OAuth-Verbindungen

Eine Alternative zum Speichern Ihrer vertraulichen Datenbankanmeldeinformationen mit Tableau Cloud oder Tableau Server besteht darin, Verbindungen mithilfe des OAuth 2.0-Standards zu erstellen. Die folgenden Connectoren unterstützen OAuth-Authentifizierung: 

  • Anaplan
  • Azure Data Lake Storage Gen2, Azure SQL, Azure Synapse
  • Box
  • Esri ArcGIS Server
  • Databricks
  • Dremio
  • Dropbox
  • Google Ads, Google Analytics, Google BigQuery
  • LinkedIn Sales Navigator
  • Marketo
  • OneDrive
  • Oracle Eloqua
  • QuickBooks Online
  • Salesforce, Salesforce CDP
  • SAP HANA (nur Cloud)
  • ServiceNow ITSM
  • Snowflake

Wenn sich Benutzer bei Daten über Tableau mit einem Connector anmelden, der OAuth verwendet, werden sie auf die Anmeldeseite des Authentifizierungsanbieters weitergeleitet. Nachdem die Benutzer ihre Anmeldeinformationen eingegeben haben und Tableau den Zugriff auf ihre Daten genehmigt hat, sendet der Authentifizierungsanbieter ein Zugriffstoken an Tableau, welches Tableau und die Benutzer eindeutig identifiziert. Dieses Zugriffstoken wird verwendet, um im Namen der Benutzer auf Daten zuzugreifen. Weitere Informationen dazu finden Sie im nachfolgenden Abschnitt Übersicht über den OAuth-Prozess.

Die Nutzung von OAuth-Verbindungen bietet die folgenden Vorteile:

  • Sicherheit: Ihre Datenbankanmeldeinformationen werden Tableau Cloud gegenüber nie bekanntgegeben oder dort gespeichert, und die Zugriffstoken können nur von Tableau im Namen der Benutzer genutzt werden.

  • Bequemere Nutzung: Anstatt Datenquellen-ID und Kennwort an verschiedenen Orten integrieren zu müssen, können Sie das für einen bestimmten Datenanbieter bereitgestellte Token für alle veröffentlichten Arbeitsmappen und Datenextrakte mit Zugriff auf diesen Datenanbieter verwenden.

    Hinweis: Für Direktverbindungen zu Google BigQuery-Daten kann jedem Arbeitsmappen-Viewer ein eindeutiges Zugriffstoken zur Benutzererkennung anstatt Benutzernamen und Kennwort zugewiesen werden.

Übersicht über den OAuth-Prozess

In den folgenden Schritten wird ein Workflow in der Tableau-Umgebung zum Abrufen des OAuth-Prozesses beschrieben.

  1. Ein Benutzer kann eine Aktion ausführen, für die Zugriff auf eine cloudbasierte Datenquelle erforderlich ist.

    Nehmen wir einmal an, Sie öffnen eine in Tableau Cloud veröffentlichte Arbeitsmappe.

  2. Tableau leitet den Benutzer auf die Anmeldeseite des Cloud-Datenanbieters weiter. Die an den Datenanbieter weitergeleiteten Informationen weisen Tableau als die anfordernde Site aus.

  3. Wenn sich der Benutzer bei der Datenquelle anmeldet, wird er vom Anbieter aufgefordert, seine Autorisierung für Tableau Cloud zu bestätigen, um auf die Daten zuzugreifen.

  4. Nach der Bestätigung des Benutzers sendet der Datenanbieter ein Zugriffstoken an Tableau Cloud zurück.

  5. Tableau Cloud zeigt dem Benutzer die Arbeitsmappe und die Daten an.

Hinweis: Einmalig zu verwendende Aktualisierungstoken (auch rollierende Aktualisierungstoken oder Aktualisierungstoken-Rotation genannt) werden für OAuth-Verbindungen zu Tableau derzeit nicht unterstützt. Die Unterstützung dieser Token ist für eine zukünftige Version geplant.

Folgende Benutzer-Workflows können den OAuth-Prozess verwenden:

  • Arbeitsmappe erstellen und Verbindung zur Datenquelle von Tableau Desktop oder von Tableau Cloud herstellen

  • Veröffentlichen einer Datenquelle aus Tableau Desktop

  • Anmeldung bei einer Tableau Cloud-Site von einem zugelassenen Client aus, wie z. B. Tableau Mobile oder Tableau Desktop

    Hinweis: Tableau Bridge unterstützt OAuth für die Authentifizierung von Connectoren: Snowflake, Google BigQuery, Google Drive, Salesforce und OneDrive.

Standardmäßige Connectoren für gespeicherte Anmeldeinformationen

Gespeicherte Anmeldeinformationen beziehen sich auf die Funktionalität, in der Tableau Cloud Benutzertoken für OAuth-Verbindungen speichert. Auf diese Weise können Benutzer ihre OAuth-Anmeldeinformationen in ihrem Benutzerprofil in Tableau Cloud speichern. Nachdem sie die Anmeldeinformationen gespeichert haben, werden sie beim Zugriff auf den Connector nicht mehr dazu aufgefordert, wenn sie anschließend Objekte veröffentlichen, bearbeiten oder aktualisieren.

Hinweis: Wenn Sie im Internet Tableau Prep-Schemata bearbeiten, kann es vorkommen, dass Sie dennoch aufgefordert werden, sich erneut zu authentifizieren.

Alle unterstützten Connectoren sind unter Gespeicherte Anmeldeinformationen für Datenquellen auf der Seite Eigene Kontoeinstellungen des Benutzers in Tableau Cloud aufgeführt. Benutzer verwalten ihre gespeicherten Anmeldeinformationen für jeden Connector.

Zugriffstoken für Datenverbindungen

Sie können Anmeldeinformationen basierend auf Zugriffstoken mit Datenverbindungen speichern. So ermöglichen Sie nach dem anfänglichen Authentifizierungsprozess direkten Zugriff auf die Daten. Ein Zugriffstoken ist so lange gültig, bis ein Tableau Cloud-Benutzer ihn löscht oder der Datenanbieter ihn widerruft.

Es ist möglich, die von Ihrem Datenquellenanbieter genehmigte Token-Anzahl zu überschreiten. In diesem Fall entscheidet der Datenanbieter bei Erstellung eines neuen Tokens durch den Benutzer anhand der seit dem letzten Zugriff verstrichenen Zeit, welches vorhandene Token für das neue Token ungültig gemacht werden soll.

Zugriffstoken für die Authentifizieurng von zugelassenen Clients

Standardmäßig gestatten Tableau Cloud-Sites Benutzern den direkten Zugriff auf ihre Sites über genehmigte Tableau-Clients, nachdem diese bei der ersten Anmeldung ihre Anmeldeinformationen eingegeben haben. Bei dieser Art der Authentifizierung werden auch OAuth-Zugriffstoken verwendet, um die Anmeldeinformationen der Benutzer sicher zu speichern.

Weitere Informationen finden Sie unter Zugriff auf Sites von verbundenen Clients aus.

Standardmäßig verwaltete Keychain-Connectoren

Verwaltete Keychain bezieht sich auf die Funktionalität, in der OAuth-Token durch den Anbieter für Tableau Cloud generiert und von allen Benutzern in derselben Site gemeinsam verwendet werden. Wenn ein Benutzer zum ersten Mal in eine Datenquelle veröffentlicht, fordert Tableau Server den Benutzer zur Eingabe der Datenquellen-Anmeldeinformationen auf. Tableau Cloud übermittelt die Anmeldeinformationen an den Datenquellenanbieter, der OAuth-Token für Tableau Cloud zurückgibt, die im Namen des Benutzers verwendet werden können. Bei nachfolgenden Veröffentlichungsvorgängen wird das OAuth-Token verwendet, das von Tableau Cloud für dieselbe Klasse und denselben Benutzernamen gespeichert wurde, sodass der Benutzer nicht zur Eingabe der OAuth-Anmeldeinformationen aufgefordert wird. Sollte sich das Kennwort für die Datenquelle ändern, wird der oben beschriebene Vorgang wiederholt, und das alte Token wird durch ein neues Token in Tableau Cloud ersetzt.

Für die standardmäßig verwalteten Keychain-Connectoren ist keine zusätzliche OAuth-Konfiguration in Tableau Cloud erforderlich:

  • Google Analytics, Google BigQuery und Google Sheets ( eingestellt im März 2022)

  • Salesforce

Konfigurieren von benutzerdefiniertem OAuth

Ab 2021.2 können Sie als Site-Administrator einen benutzerdefinierten OAuth-Client für jeden OAuth-unterstützenden Datenanbieter (Connector) konfigurieren, um die vorkonfigurierten OAuth-Client-Einstellungen für Ihre Site zu überschreiben. Die Konfiguration eines benutzerdefinierten OAuth-Clients würden Sie vielleicht in Erwägung ziehen, um sichere Verbindungen zu Daten zu unterstützen, die eindeutige OAuth-Clients erfordern.

Wenn ein benutzerdefinierter OAuth-Client konfiguriert ist, werden Standardkonfigurationen ignoriert, und alle neuen OAuth-Anmeldeinformationen, die auf der Site erstellt werden, verwenden standardmäßig den benutzerdefinierten OAuth-Client.

Wichtig: Vorhandene OAuth-Anmeldeinformationen, die vor der Konfiguration des benutzerdefinierten OAuth-Clients erstellt wurden, können vorübergehend verwendet werden, aber sowohl Site-Administratoren als auch Benutzer müssen gespeicherte Anmeldeinformationen aktualisieren, um einen unterbrechungsfreien Datenzugriff zu gewährleisten.

Schritt 1: Vorbereiten der OAuth-Client-ID, des Client-Geheimnisses und der Umleitungs-URL

Damit Sie den benutzerdefinierten OAuth-Client konfigurieren können, benötigen Sie die unten aufgeführten Informationen. Nachdem Sie diese Informationen erhalten haben, können Sie den benutzerdefinierten OAuth-Client für jeden der von OAuth unterstützten Connectoren konfigurieren.

  • OAuth-Client-ID und Client-Geheimnis: Registrieren Sie zuerst den OAuth-Client beim Datenanbieter (Connector), um die Client-ID und das Client-Geheimnis abzurufen. Zu den unterstützten Connectoren gehören:

    • Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse
    • Databricks
    • Dremio
    • Dropbox
    • Google Analytics, Google BigQuery, Google Sheets (eingestellt im März 2022)
    • Intuit QuickBooks Online
    • Salesforce, Salesforce CDP
    • Snowflake (Weitere Informationen finden Sie unter OAuth-Konfiguration und -Verwendung(Link wird in neuem Fenster geöffnet) in der Tableau Connector SDK-Dokumentation.)
  • Umleitungs-URL: Beachten Sie den Pod, in dem sich Ihre Tableau Cloud-Site befindet, um sicherzustellen, dass Sie während des Registrierungsprozesses in Schritt 2 unten die richtige Umleitungs-URL eingeben. Die Umleitungs-URL verwendet das folgende Format:

    https://<Ihr_Pod> .online.tableau.com/auth/add_oauth_token

    Beispiel: https://us-west-2b.online.tableau.com/auth/add_oauth_token

    Hinweis: Weitere Informationen zu Pods finden Sie auf der Seite Salesforce Trust(Link wird in neuem Fenster geöffnet).

Schritt 2: Registrieren der OAuth-Client-ID und des Client-Geheimnisses

Folgen Sie dem unten beschriebenen Verfahren, um den benutzerdefinierten OAuth-Client bei Ihrer Site zu registrieren.

  1. Melden Sie sich mit den Site-Administrator-Anmeldeinformationen bei Tableau Cloud an und wechseln Sie auf die Seite Einstellungen.

  2. Klicken Sie unter "OAuth-Clients-Registrierung" auf die Schaltfläche OAuth-Client hinzufügen.

  3. Geben Sie die erforderlichen Informationen ein, einschließlich der Informationen aus Schritt 1 oben:

    1. Wählen Sie für Verbindungstyp einen Datenbankklassenwert aus, der dem Connector entspricht, dessen benutzerdefinierten OAuth-Client Sie konfigurieren möchten.

    2. Geben Sie bei Client-ID, Client-Geheimnis und Umleitungs-URL die Informationen ein, die Sie in Schritt 1 oben vorbereitet haben.

    3. Klicken Sie auf die Schaltfläche OAuth-Client hinzufügen, um den Registrierungsprozess abzuschließen.

  4. (Optional) Wiederholen Sie Schritt 3 für weitere Connectoren.

  5. Klicken Sie unten oder oben auf der Einstellungsseite auf die Schaltfläche Speichern, um die Änderungen zu speichern.

Schritt 3: Validieren und Aktualisieren der gespeicherten Anmeldeinformationen

Um einen unterbrechungsfreien Datenzugriff zu gewährleisten, müssen Sie (und Ihre Site-Benutzer) die zuvor gespeicherten Anmeldeinformationen löschen und erneut hinzufügen, damit anstelle des standardmäßigen OAuth-Clients der benutzerdefinierte OAuth-Client verwendet wird.

  1. Navigieren Sie zur Seite Eigene Kontoeinstellungen.

  2. Gehen Sie unter Gespeicherte Anmeldeinformationen für Datenquellen wie folgt vor:

    1. Klicken Sie auf Löschen neben den vorhandenen gespeicherten Anmeldeinformationen für den Connector, dessen benutzerdefinierten OAuth-Client Sie in Schritt 2 oben konfiguriert haben.

    2. Klicken Sie neben demselben Connector auf Hinzufügen, und folgen Sie den Anweisungen, um 1.) eine Verbindung zu dem benutzerdefinierten OAuth-Client herzustellen, der in Schritt 2 oben konfiguriert wurde, und 2.) die aktuellen Anmeldeinformationen zu speichern.

Schritt 4: Benachrichtigen der Benutzer, dass diese ihre gespeicherten Anmeldeinformationen aktualisieren

Stellen Sie sicher, dass Sie Ihre Site-Benutzer benachrichtigen, ihre gespeicherten Anmeldeinformationen für den Datenanbieter zu aktualisieren, dessen benutzerdefinierten OAuth-Client Sie in Schritt 2 oben konfiguriert haben. Site-Benutzer können dazu die Vorgehensweise verwenden, die unter Aktualisierung gespeicherter Anmeldeinformationen beschrieben ist, um ihre gespeicherten Anmeldeinformationen zu aktualisieren.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.