Configurar Azure AD para OAuth y autenticación moderna
Los conectores Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive y SharePoint Online, y SharePoint Lists (JDBC) admiten la autenticación a través de Azure AD mediante la configuración de un cliente OAuth para Tableau Server.
Nota: Los tokens de actualización de un solo uso (a veces llamados tokens de actualización continuos o rotación de tokens de actualización) no son compatibles con las conexiones OAuth a Tableau en este momento. Está previsto brindar soporte para estos tokens en una versión futura.
Nota: La compatibilidad con OAuth para Azure AD solo se admite con el controlador 17.3 de Microsoft SQLServer(El enlace se abre en una ventana nueva) y versiones posteriores.
Paso 1: Registrar el cliente OAuth para Azure
Siga los pasos a continuación para registrar y configurar una aplicación OAuth para Azure bajo un inquilino de Azure específico.
- Inicie sesión en Azure Portal.
- Si tiene acceso a varios inquilinos, seleccione en el que desee registrar una aplicación.
- Busque y seleccione Azure Active Directory.
- En Administrar, seleccione Registros de aplicaciones y luego seleccione Nuevo registro.
- Escriba "Tableau Server OAuth" o un valor similar en Nombre.
- En el campo Tipos de cuenta admitidos en la página de registro de la aplicación, seleccione quién puede usar esta aplicación.
- En el campo Redirigir Uri (opcional), seleccione Weby luego escriba la dirección de Internet de su servidor adjunta a la cadena,
/auth/add_oauth_token
. - Seleccione Registrarse. Una vez que se completa el registro, Azure Portal muestra el panel Información general del registro de la aplicación, que incluye su ID de aplicación (cliente). También conocido como ID de cliente, este valor identifica de forma única su aplicación en la plataforma de identidad de Microsoft.
- Copie el valor, se usará como el campo
[your_client_id]
en los siguientes pasos. - Seleccione Certificados y secretos en la barra izquierda y luego elija Nuevo secreto de cliente.
- Agregue una descripción del secreto.
- Seleccione Vigencia del secreto del cliente.
- Seleccione Agregar y luego copie el secreto. El secreto será utilizado como
[your_client_secret]
en los siguientes pasos. - Seleccione permisos de API en la barra izquierda.
- Seleccione Agregar permisos.
- Seleccione Microsoft Graph.
- Seleccione Permisos delegados.
- En Seleccionar permisos, seleccione todos los permisos de OpenId (email, offline_access, openid y profile).
- Seleccione Agregar permisos.
- Agregar permisos adicionales. Siga los siguientes pasos para los conectores que está habilitando:
- Azure SQL Database
- Haga clic en Añadir un permiso.
- Seleccione Mis API.
- Haga clic en Base de datos Azure SQL y, a continuación, en Permisos delegados.
- Seleccione user_impersonation y luego haga clic en Añadir permisos.
- OneDrive y SharePoint Online
- Haga clic en Añadir un permiso.
- Seleccione Microsoft Graph.
- Haga clic enPermisos delegados.
- En Seleccionar permisos, en el campo de búsqueda del filtro, escriba y luego agregue los siguientes permisos:
- Files.Read.All
- Sites.Read.All
- User.Read
- Listas de SharePoint (JDBC)
- Haga clic en Añadir un permiso.
- Seleccione Microsoft Graph.
- Haga clic enPermisos delegados.
- En Seleccionar permisos, en el campo de búsqueda del filtro, escriba y luego agregue el permiso User.Read.
- Haga clic en Añadir un permiso de nuevo.
- Seleccione SharePoint.
- Haga clic enPermisos delegados.
- Amplíe la sección Todos los sitios y luego seleccione y añada el permiso AllSites.Manage.
- Azure SQL Database
Nota: Si desea utilizar el ID de cliente y el secreto de cliente de su aplicación para cuentas con diferentes inquilinos, seleccione la segunda opción (Multiinquilino).
Por ejemplo: https://your_server_url.com/auth/add_oauth_token
Paso 2: Configurar Tableau Server para Azure
La configuración de Tableau Server requiere la ejecución de un comando de Tableau Server Manager (TSM). Azure Data Lake Storage Gen2 requiere un conjunto diferente de comandos que el comando común que se ejecuta para Azure Synapse, Azure SQL Database o Databricks.
Configurar el cliente OAuth predeterminado para Azure Data Lake Storage Gen2
Para configurar Tableau Server para Data Lake Storage Gen2, debe contar con los siguientes parámetros de configuración:
- ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para
[your_client_id]
en el primer comando de TSM. - Secreto de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para
[your_client_secret]
en el segundo comando de TSM. - URL de Tableau Server: especifique su URL de Tableau Server, como
https://myco.com
. Copie este valor para[your_server_url]
en el tercer comando de TSM.
Ejecute los siguientes comandos de TSM para configurar Tableau Server OAuth para Azure Data Lake Storage Gen2:
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurar el cliente predeterminado para Azure Synapse, Azure SQL Database o Azure Databricks.
Para configurar Tableau Server, debe contar con los siguientes parámetros de configuración:
- ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor
[your_client_id]
en el comando de TSM. - Secreto de Azure OAuthClient: se genera a partir del procedimiento del paso 1. Copie este valor para
[your_client_secret]
en el segundo comando de TSM. - URL de Tableau Server: esta es su URL de Tableau Server, como
https://myserver.com
. Copie este valor para[your_server_url]
en el tercer comando de TSM. - Identificación de configuración: este es el valor del parámetro
oauth.config.id
en el siguiente comando de TSM. Valores válidos:- Azure Synapse:
azure_sql_dw
- Azure SQL Database:
azure_sqldb
- Databricks:
databricks
- Azure Synapse:
Ejecute los siguientes comandos de TSM para configurar Azure AD para Azure Synapse, Azure SQL Database o Databricks. Por ejemplo, para configurar Azure Synapse:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurar un cliente OAuth predeterminado para OneDrive y SharePoint Online
Para configurar Tableau Server para OneDrive y SharePoint Online, debe contar con los siguientes parámetros de configuración:
- ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para [your_client_id] en el primer comando de TSM.
- Secreto de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para [your_client_secret] en el segundo comando de TSM.
- URL de Tableau Server: esta es su URL de Tableau Server, como https://myco.com. Copie este valor para [your_server_url] en el tercer comando de TSM.
Ejecute los siguientes comandos de TSM para configurar Tableau Server OAuth para OneDrive y SharePoint Online:
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurar un cliente OAuth predeterminado para listas de SharePoint (JDBC)
Si desea configurar Tableau Server para listas de SharePoint (JDBC), debe contar con los siguientes parámetros de configuración:
- ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para [your_client_id] en el primer comando de TSM.
- Secreto de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para [your_client_secret] en el primer comando de TSM.
- URL de Tableau Server: esta es su URL de Tableau Server, como https://myco.com. Copie este valor para [your_server_url] en el primer comando de TSM.
Ejecute los siguientes comandos de TSM para configurar las listas de SharePoint para Tableau Server OAuth (JDBC):
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurar un cliente OAuth predeterminado para OneDrive (obsoleto)
Para configurar Tableau Server para OneDrive (obsoleto) debe contar con los siguientes parámetros de configuración:
- ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para [your_client_id] en el primer comando de TSM.
- Secreto de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor para [your_client_secret] en el segundo comando de TSM.
- URL de Tableau Server: esta es su URL de Tableau Server, como https://myco.com. Copie este valor para [your_server_url] en el tercer comando de TSM.
Para seguir ejecutando los siguientes comandos de TSM para configurar Tableau Server OAuth para OneDrive (obsoleto):
tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Escenarios de reinicio del servidor
Después de configurar un cliente OAuth predeterminado, pueden ocurrir los siguientes escenarios.
- Aparece un mensaje de reinicio si los cambios pendientes requieren un reinicio del servidor.
- Puede suprimir el mensaje con la opción
--ignore-prompt
, pero no se detendrá el reinicio. - Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.
Configuración de múltiples conectores
Si va a establecer varios conectores, debe incluirlos todos en un solo comando. Por ejemplo:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurar OAuth personalizado para un sitio
Puede configurar clientes personalizados de Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks Oauth, OneDrive y SharePoint Online, así como clientes de Listas de SharePoint (JDBC) para un sitio.
Considere la posibilidad de configurar un cliente OAuth personalizado para 1) anular un cliente OAuth si está configurado para el servidor o 2) habilitar la compatibilidad para conectarse de forma segura a los datos que requieren clientes OAuth únicos.
Cuando se configura un cliente OAuth personalizado, la configuración a nivel de sitio tiene prioridad sobre cualquier configuración del lado del servidor y todas las nuevas credenciales de OAuth creadas utilizan el cliente OAuth a nivel de sitio de forma predeterminada. No es necesario reiniciar Tableau Server para que las configuraciones surtan efecto.
Importante: Las credenciales de OAuth existentes establecidas antes de que se configure el cliente OAuth personalizado se pueden utilizar temporalmente, pero tanto los administradores del servidor como los usuarios deben actualizar sus credenciales guardadas para ayudar a garantizar el acceso ininterrumpido a los datos.
1: preparar el ID de cliente de OAuth, el secreto del cliente y la URL de redireccionamiento
Antes de que pueda configurar el cliente OAuth personalizado, necesita la información que se indica a continuación. Una vez preparada esta información, puede registrar el cliente OAuth personalizado para el sitio.
ID de cliente de OAuth y secreto de cliente: primero registre el cliente de OAuth con el proveedor de datos (conector) para recuperar el ID de cliente y el secreto generado para Tableau Server.
URL de redireccionamiento: tenga en cuenta la URL de redireccionamiento correcta. Lo necesitará durante el proceso de registro en el Paso 2 a continuación.
https://<nombre_del_servidor>.com/auth/add_oauth_token
Por ejemplo, https://example.com/auth/add_oauth_token
2: registrar el ID de cliente de OAuth y el secreto del cliente
Siga el procedimiento que se describe a continuación para registrar el cliente OAuth personalizado en el sitio.
Inicie sesión en el sitio Tableau Server con las credenciales de administrador de su sitio y vaya a la página Configuración.
En Registro de clientes OAuth, haga clic en el botón Agregar cliente OAuth.
Escriba la información requerida, incluida la información del Paso 1 anterior:
En Tipo de conexión, seleccione uno de los conectores cuyo cliente OAuth personalizado desee configurar:
Se necesita una URL de instancia de OAuth si se registran varios clientes OAuth. De lo contrario, es opcional.
Para ID de cliente, Secreto de cliente y URL de redireccionamiento, escriba la información que preparó en el Paso 1 anterior.
Haga clic en el botón Agregar cliente OAuth para completar el proceso de registro.
(Opcional) Repita el paso 3 para todos los conectores compatibles.
- Haga clic en el botón Guardar en la parte inferior o superior de la página Configuración para guardar los cambios.
3: validar y actualizar las credenciales guardadas
Para ayudar a garantizar el acceso ininterrumpido a los datos, usted (y los usuarios de su sitio) deben eliminar las credenciales guardadas anteriormente y agregarlas nuevamente para usar el cliente OAuth personalizado para el sitio.
Vaya a la página Configuración de la cuenta.
En Credenciales guardadas para fuentes de datos, haga lo siguiente:
Haga clic en Eliminar junto a las credenciales guardadas existentes para el conector cuyo cliente OAuth personalizado configuró en el Paso 2 anterior.
Junto al nombre del conector, haga clic en Agregar y siga las instrucciones para 1) conectarse al cliente OAuth personalizado configurado en el Paso 2 anterior y 2) guardar las últimas credenciales.
4: notificar a los usuarios para que actualicen sus credenciales guardadas
Asegúrese de notificar a los usuarios de su sitio que actualicen sus credenciales guardadas para el conector cuyo cliente OAuth personalizado configuró en el Paso 2 anterior. Los usuarios del sitio pueden utilizar el procedimiento descrito en Actualizar credenciales guardadas para actualizar sus credenciales guardadas.