SAP HANA 的外部 OAuth
从 Tableau Cloud 的 Tableau 2024.3 开始,您可以使用 OAuth 2.0/OIDC 将外部身份提供程序的身份联合到 HANA。
根据身份提供程序的不同,配置集成需要执行不同的步骤。这是一个简略概述。
注意:目前,一次性刷新令牌不支持通过 OAuth 连接 Tableau。在大多数情况下,您可以设置身份提供商(例如 Okta)以改用滚动刷新令牌。有关详细信息,请参见提供程序的 OAuth 文档。
在 HANA 上配置 IDP
有关在 HANA 上配置 IdP 的信息,请参见 SAP 帮助系统中的使用 JSON Web 令牌进行单点登录(链接在新窗口中打开)。
以下是设置 IdP 的不同方法的一些示例:
- 使用 HANA Cockpit 的 Okta IdP:让您的用户能够使用 Okta 身份访问 SAP HANA 数据(链接在新窗口中打开)
- 使用 HANA Studio 的 Azure IdP:使用 OAuth 或 SSO 设置 SAP HANA 实例(链接在新窗口中打开)
配置 IDP
在 IDP 上为 Tableau Desktop 和 Tableau Server 或 Tableau Cloud 创建 OAuth 客户端。Desktop 客户端应启用
PKCE(链接在新窗口中打开) 并使用http://localhost重定向。创建 Tableau OAuth 配置文件。有关如何执行此操作的详细信息,请参见 GitHub(链接在新窗口中打开) 上的 OAuth 配置和使用(链接在新窗口中打开),以及此处(链接在新窗口中打开)的示例。我们欢迎提供其他 IDP 的示例。
请务必在 Tableau OAuth 配置 ID 前添加“
custom_”前缀。如果您的 IDP 支持动态本地主机端口,则禁用
OAUTH_CAP_FIXED_PORT_IN_CALLBACK_URL。如果您的 IDP 不支持此功能,请确保将多个本地主机回调 URL 添加到配置文件和 IDP 上的允许列表中。
在与桌面主机(Tableau Desktop、Tableau Prep Builder、Tableau Bridge)上的每个应用程序关联的
OAuthConfigs文件夹中,以及在将通过站点设置页面使用 OAuth 的每个 Tableau Server 和 Tableau Cloud 站点上,安装新的 Tableau OAuth 配置文件。有关更多详细信息,请参见 Desktop 上的自定义 OAuth 配置(链接在新窗口中打开)和站点级别 OAuth 客户端(链接在新窗口中打开)。
连接到 HANA
用户必须选择“使用 OAuth 登录”,然后选择之前安装的“OAuth 提供程序”。
Okta
如果使用 Okta,最好使用“自定义授权服务器”而不是“组织授权服务器”。自定义授权服务器更加灵活。默认创建一个自定义授权服务器,称为“默认”。授权 URL 应如下所示:
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
