Använda din egen identitetsprovider (IdP) med Amazon Athena

Gäller för: Tableau Cloud, Tableau Desktop, Tableau Prep, Tableau Server

Från och med Tableau 2023.2 kan du använda OAuth 2.0/OIDC för att federera identitet från en extern identitetsprovider till Amazon Athena.

Beroende på identitetsprovider finns det olika steg som måste genomföras för att konfigurera integreringen. Tableau ger endast detaljerade instruktioner för hur man konfigurerar Tableau-produkter. Anvisningar om hur du konfigurerar identitetsprovider (som Okta) finns i produktens hjälp och handledningar. Detta dokument ger en översikt över konfigurationsprocessen.

Obs! Det kan hända att steg och länkar som ligger utanför Tableau- och Salesforce-innehållet inte är uppdaterade eller korrekta.

Konfigurera identitetsprovidern

  1. Skapa OAuth-klienter på identitetsprovidern för Tableau Desktop och Tableau Server. Desktop-klienten aktiverar PKCE(Länken öppnas i ett nytt fönster) och använder http://localhost-omdirigeringar.

  2. Lägg till eventuella anpassade anspråk som ska användas för auktorisering till roller. Mer information om anspråk och omfattningar finns i Anspråk jämfört med omfattningar(Länken öppnas i ett nytt fönster) (på engelska).

  3. Skapa Tableau OAuth-konfigurationsfilen. Information om hur du gör detta finns i OAuth Configuration and Usage(Länken öppnas i ett nytt fönster)github och exempel finns här (på engelska). Se till att lägga till prefixet ”custom_” i konfigurations-ID:na för Tableau OAuth.

  4. Installera OAuth-konfigurationsfiler för Tableau på Tableau Desktop-datorer, Tableau Server och Tableau Cloud-platser i enlighet med anvisningarna i de länkade avsnitten om OAuth-konfiguration ovan.

Konfigurera identitetsprovider på AWS

  1. Skapa identitetsproviderenheten. Se Amazon-dokumenten Web Identity Federation, Create OIDC Identity Provider.
  2. Identitetsprovidern måste konfigureras för att federera till Athena på ett sätt som fungerar med Tableaus drivrutinsplugin-program. Följande information används för både Tableau Server- och Tableau Desktop-flöden:
    AwsCredentialsProviderClas=com.simba.athena.iamsupport.plugin.JwtCredentialsProvider
    role_session_name=AthenaJWT
  3. Skapa roller och policyer specifikt för identitetsprovider. Se AWS-dokumentet Create Role for OIDC på AWS-dokument.

Konfigurera roller för Athena

Bifoga de policyer som behövs för Athena. Detta kan göras på många sätt. Ett sätt är att använda anpassade anspråk. Du kan använda anpassade anspråk i openID-token för att auktorisera roller. Dessa roller beviljas åtkomst till andra resurser. Mer information finns i:

Ansluta till Athena

Användaren måste ange vilken AWS-roll ARN (Amazon Resource Name) ska anta och sedan välja den OAuth-konfiguration som installerats tidigare under OAuth-leverantör. Tänk på att listrutemenyn för att välja en konfiguration bara visas om det finns flera konfigurationer att välja mellan.

När den har konfigurerats korrekt omdirigeras användaren till identitetsprovidern för att autentisera och auktorisera token för Tableau. Tableau får openid- och uppdateringstoken. AWS kan validera token och signaturen från identitetsprovidern, extrahera anspråken från token, slå upp mappningen av anspråk mot IAM-roll och antingen tillåta eller neka Tableau att anta rollen å användarens vägnar.

Exempel: AssumeRoleWithWebIdentity

logga in på athena-fönstret

Token

Som standard skickar Athena OAuth IAM ID-token till drivrutinen. För kunder med lokala system, inklusive de som använder Tableau Bridge, kan du använda en TDC-fil för att skicka åtkomsttoken i stället.

<connection-customization class='athena' enabled='true' version='10.0'>
    <vendor name='athena' />
    <driver name='athena' />
    <customizations>
        <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/>
    </customizations>
</connection-customization>

Mer information om att konfigurera och installera .tdc-filer finns i Anpassa och ställa in en anslutning(Länken öppnas i ett nytt fönster).

Okta-konfiguration

Om du använder Okta är det bättre att använda en ”custom authorization server” (anpassad auktoriseringsserver) i stället för ”org authorization server” (organisationens auktoriseringsserver). De anpassade auktoriseringsservrarna är mer flexibla. En anpassad auktoriseringsserver skapas som standard, som kallas ”standard”. Auktoriserings-URL:en ser ut som i följande exempel.

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

okta-instrumentpanel

Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!