Configurer OAuth externe pour SAP HANA
Depuis Tableau 2024.3 pour Tableau Cloud, vous pouvez utiliser OAuth 2.0/OIDC pour fédérer l’identité depuis un fournisseur d’identité externe vers HANA.
Selon le fournisseur d’identité, plusieurs étapes différentes sont nécessaires pour configurer l’intégration. Nous vous présentons ici un aperçu général.
Remarque : les jetons d’actualisation à usage unique (parfois appelés jetons d’actualisation continus ou rotation des jetons d’actualisation) ne sont pas pris en charge actuellement pour les connexions OAuth à Tableau Cloud à l’aide de Tableau Bridge. La prise en charge de ces jetons est prévue pour une version future.
Configurer l’IdP sur HANA
Pour plus d’informations sur la configuration de votre IdP sur HANA, consultez Authentification unique à l’aide de jetons Web JSON(Le lien s’ouvre dans une nouvelle fenêtre) dans le système d’aide de SAP.
Voici quelques exemples des manières possibles de configurer un IdP :
- Okta IdP utilisant HANA Cockpit : Donner à vos utilisateurs les moyens d’accéder aux données SAP HANA avec les identités Okta(Le lien s’ouvre dans une nouvelle fenêtre)
- Azure IdP utilisant HANA Studio : Configuration d’une instance SAP HANA avec OAuth ou SSO(Le lien s’ouvre dans une nouvelle fenêtre)
Configurer l’IdP
Créez des clients OAuth sur l’IdP pour Tableau Desktop et Tableau Server ou Tableau Cloud. Le client Desktop doit activer
PKCE(Le lien s’ouvre dans une nouvelle fenêtre) et utiliser les redirectionshttp://localhost.Créez des fichiers de configuration Tableau OAuth. Pour plus de détails sur la façon de procéder, voir Configuration et utilisation d’OAuth(Le lien s’ouvre dans une nouvelle fenêtre) sur GitHub(Le lien s’ouvre dans une nouvelle fenêtre), et des exemples ici(Le lien s’ouvre dans une nouvelle fenêtre). N’hésitez pas à nous envoyer des exemples d’autres fournisseurs d’identité.
Veillez à ajouter le préfixe «
custom_» aux ID de configuration Tableau OAuth.Remarque : les ID de configuration OAuth ont une limite maximum de 36 caractères. Les identifiants plus longs ne génèrent pas nécessairement d’erreur, mais ne fonctionneront pas.
Si votre IdP prend en charge le port localhost dynamique, désactivez
OAUTH_CAP_FIXED_PORT_IN_CALLBACK_URL. Dans le cas contraire, veillez à ajouter plusieurs URL de rappel localhost à la liste d’autorisations dans le fichier de configuration et sur l’IdP.
Installez les nouveaux fichiers de configuration Tableau OAuth dans le dossier
OAuthConfigsassocié à chaque application sur les hôtes de bureau (Tableau Desktop, Tableau Prep Builder, Tableau Bridge) et sur chaque site Tableau Server et Tableau Cloud qui utilisera Oauth, via la page Paramètres du site. Pour plus de détails, voir Configurations OAuth personnalisées sur Desktop(Le lien s’ouvre dans une nouvelle fenêtre) et Clients OAuth au niveau du site(Le lien s’ouvre dans une nouvelle fenêtre).
Connexion à HANA
L’utilisateur doit sélectionner l’option Se connecter avec OAuth, puis le Fournisseur OAuth qu’il a installé auparavant.
Okta
Dans le cas d’Okta, il est préférable d’utiliser un « serveur d’autorisation personnalisé » plutôt que le « serveur d’autorisation de l’organisation ». Les serveurs d’autorisation personnalisés sont plus flexibles. Un serveur d’autorisation personnalisé est créé par défaut et porte le nom « default ». L’URL d’autorisation devrait se présenter comme suit :
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
