De eigen identiteitsprovider gebruiken met Amazon Athena

Vanaf Tableau 2023.2 kunt u OAuth 2.0/OIDC gebruiken om de identiteit van een externe identiteitsprovider te federeren naar Amazon Athena.

Afhankelijk van de identiteitsprovider zijn er verschillende stappen nodig om de integratie te configureren. Tableau biedt alleen gedetailleerde instructies voor het configureren van Tableau-producten. Dit document biedt een hoogwaardig overzicht van het configuratieproces.

Opmerking: stappen en links die buiten de inhoud van Tableau en Salesforce vallen, zijn mogelijk niet volledig bijgewerkt of nauwkeurig.

De identiteitsprovider (IDP) configureren

  1. Maak OAuth-clients op de IDP voor Tableau Desktop en Tableau Server. De Desktop-client maakt PKCE mogelijk en gebruikt omleidingen via http://localhost.

  2. Voeg aangepaste claims toe voor autorisatie van rollen.

  3. Maak het Tableau OAuth-configuratiebestand. Bekijk de documentatie op GitHub en de voorbeelden hier. Zorg ervoor dat u bij Tableau OAuth-configuratie-ID's het voorvoegsel 'custom_' gebruikt.

  4. Installeer Tableau OAuth-configuratiebestanden op desktopcomputers, Tableau Server en Tableau Cloud-sites.

IDP op AWS configureren

  1. Maak de IDP-entiteit. Zie de Amazon-documenten Federatie van webidentiteit en Een OIDC-identiteitsprovider maken.

  2. Maak specifiek rollen en beleidsregels voor de IDP. Zie Rol voor OIDC maken in AWS-documenten.

Rollen voor Athena configureren

Voeg de beleidsregels toe die nodig zijn voor Athena. Er zijn veel manieren waarop dit kan worden gedaan. Eén manier is het gebruik van aangepaste claims. U kunt aangepaste claims in het openID-token gebruiken om rollen te autoriseren. Deze rollen krijgen toegang tot andere bronnen. Zie voor meer informatie:

Verbinding maken met Athena

De gebruiker moet opgeven welke rol ARN moet aannemen en vervolgens de eerder geïnstalleerde OAuth-configuratie selecteren.

Indien correct geconfigureerd, wordt de gebruiker doorgestuurd naar de IDP om tokens voor Tableau te authentiseren en autoriseren. Tableau ontvangt openID- en vernieuwingstokens. AWS kan het token en de handtekening van de IDP valideren, de claims uit het token halen, de toewijzing van claims aan de IAM-rol opzoeken en Tableau toestaan of blokkeren om de rol namens de gebruiker op zich te nemen.

Voorbeeld: AssumeRoleWithWebIdentity

aanmelden op het athena-venster

Okta-configuratie

Als u Okta gebruikt, is het beter om een 'aangepaste autorisatieserver' te gebruiken in plaats van de 'org-autorisatieserver'. De aangepaste autorisatieservers zijn flexibeler. Er wordt standaard een aangepaste autorisatieserver gemaakt, die Standaard wordt genoemd. De autorisatie-URL ziet eruit als in het volgende voorbeeld.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

okta-dashboard

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.