OAuth-verbindingen

Tableau Server ondersteunt OAuth voor een aantal verschillende connectors. In veel gevallen is er voor OAuth-functionaliteit geen aanvullende configuratie op Tableau Server nodig.

Wanneer gebruikers zich via Tableau aanmelden bij data met een connector die OAuth gebruikt, worden ze doorgestuurd naar de aanmeldpagina van de verificatieprovider. Nadat gebruikers hun referenties hebben opgegeven en Tableau toestemming hebben gegeven om toegang te krijgen tot hun data, stuurt de verificatieprovider Tableau een toegangstoken die Tableau en de gebruikers op unieke wijze identificeert. Met dit toegangstoken krijgt u namens de gebruiker toegang tot data. Voor meer informatie, zie hieronder Overzicht van het OAuth-proces.

Het gebruik van OAuth-gebaseerde verbindingen biedt de volgende voordelen:

  • Beveiliging: uw databasereferenties zijn nooit bekend bij of worden nooit opgeslagen in Tableau Serveren het toegangstoken kan alleen door Tableau namens gebruikers worden gebruikt.

  • Gemak: in plaats van dat u uw databron-ID en wachtwoord op meerdere plaatsen moet insluiten, kunt u het token dat voor een specifieke dataprovider is verstrekt, gebruiken voor alle gepubliceerde werkmappen en databronnen die toegang hebben tot die dataprovider.

    Opmerking: voor liveverbindingen met Google BigQuery-data kan elke werkmapviewer een uniek toegangstoken hebben waarmee de gebruiker wordt geïdentificeerd, in plaats van dat er één gebruikersnaam en wachtwoord worden gedeeld.

Overzicht van het OAuth-proces

De volgende stappen beschrijven een workflow in de Tableau-omgeving die het OAuth-proces aanroept.

  1. Een gebruiker voert een actie uit waarvoor toegang tot een cloudgebaseerde databron nodig is.

    U opent bijvoorbeeld een werkmap die is gepubliceerd naar Tableau Server.

  2. Tableau stuurt de gebruiker naar de aanmeldpagina van de clouddataprovider. De informatie die naar de dataprovider wordt verzonden, identificeert Tableau als de aanvragende site.

  3. Wanneer de gebruiker zich aanmeldt bij de data, vraagt de provider de gebruiker om zijn autorisatie voor Tableau Server om toegang te krijgen tot de data.

  4. Na bevestiging door de gebruiker stuurt de dataprovider een toegangstoken terug naar Tableau Server.

  5. Tableau Server presenteert de werkmap en de data aan de gebruiker.

Opmerking: Vernieuwingstokens voor eenmalig gebruik (soms ook wel rolling vernieuwingstokens of rotatie van vernieuwingstokens genoemd) worden op dit moment niet ondersteund voor OAuth-verbindingen met Tableau. Ondersteuning voor deze tokens staat gepland voor een toekomstige release.

De volgende gebruikersworkflows kunnen het OAuth-proces gebruiken:

  • Een werkmap maken en verbinding maken met de databron vanuit Tableau Desktop of vanuit Tableau Server.

  • Een databron publiceren vanuit Tableau Desktop.

  • Aanmelden bij Tableau Server vanaf een goedgekeurde client, zoals Tableau Mobile of Tableau Desktop.

Standaard opgeslagen referentieconnectors

Opgeslagen referenties verwijst naar de functionaliteit waarbij Tableau Server gebruikerstokens opslaat voor OAuth-verbindingen. Hiermee kunnen gebruikers hun OAuth-referenties opslaan in hun gebruikersprofiel op Tableau Server. Nadat ze de referenties hebben opgeslagen, worden ze hier niet meer om gevraagd wanneer ze bij het openen van de connector achtereenvolgend publiceren, bewerken of vernieuwen.

Opmerking: wanneer u Tableau Prep-flows op het web bewerkt, wordt u mogelijk gevraagd om u opnieuw te verifiëren.

De volgende connectors gebruiken standaard opgeslagen referenties en vereisen geen aanvullende configuratie op Tableau Server.

De volgende connectors kunnen opgeslagen referenties gebruiken met aanvullende configuratie door de serverbeheerder.

Alle ondersteunde connectors staan vermeld onder Opgeslagen referenties voor databronnen op de pagina Mijn accountinstellingen van gebruikers op Tableau Server. Gebruikers beheren hun opgeslagen referenties voor elke connector.

Toegangstokens voor dataverbindingen

U kunt referenties insluiten op basis van toegangstokens met dataverbindingen, zodat u na het eerste verificatieproces direct toegang krijgt. Een toegangstoken is geldig totdat een Tableau Server-gebruiker dit verwijdert, of totdat de dataprovider het toegangstoken intrekt.

Het is mogelijk dat u het aantal toegangstokens overschrijdt dat uw databronprovider toestaat. Als dat het geval is, gebruikt de dataprovider bij het aanmaken van een token de tijdsduur sinds de laatste toegang om te bepalen welk token ongeldig moet worden verklaard om ruimte te maken voor het nieuwe.

Toegangstokens voor verificatie van goedgekeurde clients

Op Tableau Server-sites kunnen gebruikers standaard rechtstreeks toegang krijgen tot hun sites vanaf goedgekeurde Tableau-clients, nadat gebruikers hun referenties hebben opgegeven bij de eerste keer dat ze zich aanmelden. Dit type verificatie gebruikt ook OAuth-toegangstokens om de referenties van de gebruikers veilig op te slaan.

Zie Automatische clientverificatie uitschakelen voor meer informatie.

Standaard beheerde sleutelketenconnectors

Beheerde sleutelketen verwijst naar de functionaliteit waarbij OAuth-tokens worden gegenereerd voor Tableau Server door de provider en gedeeld door alle gebruikers op dezelfde site. Wanneer een gebruiker voor het eerst een databron publiceert, vraagt Tableau Server de gebruiker om de referenties voor de databron. Tableau Server verzendt de referenties naar de databronprovider, die OAuth-tokens retourneert voor Tableau Server om namens de gebruiker te gebruiken. Bij volgende publicatiebewerkingen wordt het OAuth-token dat door Tableau Server is opgeslagen voor dezelfde klasse en gebruikersnaam gebruikt, zodat de gebruiker niet om de OAuth-referenties wordt gevraagd. Als het wachtwoord van de databron verandert, wordt het voorgaande proces herhaald en wordt het oude token vervangen door een nieuw token op Tableau Server.

Extra OAuth-configuratie op Tableau Server is niet vereist voor de standaard beheerde sleutelketenconnectors:

  • Google Analytics, Google BigQuery en Google Sheets (verouderd in Tableau versie 2022.1)

  • Salesforce

Tokenlimieten en opslag

Google hanteert een limiet van 50 tokens per gebruiker per clienttoepassing (in dit scenario is Tableau Server de clienttoepassing). Omdat het OAuth-token op Tableau Server wordt opgeslagen en door de gebruiker opnieuw wordt gebruikt, is het onwaarschijnlijk dat de gebruiker de tokenlimiet overschrijdt.

Alle gebruikerstokens worden versleuteld opgeslagen op Tableau Server. Zie Servergeheimen beheren voor meer informatie.

Ongebruikte sleutelketenrecords verwijderen

Een beheerd sleutelketenrecord bevat verbindingskenmerken zoals dbClass, gebruikersnaam en OAuth-geheimkenmerken. Alle beheerde sleutelketenrecords voor een bepaalde site worden samengevoegd, gecodeerd en opgeslagen in PostgreSQL.

Records blijven bewaard, zelfs voor werkmappen en databronnen die zijn verwijderd. Na verloop van tijd kunnen deze records groot worden, wat problemen kan veroorzaken.

Wij adviseren om de ongebruikte sleutelketenrecords periodiek te verwijderen als onderdeel van de reguliere onderhoudstaak. U kunt het aantal records en ongebruikte records bekijken die op elke site zijn opgeslagen. U kunt ook ongebruikte records verwijderen.

Om toegang te krijgen tot Beheerde sleutelketen opruimen, moet u zich aanmelden bij de beheerpagina's van Tableau Server, navigeren naar de site waar u ongebruikte records wilt verwijderen en klikken op Instellingen.

Scenariobeperkingen met beheerde sleutelketen

Drie scenario's worden niet ondersteund bij het gebruik van beheerde sleutelketen-OAuth met Tableau Server:

  • Vragen om OAuth-referenties bij liveverbindingen. Gebruikers moeten referenties insluiten op liveverbindingen met beheerde sleutelketen-OAuth

  • De OAuth-databronverbinding op Tableau Server bewerken

  • Webauthoring

Beheerde sleutelketen converteren naar opgeslagen referenties

U kunt connectors die gebruikmaken van een beheerde sleutelketen, zodanig converteren dat ze opgeslagen referenties kunnen gebruiken door Tableau Server te configureren met een OAuth-client-ID en geheim voor elke connector. Door deze connectors te converteren naar opgeslagen referenties, kunnen gebruikers hun referenties beheren voor elk connectortype op de pagina Mijn accountinstellingen op Tableau Server. Daarnaast worden liveverbindingsprompts, bewerkingsverbindingen en webauthoring ondersteund.

Een aangepaste OAuth configureren voor een site

Voor een subset van connectors kunt u OAuth op siteniveau configureren door aangepaste OAuth-clients te configureren. Raadpleeg voor meer informatie een van de volgende onderwerpen:

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.