Ayuda de Tableau Desktop y de la creación web

A partir de Tableau 2023.2, puede utilizar OAuth 2.0/OIDC para federar la identidad de un proveedor de identidad externo a Amazon Athena.

Según el proveedor de identidad, se necesitan diferentes pasos para configurar la integración. Tableau solo proporciona instrucciones detalladas sobre cómo configurar los productos de Tableau. Para obtener instrucciones sobre cómo configurar su proveedor de identidad (como Okta), consulte la ayuda y los tutoriales de ese producto. Este documento proporciona una descripción general de alto nivel del proceso de configuración.

Nota: Es posible que los pasos y vínculos que se encuentran fuera del contenido de Tableau y Salesforce no estén actualizados o no sean precisos.

Configurar el proveedor de identidad (IDP)

1. Cree clientes OAuth en el IDP para Tableau Desktop y Tableau Server. El cliente de Desktop habilita PKCE(El enlace se abre en una ventana nueva) y utiliza redirecciones http://localhost.

2. Agregue las notificaciones personalizadas necesarias para la autorización de roles. Para obtener más detalles sobre las reclamaciones y los alcances, consulte Alcances vs. reclamaciones(El enlace se abre en una ventana nueva).

3. Cree el archivo de configuración de Tableau OAuth. Para obtener información sobre cómo hacerlo, consulte Configuración y uso de OAuth(El enlace se abre en una ventana nueva) en Github, y estos ejemplos. Asegúrese de anteponer “custom_” a los ID de configuración de Tableau OAuth.

4. Instale los archivos de configuración de Tableau OAuth en equipos con Tableau Desktop, Tableau Server y sitios de Tableau Cloud tal y como se explica en el tema de configuración de OAuth vinculado anteriormente.

Configuración del IdP en AWS

1. Cree la entidad del IDP. Consulte la documentación de Amazon Federación de identidad web, Crear proveedor de identidad OIDC.
2. El IDP debe configurarse para federarse con Athena de manera que funcione con el complemento del controlador de Tableau. La siguiente información del proveedor se utiliza para los flujos de Tableau Server y Tableau Desktop:
   AwsCredentialsProviderClas=com.simba.athena.iamsupport.plugin.JwtCredentialsProvider
role_session_name=AthenaJWT
   
3. Cree roles y directivas específicamente para los IDP. Consulte Crear rol para OIDC en la documentación de AWS.

Configurar roles para Athena

Adjunte las directivas necesarias para Athena. Hay muchas maneras de hacer esto. Una forma de hacerlo es mediante reclamaciones personalizadas. Puede utilizar reclamos personalizados en el token openID para autorizar roles. A esos roles se les concede acceso a otros recursos. Para obtener más información, consulte:

• Tutorial: Configuración del acceso federado para usuarios de Okta a Athena mediante Lake Formation y JDBC.

• Acceso detallado a bases de datos y tablas en AWS Glue Data Catalog.

Conectarse a Athena

El usuario debe especificar el ARN (nombre de recurso de Amazon) del rol de AWS que asumirá y, luego, en Proveedor de Oauth, seleccionar la configuración de OAuth instalada anteriormente. Tenga en cuenta que el menú desplegable para seleccionar una configuración solo aparecerá si hay varias configuraciones para elegir.

Cuando se configura correctamente, se redirige al usuario al IDP para autenticar y autorizar tokens para Tableau. Tableau recibe tokens de actualización y openid. AWS puede validar el token y la firma del IdP, extraer las notificaciones del token, buscar la asignación de las notificaciones al rol de IAM y permitir o bloquear que Tableau asuma el rol en nombre del usuario.

Ejemplo: AssumeRoleWithWebIdentity

Tokens

De forma predeterminada, Athena OAuth IAM pasa el token de identificación al controlador. Para los clientes locales, incluidos aquellos que usan Tableau Bridge, pueden usar un archivo TDC para pasar el token de acceso.

<connection-customization class='athena' enabled='true' version='10.0'>
    <vendor name='athena' />
    <driver name='athena' />
    <customizations>
        <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/>
    </customizations>
</connection-customization>

Para obtener más información sobre cómo configurar e instalar archivos .tdc, consulte Personalizar y ajustar una conexión(El enlace se abre en una ventana nueva).

Configuración de Okta

Si usa Okta, es mejor usar un “servidor de autorización personalizado” en lugar del “servidor de autorización de la organización”. Los servidores de autorización personalizados son más flexibles. Hay un servidor de autorización personalizado creado de forma predeterminada, que se llama "default". La URL de autorización tiene el siguiente aspecto:

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize