Use seu próprio provedor de identidade com o Amazon Athena

Aplica-se a: Tableau Cloud, Tableau Desktop, Tableau Prep, Tableau Server

A partir do Tableau 2023.2, você pode usar o OAuth 2.0/OIDC para federar a identidade de um provedor de identidade externo para o Amazon Athena.

Dependendo do fornecedor de identidade, existem diferentes passos necessários para configurar a integração. O Tableau fornece apenas instruções detalhadas sobre como configurar os produtos Tableau. Este documento fornece uma visão geral resumida do processo de configuração.

Observação:etapas e links que estão fora do conteúdo do Tableau e do Salesforce podem não ser atualizados ou precisos.

Configurar o provedor de identidades (IDP)

  1. Crie clientes OAuth no IDP para Tableau Desktop e Tableau Server. O cliente Desktop habilita PKCE e usa redirecionamentos http://localhost.

  2. Adicione declarações personalizadas para autorização de funções.

  3. Crie o arquivo de configuração do Tableau OAuth. Veja a documentação em GitHub e os exemplos aqui. Certifique-se de prefixar as IDs de configuração do Tableau OAuth com “custom_”.

  4. Instale os arquivos de configuração do Tableau OAuth em computadores desktop, Tableau Server e sites do Tableau Cloud.

Configurar o IDP na AWS

  1. Crie a entidade IDP. Veja os documentos da Amazon Federação de Identidade Web, Criar provedor de identidade OIDC.

  2. Criar funções e políticas especificamente para o PDI. Confira Criar função para OIDC nos documentos da AWS.

Configurar funções para Athena

Anexe as políticas necessárias para o Athena. Há muitas maneiras de fazer isso, uma delas é usar declarações personalizadas. Você pode usar declarações personalizadas no token openID para autorizar funções. Essas funções recebem acesso a outros recursos. Para obter mais informações, consulte:

Conectar-se ao Athena

O usuário deve especificar a função ARN a ser assumida e, em seguida, selecionar a configuração do OAuth instalada anteriormente.

Quando configurado corretamente, o usuário é redirecionado ao IDP para autenticar e autorizar tokens para o Tableau. O Tableau recebe tokens openid e de atualização. A AWS é capaz de validar o token e a assinatura do IDP, extrair o declarações do token, pesquisar o mapeamento do usuário para a função IAM e permitir ou bloquear o Tableau de assumir a função em nome do usuário.

Exemplo: AssumeRoleWithWebIdentity

faça login na janela do athena

Configuração do Okta

Se estiver usando o Okta, é melhor usar um “servidor de autorização personalizado” em vez do “servidor de autorização organizacional”. Os servidores de autorização personalizados são mais flexíveis. Existe um servidor de autorização personalizado criado por padrão, chamado “default”. A URL de autorização pode se parecer com os seguintes exemplos.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

painel okta

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!