Nutzen des eigenen Identitätsanbieters mit Amazon Athena

Anwendungsbereich: Tableau Cloud, Tableau Desktop, Tableau Prep, Tableau Server

Ab Tableau 2023.2 können Sie OAuth 2.0/OIDC verwenden, um Identitäten von einem externen Identitätsanbieter mit Amazon Athena zu verbinden.

Je nach Identitätsanbieter sind unterschiedliche Schritte zur Konfiguration der Integration erforderlich. Tableau bietet lediglich detaillierte Anweisungen zur Konfiguration von Tableau-Produkten. Dieses Dokument bietet einen allgemeinen Überblick über den Konfigurationsprozess.

Hinweis: Schritte und Links, die außerhalb der Tableau- und Salesforce-Inhalte liegen, sind möglicherweise nicht aktuell oder korrekt.

Konfigurieren des Identitätsanbieters (IDP)

  1. Erstellen Sie OAuth-Clients auf dem IDP für Tableau Desktop und Tableau Server. Der Desktop-Client aktiviert PKCE und verwendet Weiterleitungen zuhttp://localhost.

  2. Fügen Sie benutzerdefinierte Ansprüche für die Autorisierung von Rollen hinzu.

  3. Erstellen Sie die Tableau OAuth-Konfigurationsdatei. Siehe die Dokumentation zu Github und diese Beispiele. Stellen Sie sicher, dass Sie den Tableau OAuth-Konfigurations-IDs "custom_" voranstellen.

  4. Installieren Sie Tableau OAuth-Konfigurationsdateien auf Desktop-Computern, Tableau Server und Tableau Cloud-Sites.

Konfigurieren des IDP auf AWS

  1. Erstellen Sie die IDP-Entität. Siehe die Amazon-Dokumente Web Identity Federation, Erstellen eines OIDC-Identitätsanbieters.

  2. Erstellen Sie Rollen und Richtlinien speziell für den IDP. Sehen Erstellen einer Rolle für OIDC in den AWS-Dokumenten.

Konfigurieren von Rollen für Athena

Fügen Sie die für Athena erforderlichen Richtlinien bei. Es gibt viele Möglichkeiten, dies zu erreichen. Eine Möglichkeit ist die Verwendung benutzerdefinierter Ansprüche. Sie können benutzerdefinierte Ansprüche im openID-Token verwenden, um Rollen zu autorisieren. Diesen Rollen wird Zugriff auf andere Ressourcen gewährt. Weitere Informationen finden Sie unter:

Herstellen einer Verbindung zu Athena

Der Benutzer muss den zu übernehmenden Rollen-ARN angeben und dann die zuvor installierte OAuth-Konfiguration auswählen.

Bei ordnungsgemäßer Konfiguration wird der Benutzer zum IDP weitergeleitet, um Token für Tableau zu authentifizieren und zu autorisieren. Tableau erhält OpenID- und Refresh-Tokens. AWS ist in der Lage, das Token und die Signatur vom IDP zu validieren, die Ansprüche vom Token zu extrahieren, die Zuordnung von Ansprüchen zur IAM-Rolle abzurufen und Tableau die Übernahme der Rolle im Namen des Benutzers entweder zu erlauben oder zu blockieren.

Beispiel: AssumeRoleWithWebIdentity

Melden Sie sich im Athena-Fenster an

Okta-Konfiguration

Wenn Sie Okta verwenden, ist es besser, einen "benutzerdefinierten Autorisierungsserver" anstelle des "Organisationsautorisierungsservers" zu verwenden. Die benutzerdefinierten Autorisierungsserver sind flexibler. Standardmäßig wird ein benutzerdefinierter Autorisierungsserver erstellt, der "Standard" heißt. Die Autorisierungs-URL sieht wie das folgende Beispiel aus.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

Okta-Dashboard

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.