Utilizzare il tuo provider di identità con Amazon Athena
A partire da Tableau 2023.2, puoi utilizzare OAuth 2.0/OIDC per federare l’identità da un provider di identità esterno ad Amazon Athena.
A seconda del provider di identità, sono necessari diversi passaggi per configurare l’integrazione. Tableau fornisce istruzioni dettagliate solo su come configurare i prodotti Tableau. Questo documento contiene una panoramica generale del processo di configurazione.
Nota: le fasi e i collegamenti esterni ai contenuti di Tableau e Salesforce potrebbero non essere aggiornati o accurati.
Configurare il provider di identità (IdP)
Crea i client OAuth nell’IdP per Tableau Desktop e Tableau Server. Il client Desktop abilita PKCE e utilizza reindirizzamenti http://localhost.
Aggiungi le attestazioni personalizzate per l’autorizzazione dei ruoli.
Crea il file di configurazione OAuth di Tableau. Consulta la documentazione su github e gli esempi disponibili qui. Assicurati di anteporre il prefisso “custom_” agli ID di configurazione OAuth di Tableau.
Installa i file di configurazione OAuth di Tableau nei computer desktop, in Tableau Server e nei siti Tableau Cloud.
Configurare l’IdP in AWS
Creare l’entità IdP. Consulta i documenti di Amazon Informazioni sulla federazione delle identità Web e Creazione di provider di identità OIDC.
Crea i ruoli e i criteri specifici per l’IdP. Consulta Creazione di un ruolo per OIDC nella documentazione di AWS.
Configurare i ruoli per Athena
Associa i criteri necessari per Athena. Esistono molti modi per eseguire questa operazione. Un modo è utilizzare le attestazioni personalizzate. Puoi utilizzare le attestazioni personalizzate nel token OpenID per autorizzare i ruoli. A questi ruoli viene concesso l’accesso ad altre risorse. Per maggiori informazioni, consulta:
Esercitazione: Configurazione dell’accesso federato per gli utenti Okta in Athena utilizzando Lake Formation e JDBC.
Accesso granulare a database e tabelle nel AWS Glue Data Catalog.
Eseguire la connessione ad Athena
L’utente deve specificare l’ARN del ruolo da assumere, quindi selezionare la configurazione OAuth installata in precedenza.
Se configurato correttamente, l’utente viene reindirizzato all’IdP per l’autenticazione e l’autorizzazione dei token per Tableau. Tableau riceve i token OpenID e di aggiornamento. AWS è in grado di convalidare il token e la firma dell’IdP, estrarre le attestazioni dal token, cercare il mapping delle attestazioni al ruolo IAM e consentire o impedire a Tableau di assumere il ruolo per conto dell’utente.
Esempio: AssumeRoleWithWebIdentity
Configurazione di Okta
Se si utilizza Okta, è meglio utilizzare un “server di autorizzazione personalizzato” anziché il “server di autorizzazione dell’organizzazione”. I server di autorizzazione personalizzati sono più flessibili. Esiste un server di autorizzazione personalizzato creato per impostazione predefinita, denominato “predefinito”. L’URL di autorizzazione è simile all’esempio seguente.
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
