Help voor Tableau Desktop en webauthoring

Vanaf Tableau 2023.2 kunt u OAuth 2.0/OIDC gebruiken om de identiteit van een externe identiteitsprovider te federeren naar Amazon Athena.

Afhankelijk van de identiteitsprovider zijn er verschillende stappen nodig om de integratie te configureren. Tableau biedt alleen gedetailleerde instructies voor het configureren van Tableau-producten. Voor instructies voor het configureren van uw identiteitsprovider (zoals Okta) raadpleegt u de Help en tutorials van het desbetreffende product. Dit document biedt een globaal overzicht van het configuratieproces.

Opmerking: Vernieuwingstokens voor eenmalig gebruik worden op dit moment niet ondersteund voor OAuth-verbindingen met Tableau. In de meeste gevallen kunt u uw identiteitsprovider (zoals Okta of Redshift IDC) zo instellen dat er in plaats daarvan gebruik wordt gemaakt van roterende vernieuwingstokens. Zie de OAuth-documentatie van uw provider voor meer informatie.

Opmerking: stappen en links die buiten de inhoud van Tableau en Salesforce vallen, zijn mogelijk niet volledig bijgewerkt of nauwkeurig.

De identiteitsprovider (IDP) configureren

1. Maak OAuth-clients op de IDP voor Tableau Desktop en Tableau Server. De Desktop-client activeert PKCE(Link wordt in een nieuw venster geopend) en gebruikt omleidingen via http://localhost.

2. Voeg eventuele vereiste aangepaste claims toe die worden gebruikt voor het autoriseren van rollen. Zie Scopes vs Claims(Link wordt in een nieuw venster geopend) voor meer informatie over claims en scopes.

3. Maak het Tableau OAuth-configuratiebestand. Zie OAuth Configuration and Usage(Link wordt in een nieuw venster geopend) (OAuth-configuratie en -gebruik) op github voor informatie over hoe u dit kunt doen. Relevante voorbeelden vindt u hier. Zorg ervoor dat u bij Tableau OAuth-configuratie-ID's het voorvoegsel 'custom_' gebruikt.

4. Installeer Tableau OAuth-configuratiebestanden op Tableau Desktop-computers, Tableau Server- en Tableau Cloud-sites zoals wordt uitgelegd in het hierboven gelinkte onderwerp over OAuth-configuratie.

IDP op AWS configureren

1. Maak de IDP-entiteit. Zie de Amazon-documenten Federatie van webidentiteit en Een OIDC-identiteitsprovider maken.
2. De IDP moet voor de federatie met Athena worden geconfigureerd op een manier die werkt met de stuurprogramma-plug-in van Tableau. De volgende providerinformatie wordt voor zowel Tableau Server- als Tableau Desktop-flows gebruikt:
   AwsCredentialsProviderClas=com.simba.athena.iamsupport.plugin.JwtCredentialsProvider
role_session_name=AthenaJWT
   
3. Maak specifiek rollen en beleidsregels voor de IDP. Zie Rol voor OIDC maken in AWS-documenten.

Rollen voor Athena configureren

Voeg de beleidsregels toe die nodig zijn voor Athena. Dit kan op veel manieren worden gedaan. Eén van die manieren is het gebruik van aangepaste claims. U kunt aangepaste claims in het openID-token gebruiken om rollen te autoriseren. Deze rollen krijgen toegang tot andere bronnen. Zie voor meer informatie:

• Zelfstudie: federatieve toegang tot Athena configureren voor Okta-gebruikers met behulp van het vormen van data lakes en JDBC.

• Verfijnde toegang tot databases en tabellen in de AWS Glue Data Catalog.

Verbinding maken met Athena

De gebruiker moet opgeven welke ARN (Amazon Resource Name) voor de rol moet worden aangenomen en vervolgens onder OAuth Provider (OAuth-aanbieder) de eerder geïnstalleerde OAuth-configuratie selecteren. Houd er rekening mee dat het vervolgkeuzemenu voor het selecteren van een configuratie alleen wordt weergegeven als er meerdere configuraties zijn om uit te kiezen.

Indien correct geconfigureerd, wordt de gebruiker doorgestuurd naar de IDP om tokens voor Tableau te authentiseren en autoriseren. Tableau ontvangt openID- en vernieuwingstokens. AWS kan het token en de handtekening van de IDP valideren, de claims uit het token halen, de toewijzing van claims aan de IAM-rol opzoeken en Tableau toestaan of blokkeren om de rol namens de gebruiker op zich te nemen.

Voorbeeld: AssumeRoleWithWebIdentity

Tokens

Athena OAuth IAM geeft standaard het ID-token door aan het stuurprogramma. Voor lokale klanten, inclusief klanten die Tableau Bridge gebruiken, kunt u in plaats daarvan een TDC-bestand gebruiken om het toegangstoken door te geven.

<connection-customization class='athena' enabled='true' version='10.0'>
    <vendor name='athena' />
    <driver name='athena' />
    <customizations>
        <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/>
    </customizations>
</connection-customization>

Zie Een verbinding aanpassen en afstemmen(Link wordt in een nieuw venster geopend) voor meer informatie over het configureren en installeren van .tdc-bestanden.

Okta-configuratie

Als u Okta gebruikt, is het beter om een 'aangepaste autorisatieserver' te gebruiken in plaats van de 'org-autorisatieserver'. De aangepaste autorisatieservers zijn flexibeler. Er wordt standaard een aangepaste autorisatieserver gemaakt, die Standaard wordt genoemd. De autorisatie-URL ziet eruit als in het volgende voorbeeld.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize