Utiliser votre propre fournisseur d’identité avec Amazon Athena
Depuis Tableau 2023.2, vous pouvez utiliser OAuth 2.0/OIDC pour fédérer l’identité depuis un fournisseur d’identité externe vers Amazon Athena.
Selon le fournisseur d’identité, plusieurs étapes différentes sont nécessaires pour configurer l’intégration. Tableau ne fournit des instructions détaillées que sur la manière de configurer les produits Tableau. Ce document fournit une vue d’ensemble générale du processus de configuration.
Remarque : les étapes et les liens qui sont extérieurs au contenu Tableau et Salesforce ne sont pas nécessairement mis à jour ou exacts.
Configurer le fournisseur d’identité (IdP)
Créez des clients OAuth sur l’IdP pour Tableau Desktop et Tableau Server. Le client Desktop active PKCE et utilise les redirections http://localhost.
Ajoutez aux rôles des revendications personnalisées pour l’autorisation.
Créez le fichier de configuration Tableau OAuth. Consultez la documentation sur github et des exemples ici. Veillez à ajouter le préfixe « custom_ » aux ID de configuration Tableau OAuth.
Installez les fichiers de configuration Tableau OAuth sur des ordinateurs de bureau, Tableau Server et des sites Tableau Cloud.
Configurer l’IdP sur AWS
Créez l’entité de l’IdP. Consultez la documentation Amazon À propos de la fédération d’identité web, Création de fournisseurs d’identité OpenID Connect (OIDC).
Créez des rôles et des stratégies pour l’IdP spécifiquement. Consultez Création d’un rôle pour OpenID Connect dans la documentation AWS.
Configurer des rôles pour Athena
Joignez les stratégies nécessaires pour Athena. Vous pouvez procéder de plusieurs manières, notamment en utilisant les revendications personnalisées. dans le jeton openID pour ajouter des autorisations à des rôles. Ces rôles peuvent alors accéder à d’autres ressources. Pour plus d’informations, consultez :
Se connecter à Athena
L’utilisateur doit spécifier l’ARN du rôle à présupposer, puis sélectionner la configuration OAuth installée précédemment.
Une fois la configuration correctement effectuée, l’utilisateur est redirigé vers l’IdP pour authentifier et autoriser des jetons pour Tableau. Tableau reçoit des jetons openid et refresh. AWS est capable de valider le jeton et la signature depuis l’IdP, d’extraire les revendications du jeton, de rechercher le mappage de l’utilisateur au rôle IAM et d’autoriser Tableau ou non à présupposer le rôle pour le compte de l’utilisateur.
Exemple : AssumeRoleWithWebIdentity
Configuration d’Okta
Dans le cas d’Okta, il est préférable d’utiliser un « serveur d’autorisation personnalisé » plutôt que le « serveur d’autorisation de l’organisation ». Les serveurs d’autorisation personnalisés sont plus flexibles. Un serveur d’autorisation personnalisé est créé par défaut et porte le nom « default ». L’URL d’autorisation peut se présenter comme suit.
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize