Connessioni OAuth
Tableau Server supporta OAuth per numerosi connettori diversi. In molti casi, la funzionalità OAuth non richiede una configurazione aggiuntiva in Tableau Server.
Da Tableau, una volta eseguito l’accesso ai dati con un connettore che utilizza OAuth, gli utenti verranno reindirizzati alla pagina di accesso del provider di autenticazione. Dopo aver fornito le credenziali e aver autorizzato l’accesso ai dati da parte di Tableau, il provider di autenticazione invia a Tableau un token di accesso che identifica in modo univoco Tableau e gli utenti. Questo token di accesso viene utilizzato per accedere ai dati per conto degli utenti. Per maggiori informazioni, consulta Panoramica del processo OAuth di seguito.
L’utilizzo delle connessioni basate su OAuth offre i seguenti vantaggi:
Sicurezza: le credenziali del database non sono mai note o archiviate in Tableau Server e il token di accesso può essere utilizzato solo da Tableau per conto degli utenti.
Comodità: anziché incorporare l’ID della tua origine dati e la password in più posizioni, puoi utilizzare il token fornito per un provider di dati specifico per tutte le cartelle di lavoro pubblicate e le origini dati che accedono al provider di dati.
Nota: per le connessioni live ai dati di Google BigQuery, ogni viewer delle cartelle di lavoro può disporre di un token di accesso univoco che identifica l’utente, anziché condividere una singola credenziale basata su nome utente e password.
Panoramica del processo OAuth
Nei passaggi seguenti viene descritto un flusso di lavoro nell’ambiente introduttivo che chiama il processo OAuth.
Un utente esegue un’azione che richiede l’accesso a un’origine dati basata sul cloud.
Apri ad esempio una cartella di lavoro pubblicata in Tableau Server.
Tableau indirizza l’utente alla pagina di accesso del provider di dati cloud. Le informazioni inviate al provider di dati identificano Tableau come sito richiedente.
Quando l’utente effettua l’accesso ai dati, il provider chiede conferma per concedere a Tableau Server l’autorizzazione ad accedere ai dati.
Dopo aver ricevuto la conferma da parte dell’utente, il provider di dati invia un token di accesso a Tableau Server.
Tableau Server presenta all’utente la cartella di lavoro e i dati.
I seguenti flussi di lavoro utente possono utilizzare il processo OAuth:
Creazione di una cartella di lavoro e connessione all’origine dati da Tableau Desktop o da Tableau Server.
Pubblicazione di un’origine dati da Tableau Desktop.
Accesso a Tableau Server da un client approvato, ad esempio Tableau Mobile o Tableau Desktop.
Connettori con credenziali salvate predefinite
Le credenziali salvate si riferiscono alla funzionalità che consente a Tableau Server di archiviare i token utente per le connessioni OAuth. Ciò permette agli utenti di salvare le credenziali OAuth nel proprio profilo utente in Tableau Server. Dopo aver salvato le credenziali, queste non verranno richieste successivamente durante l’accesso al connettore al momento della pubblicazione, della modifica o dell’aggiornamento.
Nota: quando modifichi i flussi di Tableau Prep sul Web, è possibile che ti venga richiesto di ripetere l’autenticazione.
I connettori seguenti utilizzano le credenziali salvate per impostazione predefinita e non richiedono una configurazione aggiuntiva in Tableau Server.
- Anaplan
- Box
- Dropbox
- Server Esri ArcGIS
- Google Ads, Google Drive
- LinkedIn Sales Navigator
- Marketo
- OneDrive (è necessaria una configurazione aggiuntiva a partire dalla versione 2022.3)
- Oracle Eloqua
- ServiceNow ITSM
- Snowflake - Per utilizzare "Private Link", è necessaria una configurazione aggiuntiva. Per maggiori informazioni, consulta Configure Snowflake OAuth for Partner Applications(Il collegamento viene aperto in una nuova finestra) nel sito Web di Snowflake e Modificare Snowflake OAuth per l’utilizzo di credenziali salvate.
I seguenti connettori possono utilizzare le credenziali salvate con una configurazione aggiuntiva da parte dell’amministratore del server.
Azure Data Lake Storage Gen2, Azure Synapse, Database SQL di Azure, Databricks
Per maggiori informazioni, consulta Configurare Azure AD per OAuth e l’autenticazione moderna.
Dremio
Per maggiori informazioni, consulta Impostare OAuth per Dremio.
Google Analytics, Google BigQuery, Fogli Google (deprecato in Tableau versione 2022.1)
Per maggiori informazioni, consulta Impostare OAuth per Google.
Intuit QuickBooks Online
Per maggiori informazioni, consulta Impostare OAuth per Intuit QuickBooks Online.
OneDrive (a partire dalla versione 2022.3)
Per maggiori informazioni, consulta Configurare OAuth personalizzato per un sito
Salesforce
Per maggiori informazioni, consulta Modificare Salesforce.com OAuth per l’utilizzo di credenziali salvate.
Salesforce CDP
Per maggiori informazioni, consulta Connettere Tableau Server a Salesforce Data Cloud.
Nota: se Tableau Server non è elencato nell’elenco App accessibili della Console di amministrazione Google, puoi aggiungere manualmente una nuova app all’elenco utilizzando il suo ID client. Per creare un ID client, consulta Modificare Google OAuth per l’utilizzo di credenziali salvate.
Tutti i connettori supportati sono elencati in Credenziali salvate per le origini dati nella pagina Impostazioni account degli utenti in Tableau Server. Gli utenti gestiscono le credenziali salvate per ogni connettore.
Token di accesso per le connessioni dati
Puoi incorporare credenziali in base ai token di accesso con connessioni dati, per consentire l’accesso diretto dopo il processo di autenticazione iniziale. Un token di accesso è valido finché un utente Tableau Server lo elimina o il provider di dati lo revoca.
È possibile superare il numero di token di accesso consentiti dal provider di origine dati. In tal caso, quando un utente crea un nuovo token, il provider di dati utilizza il periodo di tempo trascorso dall’ultimo accesso per stabilire il token da invalidare per fare spazio a quello nuovo.
Token di accesso per l’autenticazione dai client approvati
Per impostazione predefinita, i siti Tableau Server consentono agli utenti di accedere ai propri siti direttamente dai client Tableau approvati, dopo che gli utenti forniscono le loro credenziali al primo accesso. Questo tipo di autenticazione utilizza inoltre i token di accesso OAuth per archiviare in modo sicuro le credenziali degli utenti.
Per maggiori informazioni, consulta Disattivare l’autenticazione automatica del client.
Connettori con keychain gestiti predefiniti
Per keychain gestito si intende la funzionalità per cui i token OAuth sono generati per Tableau Server dal provider e condivisi da tutti gli utenti nello stesso sito. Quando un utente esegue per la prima volta la pubblicazione di un’origine dati, Tableau Server richiede all’utente le credenziali dell’origine dati. Tableau Server invia le credenziali al provider dell’origine dati, che restituisce i token OAuth che Tableau Server deve utilizzare per conto dell’utente. Nelle operazioni di pubblicazione successive, viene utilizzato il token OAuth archiviato da Tableau Server per la stessa classe e lo stesso nome utente, in modo che all’utente non vengano richieste le credenziali OAuth. Se la password dell’origine dati viene modificata, questo processo viene ripetuto e il token precedente viene sostituito da un nuovo token in Tableau Server.
Non è necessaria una configurazione OAuth aggiuntiva in Tableau Server per i connettori con keychain gestiti predefiniti:
Google Analytics, Google BigQuery e Fogli Google (
- Salesforce
Limite e archiviazione dei token
Google ha un limite di 50 token per utente per ogni applicazione client (in questo scenario, Tableau Server è l’applicazione client). Poiché il token OAuth viene archiviato in Tableau Server e riutilizzato dall’utente, è improbabile che l’utente superi il limite di token.
Tutti i token utente vengono crittografati mentre sono inattivi quando vengono archiviati in Tableau Server. Per maggiori informazioni, consulta Gestire i segreti del server.
Rimozione dei record di keychain inutilizzati
Un record di keychain gestito contiene attributi di connessione come dbClass, il nome utente e gli attributi dei segreti OAuth. Tutti i record di keychain gestiti per un determinato sito vengono uniti, crittografati e archiviati in PostgreSQL.
I record vengono mantenuti anche per le cartelle di lavoro e le origini dati che sono state rimosse. Nel corso del tempo, questi record possono aumentare di dimensioni, causando problemi.
È consigliabile eliminare regolarmente i record di keychain inutilizzati come attività di manutenzione periodica. Puoi visualizzare il numero di record e di record inutilizzati archiviati in ogni sito. Puoi anche eliminare i record inutilizzati.
Per accedere a Pulizia keychain gestiti, accedi alle pagine di amministrazione di Tableau Server, passa al sito in cui desideri eliminare i record inutilizzati e fai clic su Impostazioni.
Limitazioni degli scenari con keychain gestito
Quando si utilizza OAuth con Tableau Server, tre scenari non sono supportati:
Richiesta di credenziali OAuth su connessioni live. Gli utenti devono incorporare le credenziali nelle connessioni live in caso di utilizzo di OAuth con keychain gestito.
Modifica della connessione all’origine dati OAuth in Tableau Server
Web authoring
Convertire il keychain gestito in credenziali salvate
Puoi convertire i connettori che usano il keychain gestito in modo da utilizzare credenziali salvate configurando Tableau Server con un ID client e un segreto OAuth per ogni connettore. Convertendo questi connettori in credenziali salvate, gli utenti saranno in grado di gestire le proprie credenziali per ogni tipo di connettore nella pagina Impostazioni account in Tableau Server. Sono inoltre supportati le richieste di connessione live, la modifica delle connessioni e il Web authoring.
Configurare OAuth personalizzato per un sito
Per un sottoinsieme di connettori, puoi configurare OAuth a livello di sito configurando client OAuth personalizzati. Per maggiori informazioni, consulta uno dei seguenti argomenti:
Per Azure Data Lake Storage Gen2, Database SQL di Azure, Azure Synapse e Databricks, consulta Configurare OAuth personalizzato per un sito.
Per Dremio, consulta Impostare OAuth per Dremio.
Per Google Analytics, Google BigQuery e Fogli Google (deprecato in Tableau versione 2022.1), consulta Configurare OAuth personalizzato per un sito.
Per Salesforce, consulta Configurare OAuth personalizzato per un sito.
Per Salesforce CDP, consulta Connettere Tableau Server a Salesforce Data Cloud.
Per Snowflake, consulta Configurare OAuth personalizzato per un sito.