為 Snowflake 連線設定 OAuth

連線至 Snowflake 資料時,有三個驗證選項可供選擇。

OAuth:可以使用OAuth啟用來自 IDP 的聯盟。

Okta 使用者名稱和密碼:可以在連線中內嵌 IDP 憑證(僅適用於 Okta)。

使用者名稱和密碼:使用者憑證存放在 Snowflake 中。

通常,我們建議使用 OAuth。此選項完美兼顧功能和安全。

使用 OAuth 時,您可以︰

  • 使用身分識別提供者 (IdP) 加速存取。
  • 將其設定為提供單一登入 (SSO) 體驗。
  • 強制執行多重要素驗證 (MFA)。

OAuth 2.0 是一項符合行業標準的授權協定。

附註: 請注意,不要在連線對話方塊中將其與 Tableau 的 SAML IdP 驗證選項相混淆。您應該使用「使用 OAuth 登入」選項進行連線。

使用 OAuth 時,關鍵注意事項是保持對發佈到 Tableau Server 或 Tableau Cloud 的內容的存取權限。當 Tableau 內容透過 OAuth 即時連線至 Snowflake 時,擁有者必須在每次存取權杖過期時重新驗證工作簿連線(預設情況下每 90 天一次)。

有關設定存取權杖過期限制的詳情,請參閱「Snowflake 說明」主題「為合作夥伴應用程式設定 Snowflake OAuth」(連結在新視窗開啟)。如果您的業務需要延長此時段以防止 Tableau 內容出現錯誤,請聯絡 Snowflake 支援服務(連結在新視窗開啟)以尋求幫助。如果在此時段之前未手動重新整理內容,則當 Tableau 工作簿嘗試載入時,可能會導致錯誤。

在 Snowflake 和 Tableau 之間設定 OAuth

在 Tableau 和 Snowflake 之間建立連線時,兩者都必須設定 OAuth。

附註:Tableau Server 版本 2020.4 開始,OAuth 連線可以使用 AWS PrivateLink 或 Azure 私人連線。有關詳細資訊,請參閱為 Snowflake 連線設定 OAuth(連結在新視窗開啟)

關於將 SSO 與 OAuth 一起使用

單一登入 (SSO) 在 OAuth 驗證之上增加了另一層安全保護。為 SSO 設定的個別 IdP 會管理組織中應用程式之間所有存取活動的驗證作業。所有登入請求都會路由至 SSO 伺服器,該伺服器會顯示通用登入對話方塊,並針對集中式資料庫檢查使用者的認證。

提示:您可以使用已儲存的認證時,可以避免重新獲得您的密碼提示。有關詳情,請參閱為資料連線管理儲存的認證(連結在新視窗開啟)

在 Okta 和 Snowflake 之間設定 OAuth

Snowflake 使用 Okta 作為預設身分識別提供者 (IdP),將其用於提供存取權杖並驗證身分。您需要為 OAuth 和單一登入 (SSO) 功能在 Snowflake 和 Okta 中進行設定。

在 Okta 中,您需要將 Okta 定義為 OAuth 身分驗證伺服器,並將 Snowflake 標示為 OAuth 資源。請依此 Snowflake 說明主題中的步驟︰為 Snowflake 設定身分識別提供者(連結在新視窗開啟)

關於將 MFA 與 OAuth 一起使用

多重要素驗證 (MFA) 引入了另一層安全保護。在使用者可存取資源之前,需要使用兩種或兩種以上的不同方法進行驗證。方法可能包括︰

  • 密碼
  • 來自第二個裝置的權杖
  • 生物識別技術(例如指紋或眼部掃描)
  • 回答安全性問題

可以選擇使用 Okta 或其他 IdP 設定多重要素驗證 (MFA),以便在 Tableau 和 Snowflake 之間建立連線。有關使用 Okta 設定 MFA 的詳情,請參閱 Okta 說明(連結在新視窗開啟)

其他連線選項

當您從 Tableau Desktop 連線至 Snowflake 時,您還有兩個其他的選項︰

  • SAML IdP
  • 使用者名稱和密碼

僅當 Okta 是您的身分識別提供者,並且已為 Okta 中的使用者停用 MFA 時,SAML IdP 選項才可使用。SAML IdP 選項支援 SSO,但不支援 MFA。在這種情況下,使用內嵌認證發佈內容時,會使用特定使用者,但在使用 Okta SAML 時,不能使用每個使用者「檢視器認證」。

附註:在過去,一些客戶將「外部瀏覽器」(連結在新視窗開啟)選項與 SAML IdP 一起使用,作為在 Tableau Desktop 和 Snowflake 之間實現 SSO 的解決方法。但該方法不適用於 Tableau Server。因此,我們建議您改用 OAuth 連線。

「使用者名稱和密碼」選項使用 Snowflake 儲存的密碼。此選項要求使用者在連線至 Snowflake 或內嵌其認證時,使用這些認證重新進行驗證。

常見問題

為什麼我已發佈的 Snowflake 資料擷取在一段時間后會失敗?

可能是您的 OAuth 存取權杖已過期。您需要手動重新驗證資料來源以重新整理權杖。如果您日後需要延長這些權杖的存留期,可聯絡 Snowflake 支援服務(連結在新視窗開啟)

發佈 Snowflake 資料來源時,如何在「提示使用者」和「內嵌認證」選項之間進行選擇?

如果您希望存取該資料來源的任何使用者在連線至該資料來源和相關內容時使用自己的認證,請使用「提示使用者」選項。您可以選擇內嵌認證,以便存取該資料來源的每個人都可使用這些特定的認證。此方法在功能上類似於使用「服務帳戶」。

如何利用我已在 Snowflake 上設定的資料列層級安全性?

當系統提示使用者輸入自己的認證以從 Tableau 存取 Snowflake 時,這些認證會對應到他們在 Snowflake 帳戶中擁有的權限。

另請參閱

感謝您的意見反應!已成功提交您的意見回饋。謝謝!