適用於 SAP HANA 的外部 OAuth
從 Tableau Cloud 的Tableau 2024.3 開始,可以使用 OAuth 2.0/OIDC 將外部身分提供程式的身分與 HANA 結成同盟。
根據身分提供程式的不同,設定整合需要執行不同的步驟。這是一個高層級的概觀。
附註:目前與 Tableau 的 OAuth 連線不支援一次性重新整理權杖。在大多數情況下,可以將身分提供程式(例如 Okta)設定為使用滾動式重新整理權杖。有關詳情,請參閱提供程式的 OAuth 文件。
在 HANA 上設定 IDP
有關在 HANA 上設定 IdP 的資訊,請參閱 SAP 說明系統中的使用 JSON Web 權杖進行單一登入(連結在新視窗開啟)。
以下是設定 IdP 不同方法的一些範例:
- 使用 HANA Cockpit 的 Okta IdP:讓使用者能夠使用 Okta 身分存取 SAP HANA 資料(連結在新視窗開啟)
- 使用 HANA Studio 的 Azure IdP:使用 OAuth 或 SSO 設定 SAP HANA 執行個體(連結在新視窗開啟)
設定 IDP
在 Tableau Desktop、Tableau Server 或 Tableau Cloud 的 IDP 上建立 OAuth 用戶端。Desktop 用戶端應啟用
PKCE(連結在新視窗開啟) 並使用http://localhost重新導向。建立 Tableau OAuth 設定檔。有關如何執行此動作的詳細資訊,請參閱 Github(連結在新視窗開啟) 上的 OAuth 設定和使用(連結在新視窗開啟)以及此處(連結在新視窗開啟)的範例。我們歡迎其他 IDP 的範例。
請務必在 Tableau OAuth 設定 ID 前面加上「
custom_」前置碼。如果您的 IDP 支援動態 localhost 連接埠,則停用
OAUTH_CAP_FIXED_PORT_IN_CALLBACK_URL。若您的 IDP 不支援此功能,請確保將多個本機主機回呼 URL 新增至設定檔和 IDP 上的允許清單中。
在與桌面主機(Tableau Desktop、Tableau Prep Builder、Tableau Bridge)以及將透過站台設定頁面使用 OAuth 的每個 Tableau Server 和 Tableau Cloud 站台上的每個應用程式關聯的
OAuthConfigs資料夾中安裝新的 Tableau OAuth 設定檔。有關詳情,請參閱 Desktop 上的自訂 OAuth 設定(連結在新視窗開啟) 和 站台層級 OAuth 用戶端(連結在新視窗開啟)。
連線到 HANA
使用者必須選取使用 OAuth 登入,然後選取先前安裝的 OAuth 提供程式。
Okta
若使用 Okta,最好使用「自訂授權伺服器」,而不是「組織授權伺服器」。自訂授權伺服器具有更多彈性。系統會預設建立一個自訂授權伺服器,稱為「預設」。授權 URL 應如下所示:
https://${yourOktaDomain}/oauth2/{authServerName}/v1/authorize
