie die IAM-Rolle eines Nutzerkontos entfernen, wird diese Änderung innerhalb weniger Minuten auf die Instanz von Looker (Google Cloud Core) übertragen. Der Nutzer kann sich nicht mehr bei der Instanz authentifizieren. Das Nutzerkonto wird jedoch weiterhin auf der Seite Nutzer als aktiv angezeigt. Wenn Sie das Nutzerkonto von der Seite Nutzer entfernen möchten, löschen Sie den Nutzer in der Looker (Google Cloud Core)-Instanz.
OAuth als alternative Authentifizierungsmethode verwenden
Wenn SAML oder OIDC die primäre Authentifizierungsmethode ist, ist OAuth die sekundäre Authentifizierungsmethode.
Wenn Sie OAuth als Sicherungsmethode einrichten möchten, gewähren Sie jedem Looker (Google Cloud Core)-Nutzer die entsprechende IAM-Rolle, um sich in der Instanz anzumelden.
Sobald die Sicherungsmethode eingerichtet ist, können Nutzer so darauf zugreifen:
- Wählen Sie auf der Anmeldeseite Mit Google authentifizieren aus.
- Ein Dialogfeld zur Bestätigung der Google-Authentifizierung wird angezeigt. Wählen Sie im Dialogfeld Bestätigen aus.
Nutzer können sich dann mit ihren Google-Konten anmelden. Bei der ersten Anmeldung mit OAuth werden sie aufgefordert, den OAuth-Zustimmungsbildschirm zu akzeptieren, der bei der Erstellung der Instanz eingerichtet wurde.
Nächste Schritte
- Looker (Google Cloud Core) mit Ihrer Datenbank verbinden
- Looker-Instanz (Google Cloud Core) erstellen
- Administratoreinstellungen für Looker (Google Cloud Core)
- Looker (Google Cloud Core)-Instanz über die Google Cloud Console verwalten