Umstellen von Snowflake OAuth auf gespeicherte Anmeldeinformationen


Der Tableau-Snowflake-Connector verwendet eine verwaltete Keychain für OAuth-Token, die für Tableau Server vom Anbieter generiert und von allen Benutzern in derselben Site gemeinsam genutzt werden. Von Tableau 2020.4 an können Sie Tableau Server für die Verwendung eines neuen OAuth-Dienstes konfigurieren. In diesem Szenario ist es nicht erforderlich, die IP-Adressen in einer Zulassungsliste einzutragen, damit das OAuth-Schema in AWS PrivateLink- oder Azure Private Link-VPCs ausgeführt werden kann.

Sie können Tableau Server konvertieren, um "Private Link"-Umgebungen zu unterstützen, indem Sie den Snowflake-Connector so konfigurieren, dass er gespeicherte Anmeldeinformationen mit einem neuen OAuth-Dienst verwendet.

Schritt 1: Abrufen einer Client-ID mit Snowflake

Um einen benutzerdefinierten OAuth-Client für Snowflake zu registrieren, führen Sie das Verfahren unter Snowflake OAuth für benutzerdefinierte Clients konfigurieren(Link wird in neuem Fenster geöffnet)aus.

Nach der Registrierung verwenden Sie die folgenden Snowflake-Parameter, um Tableau Server zu konfigurieren:

  • URL der Kontoinstanz
  • Client-ID
  • Client-Geheimnis
  • Weiterleitungs-URL

Schritt 2: Konfigurieren von Tableau Server für Snowflake OAuth

  1. Führen Sie auf dem Tableau Server-Computer den folgenden Befehl aus, um den Snowflake OAuth-Dienst zu aktivieren:

    tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v true

  2. Kopieren Sie folgenden Befehl, fügen Sie ihn in einen Texteditor ein und passen ihn an:

    Hinweis: Wenn Sie diese Konfigurationsänderungen in Tableau Server 2021.1 und höher vornehmen, lesen Sie Schritt 2: Konfigurieren von Tableau Server, da sich das Format des oauth.snowflake.client-Werts geändert hat.

    tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"

    Der Schlüssel oauth.snowflake.clients nimmt eine Anordnung von Schlüsselpaaren. Jedes Element im Schlüsselpaar muss innerhalb von doppelten Anführungszeichen stehen. Beendet werden die doppelte Anführungszeichen durch \".

    Um mehrere Kontoinstanz-URLs anzugeben, trennen Sie jeden zusätzlichen OAuth-Client in geschweiften Klammern ({}) mit einem Komma (,), wie in diesem Beispiel:

    tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url1\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"

    Ersetzen Sie die Werte für die einzelnen Schlüssel wie folgt:

    • URL der Kontoinstanz: oauth.snowflake.instance_url
    • Client-ID: oauth.snowflake.client_id
    • Client-Geheimnis: oauth.snowflake.client_secret
    • Weiterleitungs-URL: oauth.snowflake.redirect_uri

    Hinweis:Überprüfen Sie vor dem Ausführen des Befehls die Syntax sorgfältig. TSM wird diese Eingabe nicht validieren.

    Kopieren Sie den Befehl in die TSM-Befehlszeile und führen Sie ihn aus.

  3. Geben Sie den folgenden Befehl ein, um die Änderungen anzuwenden:

    tsm pending-changes apply

    Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Konfigurieren benutzerdefinierter OAuth für eine Site

Sie können einen benutzerdefinierten Snowflake-OAuth-Client für eine Site konfigurieren.

Erwägen Sie die Konfiguration eines benutzerdefinierten OAuth-Clients, um 1) einen OAuth-Client zu überschreiben, wenn er für den Server konfiguriert ist, oder 2) Unterstützung für die sichere Verbindung zu Daten zu aktivieren, die eindeutige OAuth-Clients erfordern.

Wenn ein benutzerdefinierter OAuth-Client konfiguriert ist, hat die Konfiguration auf Site-Ebene Vorrang vor jeder serverseitigen Konfiguration und alle neu erstellten OAuth-Anmeldeinformationen verwenden standardmäßig den OAuth-Client auf Site-Ebene. Damit die Konfigurationen wirksam werden, ist kein Neustart von Tableau Server erforderlich.

Wichtig: Vorhandene OAuth-Anmeldeinformationen, die vor der Konfiguration des benutzerdefinierten OAuth-Clients erstellt wurden, sind vorübergehend verwendbar, aber sowohl Serveradministratoren als auch Benutzer müssen ihre gespeicherten Anmeldeinformationen aktualisieren, um einen kontinuierlichen Datenzugriff zu gewährleisten.

Schritt 1: Vorbereiten der OAuth-Client-ID, des Client-Geheimnisses und der Weiterleitungs-URL

Bevor Sie den benutzerdefinierten OAuth-Client konfigurieren können, benötigen Sie die unten aufgeführten Informationen. Sobald Sie diese Informationen zur Verfügung haben, können Sie den benutzerdefinierten OAuth-Client für die Site registrieren.

  • OAuth-Client-ID und Client-Geheimnis: Registrieren Sie zunächst den OAuth-Client beim Datenanbieter (Connector), um die für Tableau Server generierte Client-ID sowie das dazugehörige Geheimnis abzurufen.

  • Weiterleitungs-URL: Notieren Sie sich die korrekte Weiterleitungs-URL. Sie benötigen diese für den Registrierungsprozess in Schritt 2 weiter unten.

    https://<your_server_name>.com/auth/add_oauth_token

    Beispiel: https://example.com/auth/add_oauth_token

Schritt 2: Registrieren der OAuth-Client-ID und des Client-Geheimnisses

Befolgen Sie das unten beschriebene Verfahren, um den benutzerdefinierten OAuth-Client bei der Site zu registrieren.

  1. Melden Sie sich mit Ihren Administrator-Anmeldeinformationen bei Ihrer Tableau Server-Site an und navigieren Sie zur Seite Einstellungen.

  2. Klicken Sie unter "OAuth-Clients-Registrierung" auf die Schaltfläche OAuth-Client hinzufügen.

  3. Geben Sie die erforderlichen Informationen ein, einschließlich der Informationen aus Schritt 1 oben:

    1. Wählen Sie bei Verbindungstyp den Connector aus, dessen benutzerdefinierten OAuth-Client Sie konfigurieren möchten.

    2. Geben Sie für Client-ID, Client-Geheimnis und Weiterleitungs-URL die Informationen ein, die Sie in Schritt 1 oben zusammengestellt haben.

    3. Klicken Sie auf die Schaltfläche OAuth-Client hinzufügen, um den Registrierungsprozess abzuschließen.

  4. (Optional) Wiederholen Sie Schritt 3 für alle unterstützten Connectoren.

  5. Klicken Sie unten oder oben auf der Einstellungsseite auf die Schaltfläche Speichern, um die Änderungen zu speichern.

Schritt 3: Validieren und Aktualisieren gespeicherter Anmeldeinformationen

Zur Gewährleistung eines kontinuierlichen Datenzugriffs müssen Sie (und Ihre Site-Benutzer) die zuvor gespeicherten Anmeldeinformationen löschen und sie erneut hinzufügen, um den benutzerdefinierten OAuth-Client für die Site zu verwenden.

  1. Navigieren Sie zur Seite Meine Kontoeinstellungen.

  2. Führen Sie unter Gespeicherte Anmeldeinformationen für Datenquellen Folgendes aus:

    1. Klicken Sie neben den vorhandenen gespeicherten Anmeldeinformationen für den Connector, dessen benutzerdefinierten OAuth-Client Sie oben in Schritt 2 konfiguriert haben, auf Löschen.

    2. Klicken Sie neben dem Namen des Connectors auf Hinzufügen und folgen Sie den Anweisungen, um 1) eine Verbindung mit dem benutzerdefinierten OAuth-Client herzustellen, der oben in Schritt 2 konfiguriert wurde, und 2) die neuesten Anmeldeinformationen zu speichern.

Schritt 4: Benachrichtigung der Benutzer hinsichtlich der Aktualisierung ihrer gespeicherten Anmeldeinformationen

Stellen Sie sicher, dass Sie Ihre Site-Benutzer darüber informieren, ihre gespeicherten Anmeldeinformationen für den Connector zu aktualisieren, dessen benutzerdefinierten OAuth-Client Sie oben in Schritt 2 konfiguriert haben. Site-Benutzer können dazu die Vorgehensweise verwenden, die unter Aktualisierung gespeicherter Anmeldeinformationen beschrieben ist, um ihre gespeicherten Anmeldeinformationen zu aktualisieren.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.