ใช้ผู้ให้บริการข้อมูลประจำตัวของคุณเองกับ Amazon Athena
เริ่มตั้งแต่ Tableau 2023.2 เป็นต้นไป คุณสามารถใช้ OAuth 2.0/OIDC เพื่อรวบรวมข้อมูลประจำตัวจากผู้ให้บริการข้อมูลประจำตัวภายนอกไปยัง Amazon Athena
มีขั้นตอนต่างๆ ที่จำเป็นในการกำหนดค่าการผสานรวม ทั้งนี้ขึ้นอยู่กับผู้ให้บริการข้อมูลประจำตัว Tableau ให้คำแนะนำโดยละเอียดสำหรับวิธีกำหนดค่าผลิตภัณฑ์ Tableau เท่านั้น หากต้องการดูคำแนะนำเกี่ยวกับวิธีการกำหนดค่าผู้ให้บริการข้อมูลประจำตัวของคุณ (เช่น Okta) โปรดดูความช่วยเหลือและบทแนะนำผลิตภัณฑ์นั้น เอกสารนี้ให้ภาพรวมระดับสูงเกี่ยวกับกระบวนการกำหนดค่า
หมายเหตุ: ไม่รองรับโทเค็นการรีเฟรชแบบใช้ครั้งเดียวสำหรับการเชื่อมต่อ OAuth กับ Tableau ในขณะนี้ ในกรณีส่วนใหญ่ คุณสามารถตั้งค่าผู้ให้บริการข้อมูลประจำตัว (เช่น Okta หรือ Redshift IDC) ให้ใช้โทเค็นรีเฟรชแบบหมุนเวียนแทนได้ หากต้องการข้อมูลเพิ่มเติม โปรดดูเอกสาร OAuth ของผู้ให้บริการของคุณ
หมายเหตุ:ขั้นตอนและลิงก์ที่อยู่นอกเนื้อหา Tableau และ Salesforce อาจไม่ได้รับการอัปเดตหรือถูกต้อง
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว (IDP)
สร้างไคลเอ็นต์ OAuth บน IDP สำหรับ Tableau Desktop และ Tableau Server ไคลเอ็นต์ Desktop เปิดใช้งาน PKCE(ลิงก์จะเปิดในหน้าต่างใหม่) และใช้การเปลี่ยนเส้นทางผ่าน http://localhost
เพิ่มการอ้างสิทธิ์ที่กำหนดเองที่จำเป็นใดๆ เพื่อใช้สำหรับการให้สิทธิ์บทบาท หากต้องการรายละเอียดเพิ่มเติมเกี่ยวกับการอ้างสิทธิ์และขอบเขต โปรดดูขอบเขตกับการอ้างสิทธิ์(ลิงก์จะเปิดในหน้าต่างใหม่)
สร้างไฟล์การกำหนดค่า Tableau OAuth หากต้องการรายละเอียดเกี่ยวกับวิธีการดำเนินการนี้ โปรดดู ฃการกำหนดค่าและการใช้งาน OAuth(ลิงก์จะเปิดในหน้าต่างใหม่) บน github และตัวอย่างที่นี่ อย่าลืมใส่ ID การกำหนดค่า Tableau OAuth นำหน้าด้วย “custom_”
ติดตั้งไฟล์กำหนดค่า Tableau OAuth บนเครื่อง Tableau Desktop, Tableau Server และไซต์ Tableau Cloud ตามที่อธิบายไว้ในหัวข้อการกำหนดค่า OAuth ที่ลิงก์ด้านบน
กำหนดค่า IDP บน AWS
- สร้างเอนทิตี IDP ดูเอกสารของ Amazon หัวข้อการรวมศูนย์ข้อมูลประจำตัวของเว็บ, สร้างผู้ให้บริการข้อมูลประจำตัว OIDC
- ต้องกำหนดค่า IDP ให้รวมเข้ากับ Athena ในลักษณะที่ทำงานร่วมกับปลั๊กอินไดรเวอร์ของ Tableau ข้อมูลผู้ให้บริการต่อไปนี้ใช้สำหรับทั้งโฟลว์ Tableau Server และ Tableau Desktop
AwsCredentialsProviderClas=com.simba.athena.iamsupport.plugin.JwtCredentialsProvider
role_session_name=AthenaJWT - สร้างบทบาทและนโยบายสำหรับ IDP โดยเฉพาะ ดูสร้างบทบาทให้กับ OIDC บนเอกสาร AWS
กำหนดค่าบทบาทสำหรับ Athena
แนบนโยบายที่จำเป็นสำหรับ Athena สามารถทำได้หลายวิธี วิธีหนึ่งคือการใช้การอ้างสิทธิ์แบบกำหนดเอง คุณสามารถใช้การอ้างสิทธิ์ที่กำหนดเองในโทเค็น openID เพื่อให้สิทธิ์บทบาทได้ บทบาทเหล่านั้นจะได้รับสิทธิ์ในการเข้าถึงทรัพยากรอื่นๆ หากต้องการข้อมูลเพิ่มเติม โปรดดู:
บทแนะนำ: การกำหนดค่าสิทธิ์เข้าถึงแบบรวมศูนย์สำหรับผู้ใช้ Okta ไปยัง Athena โดยใช้ Lake Formation และ JDBC
สิทธิ์เข้าถึงฐานข้อมูลและตารางอย่างละเอียดใน AWS Glue Data Catalog
เชื่อมต่อกับ Athena
ผู้ใช้ต้องระบุบทบาท ARN (Amazon Resource Name) ของ AWS ที่จะรับ จากนั้นใต้ผู้ให้บริการ Oauth เลือกการกำหนดค่า OAuth ที่ติดตั้งไว้ก่อนหน้านี้ โปรดทราบว่าเมนูแบบดรอปดาวน์สำหรับเลือกการกำหนดค่าจะปรากฏขึ้นเฉพาะในกรณีที่มีการกำหนดค่าให้เลือกหลายรายการเท่านั้น
เมื่อกำหนดค่าอย่างถูกต้อง ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง IDP เพื่อตรวจสอบสิทธิ์และให้สิทธิ์โทเค็นสำหรับ Tableau Tableau ได้รับโทเค็น openid และการรีเฟรช AWS สามารถตรวจสอบโทเค็นและลายเซ็นจาก IDP, แยกข้อมูลการอ้างสิทธิ์จากโทเค็น, ค้นหาการแมปของการอ้างสิทธิ์กับบทบาท IAM และอนุญาตหรือบล็อก Tableau จากการรับบทบาทในนามของผู้ใช้
ตัวอย่าง: AssumeRoleWithWebIdentity
โทเค็น
ตามค่าเริ่มต้น Athena OAuth IAM จะส่งโทเค็น ID ไปยังไดรเวอร์ สำหรับลูกค้าในองค์กร รวมถึงลูกค้าที่ใช้ Tableau Bridge คุณสามารถใช้ไฟล์ TDC เพื่อส่งโทเค็นการเข้าถึงแทนได้
<connection-customization class='athena' enabled='true' version='10.0'> <vendor name='athena' /> <driver name='athena' /> <customizations> <customization name='CAP_OAUTH_FEDERATE_ACCCESS_TOKEN' value='yes'/> </customizations> </connection-customization>
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการกำหนดค่าและการติดตั้งไฟล์ .tdc โปรดดูปรับแต่งและปรับตั้งการเชื่อมต่อ(ลิงก์จะเปิดในหน้าต่างใหม่)
การกำหนดค่า Okta
หากใช้ Okta ควรใช้ “เซิร์ฟเวอร์การให้สิทธิ์ที่กำหนดเอง” แทนที่จะเป็น “เซิร์ฟเวอร์การให้สิทธิ์ขององค์กร” เซิร์ฟเวอร์การให้สิทธิ์ที่กำหนดเองมีความยืดหยุ่นมากกว่า มีเซิร์ฟเวอร์การให้สิทธิ์ที่กำหนดเองที่สร้างขึ้นตามค่าเริ่มต้น ซึ่งเรียกว่า “ค่าเริ่มต้น” URL การให้สิทธิ์มีลักษณะเหมือนตัวอย่างต่อไปนี้
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize