將您自己的身分提供程式與 Amazon Athena 結合使用
從 Tableau 2023.2 開始,可以使用 OAuth 2.0/OIDC 將外部身分提供程式的身分與 Amazon Athena 結成同盟。
根據身分提供程式的不同,設定整合需要執行不同的步驟。Tableau 僅提供如何設定 Tableau 產品的詳細說明。本文件提供對設定流程的高階概觀。
附註:Tableau 和 Salesforce 內容以外的步驟與連結可能尚未更新或不準確。
設定身分提供程式 (IDP)
在 IDP 上為 Tableau Desktop 與 Tableau Server 建立 OAuth 用戶端。Desktop 用戶端會啟用 PKCE,並使用 http://localhost 重新定向。
新增自訂宣告,以對角色進行授權。
建立 Tableau OAuth 設定檔。請參閱有關 github 的文件以及此處的範例。請務必在 Tableau OAuth 設定 ID 前面加上「custom_」前置詞。
在桌面電腦、Tableau Server 與 Tableau Cloud 站台上安裝 Tableau OAuth 設定檔。
在 AWS 上設定 IDP
建立 IDP 實體。請參閱 Amazon 文件 Web 身分同盟、建立 OIDC 身分提供程式。
專門為 IDP 建立角色和原則。請參閱 AWS 文件上的為 OIDC 建立角色。
為 Athena 設定角色
附加 Athena 所需的原則。完成設定有很多方法,其中之一是使用自訂宣告。可以使用 openID 權杖中的自訂宣告對角色進行授權。這些角色會被授予對其他資源的存取權。有關詳情,請參閱:
連線到 Athena
使用者必須指定要代入的角色 ARN,然後選取先前安裝的 OAuth 設定。
正確設定後,使用者將被重新定向到 IDP,以對 Tableau 的權杖進行驗證和授權。Tableau 會接收 openid 與重新整理權杖。AWS 能夠驗證來自 IDP 的權杖與簽章、從權杖中擷取宣告、查找宣告對應的 IAM 角色,以及允許或阻止 Tableau 代表使用者代入角色。
Okta 設定
若使用 Okta,最好使用「自訂授權伺服器」,而不是「組織授權伺服器」。自訂授權伺服器具有更多彈性。系統會預設建立一個自訂授權伺服器,稱為「預設」。授權 URL 類似以下範例。
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
