Använda din egen identitetsprovider (IdP) med Amazon Athena
Från och med Tableau 2023.2 kan du använda OAuth 2.0/OIDC för att federera identitet från en extern identitetsprovider till Amazon Athena.
Beroende på identitetsprovider finns det olika steg som måste genomföras för att konfigurera integreringen. Tableau ger endast detaljerade instruktioner för hur man konfigurerar Tableau-produkter. Detta dokument ger en översikt över konfigurationsprocessen.
Obs! Det kan hända att steg och länkar som ligger utanför Tableau- och Salesforce-innehållet inte är uppdaterade eller korrekta.
Konfigurera identitetsprovidern
Skapa OAuth-klienter på identitetsprovidern för Tableau Desktop och Tableau Server. Desktop-klienten aktiverar PKCE och använder http://localhost-omdirigeringar.
Lägg till anpassade anspråk för auktorisering till roller.
Skapa Tableau OAuth-konfigurationsfilen. Läs dokumentationen hos GitHub och exempel här. Se till att lägga till prefixet ”custom_” i konfigurations-ID:na för Tableau OAuth.
Installera Tableau OAuth-konfigurationsfiler på Tableau Desktop-datorer, Tableau Server och Tableau Cloud-platser.
Konfigurera identitetsprovider på AWS
Skapa identitetsproviderenheten. Se Amazon-dokumenten Web Identity Federation, Create OIDC Identity Provider.
Skapa roller och policyer specifikt för identitetsprovider. Se AWS-dokumentet Create Role for OIDC på AWS-dokument.
Konfigurera roller för Athena
Bifoga de policyer som behövs för Athena. Detta kan göras på ett flertal olika sätt. Ett sätt är att använda anpassade anspråk. Du kan använda anpassade anspråk i openID-token för att auktorisera roller. Dessa roller beviljas åtkomst till andra resurser. Mer information finns i:
Handledning: Configuring federated access for Okta users to Athena using Lake Formation and JDBC.
Fine-grained access to databases and tables in the AWS Glue Data Catalog.
Ansluta till Athena
Användaren måste ange vilken roll ARN ska anta och sedan välja den OAuth-konfiguration som installerats tidigare.
När den har konfigurerats korrekt omdirigeras användaren till identitetsprovidern för att autentisera och auktorisera token för Tableau. Tableau får openid- och uppdateringstoken. AWS kan validera token och signaturen från identitetsprovidern, extrahera anspråken från token, slå upp mappningen av anspråk mot IAM-roll och antingen tillåta eller neka Tableau att anta rollen å användarens vägnar.
Exempel: AssumeRoleWithWebIdentity
Token
Som standard skickar Athena OAuth IAM ID-token till drivrutinen. För kunder med lokala system, inklusive de som använder Tableau Bridge, kan du använda en TDC-fil för att skicka åtkomsttoken i stället.
<connection-customization class='athena' enabled='true' version='10.0'> <vendor name='athena' /> <driver name='athena' /> <customizations> <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/> </customizations> </connection-customization>
Mer information om att konfigurera och installera .tdc-filer finns i Anpassa och ställa in en anslutning(Länken öppnas i ett nytt fönster) och Using a .tdc File with Tableau Server(Länken öppnas i ett nytt fönster) (på engelska).
Okta-konfiguration
Om du använder Okta är det bättre att använda en ”custom authorization server” (anpassad auktoriseringsserver) i stället för ”org authorization server” (organisationens auktoriseringsserver). De anpassade auktoriseringsservrarna är mer flexibla. En anpassad auktoriseringsserver skapas som standard, som kallas ”standard”. Auktoriserings-URL:en ser ut som i följande exempel.
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize