Connexions OAuth

Tableau Server prend en charge OAuth pour un certain nombre de connecteurs différents. Dans de nombreux cas, la fonctionnalité OAuth ne nécessite pas de configuration supplémentaire sur Tableau Server.

Depuis Tableau, lorsque les utilisateurs se connectent aux données avec un connecteur qui utilise OAuth, ils sont redirigés vers la page de connexion du fournisseur d’authentification. Une fois que les utilisateurs ont saisi leurs identifiants et autorisé Tableau à accéder à leurs données, le fournisseur d’authentification envoie à Tableau un jeton d’accès qui identifie de manière unique Tableau et les utilisateurs. Ce jeton d’accès est utilisé pour accéder aux données au nom des utilisateurs. Pour plus d’informations, reportez-vous à Présentation du processus OAuth.

L’utilisation de connexions OAuth vous permet de bénéficier des avantages suivants :

  • Sécurité : vos informations d’identification de base de données ne sont jamais connues de, ni stockées dans Tableau Server, et le jeton d’accès ne peut être utilisé que par Tableau pour le compte des utilisateurs.

  • Commodité : au lieu d’avoir à intégrer votre ID et votre mot de passe de source de données à plusieurs endroits, vous pouvez utiliser le jeton fourni pour une source de données particulière pour tous les classeurs et sources de données qui accèdent à ce fournisseur de données.

    Remarque : Pour les connexions en direct aux données Google BigQuery, chaque utilisateur Viewer de classeur peut posséder un jeton d’accès unique qui identifie l’utilisateur, ce qui évite de partager un nom d’utilisateur et un mot de passe uniques.

Présentation du processus OAuth

Les étapes suivantes décrivent un flux de travail dans l’environnement Tableau qui appelle le processus OAuth.

  1. Un utilisateur effectue une action qui demande un accès à une source de données dans le nuage.

    Vous ouvrez par exemple un classeur publié sur Tableau Server.

  2. Tableau dirige l’utilisateur vers la page de connexion du fournisseur des données dans le nuage. Les informations transmises au fournisseur des données identifient Tableau comme étant le site à l’origine de la requête.

  3. Lorsque l’utilisateur se connecte aux données, le fournisseur vous invite à confirmer que vous autorisez Tableau Server à accéder aux données.

  4. Après confirmation de l’utilisateur, le fournisseur de données renvoie un jeton d’accès à Tableau Server.

  5. Tableau Server présente le classeur et les données à l’utilisateur.

Remarque : Les jetons d’actualisation à usage unique (parfois appelés jetons d’actualisation en continu ou rotation des jetons d’actualisation) ne sont pas pris en charge pour les connexions OAuth à Tableau pour le moment. La prise en charge de ces jetons est prévue pour une future version.

Les flux de travail utilisateur suivants peuvent utiliser le processus OAuth :

  • Création de classeur et connexion à des sources de données de Tableau Desktop ou de Tableau Server.

  • Publication d’une source de données de Tableau Desktop.

  • Connexion à Tableau Server depuis un client approuvé, tel que Tableau Mobile ou Tableau Desktop.

Connecteurs avec informations d’identification enregistrés par défaut

Les informations d’identification enregistrées désigne la fonctionnalité où Tableau Server stocke des jetons utilisateur pour les connexions OAuth. Les utilisateurs peuvent ainsi enregistrer leurs informations d’identification OAuth dans leur profil d’utilisateur sur Tableau Server. Une fois qu’ils ont enregistré leurs identifiants, ils ne seront pas invités à les saisir lors de leurs opérations ultérieures de publication, de modification ou d’actualisation au moment de l’accès au connecteur.

Remarque : Lors de la modification de flux Tableau Prep sur le Web, vous pouvez toujours être invité à vous authentifier à nouveau.

Les connecteurs suivants utilisent les identifiants enregistrés par défaut et ne nécessitent pas de configuration supplémentaire sur Tableau Server.

Les connecteurs suivants peuvent utiliser des informations d’identification enregistrées avec une configuration supplémentaire par l’administrateur de serveur.

Tous les connecteurs pris en charge sont répertoriés sous Informations d’identification enregistrées pour les sources de données sur la page Paramètres de Mon compte des utilisateurs sur Tableau Server. Les utilisateurs gèrent leurs informations d’identification enregistrées pour chaque connecteur.

Jetons d’accès pour les connexions de données

Vous pouvez intégrer les informations d’identification sur la base des jetons d’accès avec les connexions de données pour permettre l’accès direct aux données après le processus d’authentification initial. Un jeton d’accès est jusqu’à ce qu’un utilisateur Tableau Server ou un fournisseur de données les révoque.

Il est possible de dépasser le nombre de jetons d’accès autorisé par votre fournisseur de sources de données. Dans ce cas, lorsqu’un utilisateur crée un jeton, le fournisseur de données prend en compte la durée écoulée depuis le dernier accès pour décider du jeton à invalider afin de faire de la place au nouveau.

Jetons d’accès pour l’authentification depuis des clients approuvés

Par défaut, les sites Tableau Server autorisent les utilisateurs à accéder à leurs sites directement depuis les clients Tableau approuvés, après que les utilisateurs ont fourni leurs informations d'identification lors de leur authentification initiale. Ce type d'authentification utilise également les jetons d'accès OAuth pour stocker les informations d'identification des utilisateurs en toute sécurité.

Pour plus d’informations, consultez Désactiver l’authentification client automatique.

Connecteurs avec trousseau géré par défaut

Un trousseau géré désigne la fonctionnalité où les jetons OAuth sont générés pour Tableau Server par le fournisseur et partagés par tous les utilisateurs du même site. Lorsqu’un utilisateur publie une source de données pour la première fois, Tableau Server invite l’utilisateur à saisir ses informations d’identification de source de données. Tableau Server soumet les informations d’identification au fournisseur de sources de données qui renvoie les jetons OAuth afin que Tableau Server les utilise pour le compte de l’utilisateur. Lors des opérations de publication ultérieures, le jeton OAuth stocké par Tableau Server pour la même classe et le même nom d’utilisateur est utilisé de sorte que l’utilisateur n’est pas invité à saisir les informations d’identification OAuth. Si le mot de passe de la source de données change, le processus précédent est répété et l’ancien jeton est remplacé par un nouveau jeton sur Tableau Server.

La configuration OAuth supplémentaire sur Tableau Server n’est pas requise pour les connecteurs avec trousseau géré par défaut :

  • Google Analytics, Google BigQuery et Google Sheets (obsolète dans Tableau version 2022.1 )

  • Salesforce

Limites et stockage des jetons

Google applique une limite de 50 jetons par utilisateur par application client (dans ce scénario, Tableau Server est l’application client). Étant donné que le jeton OAuth est stocké sur Tableau Server et réutilisé par l’utilisateur, il est peu probable que l’utilisateur dépasse la limite de nombre de jetons.

Tous les jetons utilisateur sont chiffrés au repos lorsqu’ils sont stockés sur Tableau Server. Voir Gérer les secrets de serveur pour plus d’informations.

Suppression des enregistrements de trousseaux inutilisés

Un enregistrement de trousseau géré contient des attributs de connexion comme les attributs secrets dbClass, username et OAuth. Tous les enregistrements de trousseaux gérés pour un site donné sont fusionnés, chiffrés et stockés dans PostgreSQL.

Les enregistrements sont persistants même pour les classeurs et les sources de données qui ont été supprimés. Au fil du temps, ces enregistrements peuvent atteindre des tailles importantes, ce qui peut causer des problèmes.

Nous recommandons de purger périodiquement les enregistrements de chaîne de clé inutilisés dans le cadre d’une tâche de maintenance régulière. Vous pouvez afficher le nombre d’enregistrements et d’enregistrements inutilisés stockés sur chaque site. Vous pouvez également supprimer les enregistrements inutilisés.

Pour accéder au nettoyage de trousseau gré, connectez-vous aux pages d’administration de Tableau Server, accédez au site où vous souhaitez supprimer des enregistrements inutilisés, puis cliquez sur Paramètres.

Limitations des scénarios avec trousseau géré

Trois scénarios ne sont pas pris en charge lors de l’utilisation du trousseau géré OAuth avec Tableau Server :

  • Invitation à saisir les informations d’identification OAuth sur les connexions en direct. Les utilisateurs doivent intégrer les informations d’identification dans les connexions en direct utilisant OAuth avec trousseau géré

  • Modification de la connexion de source de données OAuth sur Tableau Server

  • Création Web

Convertir un trousseau géré en informations d’identification enregistrées

Vous pouvez convertir les connecteurs avec trousseau géré de manière à utiliser les informations d’identification enregistrées en configurant Tableau Server avec un identifiant de client OAuth et un secret pour chaque connecteur. En convertissant ces connecteurs en informations d’identification enregistrées, les utilisateurs peuvent gérer leurs informations d’identification pour chaque type de connecteur dans la page Paramètres de Mon compte sur Tableau Server. En outre, les invites de connexion en direct, la modification des connexions et la création Web sont également prises en charge.

Configurer un OAuth personnalisé pour un site

Pour un sous-ensemble de connecteurs, vous pouvez configurer OAuth au niveau du site en configurant des clients OAuth personnalisés. Pour plus d’informations, consultez l’un des rubriques suivantes :

Merci de vos commentaires!Votre commentaire s été envoyé avec succès. Merci!