Help bij Tableau Server op Linux

Er zijn verschillende manieren om OAuth te configureren voor Snowflake-verbindingen, afhankelijk van de versie van Tableau Server die u gebruikt en hoeveel sites u bijwerkt. In dit onderwerp wordt de configuratie voor elke beschikbare optie besproken.

• Voor alle versies van Tableau tot en met versie 2024.1 maakt de Tableau Snowflake-connector standaard gebruik van een OAuth-proxy die wordt gehost in AWS (GALOP), die gebruikmaakt van een gemeenschappelijk(e) client-ID en geheim. U kunt desgewenst Tableau Server configureren om een nieuwe OAuth-service te gebruiken die op dezelfde locatie wordt uitgevoerd als die instantie van Tableau. Hiervoor moet u uw eigen client-ID en geheim opgeven, ook wel aangepaste OAuth genoemd. U kunt deze configureren door de onderstaande instructies te volgen.

• Vanaf 2024.2 is de GALOP-proxy verouderd en zijn de onderstaande instructies voor het instellen van aangepaste OAuth vereist, omdat de lokale OAuth-service nu wordt gebruikt voor verificatie.

• Voor Tableau Desktop en Tableau Cloud versie 2024.3 en later kunt u een externe IdP (externe OAuth) configureren voor Snowflake. Zie Externe OAuth voor Snowflake voor meer informatie.

De voordelen van aangepaste OAuth zijn onder meer:

• Verbeterde beveiliging

• U kunt OAuth gebruiken in geïsoleerde omgevingen die geen verbinding kunnen maken met de OAuth-proxy (GALOP).

• U hoeft de GALOP IP-adressen niet op een toelatingslijst te plaatsen om de OAuth-flow uit te voeren in VPC's van AWS PrivateLink of Azure Private Link.

Stap 1: de OAuth-client instellen en registreren bij Snowflake

Als u een aangepaste OAuth-set-up wilt gebruiken in Tableau Server, dient u eerst uw OAuth-client in te stellen en te registreren en een client-ID en clientgeheim te verkrijgen in Snowflake. Voor Tableau Server versie 2024.2 en hoger is deze stap vereist, ongeacht de configuratieoptie die u gebruikt. Als u een aangepaste OAuth-client bij Snowflake wilt registreren, volgt u de stappen in Configure Snowflake OAuth for Custom Clients (Snowflake OAuth configureren voor aangepaste clients)(Link wordt in een nieuw venster geopend).

Nadat u uw OAuth-client in Snowflake hebt geregistreerd met behulp van de stappen in het hierboven vermelde Snowflake-artikel, gebruikt u de volgende Snowflake-parameters om Tableau Server te configureren:

• Accountinstantie-URL

• Client-ID

• Clientgeheim

• Omleiding-URL

Opmerking: U voert dezelfde omleiding-URL in aan de Snowflake- en Tableau-zijde. Gebruik deze notatie:
https://<your_tableau_server_url>.com/auth/add_oauth_token

Stap 2: Tableau Server configureren voor gebruik van OAuth voor Snowflake

Optie 1: OAuth configureren voor Snowflake-verbindingen met behulp van TSM

Wij raden u aan deze optie te gebruiken als u meerdere Tableau Server-sites tegelijk wilt bijwerken.

Opmerking: Deze configuratie-optie is niet beschikbaar voor gebruik in Tableau Cloud.

1. (Versie 2024.1 en eerder) Voer op de Tableau Server-computer de volgende opdracht uit om de Snowflake OAuth-service in te schakelen:

   tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v true

   Opmerking: Voor versie 2024.2 en nieuwer slaat u stap 1 over, ongeacht of er een Snowflake-privéverbinding wordt gebruikt.

2. U kopieert en plakt de volgende opdracht in een teksteditor en past deze hierin aan:

   tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"

   De sleutel oauth.snowflake.clients neemt een array van sleutelparen op. Elk element in het sleutelpaar moet tussen dubbele aanhalingstekens worden geplaatst. Dubbele aanhalingstekens moeten worden genegeerd, hetgeen wordt aangegeven met een \" (escape-teken).

   Als u meerdere accountinstantie-URL's wilt opgeven, scheidt u elke aanvullende OAuth-client die tussen accolades ({}) is geplaatst met een komma (,), zoals in dit voorbeeld:

   tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\",\"oauth.snowflake.client_id\":\"client_id_string1\",\"oauth.snowflake.client_secret\":\"client_secret_string1\",\"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" },{\"oauth.snowflake.instance_url\":\"https://account2.snowflakecomputing.com\",\"oauth.snowflake.client_id\":\"client_id_string2\",\"oauth.snowflake.client_secret\":\"client_secret_string2\",\"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"

   Vervang de waarden voor elke sleutel:

   • Accountinstantie-URL:oauth.snowflake.instance_url

   • Client-ID: oauth.snowflake.client_id

   • Clientgeheim: oauth.snowflake.client_secret

   • Omleiding-URL: oauth.snowflake.redirect_uri

   Opmerking: controleer de syntaxis zorgvuldig voordat u de opdracht uitvoert. TSM valideert deze invoer niet.

   Kopieer de opdracht naar TSM CLI en voer de opdracht uit.

3. Voer de volgende opdracht in om de wijzigingen toe te passen:

   tsm pending-changes apply

   Als voor de in behandeling zijnde wijzigingen de server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Optie 2: OAuth configureren voor Snowflake-verbindingen per site

Opmerking: deze optie is ook beschikbaar voor Tableau Cloud vanaf versie 2024.2.

U kunt een aangepaste Snowflake OAuth-client op siteniveau configureren via de gebruikersinterface van Tableau Server.

Overweeg om op siteniveau een aangepaste OAuth-client te configureren om:

1. Een OAuth-client te overschrijven indien deze voor de server is geconfigureerd

2. Ondersteuning in te schakelen voor het veilig verbinden met data waarvoor unieke OAuth-clients vereist zijn.

Wanneer een aangepaste OAuth-client is geconfigureerd, heeft de configuratie op siteniveau voorrang op eventuele configuraties op serverniveau en maken alle nieuw toegevoegde OAuth-referenties standaard gebruik van de OAuth-client op siteniveau. U hoeft Tableau Server niet opnieuw op te starten om de aangepaste OAuth-configuraties op siteniveau van kracht te laten worden.

Belangrijk: bestaande OAuth-referenties die zijn ingesteld voordat de aangepaste OAuth-client is geconfigureerd, zijn tijdelijk bruikbaar, maar zowel Tableau Server-beheerders als -gebruikers moeten hun opgeslagen referenties bijwerken om ononderbroken toegang tot data te garanderen.

Stap 1: de OAuth-client-ID, het clientgeheim en de omleiding-URL voorbereiden

Voordat u de aangepaste OAuth-client kunt configureren, hebt u de onderstaande informatie nodig. Nadat u deze informatie hebt voorbereid, kunt u de aangepaste OAuth-client voor de site registreren. Zie de bovenstaande sectie Stap 1: OAuth-client instellen en registreren bij Snowflake voor meer informatie.

• Accountinstantie-URL

• OAuth-client-ID en clientgeheim: Registreer eerst de OAuth-client bij de dataprovider (connector) om de client-ID en het geheim op te halen die voor Tableau Server zijn gegenereerd.

• Omleiding-URL: Let op de juiste omleiding-URL. U hebt deze nodig tijdens het registratieproces in Stap 2: OAuth-client toevoegen aan de Tableau Server-site verderop.

  https://<your_tableau_server_url>.com/auth/add_oauth_token

Stap 2: OAuth-client toevoegen aan de Tableau Server-site

Voer de hieronder beschreven procedure uit om de aangepaste OAuth-client op de site te registreren.

1. (Versie 2024.1 en eerder) Voer op de Tableau Server-computer de volgende opdracht uit om de Snowflake OAuth-service in te schakelen:

   tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v true

   tsm pending-changes apply

   Opmerking: Voor versie 2024.2 en nieuwer slaat u stap 1 over, ongeacht of er een Snowflake-privéverbinding wordt gebruikt.

2. Meld u aan bij uw Tableau Server-site met uw beheerdersreferenties en navigeer naar de pagina Instellingen.

3. Ga naar Register OAuth-clients en klik op de knop OAuth-client toevoegen.

4. Vul de vereiste informatie in, inclusief de informatie van Stap 1 hierboven:

   1. Bij Verbindingstype selecteert u de connector waarvan u de aangepaste OAuth-client wilt configureren.

   2. URL voor OAuth-instantie is vereist als er meerdere OAuth-clients worden geregistreerd. Anders is het optioneel.

   3. Bij Client-ID, Clientgeheim en Omleiding-URL voert u de informatie in die u hebt voorbereid in Stap 1 hierboven.

   4. Klik op de knop OAuth-client toevoegen om het registratieproces te voltooien.

   

5. Klik op de knop Opslaan onderaan of bovenaan de pagina Instellingen om de wijzigingen op te slaan.

Stap 3: de opgeslagen referenties valideren en bijwerken

U (en uw sitegebruikers) moeten de eerder opgeslagen referenties verwijderen en deze opnieuw toevoegen om de aangepaste OAuth-client voor de site te gebruiken en ononderbroken toegang tot de data te garanderen.

1. Navigeer naar de pagina Mijn accountinstellingen.

2. Voer de volgende stappen uit onder Opgeslagen referenties voor databronnen:

   1. Klik op Verwijderen naast de bestaande opgeslagen referenties voor de connector waarvan u de aangepaste OAuth-client hebt geconfigureerd in Stap 2: OAuth-client toevoegen aan de Tableau Server-site hierboven.

   2. Klik naast de connectornaam op Toevoegen en volg de aanwijzingen om 1) verbinding te maken met de aangepaste OAuth-client die u hebt geconfigureerd in Stap 2: OAuth-client toevoegen aan de Tableau Server-site hierboven en 2) om de meest recente referenties op te slaan.

Stap 4: gebruikers informeren dat ze hun opgeslagen referenties moeten bijwerken

Laat uw sitegebruikers weten dat ze hun opgeslagen referenties moeten bijwerken voor de connector waarvan u de aangepaste OAuth-client hebt geconfigureerd in Stap 2: OAuth-client toevoegen aan de Tableau Server-site hierboven. Sitegebruikers kunnen hun opgeslagen referenties bijwerken aan de hand van de procedure die wordt beschreven in Opgeslagen referenties bijwerken.