ใช้ผู้ให้บริการข้อมูลประจำตัวของคุณเองกับ Amazon Athena

เริ่มตั้งแต่ Tableau 2023.2 เป็นต้นไป คุณสามารถใช้ OAuth 2.0/OIDC เพื่อรวบรวมข้อมูลประจำตัวจากผู้ให้บริการข้อมูลประจำตัวภายนอกไปยัง Amazon Athena

มีขั้นตอนต่างๆ ที่จำเป็นในการกำหนดค่าการผสานรวม ทั้งนี้ขึ้นอยู่กับผู้ให้บริการข้อมูลประจำตัว Tableau ให้คำแนะนำโดยละเอียดสำหรับวิธีกำหนดค่าผลิตภัณฑ์ Tableau เท่านั้น หากต้องการดูคำแนะนำเกี่ยวกับวิธีการกำหนดค่าผู้ให้บริการข้อมูลประจำตัวของคุณ (เช่น Okta) โปรดดูความช่วยเหลือและบทแนะนำผลิตภัณฑ์นั้น เอกสารนี้ให้ภาพรวมระดับสูงเกี่ยวกับกระบวนการกำหนดค่า

หมายเหตุ: ไม่รองรับโทเค็นการรีเฟรชแบบใช้ครั้งเดียวสำหรับการเชื่อมต่อ OAuth กับ Tableau ในขณะนี้ ในกรณีส่วนใหญ่ คุณสามารถตั้งค่าผู้ให้บริการข้อมูลประจำตัว (เช่น Okta หรือ Redshift IDC) ให้ใช้โทเค็นรีเฟรชแบบหมุนเวียนแทนได้ หากต้องการข้อมูลเพิ่มเติม โปรดดูเอกสาร OAuth ของผู้ให้บริการของคุณ

หมายเหตุ:ขั้นตอนและลิงก์ที่อยู่นอกเนื้อหา Tableau และ Salesforce อาจไม่ได้รับการอัปเดตหรือถูกต้อง

กำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IDP)

  1. สร้างไคลเอ็นต์ OAuth บน IDP สำหรับ Tableau Desktop และ Tableau Server ไคลเอ็นต์ Desktop เปิดใช้งาน PKCE(ลิงก์จะเปิดในหน้าต่างใหม่) และใช้การเปลี่ยนเส้นทางผ่าน http://localhost

  2. เพิ่มการอ้างสิทธิ์ที่กำหนดเองที่จำเป็นใดๆ เพื่อใช้สำหรับการให้สิทธิ์บทบาท หากต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการอ้างสิทธิ์และขอบเขต โปรดดูขอบเขตกับการอ้างสิทธิ์(ลิงก์จะเปิดในหน้าต่างใหม่)

  3. สร้างไฟล์การกำหนดค่า Tableau OAuth หากต้องการรายละเอียดเกี่ยวกับวิธีการดำเนินการนี้ โปรดดู ฃการกำหนดค่าและการใช้งาน OAuth(ลิงก์จะเปิดในหน้าต่างใหม่) บน github และตัวอย่างที่นี่ อย่าลืมใส่ ID การกำหนดค่า Tableau OAuth นำหน้าด้วย “custom_”

  4. ติดตั้งไฟล์กำหนดค่า Tableau OAuth บนเครื่อง Tableau Desktop, Tableau Server และไซต์ Tableau Cloud ตามที่อธิบายไว้ในหัวข้อการกำหนดค่า OAuth ที่ลิงก์ด้านบน

กำหนดค่า IDP บน AWS

  1. สร้างเอนทิตี IDP ดูเอกสารของ Amazon หัวข้อการรวมศูนย์ข้อมูลประจำตัวของเว็บ, สร้างผู้ให้บริการข้อมูลประจำตัว OIDC
  2. ต้องกำหนดค่า IDP ให้รวมเข้ากับ Athena ในลักษณะที่ทำงานร่วมกับปลั๊กอินไดรเวอร์ของ Tableau ข้อมูลผู้ให้บริการต่อไปนี้ใช้สำหรับทั้งโฟลว์ Tableau Server และ Tableau Desktop
    AwsCredentialsProviderClas=com.simba.athena.iamsupport.plugin.JwtCredentialsProvider
    role_session_name=AthenaJWT

  3. สร้างบทบาทและนโยบายสำหรับ IDP โดยเฉพาะ ดูสร้างบทบาทให้กับ OIDC บนเอกสาร AWS

กำหนดค่าบทบาทสำหรับ Athena

แนบนโยบายที่จำเป็นสำหรับ Athena สามารถทำได้หลายวิธี วิธีหนึ่งคือการใช้การอ้างสิทธิ์แบบกำหนดเอง คุณสามารถใช้การอ้างสิทธิ์ที่กำหนดเองในโทเค็น openID เพื่อให้สิทธิ์บทบาทได้ บทบาทเหล่านั้นจะได้รับสิทธิ์ในการเข้าถึงทรัพยากรอื่นๆ หากต้องการข้อมูลเพิ่มเติม โปรดดู:

เชื่อมต่อกับ Athena

ผู้ใช้ต้องระบุบทบาท ARN (Amazon Resource Name) ของ AWS ที่จะรับ จากนั้นใต้ผู้ให้บริการ Oauth เลือกการกำหนดค่า OAuth ที่ติดตั้งไว้ก่อนหน้านี้ โปรดทราบว่าเมนูแบบดรอปดาวน์สำหรับเลือกการกำหนดค่าจะปรากฏขึ้นเฉพาะในกรณีที่มีการกำหนดค่าให้เลือกหลายรายการเท่านั้น

เมื่อกำหนดค่าอย่างถูกต้อง ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง IDP เพื่อตรวจสอบสิทธิ์และให้สิทธิ์โทเค็นสำหรับ Tableau Tableau ได้รับโทเค็น openid และการรีเฟรช AWS สามารถตรวจสอบโทเค็นและลายเซ็นจาก IDP, แยกข้อมูลการอ้างสิทธิ์จากโทเค็น, ค้นหาการแมปของการอ้างสิทธิ์กับบทบาท IAM และอนุญาตหรือบล็อก Tableau จากการรับบทบาทในนามของผู้ใช้

ตัวอย่าง: AssumeRoleWithWebIdentity

เข้าสู่ระบบในหน้าต่าง Athena

โทเค็น

ตามค่าเริ่มต้น Athena OAuth IAM จะส่งโทเค็น ID ไปยังไดรเวอร์ สำหรับลูกค้าในองค์กร รวมถึงลูกค้าที่ใช้ Tableau Bridge คุณสามารถใช้ไฟล์ TDC เพื่อส่งโทเค็นการเข้าถึงแทนได้

<connection-customization class='athena' enabled='true' version='10.0'>
    <vendor name='athena' />
    <driver name='athena' />
    <customizations>
        <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/>
    </customizations>
</connection-customization>

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าและการติดตั้งไฟล์ .tdc โปรดดูปรับแต่งและปรับตั้งการเชื่อมต่อ(ลิงก์จะเปิดในหน้าต่างใหม่)

การกำหนดค่า Okta

หากใช้ Okta ควรใช้ “เซิร์ฟเวอร์การให้สิทธิ์ที่กำหนดเอง” แทนที่จะเป็น “เซิร์ฟเวอร์การให้สิทธิ์ขององค์กร” เซิร์ฟเวอร์การให้สิทธิ์ที่กำหนดเองมีความยืดหยุ่นมากกว่า มีเซิร์ฟเวอร์การให้สิทธิ์ที่กำหนดเองที่สร้างขึ้นตามค่าเริ่มต้น ซึ่งเรียกว่า “ค่าเริ่มต้น” URL การให้สิทธิ์มีลักษณะเหมือนตัวอย่างต่อไปนี้

https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize

แดชบอร์ด Okta

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ