Connessioni OAuth

Un’alternativa all’archiviazione delle credenziali sensibili del database con Tableau Cloud o Tableau Server consiste nel creare connessioni tramite lo standard OAuth 2.0. I seguenti connettori supportano l’autenticazione OAuth: 

  • Anaplan
  • Azure Data Lake Storage Gen2, Azure SQL, Azure Synapse
  • Box
  • Server Esri ArcGIS
  • Databricks
  • Dremio
  • Dropbox
  • Google Ads, Google Analytics, Google BigQuery
  • LinkedIn Sales Navigator
  • Marketo
  • OneDrive
  • Oracle Eloqua
  • QuickBooks Online
  • Salesforce, Salesforce CDP
  • SAP HANA (solo cloud)
  • ServiceNow ITSM
  • Snowflake

Da Tableau, una volta eseguito l’accesso ai dati con un connettore che utilizza OAuth, gli utenti verranno reindirizzati alla pagina di accesso del provider di autenticazione. Dopo aver fornito le credenziali e aver autorizzato l’accesso ai dati da parte di Tableau, il provider di autenticazione invia a Tableau un token di accesso che identifica in modo univoco Tableau e gli utenti. Questo token di accesso viene utilizzato per accedere ai dati per conto degli utenti. Per maggiori informazioni, consulta Panoramica del processo OAuth di seguito.

L’utilizzo delle connessioni basate su OAuth offre i seguenti vantaggi:

  • Sicurezza: le credenziali del database non sono mai note o archiviate in Tableau Cloud e il token di accesso può essere utilizzato solo da Tableau per conto degli utenti.

  • Comodità: anziché incorporare l’ID della tua origine dati e la password in più posizioni, puoi utilizzare il token fornito per un provider di dati specifico per tutte le cartelle di lavoro pubblicate e le origini dati che accedono al provider di dati.

    Nota: per le connessioni live ai dati di Google BigQuery, ogni utente con licenza Viewer che visualizza le cartelle di lavoro può disporre di un token di accesso univoco che lo identifica, anziché condividere una singola credenziale basata su nome utente e password.

Panoramica del processo OAuth

Nei passaggi seguenti viene descritto un flusso di lavoro nell’ambiente introduttivo che chiama il processo OAuth.

  1. Un utente esegue un’azione che richiede l’accesso a un’origine dati basata sul cloud.

    Apri ad esempio una cartella di lavoro pubblicata in Tableau Cloud.

  2. Tableau indirizza l’utente alla pagina di accesso del provider di dati cloud. Le informazioni inviate al provider di dati identificano Tableau come sito richiedente.

  3. Quando l’utente effettua l’accesso ai dati, il provider chiede conferma per concedere a Tableau Cloud l’autorizzazione ad accedere ai dati.

  4. Dopo aver ricevuto la conferma da parte dell’utente, il provider di dati invia un token di accesso a Tableau Cloud.

  5. Tableau Cloud presenta all’utente la cartella di lavoro e i dati.

Nota: al momento, i token di aggiornamento monouso (talvolta chiamati token di aggiornamento graduale o rotazione dei token di aggiornamento) non sono supportati per le connessioni OAuth a Tableau. Il supporto per questi token è previsto per una versione futura.

I seguenti flussi di lavoro utente possono utilizzare il processo OAuth:

  • Creazione di una cartella di lavoro e connessione all’origine dati da Tableau Desktop o da Tableau Cloud.

  • Pubblicazione di un’origine dati da Tableau Desktop.

  • Accesso a un sito Tableau Cloud da un client approvato, ad esempio Tableau Mobile o Tableau Desktop.

    Nota: Tableau Bridge supporta OAuth per l’autenticazione dei connettori: Snowflake, Google BigQuery, Google Drive, Salesforce e OneDrive.

Connettori con credenziali salvate predefinite

Le credenziali salvate si riferiscono alla funzionalità che consente a Tableau Cloud di archiviare i token utente per le connessioni OAuth. Ciò permette agli utenti di salvare le credenziali OAuth nel proprio profilo utente in Tableau Cloud. Dopo aver salvato le credenziali, queste non verranno richieste successivamente durante l’accesso al connettore al momento della pubblicazione, della modifica o dell’aggiornamento.

Nota: quando modifichi i flussi di Tableau Prep sul Web, è possibile che ti venga richiesto di ripetere l’autenticazione.

Tutti i connettori supportati sono elencati in Credenziali salvate per le origini dati nella pagina Impostazioni account degli utenti in Tableau Cloud. Gli utenti gestiscono le credenziali salvate per ogni connettore.

Token di accesso per le connessioni dati

Puoi incorporare credenziali in base ai token di accesso con connessioni dati, per consentire l’accesso diretto dopo il processo di autenticazione iniziale. Un token di accesso è valido finché un utente Tableau Cloud lo elimina o il provider di dati lo revoca.

È possibile superare il numero di token di accesso consentiti dal provider di origine dati. In tal caso, quando un utente crea un token, il provider di dati utilizza il periodo di tempo trascorso dall’ultimo accesso per stabilire il token da invalidare per fare spazio a quello nuovo.

Token di accesso per l’autenticazione dai client approvati

Per impostazione predefinita, i siti Tableau Cloud consentono agli utenti di accedere ai propri siti direttamente dai client Tableau approvati, dopo che gli utenti forniscono le loro credenziali al primo accesso. Questo tipo di autenticazione utilizza inoltre i token di accesso OAuth per archiviare in modo sicuro le credenziali degli utenti.

Per maggiori informazioni, consulta Accesso ai siti dai client collegati.

Connettori con keychain gestiti predefiniti

Per keychain gestito si intende la funzionalità per cui i token OAuth sono generati per Tableau Cloud dal provider e condivisi da tutti gli utenti nello stesso sito. Quando un utente esegue per la prima volta la pubblicazione di un’origine dati, Tableau Server richiede all’utente le credenziali dell’origine dati. Tableau Cloud invia le credenziali al provider dell’origine dati, che restituisce i token OAuth che Tableau Cloud deve utilizzare per conto dell’utente. Nelle operazioni di pubblicazione successive, viene utilizzato il token OAuth archiviato da Tableau Cloud per la stessa classe e lo stesso nome utente, in modo che all’utente non vengano richieste le credenziali OAuth. Se la password dell’origine dati viene modificata, questo processo viene ripetuto e il token precedente viene sostituito da un nuovo token in Tableau Cloud.

Non è necessaria una configurazione OAuth aggiuntiva in Tableau Cloud per i connettori con keychain gestiti predefiniti:

  • Google Analytics, Google BigQuery e Fogli Google ( deprecato nel marzo 2022).

  • Salesforce

Configurare OAuth personalizzato

A partire dalla versione 2021.2, in qualità di amministratore del sito, puoi configurare un client OAuth personalizzato per ogni provider di dati supportato da OAuth (connettore), in modo da sostituire le impostazioni del client OAuth preconfigurato per il sito. Potresti prendere in considerazione la configurazione di un client OAuth personalizzato per supportare la connessione sicura ai dati che richiedono client OAuth univoci.

Quando viene configurato un client OAuth personalizzato, le configurazioni predefinite vengono ignorate e tutte le nuove credenziali OAuth create sul sito utilizzano il client OAuth personalizzato per impostazione predefinita.

Importante: le credenziali OAuth esistenti stabilite prima della configurazione del client OAuth personalizzato sono utilizzabili temporaneamente, ma sia gli amministratori del sito che gli utenti devono aggiornare le credenziali salvate per garantire un accesso senza interruzioni ai dati.

Fase 1. Preparare l’ID client OAuth, il segreto client e l’URL di reindirizzamento

Prima di poter configurare il client OAuth personalizzato, è necessario raccogliere le informazioni elencate di seguito. Dopo aver ottenuto queste informazioni, puoi configurare il client OAuth personalizzato per ciascuno dei connettori supportati da OAuth.

  • ID client OAuth e segreto client: registra innanzitutto il client OAuth con il provider di dati (connettore) per recuperare l’ID client e il segreto client. I connettori supportati includono:

  • URL di reindirizzamento: annota il pod in cui si trova il sito Tableau Cloud per assicurarti di inserire l’URL di reindirizzamento corretto durante il processo di registrazione nella fase 2 di seguito. L’URL di reindirizzamento utilizza il seguente formato:

    https://<pod>.online.tableau.com/auth/add_oauth_token

    Ad esempio, https://us-west-2b.online.tableau.com/auth/add_oauth_token

    Nota: per maggiori informazioni sui pod, consulta la pagina Salesforce Trust(Il collegamento viene aperto in una nuova finestra).

Fase 2. Registrare l’ID client OAuth e il segreto client

Segui la procedura descritta di seguito per registrare il client OAuth personalizzato nel sito.

  1. Accedi a Tableau Cloud utilizzando le credenziali di amministratore del sito e passa alla pagina Impostazioni.

  2. In Registro client OAuth fai clic sul pulsante Aggiungi client OAuth.

  3. Inserisci le informazioni richieste, comprese le informazioni della fase 1 precedente:

    1. Per Tipo di connessione, seleziona un valore per la classe del database che corrisponda al connettore per cui desideri configurare il client OAuth personalizzato.

    2. Per ID client, Segreto client e URL di reindirizzamento, inserisci le informazioni che hai preparato nella fase 1 precedente.

    3. Fai clic sul pulsante Aggiungi client OAuth per completare il processo di registrazione.

  4. (Facoltativo) Ripeti la fase 3 per i connettori aggiuntivi.

  5. Fai clic sul pulsante Salva nella parte inferiore o superiore della pagina Impostazioni per salvare le modifiche.

Fase 3. Convalidare e aggiornare le credenziali salvate

Per garantire un accesso senza interruzioni ai dati, tu e gli utenti del sito dovete eliminare le credenziali salvate in precedenza e aggiungerle di nuovo per utilizzare il client OAuth personalizzato anziché il client OAuth predefinito.

  1. Passa alla pagina Impostazioni account.

  2. In Credenziali salvate per le origini dati procedi come segue:

    1. Fai clic su Elimina accanto alle credenziali salvate esistenti per il connettore di cui hai configurato il client OAuth personalizzato nella fase 2 precedente.

    2. Accanto allo stesso connettore, fai clic su Aggiungi e segui le istruzioni per 1) connetterti al client OAuth personalizzato configurato nella fase 2 precedente e 2) salvare le credenziali più recenti.

Fase 4. Richiedere agli utenti di aggiornare le credenziali salvate

Assicurati di richiedere agli utenti del sito di aggiornare le credenziali salvate per il provider di dati di cui hai configurato il client OAuth personalizzato nella fase 2 precedente. Gli utenti del sito possono utilizzare la procedura descritta in Aggiornare le credenziali salvate per aggiornare le credenziali salvate.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!