Configurer Azure AD pour OAuth et l’authentification moderne

Les connecteurs Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive et SharePoint Online et Listes SharePoint (JDBC) prennent en charge l’authentification via Azure AD en configurant un client OAuth pour Tableau Server.

Remarque : les jetons d’actualisation à usage unique (parfois appelés jetons d’actualisation continus ou rotation des jetons d’actualisation) ne sont pas pris en charge actuellement pour les connexions OAuth à Tableau. La prise en charge de ces jetons est prévue pour une version future.

Remarque : la prise en charge d’OAuth pour Azure AD n’est possible qu’avec le pilote Microsoft SQLServer 17.3(Le lien s’ouvre dans une nouvelle fenêtre) et ultérieur.

Étape 1 : Enregistrer le client OAuth pour Azure

Suivez les étapes ci-dessous pour enregistrer et configurer une application OAuth pour Azure sous un locataire Azure spécifique.

  1. Connectez-vous au Portail Azure.
  2. Si vous avez accès à plusieurs locataires, sélectionnez celui dans lequel vous souhaitez enregistrer une application.
  3. Recherchez et sélectionnez Azure Active Directory.
  4. Sous Gérer, sélectionnez Enregistrements d’applications, puis sélectionnez Nouvel enregistrement.
  5. Entrez « Tableau Server OAuth » ou une valeur similaire comme Nom.
  6. Dans le champ Types de comptes pris en charge de la page d’enregistrement de l’application, sélectionnez qui peut utiliser cette application.
  7. Remarque : si vous souhaitez utiliser l’ID client et le secret client de votre application pour des comptes sous un locataire différent, choisissez la deuxième option (multilocataire).

  8. Dans le champ URI de redirection (facultatif), choisissez Web, puis saisissez l’adresse Internet de votre serveur suivie de la chaîne /auth/add_oauth_token.
  9. Par exemple : https://your_server_url.com/auth/add_oauth_token

  10. Sélectionnez Enregistrer. Une fois l’enregistrement terminé, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application, qui inclut son ID d’application (client). Également appelée ID client, cette valeur identifie de manière unique votre application dans la plate-forme d’identité Microsoft.
  11. Copiez la valeur. Elle sera utilisée comme champ [your_client_id] dans les étapes suivantes.
  12. Sélectionnez Certificats et secrets dans la barre de gauche, puis choisissez Nouveau secret client.
  13. Ajoutez une description du secret.
  14. Sélectionnez Durée de vie du secret client.
  15. Choisissez Ajouter, puis copiez le secret. Le secret sera utilisé comme[your_client_secret] dans les étapes suivantes.
  16. Sélectionnez Autorisations de l’API dans la barre de gauche.
  17. Choisissez Ajouter des autorisations.
  18. Sélectionnez Microsoft Graph.
  19. Choisissez Autorisations déléguées.
  20. Sous Sélectionner les autorisations, sélectionnez toutes les autorisations OpenId (email, offline_access, openid et profile).
  21. Choisissez Ajouter des autorisations.
  22. Ajoutez des autorisations supplémentaires. Suivez les étapes ci-dessous pour le(s) connecteur(s) que vous activez :
    • Azure SQL Database
      1. Cliquez sur Ajouter une autorisation.
      2. Sélectionnez Mes API.
      3. Cliquez sur Azure SQL Database, puis sur Autorisations déléguées.
      4. Sélectionnez user_impersonation puis cliquez sur Ajouter des autorisations.
    • OneDrive et SharePoint Online
      1. Cliquez sur Ajouter une autorisation.
      2. Sélectionnez Microsoft Graph.
      3. Cliquez sur Autorisations déléguées.
      4. Sous Sélectionner des autorisations, dans la zone de recherche de filtre, saisissez les autorisations suivantes, puis ajoutez-les :
      • Files.Read.All
      • Sites.Read.All
      • User.Read
    • Listes SharePoint (JDBC)
      1. Cliquez sur Ajouter une autorisation.
      2. Sélectionnez Microsoft Graph.
      3. Cliquez sur Autorisations déléguées.
      4. Sous Sélectionner des autorisations, dans la zone de recherche du filtre, saisissez puis ajoutez l’autorisation User.Read.
      5. Cliquez à nouveau sur Ajouter une autorisation.
      6. Sélectionnez SharePoint.
      7. Cliquez sur Autorisations déléguées.
      8. Développez la section AllSites, puis sélectionnez l’autorisation AllSites.Manage et ajoutez-la.

Étape 2 : Configurer Tableau Server pour Azure

L’exécution d’une commande Tableau Server Manager (TSM) est requise pour configurer Tableau Server. Azure Data Lake Storage Gen2 nécessite un ensemble de commandes différent de la commande commune qui est exécutée pour Azure Synapse, Azure SQL Database ou Azure Databricks.

Configurer le client OAuth par défaut pour Azure Data Lake Storage Gen2

Pour configurer Tableau Server pour Data Lake Storage Gen2, vous devez utiliser les paramètres de configuration suivants :

  • ID Client Azure OAuth : cet ID est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
  • Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_secret] dans la deuxième commande tsm ci-dessous.
  • URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [your_server_url] dans la troisième commande tsm ci-dessous.

Exécutez les commandes tsm suivantes pour configurer Tableau Server OAuth pour Azure Data Lake Storage Gen2 :

  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Configurer le client par défaut pour Azure Synapse, Azure SQL Database ou Databricks

Pour configurer Tableau Server, vous devez avoir les paramètres de configuration suivants :

  • ID de client Azure OAuth : cet ID est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la commande tsm.
  • Secret client Azure OAuth : généré à partir de la procédure dans l’étape 1. Copiez cette valeur pour [your_client_secret] dans la deuxième commande tsm ci-dessous.
  • URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myserver.com. Copiez cette valeur pour [your_server_url] dans la troisième commande tsm ci-dessous.
  • ID de configuration : il s’agit de la valeur du paramètre oauth.config.id de la commande tsm qui suit. Valeurs valides :
    • Azure Synapse : azure_sql_dw
    • SQL Azure Database : azure_sqldb
    • Databricks : databricks

Exécutez les commandes tsm suivantes pour configurer Azure AD pour Azure Synapse, Azure SQL Database ou Databricks. Par exemple, pour configurer Azure Synapse :

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurer un client OAuth par défaut pour OneDrive et SharePoint Online

Pour configurer Tableau Server pour OneDrive et SharePoint Online, vous devez utiliser les paramètres de configuration suivants :

  • ID de client Azure OAuth : l’ID client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
  • Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_secret] dans la deuxième commande tsm ci-dessous.
  • URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [your_server_url] dans la troisième commande tsm ci-dessous.

Exécutez les commandes tsm suivantes pour configurer Tableau Server OAuth pour OneDrive et SharePoint Online :

  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Configurer un client OAuth par défaut pour les listes SharePoint (JDBC)

Pour configurer Tableau Server pour des listes SharePoint (JDBC), vous devez utiliser les paramètres de configuration suivants :

  • ID de client Azure OAuth : l’ID client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
  • Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [votre_secret_client] dans la première commande tsm ci-dessous.
  • URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [votre_url_serveur] dans la première commande tsm ci-dessous.

Exécutez les commandes tsm suivantes pour configurer Tableau Server OAuth pour les listes SharePoint (JDBC) :

  • tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
  • tsm pending-changes apply

Configurer un client OAuth par défaut pour OneDrive (obsolète)

Pour configurer Tableau Server pour OneDrive (obsolète) vous devez utiliser les paramètres de configuration suivants :

  • ID de client Azure OAuth : l’ID client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
  • Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_secret] dans la deuxième commande tsm ci-dessous.
  • URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [your_server_url] dans la troisième commande tsm ci-dessous.

Pour continuer à exécuter les commandes tsm suivantes pour configurer Tableau Server OAuth pour OneDrive (obsolète) :

  • tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Scénarios de redémarrage du serveur

Après la configuration d’un client OAuth par défaut, les scénarios suivants peuvent se produire.

  • Une invite de redémarrage s’affiche si les modifications en attente nécessitent un redémarrage du serveur.
  • Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt, mais cela n’arrêtera pas le de redémarrage.
  • Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.

Configuration de plusieurs connecteurs

Si vous avez plusieurs connecteurs à configurer, vous devez tous les inclure dans une seule commande. Par exemple :

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurer OAuth personnalisé pour un site

Vous pouvez configurer des clients Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks OAuth, OneDrive et Sharepoint en ligne, et les listes Sharepoint (JDBC) pour un site.

Envisagez de configurer un client OAuth personnalisé pour 1) remplacer un client OAuth s’il est configuré pour le serveur ou 2) activer la prise en charge de la connexion sécurisée aux données qui nécessitent des clients OAuth uniques.

Lorsqu’un client OAuth personnalisé est configuré, la configuration au niveau du site est prioritaire sur toute configuration côté serveur et toutes les nouvelles informations d’identification OAuth créées utilisent le client OAuth au niveau du site par défaut. Aucun redémarrage de Tableau Server n’est requis pour que les configurations prennent effet.

Important : les informations d’identification OAuth existantes établies avant la configuration du client OAuth personnalisé sont utilisables temporairement, mais les administrateurs de serveur et les utilisateurs doivent mettre à jour leurs informations d’identification enregistrées pour garantir un accès ininterrompu aux données.

1 : Préparer l’ID client , le secret client et l’URL de redirection OAuth

Avant de pouvoir configurer le client OAuth personnalisé, vous avez besoin des informations répertoriées ci-dessous. Une fois ces informations préparées, vous pouvez enregistrer le client OAuth personnalisé pour le site.

  • ID client OAuth et secret client : enregistrez d’abord le client OAuth auprès du fournisseur de données (connecteur) pour récupérer l’ID client et le secret générés pour Tableau Server.

  • URL de redirection : notez l’URL de redirection correcte. Vous en aurez besoin pendant le processus d’inscription à l’Étape 2 ci-dessous.

    https://<your_server_name> .com/auth/add_oauth_token

    Par exemple, https://example.com/auth/add_oauth_token

2 : Enregistrer l’ID client et le secret client OAuth

Suivez la procédure décrite ci-dessous pour enregistrer le client OAuth personnalisé sur le site.

  1. Connectez-vous à votre site Tableau Serveur à l’aide de vos informations d’identification d’administrateur de et accédez à la page Paramètres.

  2. Sous Registre des clients OAuth, cliquez sur le bouton Ajouter un client OAuth.

  3. Saisissez les informations requises, y compris les informations de l’Étape 1 ci-dessus :

    1. Dans Type de connexion, sélectionnez le connecteur dont vous souhaitez configurer le client OAuth personnalisé.

    2. Vous devez indiquer l’URL de l’instance OAuth si plusieurs clients OAuth sont enregistrés (facultatif, si ce n’est pas le cas).

    3. Pour l’ID client , le Secret client et l’URL de redirection, saisissez les informations que vous avez préparées à l’Étape 1 ci-dessus.

    4. Cliquez sur le bouton Ajouter un client OAuth pour terminer le processus d’enregistrement.

  4. (Facultatif) Répétez l’Étape 3 pour tous les connecteurs pris en charge.

  5. Cliquez sur le bouton Enregistrer en bas ou en haut de la page Paramètres pour enregistrer les modifications.

3 : Valider et mettre à jour les informations d’identification enregistrées

Pour garantir un accès ininterrompu aux données, vous (et les utilisateurs de votre site) devez supprimer les informations d’identification enregistrées précédemment et les ajouter à nouveau pour utiliser le client OAuth personnalisé pour le site.

  1. Accédez à votre page Paramètres de Mon compte.

  2. Sous Informations d’identification enregistrées pour les sources de données, procédez comme suit :

    1. Cliquez sur Supprimer en regard des informations d’identification enregistrées existantes pour le connecteur dont vous avez configuré le client OAuth personnalisé à l’Étape 2 ci-dessus.

    2. À côté du nom du connecteur, cliquez sur Ajouter et suivez les invites pour 1) vous connecter au client OAuth personnalisé configuré à l’Étape 2 ci-dessus et 2) enregistrer les informations d’identification les plus récentes.

4 : Informer les utilisateurs de mettre à jour leurs informations d’identification enregistrées

Veillez à demander aux utilisateurs de votre site de mettre à jour leurs informations d’identification enregistrées pour le connecteur dont vous avez configuré le client OAuth personnalisé à l’Étape 2 ci-dessus. Les utilisateurs du site peuvent utiliser la procédure décrite dans Mettre à jour les informations d’identification enregistrées pour mettre à jour leurs informations d’identification enregistrées.

Merci de vos commentaires !Avis correctement envoyé. Merci