Konfigurieren von Azure AD für OAuth und Modern Authentication
Die Connectoren Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive und SharePoint Online sowie SharePoint Lists (JDBC) unterstützen die Authentifizierung über Azure AD durch die Konfiguration eines OAuth-Clients für Tableau Server.
Hinweis: Einmalig zu verwendende Aktualisierungstoken (auch rollierende Aktualisierungstoken oder Aktualisierungstoken-Rotation genannt) werden für OAuth-Verbindungen zu Tableau derzeit nicht unterstützt. Die Unterstützung dieser Token ist für eine zukünftige Version geplant.
Hinweis: Die OAuth-Unterstützung für Azure AD wird nur von Microsoft SQLServer-Treiber 17.3(Link wird in neuem Fenster geöffnet) und höher unterstützt.
Schritt 1: OAuth-Client für Azure registrieren
Führen Sie die folgenden Schritte aus, um eine OAuth-Anwendung für Azure unter einem bestimmten Azure-Mandanten zu registrieren und zu konfigurieren.
- Melden Sie sich beim Azure-Portal an.
- Wenn Sie Zugang zu mehreren Mandanten haben, wählen Sie den Mandanten aus, in dem Sie eine Anwendung registrieren möchten.
- Suchen Sie Azure Active Directory und wählen Sie es aus.
- Wählen Sie unter Verwalten die Option App-Registrierungen und dann Neue Registrierung.
- Geben Sie "Tableau Server OAuth" oder einen ähnlichen Wert als Namen ein.
- Wählen Sie unter dem Feld Unterstützte Kontotypen auf der App-Registrierungsseite aus, wer diese Anwendung verwenden darf.
- Unter Uri umleiten (optionales) Feld, wählen Sie Web und geben Sie dann die Internetadresse Ihres Servers ein, an die Sie die Zeichenfolge anhängen:
/auth/add_oauth_token
. - Wählen Sie Registrieren. Nach Abschluss der Registrierung zeigt das Azure-Portal den Übersichtsbereich der App-Registrierung an, der die Anwendungs-ID (Client-ID) enthält. Dieser Wert wird auch als Client-ID bezeichnet und identifiziert Ihre Anwendung in der Microsoft Identity-Plattform eindeutig.
- Kopieren Sie den Wert, der als Feld
[your_client_id]
in den folgenden Schritten verwendet wird. - Wählen Sie Zertifikate & Geheimnisse auf der linken Leiste und dannNeues Client-Geheimnis.
- Fügen Sie eine Beschreibung der Abbildung hinzu.
- Wählen Sie Client-Secret-Lebensdauer.
- Wählen Sie Hinzufügen und kopieren Sie dann das Geheimnis. Das Geheimnis wird in den folgenden Schritten als
[your_client_secret]
verwendet. - Wählen Sie API-Berechtigungen auf der linken Leiste.
- Wählen Sie Berechtigungen hinzufügen.
- Wählen Sie Microsoft Graph.
- Wählen Sie Delegierte Berechtigungen.
- Wählen Sie unter Berechtigungen auswählen alle OpenId-Berechtigungen aus (E-Mail, offline_access, OpenID, Profil).
- Wählen Sie Berechtigungen hinzufügen.
- Fügen Sie zusätzliche Berechtigungen hinzu. Führen Sie die folgenden Schritte für die Connectoren aus, die Sie aktivieren:
- Azure-SQL-Datenbank
- Klicken Sie auf Berechtigung hinzufügen.
- Wählen Sie Meine APIs.
- Klicken Sie auf Azure SQL-Datenbank, dann auf Delegierte Berechtigungen.
- Wählen Sie user_impersonation aus und klicken Sie dann auf Berechtigungen hinzufügen.
- OneDrive und SharePoint Online
- Klicken Sie auf Berechtigung hinzufügen.
- Wählen Sie Microsoft Graph.
- Klicken Sie auf Delegierte Berechtigungen.
- Geben Sie unter Berechtigungen auswählen im Filtersuchfeld die folgenden Berechtigungen ein und fügen Sie sie hinzu:
- Files.Read.All
- Sites.Read.All
- User.Read
- SharePoint-Listen (JDBC)
- Klicken Sie auf Berechtigung hinzufügen.
- Wählen Sie Microsoft Graph.
- Klicken Sie auf Delegierte Berechtigungen.
- Geben Sie unter Berechtigungen auswählen im Filtersuchfeld Folgendes ein und fügen Sie dann die Berechtigung „User.Read“ hinzu.
- Klicken Sie erneut auf Berechtigung hinzufügen.
- Wählen Sie SharePoint.
- Klicken Sie auf Delegierte Berechtigungen.
- Erweitern Sie den Abschnitt AllSites, wählen Sie die Berechtigung „AllSites.Manage“ aus und fügen Sie sie hinzu.
- Azure-SQL-Datenbank
Hinweis: Wenn Sie die Client-ID und das Client-Geheimnis Ihrer Anwendung für Konten unter verschiedenen Mandanten verwenden möchten, wählen Sie die zweite Option (mehrere Mandanten) aus.
Beispiel: https://your_server_url.com/auth/add_oauth_token
Schritt 2: Konfigurieren von Tableau Server für Azure
Zum Konfigurieren von Tableau Server muss ein TSM-Befehl (Tableau Server Manager) ausgeführt werden. Azure Data Lake Storage Gen2 erfordert einen anderen Satz von Befehlen als der übliche Befehl, der für Azure Synapse, Azure SQL Database oder Databricks zum Einsatz kommt.
Konfigurieren des Standard-OAuth-Clients für Azure Data Lake Storage Gen2
Zum Konfigurieren von Tableau Server für Data Lake Storage Gen2 müssen Sie über die folgenden Konfigurationsparameter verfügen:
- Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als
[your_client_id]
in den ersten tsm-Befehl. - Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als
[your_client_secret]
in den zweiten tsm-Befehl. - Tableau Server-URL: Geben Sie Ihre Tableau Server-URL ein (z. B.
https://myco.com
). Kopieren Sie diesen Wert als[your_server_url]
in den dritten tsm-Befehl.
Führen Sie die folgenden tsm-Befehle aus, um Tableau Server-OAuth für Azure Data Lake Storage Gen2 zu konfigurieren:
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Konfigurieren des Standard-Clients für Azure Synapse, Azure SQL Database oder Databricks
Zum Konfigurieren von Tableau Server müssen Sie über die folgenden Konfigurationsparameter verfügen:
- Azure OAuth-Client-ID: Wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie den Wert für
[your_client_id]
in den tsm-Befehl. - Azure OAuth-Client-Geheimnis: Wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als
[your_client_secret]
in den zweiten tsm-Befehl. - Tableau Server-URL: Dies ist Ihre Tableau Server-URL, wie z. B.
https://myserver.com
. Kopieren Sie diesen Wert als[your_server_url]
in den dritten tsm-Befehl. - Konfigurations-ID: Der Wert für den
oauth.config.id
-Parameter in dem folgenden tsm-Befehl. Gültige Werte:- Azure Synapse:
azure_sql_dw
- Azure SQL Database:
azure_sqldb
- Databricks:
databricks
- Azure Synapse:
Führen Sie die folgenden tsm-Befehle aus, um Azure AD für Azure Synapse, Azure SQL Database oder Databricks zu konfigurieren. So richten Sie beispielsweise Azure Synapse ein:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Konfigurieren eines standardmäßigen OAuth-Clients für OneDrive und SharePoint Online
Um Tableau Server OneDrive und SharePoint Online zu konfigurieren, benötigen Sie die folgenden Konfigurationsparameter:
- Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_id] in den ersten tsm-Befehl.
- Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den zweiten tsm-Befehl.
- Tableau Server-URL: Dies ist Ihre Tableau Server-URL (z. B. https://myco.com). Kopieren Sie diesen Wert als [your_server_url] in den dritten tsm-Befehl.
Führen Sie die folgenden tsm-Befehle aus, um Tableau Server OAuth für OneDrive und SharePoint Online zu konfigurieren:
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Konfigurieren eines standardmäßigen OAuth-Clients für SharePoint-Listen (JDBC)
Zum Konfigurieren von Tableau Server für SharePoint-Listen (JDBC) müssen Sie über die folgenden Konfigurationsparameter verfügen:
- Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_id] in den ersten tsm-Befehl.
- Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den ersten tsm-Befehl.
- Tableau Server-URL: Dies ist Ihre Tableau Server-URL (z. B. https://myco.com). Kopieren Sie diesen Wert als [your_server_url] in den ersten tsm-Befehl.
Führen Sie die folgenden tsm-Befehle aus, um Tableau Server-OAuth-SharePoint-Listen (JDBC) zu konfigurieren:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Konfigurieren eines standardmäßigen OAuth-Clients für OneDrive (veraltet)
Zum Konfigurieren von Tableau Server für OneDrive (veraltet) müssen Sie über die folgenden Konfigurationsparameter verfügen:
- Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_id] in den ersten tsm-Befehl.
- Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den zweiten tsm-Befehl.
- Tableau Server-URL: Dies ist Ihre Tableau Server-URL (z. B. https://myco.com). Kopieren Sie diesen Wert als [your_server_url] in den dritten tsm-Befehl.
Führen Sie zum Fortfahren die folgenden tsm-Befehle aus, um Tableau Server OAuth für OneDrive (veraltet) zu konfigurieren:
tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Szenarien für einen Server-Neustart
Nachdem Sie einen standardmäßigen OAuth-Client konfiguriert haben, kann es zu den folgenden Szenarien kommen.
- Eine Aufforderung zum Neustart wird angezeigt, wenn die ausstehenden Änderungen einen Neustart des Servers erfordern.
- Sie können diese Aufforderung mithilfe der Option
--ignore-prompt
unterdrücken, wobei jedoch der Neustart nicht verhindert wird. - Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne weitere Aufforderung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Einstellen mehrerer Connectoren
Wenn Sie mehrere Connectoren einstellen möchten, müssen Sie diese alle in einen einzigen Befehl aufnehmen. Beispiel:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Konfigurieren von benutzerdefinierten OAuth für eine Site
Sie können benutzerdefinierte Azure Data Lake Storage Gen2-, Azure Synapse-, Azure SQL Database-, Databricks OAuth-, OneDrive- und Sharepoint Online-, sowie Sharepoint-Listen (JDBC)-Clients für eine Site konfigurieren.
Erwägen Sie die Konfiguration eines benutzerdefinierten OAuth-Clients, um 1) einen OAuth-Client zu überschreiben, wenn er für den Server konfiguriert ist, oder 2) Unterstützung für die sichere Verbindung zu Daten zu aktivieren, die eindeutige OAuth-Clients erfordern.
Wenn ein benutzerdefinierter OAuth-Client konfiguriert ist, hat die Konfiguration auf Site-Ebene Vorrang vor jeder serverseitigen Konfiguration und alle neu erstellten OAuth-Anmeldeinformationen verwenden standardmäßig den OAuth-Client auf Site-Ebene. Damit die Konfigurationen wirksam werden, ist kein Neustart von Tableau Server erforderlich.
Wichtig: Vorhandene OAuth-Anmeldeinformationen, die vor der Konfiguration des benutzerdefinierten OAuth-Clients erstellt wurden, sind vorübergehend verwendbar, aber sowohl Serveradministratoren als auch Benutzer müssen ihre gespeicherten Anmeldeinformationen aktualisieren, um einen kontinuierlichen Datenzugriff zu gewährleisten.
1: Vorbereiten der OAuth-Client-ID, des Client-Geheimnisses und der Umleitungs-URL
Bevor Sie den benutzerdefinierten OAuth-Client konfigurieren können, benötigen Sie die unten aufgeführten Informationen. Sobald Sie diese Informationen zur Verfügung haben, können Sie den benutzerdefinierten OAuth-Client für die Site registrieren.
OAuth-Client-ID und Client-Geheimnis: Registrieren Sie zunächst den OAuth-Client beim Datenanbieter (Connector), um die für Tableau Server generierte Client-ID sowie das dazugehörige Geheimnis abzurufen.
Weiterleitungs-URL: Notieren Sie sich die korrekte Weiterleitungs-URL. Sie benötigen diese für den Registrierungsprozess in Schritt 2 weiter unten.
https://<your_server_name>.com/auth/add_oauth_token
Beispiel: https://beispiel.com/auth/add_oauth_token
2: Registrieren von OAuth-Client-ID und Client-Geheimnis
Befolgen Sie das unten beschriebene Verfahren, um den benutzerdefinierten OAuth-Client bei der Site zu registrieren.
Melden Sie sich mit Ihren Administrator-Anmeldeinformationen bei Ihrer Tableau Server-Site an und navigieren Sie zur Seite Einstellungen.
Klicken Sie unter "OAuth-Clients-Registrierung" auf die Schaltfläche OAuth-Client hinzufügen.
Geben Sie die erforderlichen Informationen ein, einschließlich der Informationen aus Schritt 1 oben:
Wählen Sie bei Verbindungstyp den Connector aus, dessen benutzerdefinierten OAuth-Client Sie konfigurieren möchten.
Eine OAuth-Instanz-URL ist erforderlich, wenn mehrere OAuth-Clients registriert werden. Andernfalls ist sie optional.
Geben Sie für Client-ID, Client-Geheimnis und Weiterleitungs-URL die Informationen ein, die Sie in Schritt 1 oben zusammengestellt haben.
Klicken Sie auf die Schaltfläche OAuth-Client hinzufügen, um den Registrierungsprozess abzuschließen.
(Optional) Wiederholen Sie Schritt 3 für alle unterstützten Connectoren.
- Klicken Sie unten oder oben auf der Einstellungsseite auf die Schaltfläche Speichern, um die Änderungen zu speichern.
3: Validieren und Aktualisieren der gespeicherten Anmeldeinformationen
Zur Gewährleistung eines kontinuierlichen Datenzugriffs müssen Sie (und Ihre Site-Benutzer) die zuvor gespeicherten Anmeldeinformationen löschen und sie erneut hinzufügen, um den benutzerdefinierten OAuth-Client für die Site zu verwenden.
Navigieren Sie zur Seite Eigene Kontoeinstellungen.
Führen Sie unter Gespeicherte Anmeldeinformationen für Datenquellen Folgendes aus:
Klicken Sie neben den vorhandenen gespeicherten Anmeldeinformationen für den Connector, dessen benutzerdefinierten OAuth-Client Sie oben in Schritt 2 konfiguriert haben, auf Löschen.
Klicken Sie neben dem Namen des Connectors auf Hinzufügen und folgen Sie den Anweisungen, um 1) eine Verbindung mit dem benutzerdefinierten OAuth-Client herzustellen, der oben in Schritt 2 konfiguriert wurde, und 2) die neuesten Anmeldeinformationen zu speichern.
4: Benachrichtigung der Benutzer, um ihre gespeicherten Anmeldeinformationen zu aktualisieren
Stellen Sie sicher, dass Sie Ihre Site-Benutzer darüber informieren, ihre gespeicherten Anmeldeinformationen für den Connector zu aktualisieren, dessen benutzerdefinierten OAuth-Client Sie oben in Schritt 2 konfiguriert haben. Site-Benutzer können dazu die Vorgehensweise verwenden, die unter Aktualisierung gespeicherter Anmeldeinformationen beschrieben ist, um ihre gespeicherten Anmeldeinformationen zu aktualisieren.