Utilizar su propio proveedor de identidad con Amazon Athena
A partir de Tableau 2023.2, puede utilizar OAuth 2.0/OIDC para federar la identidad de un proveedor de identidad externo a Amazon Athena.
Según el proveedor de identidad, se necesitan diferentes pasos para configurar la integración. Tableau solo proporciona instrucciones detalladas sobre cómo configurar los productos de Tableau. Este documento proporciona una descripción general de alto nivel del proceso de configuración.
Nota: Es posible que los pasos y vínculos que se encuentran fuera del contenido de Tableau y Salesforce no estén actualizados o no sean precisos.
Configurar el proveedor de identidad (IDP)
Cree clientes OAuth en el IDP para Tableau Desktop y Tableau Server. El cliente de Desktop habilita PKCE y utiliza redirecciones http://localhost.
Agregue reclamos personalizados para autorización de roles.
Cree el archivo de configuración de Tableau OAuth. Consulte la documentación en GitHub y ejemplos aquí (en inglés). Asegúrese de anteponer “custom_” a los ID de configuración de Tableau OAuth.
Instale archivos de configuración de Tableau OAuth en equipos de escritorio, sitios de Tableau Server y Tableau Cloud.
Configuración del IdP en AWS
Cree la entidad del IDP. Consulte la documentación de Amazon Federación de identidad web, Crear proveedor de identidad OIDC.
Cree roles y directivas específicamente para los IDP. Consulte Crear rol para OIDC en la documentación de AWS.
Configurar roles para Athena
Adjunte las directivas necesarias para Athena. Hay muchas formas de hacer esto. Una forma es utilizar reclamos personalizados. Puede utilizar reclamos personalizados en el token openID para autorizar roles. A esos roles se les concede acceso a otros recursos. Para obtener más información, consulte:
Tutorial: Configuración del acceso federado para usuarios de Okta a Athena mediante Lake Formation y JDBC.
Acceso detallado a bases de datos y tablas en AWS Glue Data Catalog.
Conectarse a Athena
El usuario debe especificar el rol ARN que asumirá y luego seleccionar la configuración de OAuth instalada anteriormente.
Cuando se configura correctamente, se redirige al usuario al IDP para autenticar y autorizar tokens para Tableau. Tableau recibe tokens de actualización y openid. AWS puede validar el token y la firma del IDP, extraer las notificaciones del token, buscar la asignación de las notificaciones al rol de IAM y permitir o bloquear que Tableau asuma el rol en nombre del usuario.
Ejemplo: AssumeRoleWithWebIdentity
Configuración de Okta
Si usa Okta, es mejor usar un “servidor de autorización personalizado” en lugar del “servidor de autorización de la organización”. Los servidores de autorización personalizados son más flexibles. Hay un servidor de autorización personalizado creado de forma predeterminada, que se llama "default". La URL de autorización tiene el siguiente aspecto:
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
