Connexions OAuth

Au lieu de stocker vos informations d’identification de base de données sensibles avec Tableau Cloud ou Tableau Server, vous avez aussi la possibilité de créer des connexions en utilisant la norme OAuth 2.0. Les connecteurs suivants prennent en charge l’authentification OAuth : 

  • Anaplan
  • Azure Data Lake Storage Gen2, Azure SQL, Azure Synapse
  • Box
  • Esri ArcGIS Server
  • Databricks
  • Dremio
  • Dropbox
  • Google Ads, Google Analytics, Google BigQuery
  • LinkedIn Sales Navigator
  • Marketo
  • OneDrive
  • Oracle Eloqua
  • QuickBooks Online
  • Salesforce, Salesforce CDP
  • SAP HANA (Cloud uniquement)
  • ServiceNow ITSM
  • Snowflake

Depuis Tableau, lorsque les utilisateurs se connectent aux données avec un connecteur qui utilise OAuth, ils sont redirigés vers la page de connexion du fournisseur d’authentification. Une fois que les utilisateurs ont saisi leurs identifiants et autorisé Tableau à accéder à leurs données, le fournisseur d’authentification envoie à Tableau un jeton d’accès qui identifie de manière unique Tableau et les utilisateurs. Ce jeton d’accès est utilisé pour accéder aux données au nom des utilisateurs. Pour plus d’informations, reportez-vous à Présentation du processus OAuth.

L’utilisation de connexions OAuth vous permet de bénéficier des avantages suivants :

  • Sécurité : vos informations d’identification de base de données ne sont jamais connues de, ni stockées dans Tableau Cloud, et le jeton d’accès ne peut être utilisé que par Tableau pour le compte des utilisateurs.

  • Commodité : au lieu d’avoir à intégrer votre ID et votre mot de passe de source de données à plusieurs endroits, vous pouvez utiliser le jeton fourni pour une source de données particulière pour tous les classeurs et sources de données qui accèdent à ce fournisseur de données.

    Remarque : Pour les connexions en direct aux données Google BigQuery, chaque utilisateur Viewer de classeur peut posséder un jeton d’accès unique qui identifie l’utilisateur, ce qui évite de partager un nom d’utilisateur et un mot de passe uniques.

Présentation du processus OAuth

Les étapes suivantes décrivent un flux de travail dans l’environnement Tableau qui appelle le processus OAuth.

  1. Un utilisateur effectue une action qui demande un accès à une source de données dans le nuage.

    Vous ouvrez par exemple un classeur publié sur Tableau Cloud.

  2. Tableau dirige l’utilisateur vers la page de connexion du fournisseur des données dans le nuage. Les informations transmises au fournisseur des données identifient Tableau comme étant le site à l’origine de la requête.

  3. Lorsque l’utilisateur se connecte aux données, le fournisseur vous invite à confirmer que vous autorisez Tableau Cloud à accéder aux données.

  4. Après confirmation de l’utilisateur, le fournisseur de données renvoie un jeton d’accès à Tableau Cloud.

  5. Tableau Cloud présente le classeur et les données à l’utilisateur.

Remarque : Les jetons d’actualisation à usage unique (parfois appelés jetons d’actualisation en continu ou rotation des jetons d’actualisation) ne sont pas pris en charge pour les connexions OAuth à Tableau pour le moment. La prise en charge de ces jetons est prévue pour une future version.

Les flux de travail utilisateur suivants peuvent utiliser le processus OAuth :

  • Création de classeur et connexion à des sources de données de Tableau Desktop ou de Tableau Cloud.

  • Publication d’une source de données de Tableau Desktop.

  • Connexion à un site Tableau Cloud depuis un client approuvé, tel que Tableau Mobile ou Tableau Desktop.

    Remarque : Tableau Bridge prend en charge OAuth pour l’authentification des connecteurs  : Snowflake, Google BigQuery, Google Drive, Salesforce et OneDrive.

Connecteurs avec informations d’identification enregistrés par défaut

Les informations d’identification enregistrées désigne la fonctionnalité où Tableau Cloud stocke des jetons utilisateur pour les connexions OAuth. Les utilisateurs peuvent ainsi enregistrer leurs informations d’identification OAuth dans leur profil d’utilisateur sur Tableau Cloud. Une fois qu’ils ont enregistré leurs identifiants, ils ne seront pas invités à les saisir lors de leurs opérations ultérieures de publication, de modification ou d’actualisation au moment de l’accès au connecteur.

Remarque : Lors de la modification de flux Tableau Prep sur le Web, vous pouvez toujours être invité à vous authentifier à nouveau.

Tous les connecteurs pris en charge sont répertoriés sous Informations d’identification enregistrées pour les sources de données sur la page Paramètres de Mon compte des utilisateurs sur Tableau Cloud. Les utilisateurs gèrent leurs informations d’identification enregistrées pour chaque connecteur.

Jetons d’accès pour les connexions de données

Vous pouvez intégrer les informations d’identification sur la base des jetons d’accès avec les connexions de données pour permettre l’accès direct aux données après le processus d’authentification initial. Un jeton d’accès est jusqu’à ce qu’un utilisateur Tableau Cloud ou un fournisseur de données les révoque.

Il est possible de dépasser le nombre de jetons d’accès autorisé par votre fournisseur de sources de données. Dans ce cas, lorsqu’un utilisateur crée un jeton, le fournisseur de données prend en compte la durée écoulée depuis le dernier accès pour décider du jeton à invalider afin de faire de la place au nouveau.

Jetons d’accès pour l’authentification depuis des clients approuvés

Par défaut, les sites Tableau Cloud autorisent les utilisateurs à accéder à leurs sites directement depuis les clients Tableau approuvés, après que les utilisateurs ont fourni leurs informations d'identification lors de leur authentification initiale. Ce type d'authentification utilise également les jetons d'accès OAuth pour stocker les informations d'identification des utilisateurs en toute sécurité.

Pour plus d’informations, consultez Accéder à des sites depuis des clients connectés.

Connecteurs avec trousseau géré par défaut

Un trousseau géré désigne la fonctionnalité où les jetons OAuth sont générés pour Tableau Cloud par le fournisseur et partagés par tous les utilisateurs du même site. Lorsqu’un utilisateur publie une source de données pour la première fois, Tableau Server invite l’utilisateur à saisir ses informations d’identification de source de données. Tableau Cloud soumet les informations d’identification au fournisseur de sources de données qui renvoie les jetons OAuth afin que Tableau Cloud les utilise pour le compte de l’utilisateur. Lors des opérations de publication ultérieures, le jeton OAuth stocké par Tableau Cloud pour la même classe et le même nom d’utilisateur est utilisé de sorte que l’utilisateur n’est pas invité à saisir les informations d’identification OAuth. Si le mot de passe de la source de données change, le processus précédent est répété et l’ancien jeton est remplacé par un nouveau jeton sur Tableau Cloud.

La configuration OAuth supplémentaire sur Tableau Cloud n’est pas requise pour les connecteurs avec trousseau géré par défaut :

  • Google Analytics, Google BigQuery et Google Sheets ( obsolète en mars 2022)

  • Salesforce

Configurer OAuth personnalisé

Depuis la version 2021.2, en tant qu’administrateur de site, vous pouvez configurer un client OAuth personnalisé, pour chaque fournisseur de données (connecteur) pris en charge par OAuth, afin de remplacer les paramètres client OAuth préconfigurés pour votre site. Vous pouvez envisager de configurer un client OAuth personnalisé pour prendre en charge la connexion sécurisée aux données nécessitant des clients OAuth uniques.

Lorsqu’un client OAuth personnalisé est configuré, les configurations par défaut sont ignorées et toutes les nouvelles informations d’identification OAuth créées sur le site utilisent le client OAuth personnalisé par défaut.

Important : Les identifiants OAuth existants établis avant la configuration du client OAuth personnalisé sont temporairement utilisables, mais les administrateurs de site et les utilisateurs doivent mettre à jour les identifiants enregistrés pour garantir un accès ininterrompu aux données.

Étape 1 : Préparer l’ID client OAuth, la clé secrète client et l’URL de redirection

Avant de pouvoir configurer le client OAuth personnalisé, vous devez collecter les renseignements répertoriés ci-dessous. Une fois que vous disposez de ces informations, vous pouvez configurer le client OAuth personnalisé pour chacun des connecteurs pris en charge par OAuth.

  • ID client OAuth et secret client : enregistrez d’abord le client OAuth auprès du fournisseur de données (connecteur) pour récupérer l’ID client et le secret client. Les connecteurs pris en charge incluent :

  • URL de redirection : Notez le module sur lequel se trouve votre site Tableau Cloud pour être sûr d’entrer l’URL de redirection correcte lors du processus d’enregistrement à l’Étape 2 ci-dessous. L’URL de redirection utilise le format suivant :

    https://<your_pod>.online.tableau.com/auth/add_oauth_token

    Par exemple, https://us-west-2b.online.tableau.com/auth/add_oauth_token

    Remarque : Pour plus d’informations sur les espaces, consultez la page Salesforce Trust(Le lien s’ouvre dans une nouvelle fenêtre).

Étape 2 : Enregistrer l’ID client OAuth et le secret client

Suivez la procédure décrite ci-dessous pour enregistrer le client OAuth personnalisé sur votre site.

  1. Connectez-vous à Tableau Cloud à l’aide des informations d’identification de votre administrateur de site et accédez à la page Paramètres.

  2. Sous Registre des clients OAuth, cliquez sur le bouton Ajouter un client OAuth.

  3. Saisissez l’information requise, y compris l’information de l’Étape 1 ci-dessus :

    1. Dans Type de connexion, sélectionnez une valeur de classe de base de données qui correspond au connecteur dont vous souhaitez configurer le client OAuth personnalisé.

    2. Pour l’ID client, la clé secrète client et l’URL de redirection, saisissez l’information que vous avez préparée à l’Étape 1 ci-dessus.

    3. Cliquez sur le bouton Ajouter un client OAuth pour terminer le processus d’enregistrement.

  4. (Facultatif) Répétez l’étape 3 pour les connecteurs supplémentaires.

  5. Cliquez sur le bouton Enregistrer en bas ou en haut de la page Paramètres pour enregistrer les modifications.

Étape 3 : Valider et mettre à jour les identifiants enregistrés

Pour garantir un accès ininterrompu aux données, vous (et les utilisateurs de votre site) devez supprimer les informations d’identification enregistrées précédemment et les ajouter à nouveau pour utiliser le client OAuth personnalisé au lieu du client OAuth par défaut.

  1. Accédez à votre page Paramètres de Mon compte.

  2. Sous Informations d’identification enregistrées pour les sources de données, procédez comme suit :

    1. Cliquez sur Supprimer en regard des informations d’identification enregistrées existantes pour le connecteur dont vous avez configuré le client OAuth personnalisé à l’Étape 2 ci-dessus.

    2. À côté du même connecteur, cliquez sur Ajouter et suivez les invites pour 1) vous connecter au client OAuth personnalisé configuré à l’Étape 2 ci-dessus et 2) enregistrer les informations d’identification les plus récentes.

Étape 4 : Informer les utilisateurs de mettre à jour leurs identifiants enregistrés

Assurez-vous de demander aux utilisateurs de votre site de mettre à jour leurs identifiants enregistrés pour le fournisseur de données dont vous avez configuré le client OAuth personnalisé à l’Étape 2 ci-dessus. Les utilisateurs du site peuvent utiliser la procédure décrite dans Mettre à jour les identifiants enregistrés pour mettre à jour leurs identifiants enregistrés.

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!