Configurar OAuth para conexiones de Snowflake
Cuando se conecta a los datos de Snowflake, tiene tres opciones de autenticación para elegir.
OAuth: puede usar OAuth para habilitar la federación desde un IDP.
Nombre de usuario y contraseña de Okta: puede insertar las credenciales de IDP en la conexión (solo para Okta).
Nombre de usuario y contraseña: las credenciales de usuario se almacenan en Snowflake.
Por lo general, recomendamos usar OAuth. Esta opción ofrece la mejor combinación de funcionalidad y seguridad.
Con OAuth, puede:
- Usar un proveedor de identidades (IdP) para facilitar el acceso.
- Configurarlo para proporcionar una experiencia de inicio de sesión único (SSO).
- Aplicar la autenticación de factor múltiple (MFA).
OAuth 2.0 es un protocolo estándar del sector para la autorización.
Nota: Tenga cuidado de no confundir esto con la opción de autenticación de IdP SAML de Tableau en el cuadro de diálogo de conexión. Debe conectarse mediante la opción Iniciar sesión mediante OAuth.
Cuando utiliza OAuth, una consideración clave es mantener el acceso al contenido publicado en Tableau Server o Tableau Cloud. Cuando el contenido de Tableau se conecta en vivo a Snowflake a través de OAuth, los propietarios deben volver a autenticar la conexión del libro de trabajo cada vez que expire el token de acceso (cada 90 días de forma predeterminada).
Consulte el tema de ayuda de Snowflake, Configurar OAuth de Snowflake para aplicaciones asociadas(El enlace se abre en una ventana nueva), para obtener más información sobre cómo establecer el límite de expiración del token de acceso. Si tiene una necesidad empresarial de ampliar este periodo para evitar errores en el contenido de Tableau, póngase en contacto con el soporte técnico de Snowflake(El enlace se abre en una ventana nueva) para que le ayude. Si no actualiza manualmente el contenido antes de este periodo de tiempo, puede provocar un error cuando el libro de trabajo de Tableau intente cargarse.
Configurar OAuth entre Snowflake y Tableau
En una conexión entre Tableau y Snowflake, cada uno debe tener OAuth configurado.
- Tableau: Tableau incluye credenciales para Snowflake para permitir el acceso. Esto sucede automáticamente cuando se utiliza el conector de Snowflake en Tableau. Tableau no requiere ninguna configuración de OAuth adicional. Para obtener más información, consulte Conexiones OAuth(El enlace se abre en una ventana nueva) en la ayuda de Tableau.
- Snowflake: en Snowflake, habilitará OAuth para conceder acceso a Tableau. Siga los pasos de este tema de ayuda de Snowflake: Configurar OAuth en Snowflake para aplicaciones asociadas(El enlace se abre en una ventana nueva).
Nota: A partir de la versión 2020.4, la conexión de OAuth puede utilizar AWS PrivateLink o Azure Private Link. Para obtener más información, consulte Cambiar OAuth de Snowflake a vínculos privados con credenciales guardadas(El enlace se abre en una ventana nueva).
Acerca del uso del SSO con OAuth
El inicio de sesión único (SSO) agrega otra capa de seguridad además de la autenticación de OAuth. Un IdP independiente configurado para SSO administra la autenticación de toda la actividad de acceso entre las aplicaciones de su organización. Todas las solicitudes de inicio de sesión se enrutan al servidor de SSO, que muestra un cuadro de diálogo de inicio de sesión común y comprueba las credenciales del usuario en una base de datos centralizada.
Consejo: puede usar las credenciales guardadas para evitar que se le vuelva a pedir la contraseña. Para obtener más información, consulte Administrar credenciales guardadas para conexiones de datos(El enlace se abre en una ventana nueva).
Configurar OAuth entre Okta y Snowflake
Snowflake usa Okta como proveedor de identidades (IdP) predeterminado, que proporciona tokens de acceso y autentica identidades. Deberá configurar los ajustes en las funcionalidades de Snowflake y Okta para OAuth y el inicio de sesión único (SSO). En Okta, definirá Okta como un servidor de autenticación de OAuth e identificará a Snowflake como un recurso de OAuth. Siga los pasos de este tema de ayuda de Snowflake: Configuración de un proveedor de identidades para Snowflake(El enlace se abre en una ventana nueva). |
Acerca del uso de MFA con OAuth
La autenticación de factor múltiple (MFA) introduce otra capa de seguridad. Requiere dos o más métodos de identificación diferentes antes de que el usuario pueda acceder a un recurso. Los métodos pueden incluir:
- Una contraseña
- Un token de un segundo dispositivo
- Métodos biométricos (huella digital o escaneo ocular, por ejemplo)
- Respuesta a una pregunta de seguridad
Opcionalmente, puede configurar la autenticación de factor múltiple (MFA) con Okta u otro IdP para sus conexiones entre Tableau y Snowflake. Para obtener más información sobre cómo configurar MFA con Okta, consulte la ayuda de Okta(El enlace se abre en una ventana nueva).
Otras opciones de conexión
Cuando se conecta a Snowflake desde Tableau Desktop, tiene otras dos opciones:
|
La opción de IdP de SAML solo funciona si Okta es su proveedor de identidad y si la MFA está deshabilitada para los usuarios de Okta. La opción IdP de SAML admite el SSO, pero no admite la MFA. En este caso, la publicación con credenciales incrustadas usará un usuario específico, pero no puede emplear "credenciales de Viewer" por usuario cuando utilice SAML de Okta.
Nota: En el pasado, algunos clientes han utilizado la opción "navegador externo"(El enlace se abre en una ventana nueva) con IdP de SAML como solución alternativa para lograr el SSO entre Tableau Desktop y Snowflake. No funcionará para Tableau Server. Se recomienda usar la conexión de OAuth en su lugar.
La opción Nombre de usuario y contraseña utiliza la contraseña almacenada por Snowflake. Esta opción requiere que los usuarios vuelvan a autenticarse con sus credenciales siempre que se conecten a Snowflake o que incrusten estas credenciales.
Preguntas frecuentes
¿Por qué mis extracciones de datos de Snowflake publicadas fallan después de un periodo de tiempo?
Puede ser que el token de acceso de OAuth haya expirado. Deberá volver a autenticarse manualmente en la fuente de datos para actualizar el token. Si necesita extender la vida útil de estos tokens en el futuro, puede ponerse en contacto con el soporte técnico de Snowflake(El enlace se abre en una ventana nueva).
¿Cómo elijo entre las opciones "Preguntar al usuario" e "Insertar credenciales" al publicar una fuente de datos de Snowflake?
Si desea que cualquier usuario que acceda a la fuente de datos, use sus propias credenciales al conectarse a la fuente de datos y al contenido asociado, use la opción Preguntar al usuario. Puede elegir insertar credenciales para que todos los que tengan acceso a esa fuente de datos usen esas credenciales específicas. Este método es muy similar a utilizar una "cuenta de servicio".
¿Cómo puedo usar la seguridad a nivel de fila que he configurado en Snowflake?
Cuando se solicita a los usuarios que introduzcan sus propias credenciales para acceder a Snowflake desde Tableau, esas credenciales se asignan a los privilegios que tienen en la cuenta de Snowflake.
Consulte también
Conexiones de OAuth: obtenga más información sobre la compatibilidad de OAuth con Tableau.
OAuth (Ayuda de Snowflake): obtenga información sobre Snowflake con OAuth.
Resumen de funcionalidades de seguridad (Ayuda de Snowflake): encuentre información sobre cómo Snowflake admite OAuth, SSO y otras funcionalidades de seguridad.
Administrar la configuración de su cuenta: lea sobre cómo crear y revocar tokens de acceso personal.