SAP HANA の外部 OAuth
Tableau Cloud 2024.3 以降では、OAuth 2.0/OIDC を使用して、外部の ID プロバイダーから HANA に ID を統合することができます。
ID プロバイダーによって、統合を設定するために必要な手順は異なります。これはおおまかな概要です。
注: 現在 Tableau への OAuth 接続では、使い捨ての更新トークンはサポートされていません。ほとんどの場合、代わりにローリング更新トークンを使用するように ID プロバイダー (Okta など) を設定できます。詳細については、プロバイダーの OAuth ドキュメントを参照してください。
HANA で IdP を設定する
HANA で IdP を設定する方法については、SAP ヘルプ システム内の「JSON Web トークンを使用したシングル サインオン」(新しいウィンドウでリンクが開く)を参照してください。
IdP を設定するさまざまな方法の例を次に示します。
- HANA Cockpit を使用した Okta IdP: 「Okta ID でユーザーが SAP HANA データにアクセスできるようにする」(新しいウィンドウでリンクが開く)
- HANA Studio を使用した Azure IdP: 「OAuth または SSO を使用した SAP HANA インスタンスの設定」(新しいウィンドウでリンクが開く)
IdP を設定する
Tableau Desktop と、Tableau Server または Tableau Cloud の IDP に、OAuth クライアントを作成します。Desktop クライアントでは、
PKCE
(新しいウィンドウでリンクが開く) を有効にし、http://localhost
リダイレクトを使用する必要があります。Tableau OAuth 構成ファイルを作成します。作成方法の詳細については、GitHub (新しいウィンドウでリンクが開く)の「OAuth の設定と使用方法」(新しいウィンドウでリンクが開く)(英語)、およびこちら(新しいウィンドウでリンクが開く)の例を参照してください。他の IDP の例も歓迎します。
Tableau OAuth 構成 ID には必ず「
custom_
」というプレフィックスを付けてください。IDP が動的 localhost ポートをサポートしている場合、
OAUTH_CAP_FIXED_PORT_IN_CALLBACK_URL
を無効にします。IDP がサポートしていない場合は、構成ファイルおよび IDP の許可リストにいくつかの localhost コールバック URL を追加してください。
Desktop ホスト (Tableau Desktop、Tableau Prep Builder、Tableau Bridge) 上、および OAuth を使用する各 Tableau Server と Tableau Cloud theサイト上の各アプリケーションに関連付けられた
OAuthConfigs
フォルダーに、新しい Tableau OAuth 構成ファイルをインストールします。詳細については、「Desktop 上のカスタム OAuth 構成」(新しいウィンドウでリンクが開く)および「サイト レベルの OAuth クライアント」(新しいウィンドウでリンクが開く)を参照してください。
HANA に接続する
ユーザーは、[OAuth を使用してサインイン] を選択し、以前にインストールされた OAuth プロバイダーを選択する必要があります。
Okta
Okta を使用する場合は、「組織認可サーバー」ではなく「カスタム認可サーバー」を使用することをお勧めします。カスタム認可サーバーはより柔軟です。既定で作成されたカスタム認可サーバーがあり、これは「既定」と呼ばれます。認可 URL は次のようになります。
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize