Utiliser votre propre fournisseur d’identité avec Amazon Athena

S’applique à : Tableau Cloud, Tableau Desktop, Tableau Prep, Tableau Server

Depuis Tableau 2023.2, vous pouvez utiliser Oauth 2.0/OIDC pour fédérer l’identité d’un fournisseur d’identité externe dans Amazon Athena.

Selon le fournisseur d’identité, plusieurs étapes sont nécessaires pour configurer l’intégration. Tableau ne fournit que des instructions détaillées sur la manière de configurer les produits Tableau. Ce document présente une vue d’ensemble du processus de configuration.

Remarque :Les étapes et les liens qui ne font pas partie du contenu de Tableau et de Salesforce peuvent ne pas être mis à jour ou être inexacts.

Configurer le fournisseur d’identité (IDP)

  1. Créez des clients OAuth sur le fournisseur d’identité pour Tableau Desktop et Tableau Server. Le client Desktop active PKCE et utilise les redirections http://localhost.

  2. Ajoutez des revendications personnalisées pour l’autorisation des rôles.

  3. Créez le fichier de configuration Tableau OAuth. Consultez la documentation sur github et des exemples ici. N’oubliez pas de préfixer les identifiants de configuration Tableau OAuth avec “custom_”.

  4. Installez les fichiers de configuration Tableau OAuth sur les ordinateurs de bureau et sur les sites Tableau Server et Tableau Cloud.

Configurer le fournisseur d’identité sur AWS

  1. Créez l’entité de l’IdP. Consultez la documentation Amazon Fédération d’identité Web, Créer un fournisseur d’identité OIDC.

  2. Créez des rôles et des stratégies pour le fournisseur d’identité en particulier. Consultez Créer un rôle pour OIDC sur la documentation AWS.

Configurer des rôles pour Athena

Joignez les stratégies nécessaires pour Athena. Il y a plusieurs façons de procéder, notamment en utilisant des revendications personnalisées. Vous pouvez utiliser des revendications personnalisées dans le jeton openID pour autoriser des rôles. Ces rôles ont accès à d’autres ressources. Pour plus d’information, consultez :

Connexion à Athena

L’utilisateur doit préciser le rôle ARN à assumer, puis sélectionner la configuration OAuth installée précédemment.

Lorsqu’il est correctement configuré, l’utilisateur est redirigé vers l’IdP pour s’authentifier et autoriser les jetons pour Tableau. Tableau reçoit les jetons openid et les actualise. AWS peut valider le jeton et la signature reçus du fournisseur d’identité, extraire les revendications du jeton, vérifier si les revendications sont associées au rôle IAM, et autoriser ou empêcher Tableau d’assumer le rôle au nom de l’utilisateur.

Exemple : AssumeRoleWithWebIdentity

se connecter à la fenêtre Athena

Configuration d’Okta

Si vous utilisez Okta, il est préférable d’utiliser un « serveur d’autorisation personnalisé » plutôt que le « serveur d’autorisation de l’organisation ». Les serveurs d’autorisation personnalisés offrent plus de souplesse. Un serveur d’autorisation personnalisé, appelé « default », est créé par défaut. L’URL d’autorisation ressemble à l’exemple suivant.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

tableau de bord Okta

Retour en haut
Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!