将您自己的身份提供程序与 Amazon Athena 结合使用
从 Tableau 2023.2 开始,您可以使用 OAuth 2.0/OIDC 将外部身份提供程序的身份联合到 Amazon Athena。
根据身份提供程序的不同,配置集成需要执行不同的步骤。Tableau 仅提供有关如何配置 Tableau 产品的详细说明。本文档概括介绍了配置过程。
注意:Tableau 和 Salesforce 内容之外的步骤和链接可能不会更新或不准确。
配置身份提供程序 (IDP)
在 IDP 上为 Tableau Desktop 和 Tableau Server 创建 OAuth 客户端。Desktop 客户端启用 PKCE 并使用 http://localhost 重定向。
添加自定义声明以对角色进行授权。
创建 Tableau OAuth 配置文件。请参见 github 上的文档和此处的示例。请务必在 Tableau OAuth 配置 ID 前添加“custom_”前缀。
在桌面计算机、Tableau Server 和 Tableau Cloud 站点上安装 Tableau OAuth 配置文件。
在 AWS 上配置 IDP
创建 IDP 实体。请参见 Amazon 文档 Web 身份联合、创建 OIDC 身份提供提供程序。
专门为 IDP 创建角色和策略。请参见 AWS 文档上的为 OIDC 创建角色。
为 Athena 配置角色
附上 Athena 所需的策略。有很多方法可以做到这一点。一种方法是使用自定义声明。您可以使用 openID 令牌中的自定义声明来授权角色。这些角色被授予对其他资源的访问权限。有关详细信息,请参见:
连接到 Athena
用户必须指定要代入的角色 ARN,然后选择之前安装的 OAuth 配置。
正确配置后,用户将被重定向到 IDP 以对 Tableau 的令牌进行身份验证和授权。Tableau 接收 openid 和刷新令牌。AWS 能够验证来自 IDP 的令牌和签名、从令牌中提取声明、查找声明到 IAM 角色的映射,以及允许或阻止 Tableau 代表用户承担角色。
Okta 配置
如果使用 Okta,最好使用“自定义授权服务器”而不是“组织授权服务器”。自定义授权服务器更加灵活。默认创建一个自定义授权服务器,称为“默认”。授权 URL 如以下示例所示:
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
