Configurare Azure AD per OAuth e l’autenticazione moderna
I connettori Azure Synapse, Database SQL di Azure, Azure Databricks, Azure Data Lake Gen2, OneDrive e SharePoint Online, nonché Elenchi di SharePoint (JDBC) supportano l’autenticazione tramite Azure AD configurando un client OAuth per Tableau Server.
Nota: al momento, i token di aggiornamento monouso (talvolta chiamati token di aggiornamento graduale o rotazione dei token di aggiornamento) non sono supportati per le connessioni OAuth a Tableau. Il supporto per questi token è previsto per una versione futura.
Nota: OAuth per Azure AD è supportato solo con il driver Microsoft SQL Server 17.3(Il collegamento viene aperto in una nuova finestra) e versioni successive.
Passaggio 1. Registrare il client OAuth per Azure
Procedi come segue per registrare e configurare un’applicazione OAuth per Azure in un tenant di Azure specifico.
- Accedi al portale di Azure.
- Se disponi dell’accesso a più tenant, seleziona quello in cui vuoi registrare un’applicazione.
- Cerca e seleziona Azure Active Directory.
- In Gestisci seleziona Registrazioni app, quindi Nuova registrazione.
- Inserisci "OAuth Tableau Server" o un valore simile per Nome.
- Sotto il campo Tipi di account supportati nella pagina di registrazione dell’app seleziona chi può utilizzare questa applicazione.
- Nel campo URI di reindirizzamento (facoltativo) scegli Web, quindi immetti l’indirizzo Internet del tuo server e aggiungi la stringa
/auth/add_oauth_token
alla fine. - Seleziona Registra. Al termine della registrazione, nel portale di Azure viene visualizzato il riquadro Panoramica della registrazione dell’app, che include l’ID applicazione (client). Anche denominato ID client, questo valore identifica in modo univoco l’applicazione nella piattaforma di identità Microsoft.
- Copia il valore: verrà utilizzato come campo
[your_client_id]
nelle fasi seguenti. - Seleziona Certificati e segreti sulla barra di sinistra, quindi scegli Nuovo segreto client.
- Aggiungi una descrizione del segreto.
- Seleziona Durata del segreto client.
- Scegli Aggiungi, quindi copia il segreto. Il segreto verrà utilizzato come
[your_client_secret]
nelle fasi seguenti. - Seleziona Autorizzazioni API sulla barra di sinistra.
- Scegli Aggiungi autorizzazioni.
- Seleziona Microsoft Graph.
- Scegli Autorizzazioni delegate.
- In Selezionare le autorizzazioni seleziona tutte le autorizzazioni OpenId (email, offline_access, openid e profile).
- Scegli Aggiungi autorizzazioni.
- Aggiungi ulteriori autorizzazioni. Procedi come segue per uno o più connettori che intendi abilitare:
- Database SQL di Azure
- Fai clic su Aggiungi un’autorizzazione.
- Seleziona Le mie API.
- Fai clic su Database SQL di Azure, quindi su Autorizzazioni delegate.
- Seleziona user_impersonation, quindi fai clic su Aggiungi autorizzazioni.
- OneDrive e SharePoint Online
- Fai clic su Aggiungi un’autorizzazione.
- Seleziona Microsoft Graph.
- Fai clic su Autorizzazioni delegate.
- In Selezionare le autorizzazioni immetti e quindi aggiungi le seguenti autorizzazioni nella casella di ricerca del filtro:
- Files.Read.All
- Sites.Read.All
- User.Read
- Elenchi di SharePoint (JDBC)
- Fai clic su Aggiungi un’autorizzazione.
- Seleziona Microsoft Graph.
- Fai clic su Autorizzazioni delegate.
- In Selezionare le autorizzazioni immetti e quindi aggiungi l’autorizzazione User.Read nella casella di ricerca del filtro:
- Fai di nuovo clic su Aggiungi un’autorizzazione.
- Seleziona SharePoint.
- Fai clic su Autorizzazioni delegate.
- Espandi la sezione AllSites e quindi seleziona e aggiungi l’autorizzazione AllSites.Manage.
- Database SQL di Azure
Nota: se desideri utilizzare l’ID client e il segreto client della tua applicazione per account in tenant diversi, scegli la seconda opzione (Multi-tenant).
Ad esempio: https://your_server_url.com/auth/add_oauth_token
Passaggio 2. Configurare Tableau Server per Azure
La configurazione di Tableau Server richiede l’esecuzione di un comando TSM (Tableau Server Manager). Azure Data Lake Storage Gen2 richiede un insieme di comandi diverso da quello comunemente eseguito per Azure Synapse, Database SQL di Azure o Databricks.
Configurare il client OAuth predefinito per Azure Data Lake Storage Gen2
Per configurare Tableau Server per Data Lake Storage Gen2, è necessario disporre dei seguenti parametri di configurazione:
- ID client OAuth di Azure: l’ID client viene generato dalla procedura nel passaggio 1. Copia questo valore per
[your_client_id]
nel primo comando tsm. - Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per
[your_client_secret]
nel secondo comando tsm. - URL di Tableau Server: immetti l’URL di Tableau Server, ad esempio
https://myco.com
. Copia questo valore per[your_server_url]
nel terzo comando tsm.
Esegui questi comandi tsm per configurare OAuth di Tableau Server per Azure Data Lake Storage Gen2:
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurare il client predefinito per Azure Synapse, Database SQL di Azure o Databricks
Per configurare Tableau Server, è necessario disporre dei seguenti parametri di configurazione:
- ID client OAuth di Azure: generato dalla procedura nella fase 1. Copia questo valore per
[your_client_id]
nel comando tsm. - Segreto OAuthClient di Azure: generato dalla procedura nella fase 1. Copia questo valore per
[your_client_secret]
nel secondo comando tsm. - URL di Tableau Server: l’URL di Tableau Server, ad esempio
https://myserver.com
. Copia questo valore per[your_server_url]
nel terzo comando tsm. - ID configurazione: il valore per il parametro
oauth.config.id
nel comando tsm riportato di seguito. Valori validi:- Azure Synapse:
azure_sql_dw
- Database SQL di Azure:
azure_sqldb
- Databricks:
databricks
- Azure Synapse:
Esegui questi comandi tsm per configurare Azure AD per Azure Synapse, Database SQL di Azure o Databricks. Ad esempio, per configurare Azure Synapse:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurare un client OAuth predefinito per OneDrive e SharePoint Online
Per configurare Tableau Server per OneDrive e SharePoint Online, è necessario disporre dei seguenti parametri di configurazione:
- ID client OAuth di Azure: l’ID client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_id] nel primo comando tsm.
- Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
- URL di Tableau Server: l’URL di Tableau Server, ad esempio https://myco.com. Copia questo valore per [your_server_url] nel terzo comando tsm.
Esegui questi comandi tsm per configurare OAuth di Tableau Server per OneDrive e SharePoint Online:
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurare un client OAuth predefinito per Elenchi di SharePoint (JDBC)
Per configurare Tableau Server per Elenchi di SharePoint (JDBC), è necessario disporre dei seguenti parametri di configurazione:
- ID client OAuth di Azure: l’ID client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_id] nel primo comando tsm.
- Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
- URL di Tableau Server: l’URL di Tableau Server, ad esempio https://myco.com. Copia questo valore per [your_server_url] nel primo comando tsm.
Esegui questi comandi tsm per configurare OAuth di Tableau Server per Elenchi di SharePoint (JDBC):
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurare un client OAuth predefinito per OneDrive (deprecato)
Per configurare Tableau Server per OneDrive (deprecato), è necessario disporre dei seguenti parametri di configurazione:
- ID client OAuth di Azure: l’ID client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_id] nel primo comando tsm.
- Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
- URL di Tableau Server: l’URL di Tableau Server, ad esempio https://myco.com. Copia questo valore per [your_server_url] nel terzo comando tsm.
Per continuare, esegui i seguenti comandi tsm per configurare OAuth di Tableau Server per OneDrive (deprecato):
tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Scenari di riavvio del server
Dopo aver configurato un client OAuth predefinito, possono verificarsi gli scenari seguenti.
- Viene visualizzata una richiesta di riavvio se le modifiche in sospeso richiedono il riavvio del server.
- Puoi eliminare la richiesta usando l’opzione
--ignore-prompt
, ma questo non interrompe il riavvio. - Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.
Impostazione di più connettori
Se è necessario impostare più connettori, devi includerli tutti in un unico comando. Ad esempio:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurare OAuth personalizzato per un sito
Puoi configurare client personalizzati Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks OAuth, OneDrive e Sharpoint online e Sharepoint Lists (JDBC) per un sito.
Valuta la possibilità di configurare un client OAuth personalizzato per 1) sostituire un client OAuth configurato per il server o 2) abilitare il supporto per la connessione sicura ai dati che richiedono client OAuth univoci.
Quando viene configurato un client OAuth personalizzato, la configurazione a livello di sito ha la precedenza su qualsiasi configurazione lato server e tutte le nuove credenziali OAuth create utilizzano il client OAuth a livello di sito per impostazione predefinita. Non è necessario riavviare Tableau Server per rendere effettive le configurazioni.
Importante: le credenziali OAuth esistenti stabilite prima della configurazione del client OAuth personalizzato sono utilizzabili temporaneamente, ma sia gli amministratori del server che gli utenti devono aggiornare le credenziali salvate per garantire un accesso senza interruzioni ai dati.
1. Preparare l’ID client OAuth, il segreto client e l’URL di reindirizzamento
Prima di poter configurare il client OAuth personalizzato, sono necessarie le informazioni elencate di seguito. Dopo aver preparato queste informazioni, puoi registrare il client OAuth personalizzato per il sito.
ID client OAuth e segreto client: registra innanzitutto il client OAuth con il provider di dati (connettore) per recuperare l’ID client e il segreto generati per Tableau Server.
URL di reindirizzamento: annota l’URL di reindirizzamento corretto. Sarà necessario durante il processo di registrazione nella fase 2 di seguito.
https://<nome_del_server>.com/auth/add_oauth_token
Ad esempio, https://example.com/auth/add_oauth_token
2. Registrare l’ID client OAuth e il segreto client
Segui la procedura descritta di seguito per registrare il client OAuth personalizzato nel sito.
Accedi al sito Tableau Server utilizzando le credenziali di amministratore e passa alla pagina Impostazioni.
In Registro client OAuth fai clic sul pulsante Aggiungi client OAuth.
Inserisci le informazioni richieste, comprese le informazioni della fase 1 precedente:
Per Tipo di connessione, seleziona il connettore per cui desideri configurare il client OAuth personalizzato.
L'URL dell’istanza OAuth è obbligatorio se si registrano più client OAuth, altrimenti è facoltativo.
Per ID client, Segreto client e URL di reindirizzamento, inserisci le informazioni che hai preparato nella fase 1 precedente.
Fai clic sul pulsante Aggiungi client OAuth per completare il processo di registrazione.
(Facoltativo) Ripeti la fase 3 per tutti i connettori supportati.
- Fai clic sul pulsante Salva nella parte inferiore o superiore della pagina Impostazioni per salvare le modifiche.
3. Convalidare e aggiornare le credenziali salvate
Per garantire un accesso senza interruzioni ai dati, tu (e gli utenti del sito) dovete eliminare le credenziali salvate in precedenza e aggiungerle di nuovo per utilizzare il client OAuth personalizzato per il sito.
Passa alla pagina Impostazioni account.
In Credenziali salvate per le origini dati procedi come segue:
Fai clic su Elimina accanto alle credenziali salvate esistenti per il connettore di cui hai configurato il client OAuth personalizzato nella fase 2 precedente.
Accanto al nome del connettore, fai clic su Aggiungi e segui le istruzioni per 1) connetterti al client OAuth personalizzato configurato nella fase 2 precedente e 2) salvare le credenziali più recenti.
4. Richiedere agli utenti di aggiornare le credenziali salvate
Assicurati di richiedere agli utenti del sito di aggiornare le credenziali salvate per il connettore di cui hai configurato il client OAuth personalizzato nella fase 2 precedente. Gli utenti del sito possono utilizzare la procedura descritta in Aggiornare le credenziali salvate per aggiornare le credenziali salvate.