Conexiones OAuth

Una alternativa para almacenar sus credenciales confidenciales de la base de datos con Tableau Cloud o Tableau Server es crear conexiones utilizando el estándar OAuth 2.0. Los siguientes conectores admiten la autenticación OAuth: 

  • Anaplan
  • Azure Data Lake Storage Gen2, Azure SQL, Azure Synapse
  • Box
  • Esri ArcGIS Server
  • Databricks
  • Dremio
  • Dropbox
  • Google Ads, Google Analytics, Google BigQuery
  • LinkedIn Sales Navigator
  • Marketo
  • OneDrive
  • Oracle Eloqua
  • QuickBooks Online
  • Salesforce, Salesforce CDP
  • SAP HANA (solo en la nube)
  • ServiceNow ITSM
  • Snowflake

En Tableau, al iniciar sesión en los datos con un conector que utiliza OAuth, se redirecciona a los usuarios a la página de inicio de sesión del proveedor de autenticación. Después de indicar las credenciales y de autorizar a Tableau para que acceda a los datos, el proveedor de autenticación envía a Tableau un token de acceso que identifica Tableau y a los usuarios. Este token de acceso se utiliza para acceder a los datos en nombre de los usuarios. Para obtener más información, consulte Descripción general del proceso de OAuth a continuación.

El uso de las conexiones basadas en OAuth proporciona las siguientes ventajas:

  • Seguridad: Sus credenciales de base de datos no se conocen nunca ni se almacenan en Tableau Cloud, y el token de acceso solo puede utilizarlo Tableau en nombre de los usuarios.

  • Comodidad: en lugar de tener que integrar su ID de fuente de datos y su contraseña en varios lugares, puede usar el token proporcionado para una fuente de datos concreta en todos los libros de trabajo publicados y fuentes de datos que acceden a ese proveedor de datos.

    Nota: Para conexiones en tiempo real con datos de Google BigQuery, cada visor de libro de trabajo tiene un token de acceso exclusivo que identifica al usuario, en lugar de compartir unas credenciales únicas de nombre de usuario y contraseña.

Descripción general del proceso de OAuth

Los siguientes pasos describen un flujo de trabajo en el entorno de Tableau que se conoce como el proceso OAuth.

  1. Un usuario realiza una acción que requiere acceso a una fuente de datos en la nube.

    Por ejemplo, abre un libro de trabajo publicado en Tableau Cloud.

  2. Tableau direcciona al usuario a la página de inicio de sesión del proveedor de datos en la nube. La información que se envía al proveedor de datos identifica a Tableau como el sitio solicitante.

  3. Cuando el usuario inicia sesión en los datos, el proveedor le pide que confirme su autorización para que Tableau Cloud acceda a los datos.

  4. Una vez confirmado, el proveedor de datos envía un token de acceso a Tableau Cloud.

  5. Tableau Cloud le presenta su libro de trabajo y los datos al usuario.

Nota: Los tokens de actualización de un solo uso (a veces llamados tokens de actualización continuos o rotación de tokens de actualización) no son compatibles con las conexiones OAuth a Tableau en este momento. Está previsto brindar soporte para estos tokens en una versión futura.

Los siguientes flujos de trabajo del usuario pueden utilizar el proceso de OAuth:

  • Creación de un libro de trabajo y conexión a la fuente de datos desde Tableau Desktop o Tableau Cloud.

  • Publicación de una fuente de datos desde Tableau Desktop.

  • Se inicia sesión en un sitio de Tableau Cloud desde un cliente aprobado, como Tableau Mobile o Tableau Desktop.

    Nota: Tableau Bridge admite OAuth para la autenticación de conectores: Snowflake, Google BigQuery, Google Drive, Salesforce y OneDrive.

Conectores de credenciales guardadas predeterminados

Las credenciales guardadas se refieren a la funcionalidad en la que Tableau Cloud almacena tokens de usuario para las conexiones de OAuth. Esto permite a los usuarios guardar sus credenciales de OAuth en su perfil de usuario en Tableau Cloud. Después de guardar las credenciales, no se les pedirá que publiquen, editen ni actualicen posteriormente al acceder al conector.

Nota: Al editar flujos de Tableau Prep en la web, es posible que aún se le solicite volver a autenticarse.

Todos los conectores compatibles aparecen en Credenciales guardadas para fuentes de datos en la página Configuración de la cuenta de Tableau Cloud. Los usuarios administran sus credenciales guardadas para cada conector.

Tokens de acceso para conexiones de datos

Puede incrustar credenciales basadas en tokens de acceso con conexiones de datos para habilitar el acceso directo después del proceso de autenticación inicial. Un token de acceso es válido hasta que un usuario Tableau Cloud o proveedor de datos lo revoca.

Es posible superar el número de tokens de acceso que permite un proveedor de fuente de datos. Si eso ocurre, cuando un usuario crea un token, el proveedor de datos usa el tiempo desde que se produce el último acceso para decidir qué token invalidar para dejar espacio para el siguiente.

Tokens de acceso para autenticarse desde clientes aprobados

De forma predeterminada, los sitios de Tableau Cloud permiten a los usuarios acceder a sus sitios directamente desde clientes aprobados de Tableau. Para ello, deben indicar sus credenciales la primera vez que inician sesión. Este tipo de autenticación también usa tokens de acceso de OAuth para almacenar las credenciales de los usuarios de forma segura.

Para obtener más información, consulte Acceder a los sitios desde clientes conectados.

Conectores de cadena de claves gestionados de forma predeterminada

La cadena de claves hace referencia a la funcionalidad en la que el proveedor genera los tokens de OAuth para Tableau Cloud y los comparte todos los usuarios del mismo sitio. Cuando un usuario publica por primera vez una fuente de datos, Tableau Server solicita al usuario las credenciales de la fuente de datos. Tableau Cloud envía las credenciales al proveedor de la fuente de datos que devuelve tokens de OAuth para que Tableau Cloud los use en nombre del usuario. En las operaciones de publicación posteriores, se utiliza el token de OAuth almacenado por Tableau Cloud para la misma clase y nombre de usuario con el fin de que no se solicite al usuario las credenciales de OAuth. Si la contraseña de la fuente de datos cambia, el proceso anterior se repite y el token antiguo se reemplaza por un nuevo token en Tableau Cloud.

No se requiere una configuración adicional de OAuth en Tableau Cloud para los conectores de cadena de claves gestionados de forma predeterminada:

  • Google Analytics, Google BigQuery y Hojas de cálculo de Google (obsoleto en marzo de 2022)

  • Salesforce

Configurar OAuth personalizado

A partir de 2021.2, como administrador del sitio, puede configurar un cliente OAuth personalizado para cada proveedor de datos (conector) compatible con OAuth, para anular la configuración del cliente OAuth preconfigurada para su sitio. Puede configurar un cliente OAuth personalizado para admitir la conexión segura a los datos que requieren clientes OAuth únicos.

Cuando se configura un cliente OAuth personalizado, las configuraciones predeterminadas se ignoran y todas las credenciales OAuth nuevas creadas en el sitio utilizan el cliente OAuth personalizado de forma predeterminada.

Importante: Las credenciales de OAuth existentes establecidas antes de que se configure el cliente OAuth personalizado se pueden usar temporalmente, pero tanto los administradores del sitio como los usuarios deben actualizar las credenciales guardadas para ayudar a garantizar el acceso ininterrumpido a los datos.

Paso 1: Preparar el ID de cliente de OAuth, el secreto del cliente y la URL de redireccionamiento

Antes de que pueda configurar el cliente OAuth personalizado, debe recopilar la información que se indica a continuación. Una vez que tenga esta información, puede configurar el cliente OAuth personalizado para cada conector compatible con OAuth.

  • ID de cliente de OAuth y secreto de cliente: primero registre el cliente de OAuth con el proveedor de datos (conector) para recuperar el ID de cliente y el secreto de cliente. Los conectores compatibles incluyen:

    • Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse
    • Databricks
    • Dremio
    • Dropbox
    • Google Analytics, Google BigQuery, Hojas de cálculo de Google (obsoleto en marzo de 2022)
    • Libros rápidos de Intuit en línea
    • Salesforce, Salesforce CDP
    • Snowflake (para obtener más información, consulte Configuración y uso de OAuth(El enlace se abre en una ventana nueva) en la documentación del SDK de Tableau Connector).
  • URL de redireccionamiento: tenga en cuenta el pod en el que se encuentra su sitio de Tableau Cloud para asegurarse de indicar la URL de redireccionamiento correcta durante el proceso de registro en el paso 2 a continuación. La URL de redireccionamiento utiliza el siguiente formato:

    https://<su_pod>.online.tableau.com/auth/add_oauth_token

    Por ejemplo, https://us-west-2b.online.tableau.com/auth/add_oauth_token

    Nota: Para obtener más información sobre los pods, consulte la página de Salesforce Trust.(El enlace se abre en una ventana nueva)

Paso 2: Registrar el ID de cliente de OAuth y el secreto del cliente

Siga el procedimiento que se describe a continuación para registrar el cliente OAuth personalizado en su sitio.

  1. Inicie sesión en Tableau Cloud con las credenciales de administrador de su sitio y vaya a la página Configuración.

  2. En Registro de clientes OAuth, haga clic en el botón Agregar cliente OAuth.

  3. Especifique la información requerida, incluida la información del paso 1 anterior:

    1. En Tipo de conexión, seleccione un valor de clase de base de datos que se corresponda con uno de los conectores cuyo cliente OAuth personalizado desee configurar:

    2. Para ID de cliente, Secreto de cliente y URL de redireccionamiento, escriba la información que preparó en el paso 1 anterior.

    3. Haga clic en el botón Agregar cliente OAuth para completar el proceso de registro.

  4. (Opcional) Repita el paso 3 para conectores adicionales.

  5. Haga clic en el botón Guardar en la parte inferior o superior de la página Configuración para guardar los cambios.

Paso 3: Validar y actualizar las credenciales guardadas

Para ayudar a garantizar el acceso ininterrumpido a los datos, usted (y los usuarios de su sitio) deben eliminar las credenciales guardadas anteriormente y agregarlas nuevamente para usar el cliente OAuth personalizado en lugar del cliente OAuth predeterminado.

  1. Vaya a la página Configuración de la cuenta.

  2. En Credenciales guardadas para fuentes de datos, haga lo siguiente:

    1. Haga clic en Eliminar junto a las credenciales guardadas existentes para el conector cuyo cliente OAuth personalizado configuró en el paso 2 anterior.

    2. Junto al mismo conector, haga clic en Agregar y siga las instrucciones para 1) conectarse al cliente OAuth personalizado configurado en el paso 2 anterior y 2) guardar las últimas credenciales.

Paso 4: Notifique a los usuarios que actualicen sus credenciales guardadas

Asegúrese de notificar a los usuarios de su sitio para que actualicen sus credenciales guardadas para el proveedor de datos cuyo cliente OAuth personalizado configuró en el paso 2 anterior. Los usuarios del sitio pueden utilizar el procedimiento descrito en Actualizar credenciales guardadas para actualizar sus credenciales guardadas.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!