OAuth 連線
儲存敏感資料庫憑證的替代方法Tableau Cloud是使用OAuth 2.0標準建立連線。以下為支援 OAuth 身分驗證的連接器:
- Anaplan
- Azure Data Lake Storage Gen2、Azure SQL、Azure Synapse
- Box
- Esri ArcGIS Server
- Databricks
- Dremio
- Dropbox
- Google Ads、Google Analytics、Google BigQuery、Google Sheets(2022 年 3 月被取代)
- LinkedIn Sales Navigator
- Marketo
- OneDrive
- Oracle Eloqua
- QuickBooks Online
- Salesforce、Salesforce CDP
- ServiceNow ITSM
- Snowflake
從 Tableau 中,使用者透過 OAuth 連接器登入資料時,將重新導向身分驗證提供者的登入頁面。使用者提供認證並授權 Tableau 存取其資料後,身分驗證提供者會向 Tableau 傳送唯一標識 Tableau 和使用者的存取權杖。此存取權杖用來代表使用者存取資料。有關詳情,請參閱下面的 OAuth 處理序概述。
使用 OAuth -基礎連線可提供以下優點:
安全:您的資料庫認證不會被 Tableau Cloud 知道或儲存在其中,並且存取權杖只能由代表使用者的 Tableau 使用。
方便:不必在多個位置嵌入您的資料來源 ID 和密碼,您可以對存取特定資料提供者的所有已發佈工作簿和資料來源使用為該資料提供者提供的權杖。
附註:如果是 Google BigQuery 資料的即時連線,每個工作簿檢視器都可以擁有標識使用者的唯一存取權杖,而不是共用單個使用者名和密碼認證。
OAuth 處理序概述
下列步驟描述了 Tableau 環境中呼叫 OAuth 流程的工作流程。
使用者執行的動作需要存取雲端-基礎資料來源。
例如,您開啟發佈到 Tableau Cloud 的工作簿。
Tableau 將使用者導向雲端資料提供者的登入頁面。傳送給資料提供者的資訊將 Tableau 標識為請求網站。
當使用者登入資料時,提供者會提示使用者確認 Tableau Cloud 存取資料的授權。
使用者確認後,資料提供者會向 Tableau Cloud 傳送存取權杖。
Tableau Cloud 向使用者顯示工作簿和資料。
下列使用者工作流程可以使用 Oauth 程序:
從 Tableau Desktop 或從 Tableau Cloud 建立工作簿並連線到資料來源。
從 Tableau Desktop 發佈資料來源。
從像是 Tableau Mobile 或 Tableau Desktop 等批准的用戶端登入 Tableau Cloud 站台。
附註: Tableau Bridge 支援對連接器進行身份驗證的 OAuth:Snowflake、Google BigQuery、Google Drive、Salesforce 和 OneDrive。
預設的已儲存憑證連接器
已儲存的認證是指 Tableau Cloud 儲存用於 OAuth 連線的使用者權杖的功能。這項功能可讓使用者將 OAuth 認證儲存到其在 Tableau Cloud 上的使用者設定檔。儲存憑證後,使用者之後在存取連接器時,就不會在發佈、編輯或重新整理動作時收到系統提示。
附註:在 Web 上編輯 Tableau Prep 流程時,系統可能仍會提示您重新進行驗證。
所有支援的連接器皆列在 Tableau Cloud 上使用者的我的帳戶設定頁面的資料來源已儲存的認證下。使用者需為每個連接器管理其已儲存的認證。
資料連線存取權杖
可以根據包含資料連線的存取權杖嵌入認證,以允許在初始驗證過程結束之後直接存取。除非 Tableau Cloud 使用者刪除存取權杖或資料提供者撤銷它,否則它會一直有效。
可能超出了資料來源提供程式允許的存取權杖數。在這種情況下,當使用者建立新權杖時,資料提供者將使用自上次存取以來已經過去的時間長度來決定使哪個權杖失效以便為新權杖騰出空間。
批准的用戶端驗證的存取權杖
預設情況下,在使用者第一次登入時提供其認證後,Tableau Cloud 網站允許使用者直接從核准的 Tableau 用戶端存取其網站。此類型的驗證還使用 OAuth 存取權杖來安全地儲存使用者的認證。
有關詳情,請參閱從連線的用戶端中存取網站。
預設的受管金鑰鏈連接器
受管金鑰鏈是指提供者針對 Tableau Cloud 產生 OAuth 權杖並由同一站台中所有使用者共用的功能。使用者首次發佈資料來源時,Tableau Server 會向使用者要求資料來源認證。Tableau Cloud 向資料來源提供者提交認證,提供者會再傳回 OAuth 權杖供 Tableau Cloud 代表使用者使用。在後續的發佈作業中,系統會使用 Tableau Cloud 為相同類別和使用者名稱儲存的 OAuth 權杖,因此不會提示使用者輸入 OAuth 認證。若資料來源密碼發生變更,系統會重複上述程序,並在 Tableau Cloud 上以新權杖取代舊權杖。
Tableau Cloud 中的其他 OAuth 設定不需要預設受控 keychain 連接器:
Google Analytics、Google BigQuery 和 Google Sheets(
- Salesforce
設定自訂的 OAuth
從 2021.2 開始,身為站台管理員,可以為每個 OAuth 支援的資料提供者(連接器)設定一個自訂的 OAuth 用戶端,以覆寫站台預先設定的 OAuth 用戶端設定。可以考慮設定一個自訂的 OAuth 用戶端,安全支援連接到需要獨特 OAuth 用戶端的資料。
設定自訂的 OAuth 用戶端時,組態的預設值將被忽略,並且站台上建立的所有新 OAuth 認證會預設使用自訂的 OAuth 用戶端。
重要提示:設定自訂的 OAuth 用戶端之前所建立的現有 OAuth 認證暫時可用,但站台管理員和使用者都必須更新已儲存的認證,有助於確保資料存取不中斷。
步驟 1:準備 OAuth 用戶端 ID、用戶端密碼和重新導向 URL
在設定自訂的 OAuth 用戶端之前,需要收集以下列出的資料。獲取此資料後,可以為每個 OAuth 支援的連接器設定自訂的 OAuth 用戶端。
OAuth 用戶端 ID 和用戶端密碼:首先向資料提供者(連接器)註冊 OAuth 用戶端,以檢索為 Tableau Cloud 產生的用戶端 ID 和用戶端密碼。支援的連接器包括:
- Azure Data Lake Storage Gen2、Azure SQL 資料庫、Azure Synapse
- Databricks
- Dremio
- Dropbox
- Google Analytics、Google BigQuery、Google 表格(2022 年 3 月被取代)
- Intuit QuickBooks Online
- Salesforce、Salesforce CDP
重新導向 URL:請注意 Tableau Cloud 站台的 pod 所在位置,以確保在下面步驟 2的註冊過程中重新導向正確的 URL。使用以下格式重新導向 URL:
https://<your_pod> .online.tableau.com/auth/add_oauth_token
例如,https://us-west-2b.online.tableau.com/auth/add_oauth_token
附註:有關 Pod 詳情,請參閱Tableau 信任(連結在新視窗開啟)頁面。
步驟 2:註冊 OAuth 用戶端 ID 和用戶端密碼
按照下面所述的程序,將自訂的 OAuth 用戶端註冊到您的站台。
使用站台管理員認證登入 Tableau Cloud 並導航到「設定」頁面。
在 OAuth 用戶端註冊下,按一下新增 OAuth 用戶端按鈕。
輸入所需資訊,包括上述步驟 1中的資訊:
對於連線類型,選取與要設定其自訂 OAuth 用戶端的連接器對應的資料庫類值。
有關用戶端 ID、用戶端密碼和重新導向 URL,請輸入上述步驟 1所準備的資訊。
按一下新增 OAuth 用戶端按鈕以完成註冊程序。
(可選)對其他連接器重複步驟 3。
- 按一下「設定」頁面下方或上方的儲存按鈕來儲存變更。
步驟 3:驗證和更新儲存的憑證
為了確保資料存取不中斷,您(和您的站台使用者)必須刪除之前已儲存的認證並重新加入,才能使用自訂的 OAuth 用戶端而非預設的 OAuth 用戶端。
導航到我的帳戶設定頁面。
在資料來源儲存的認證中,執行以下操作:
針對上述步驟 2中所設定的自訂 OAuth 用戶端連接器,在現有已儲存的認證旁邊按一下刪除。
在同一個連接器旁邊,按一下新增並按照提示進行 1) 連接到上述步驟 2中設定自訂的 OAuth 用戶端, 2) 儲存最新的認證。
步驟 4:通知使用者更新已儲存的認證
請確保通知您的站台使用者,為在上述步驟 2中設定自訂的 OAuth 用戶端的資料提供者,更新已儲存的認證。網站使用者可以使用更新儲存的認證所述的程序來更新他們已儲存的認證。