Use seu próprio provedor de identidade com o Amazon Athena

Aplica-se a: Tableau Cloud, Tableau Desktop, Tableau Prep, Tableau Server

A partir do Tableau 2023.2, você pode usar o OAuth 2.0/OIDC para federar a identidade de um provedor de identidade externo para o Amazon Athena.

Dependendo do fornecedor de identidade, existem diferentes passos necessários para configurar a integração. O Tableau fornece apenas instruções detalhadas sobre como configurar os produtos Tableau. Para obter instruções sobre como configurar seu provedor de identidade (como Okta), consulte a ajuda e os tutoriais desse produto. Este documento fornece uma visão geral resumida do processo de configuração.

Observação:etapas e links que estão fora do conteúdo do Tableau e do Salesforce podem não ser atualizados ou precisos.

Configurar o provedor de identidades (IDP)

  1. Crie clientes OAuth no IDP para Tableau Desktop e Tableau Server. O cliente Desktop habilita PKCE(O link abre em nova janela) e usa redirecionamentos http://localhost.

  2. Adicione quaisquer declarações personalizadas para autorização de funções. Para obter mais detalhes sobre reivindicações e escopos, consulte Escopos vs Reivindicações(O link abre em nova janela).

  3. Crie o arquivo de configuração do Tableau OAuth. Para obter detalhes sobre como fazer isso, consulte Configuração e uso do OAuth(O link abre em nova janela) em github, e exemplos aqui. Certifique-se de prefixar as IDs de configuração do Tableau OAuth com “custom_”.

  4. Instalar arquivos de configuração do Tableau OAuth em máquinas Tableau Desktop, Tableau Server e sites do Tableau Cloud, conforme explicado no tópico de configuração do OAuth vinculado acima.

Configurar o IDP na AWS

  1. Crie a entidade IDP. Veja os documentos da Amazon Federação de Identidade Web, Criar provedor de identidade OIDC.
  2. O IDP deve ser configurado para federar ao Athena de uma forma que funcione com o plug-in de driver do Tableau. As seguintes informações do provedor são usadas para fluxos do Tableau Server e do Tableau Desktop:
    AwsCredentialsProviderClas=com.simba.athena.iamsupport.plugin.JwtCredentialsProvider
    role_session_name=AthenaJWT
  3. Criar funções e políticas especificamente para o PDI. Confira Criar função para OIDC nos documentos da AWS.

Configurar funções para Athena

Anexe as políticas necessárias para o Athena. Há muitas maneiras de fazer isso. Uma delas é usar declarações personalizadas. Você pode usar declarações personalizadas no token openID para autorizar funções. Essas funções recebem acesso a outros recursos. Para obter mais informações, consulte:

Conectar-se ao Athena

O usuário deve especificar a função ARN (Amazon Resource Name) da AWS a ser assumida e, em seguida, em Provedor do OAuth, selecionar a configuração do OAuth instalada anteriormente. Observe que o menu suspenso para selecionar uma configuração só aparecerá se houver várias configurações para escolher.

Quando configurado corretamente, o usuário é redirecionado ao IDP para autenticar e autorizar tokens para o Tableau. O Tableau recebe tokens openid e de atualização. A AWS é capaz de validar o token e a assinatura do IDP, extrair o declarações do token, pesquisar o mapeamento do usuário para a função IAM e permitir ou bloquear o Tableau de assumir a função em nome do usuário.

Exemplo: AssumeRoleWithWebIdentity

faça login na janela do athena

Tokens

Por padrão, o Athena OAuth IAM passa o token de ID ao driver. Para clientes locais, incluindo aqueles que usam o Tableau Bridge, você pode usar um arquivo TDC para transmitir o token de acesso.

<connection-customization class='athena' enabled='true' version='10.0'>
    <vendor name='athena' />
    <driver name='athena' />
    <customizations>
        <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/>
    </customizations>
</connection-customization>

Para obter mais informações sobre como configurar e instalar arquivos .tdc, consulte Personalizar e ajustar uma conexão(O link abre em nova janela).

Configuração do Okta

Se estiver usando o Okta, é melhor usar um “servidor de autorização personalizado” em vez do “servidor de autorização organizacional”. Os servidores de autorização personalizados são mais flexíveis. Existe um servidor de autorização personalizado criado por padrão, chamado “default”. A URL de autorização pode se parecer com os seguintes exemplos.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

painel okta

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!