Amazon Athena で独自の ID プロバイダーを使用する
Tableau 2023.2 以降では、OAuth 2.0/OIDC を使用して、外部の ID プロバイダーから Amazon Athena に ID をフェデレートすることができます。
ID プロバイダーによって、統合を設定するために必要な手順は異なります。Tableau では、Tableau 製品の設定方法に関する手順のみを詳しく提供します。このドキュメントでは、設定プロセスの概要を説明します。
注: Tableau および Salesforce の内容以外の手順とリンクは、更新されていないか、正確ではない可能性があります。
ID プロバイダー (IdP) の設定
IDP に Tableau Desktop および Tableau Server の OAuth クライアントを作成します。デスクトップ クライアントは PKCE を有効にし、http://localhost リダイレクトを使用します。
ロールに権限を付与するためのカスタム クレームを追加します。
Tableau OAuth 構成ファイルを作成します。github のドキュメントと、ここでの例を参照してください。Tableau OAuth 構成 ID には必ず「custom_」というプレフィックスを付けてください。
Tableau OAuth 構成ファイルをデスクトップ マシン、Tableau Server、Tableau Cloud サイトにインストールします。
AWS で IDP を構成する
IDP エンティティを作成します。Amazon ドキュメントの「Web ID フェデレーション」、「OIDC ID プロバイダーの作成」を参照してください。
IDP 専用のロールとポリシーを作成します。AWS ドキュメントの「OIDC のロールの作成」を参照してください。
Athena のロールを設定する
Athena に必要なポリシーをアタッチします。これにはさまざまな方法があります。その 1 つはカスタム クレームを使用することです。OpenID トークンでカスタム クレームを使用して、ロールに権限を付与できます。これらのロールには、他のリソースへのアクセス権が付与されます。詳細については以下を参照してください。
Athena に接続する
ユーザーは、引き受けるロール ARN を指定し、前にインストールした OAuth 構成を選択する必要があります。
適切に設定されていると、ユーザーは IDP にリダイレクトされ、Tableau のトークンが認証および認可されます。Tableau は openid トークンとリフレッシュ トークンを受け取ります。AWS は、IDP からのトークンと署名を検証し、トークンからクレームを抽出して、IAM ロールへのクレームのマッピングを検索し、Tableau がユーザーに代わってロールを引き受けることを許可または拒否します。
Okta の構成
Okta を使用する場合は、「組織認可サーバー」ではなく「カスタム認可サーバー」を使用することをお勧めします。カスタム認可サーバーはより柔軟です。デフォルトで作成されたカスタム認可サーバーがあり、これは「デフォルト」と呼ばれます。認可 URL は次の例のようになります。
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
