Connexions OAuth
Tableau Server prend en charge OAuth pour un certain nombre de connecteurs différents. Dans de nombreux cas, la fonctionnalité OAuth ne nécessite pas de configuration supplémentaire sur Tableau Server.
Depuis Tableau, lorsque les utilisateurs se connectent aux données avec un connecteur qui utilise OAuth, ils sont redirigés vers la page de connexion du fournisseur. Une fois que l’utilisateur a saisi ses informations d’identification et autorisé Tableau à accéder à ses données, le fournisseur de données envoie à Tableau un jeton d’accès qui identifie de manière unique Tableau et les utilisateurs. Ce jeton d’accès est utilisé pour accéder aux données au nom des utilisateurs. Pour plus d’informations, reportez-vous à Présentation du processus OAuth.
L’utilisation de connexions OAuth vous permet de bénéficier des avantages suivants :
Sécurité : vos informations d’identification de base de données ne sont jamais connues de, ni stockées dans Tableau Server, et le jeton d’accès ne peut être utilisé que par Tableau pour le compte des utilisateurs.
Commodité : au lieu d’avoir à intégrer votre ID et votre mot de passe de source de données à plusieurs endroits, vous pouvez utiliser le jeton fourni pour une source de données particulière pour tous les classeurs et sources de données qui accèdent à ce fournisseur de données.
Remarque : pour les connexions en direct aux données Google BigQuery, chaque observateur de classeur peut posséder un jeton d’accès unique qui identifie l’utilisateur, ce qui évite de partager un nom d’utilisateur et un mot de passe uniques.
Présentation du processus OAuth
Les étapes suivantes décrivent un workflow appelant le processus OAuth dans l’environnement Tableau.
Un utilisateur effectue une action qui demande un accès à une source de données cloud.
Vous ouvrez par exemple un classeur publié sur Tableau Server.
Tableau dirige l’utilisateur vers la page de connexion du fournisseur des données cloud. Les informations transmises au fournisseur des données identifient Tableau comme étant le site à l’origine de la requête.
Lorsque l’utilisateur se connecte aux données, le fournisseur vous invite à confirmer que vous autorisez Tableau Server à accéder aux données.
Après confirmation de l’utilisateur, le fournisseur de données renvoie un jeton d’accès à Tableau Server.
Tableau Server présente le classeur et les données à l’utilisateur.
Les flux de travail utilisateur suivants peuvent utiliser le processus OAuth :
Création de classeur et connexion à des sources de données de Tableau Desktop ou de Tableau Server.
Publication d’une source de données de Tableau Desktop.
Connexion à Tableau Server depuis un client approuvé, tel que Tableau Mobile ou Tableau Desktop.
Connecteurs avec informations d’identification enregistrés par défaut
Les informations d’identification enregistrées désignent la fonctionnalité où Tableau Server stocke des jetons utilisateur pour les connexions OAuth. Les utilisateurs peuvent ainsi enregistrer leurs informations d’identification OAuth dans leur profil d’utilisateur sur Tableau Server. Une fois qu’ils ont enregistré leurs informations d’identification, ils ne seront pas invités à les saisir lors de leurs opérations ultérieures de publication, de modification ou d’actualisation au moment de l’accès au connecteur.
Remarque : lors de la modification de flux Tableau Prep sur le Web, il se peut que vous soyez encore invité à vous authentifier à nouveau.
Les connecteurs suivants utilisent les informations d’identification enregistrées par défaut et ne nécessitent pas de configuration supplémentaire sur Tableau Server.
- Anaplan
- Box
- Dropbox
- Esri ArcGIS Server
- Google Ads, Google Drive
- LinkedIn Sales Navigator
- Marketo
- OneDrive (une configuration supplémentaire est requise à partir de 2022.3)
- Oracle Eloqua
- ServiceNow ITSM
- Snowflake - L’utilisation du « lien privé » nécessite une configuration supplémentaire. Pour plus d’informations, consultez Configurer Snowflake OAuth pour les applications partenaires(Le lien s’ouvre dans une nouvelle fenêtre) sur le site Web de Snowflake et Modifier Snowflake OAuth de manière à utiliser les informations d’identification enregistrées.
Les connecteurs suivants peuvent utiliser des informations d’identification enregistrées avec une configuration supplémentaire par l’administrateur de serveur.
Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks
Pour plus d’informations, consultez Configurer Azure AD pour OAuth et l’authentification moderne.
Dremio
Pour plus d’informations, consultez Configurer OAuth pour Dremio.
Google Analytics, Google BigQuery, Google Sheets (obsolète dans Tableau version 2022.1)
Pour plus d’informations, consultez Configurer OAuth pour Google.
Intuit QuickBooks Online
Pour plus d’informations, consultez Configurer OAuth pour Intuit QuickBooks Online.
OneDrive (à partir de 2022.3)
Pour plus d’informations, consultez Configurer OAuth personnalisé pour un site.
Salesforce
Pour plus d’informations, consultez Modifier Salesforce.com OAuth pour utiliser les informations d’identification enregistrées.
Salesforce CDP
Pour plus d’informations, consultez Connecter Tableau Server à Salesforce Data Cloud.
Remarque : si Tableau Server ne figure pas dans la liste des applications accessibles dans la console d’administration Google, vous pouvez ajouter manuellement une nouvelle application à la liste à l’aide de son ID client. Pour créer une ID client, consultez Modifier Google OAuth pour utiliser les informations d’identification enregistrées.
Tous les connecteurs pris en charge sont répertoriés sous Informations d’identification enregistrées pour les sources de données dans la page Paramètres de Mon compte des utilisateurs sur Tableau Server. Les utilisateurs gèrent leurs informations d’identification enregistrées pour chaque connecteur.
Jetons d’accès pour les connexions de données
Vous pouvez intégrer les informations d’identification sur la base des jetons d’accès avec les connexions de données pour permettre l’accès direct aux données après le processus d’authentification initial. Un jeton d’accès est jusqu’à ce qu’un utilisateur Tableau Server ou un fournisseur de données les révoque.
Il est possible de dépasser le nombre de jetons d’accès autorisé par votre fournisseur de sources de données. Dans ce cas, lorsqu’un utilisateur crée un nouveau jeton, le fournisseur de données prend en compte la durée écoulée depuis le dernier accès pour décider du jeton à invalider afin de faire de la place au nouveau.
Jetons d’accès pour l’authentification depuis des clients approuvés
Par défaut, les sites Tableau Server autorisent les utilisateurs à accéder à leurs sites directement depuis les clients Tableau approuvés, après que les utilisateurs ont fourni leurs informations d’identification lors de leur authentification initiale. Ce type d’authentification utilise également les jetons d’accès OAuth pour stocker les informations d’identification des utilisateurs en toute sécurité.
Pour plus d’informations, consultez Désactiver l’authentification client automatique.
Connecteurs avec trousseau géré par défaut
Un trousseau géré désigne la fonctionnalité où les jetons OAuth sont générés pour Tableau Server par le fournisseur et partagés par tous les utilisateurs du même site. Lorsqu’un utilisateur publie une source de données pour la première fois, Tableau Server invite l’utilisateur à saisir ses informations d’identification de source de données. Tableau Server soumet les informations d’identification au fournisseur de sources de données qui renvoie les jetons OAuth afin que Tableau Server les utilise pour le compte de l’utilisateur. Lors des opérations de publication ultérieures, le jeton OAuth stocké par Tableau Server pour la même classe et le même nom d’utilisateur est utilisé. L’utilisateur n’est donc pas invité à saisir les informations d’identification OAuth. Si le mot de passe de la source de données change, le processus ci-dessus est répété et l’ancien jeton est remplacé par un nouveau jeton sur Tableau Server.
La configuration OAuth supplémentaire sur Tableau Server n’est pas requise pour les connecteurs avec trousseau géré par défaut :
Google Analytics, Google BigQuery et Google Sheets (
- Salesforce
Limite et stockage des jetons
Google applique une limite de 50 jetons par utilisateur par application client (dans ce scénario, Tableau Server est l’application client). Étant donné que le jeton OAuth est stocké sur Tableau Server et réutilisé par l’utilisateur, il est peu probable que l’utilisateur dépasse la limite de nombre de jetons.
Tous les jetons utilisateur sont cryptés au repos lorsqu’ils sont stockés sur Tableau Server. Voir Gérer les secrets de serveur pour plus d’informations.
Suppression des enregistrements de trousseaux inutilisés
Un enregistrement de trousseau géré contient des attributs de connexion comme les attributs secrets dbClass, username et OAuth. Tous les enregistrements de trousseaux gérés pour un site donné sont fusionnés, cryptés et stockés dans PostgreSQL.
Les enregistrements sont persistants même pour les classeurs et les sources de données qui ont été supprimés. Au fil du temps, ces enregistrements peuvent atteindre des tailles importantes, ce qui peut causer des problèmes.
Nous recommandons de purger périodiquement les enregistrements de chaîne de clé inutilisés dans le cadre d’une tâche de maintenance régulière. Vous pouvez afficher le nombre d’enregistrements et d’enregistrements inutilisés stockés sur chaque site. Vous pouvez également supprimer les enregistrements inutilisés.
Pour accéder au nettoyage de trousseau gré, connectez-vous aux pages d’administration de Tableau Server, accédez au site où vous souhaitez supprimer des enregistrements inutilisés, puis cliquez sur Paramètres.
Limitations des scénarios avec trousseau géré
Trois scénarios ne sont pas pris en charge lors de l’utilisation du trousseau géré OAuth avec Tableau Server :
Invitation à saisir les informations d’identification OAuth sur les connexions en direct. Les utilisateurs doivent intégrer les informations d’identification dans les connexions en direct utilisant OAuth avec trousseau géré
Modification de la connexion de source de données OAuth sur Tableau Server
Création Web
Convertir un trousseau géré en informations d’identification enregistrées
Vous pouvez convertir les connecteurs avec trousseau géré de manière à utiliser les informations d’identification enregistrées en configurant Tableau Server avec un ID de client OAuth et un secret pour chaque connecteur. En convertissant ces connecteurs en informations d’identification enregistrées, les utilisateurs seront en mesure de gérer leurs informations d’identification pour chaque type de connecteur dans la page Paramètres de Mon compte sur Tableau Server. En outre, les invites de connexion en direct, la modification des connexions et la création Web sont également prises en charge.
Configurer OAuth personnalisé pour un site
Pour un sous-ensemble de connecteurs, vous pouvez configurer OAuth au niveau du site en configurant des clients OAuth personnalisés. Pour plus d’informations, consultez l’un des rubriques suivantes:
Pour Azure Data Lake Storage Gen2, Azure SQL Database, Azure Synapse et Databricks, consultez Configurer OAuth personnalisé pour un site.
Pour Dremio, consultez Configurer OAuth pour Dremio.
Pour Google Analytics, Google BigQuery, Google Sheets (obsolète dans Tableau version 2022.1), consultez Configurer OAuth personnalisé pour un site.
Pour Salesforce, consultez Configurer OAuth personnalisé pour un site.
Pour plus d’informations sur Salesforce CDP, consultez Connecter Tableau Server à Salesforce Data Cloud.
Pour Snowflake, consultez Configurer OAuth personnalisé pour un site.