Configurar o Azure AD para Autenticação Moderna e OAuth

Os conectores Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive and SharePoint Online e Listas do SharePoint (JDBC) oferecem suporte à autenticação por meio do Azure AD configurando um cliente OAuth para o Tableau Server.

Observação: tokens de atualização de uso único (às vezes chamados de tokens de atualização contínua ou rotação de tokens de atualização) não são suportados para conexões OAuth com o Tableau no momento. O suporte para esses tokens está planejado para uma versão futura.

Observação: o suporte ao Azure AD só é aceito com o driver Microsoft SQLServer 17.3(O link abre em nova janela)e posterior.

Etapa 1: registrar o cliente OAuth para Azure

Siga as etapas abaixo para registrar e configurar um aplicativo OAuth para o Azure em um locatário específico do Azure.

  1. Entre no portal do Azure.
  2. Se você tiver acesso a vários locatários, selecione o locatário no qual deseja registrar um aplicativo.
  3. Pesquise e selecione Azure Active Directory.
  4. Em Gerenciar, selecione Registros de aplicativos e Novo registro.
  5. Insira “Tableau Server OAuth” ou um valor semelhante como o Nome.
  6. No campo Tipos de conta com suporte na página de registro do aplicativo, selecione quem pode usar este aplicativo.
  7. Observação: se você quiser usar a ID do cliente e o segredo do cliente do seu aplicativo para contas em a diferentes locatários, certifique-se de escolher a segunda opção (Multilocatário).

  8. No campo (opcional) Redirecionar Uri, escolha Web e, em seguida, insira o endereço de Internet do seu servidor anexado pela cadeia de caracteres, /auth/add_oauth_token.
  9. Por exemplo: https://your_server_url.com/auth/add_oauth_token

  10. Selecione Registrar. Após a conclusão do registro, o portal do Azure exibe o painel Visão geral do registro do aplicativo, que inclui a ID do aplicativo (cliente). Também conhecido como ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft.
  11. Copie o valor, ele será usado como o[your_client_id] campo nas etapas a seguir.
  12. Selecione Certificados e segredos na barra à esquerda e escolha Novo segredo do cliente.
  13. Adicione a descrição da segredo.
  14. Selecione Tempo de vida do segredo do cliente.
  15. Escolha Adicionar e copie o segredo. O segredo será usado como[your_client_secret] nas etapas a seguir.
  16. Selecione permissões de API na barra esquerda.
  17. Escolha Adicionar permissões.
  18. Selecione Microsoft Graph..
  19. Escolha Permissões delegadas.
  20. Em Selecionar permissões, selecione todas as permissões OpenId (email, offline_access, openid, e perfil).
  21. Escolha Adicionar permissões.
  22. Adicionar permissões. Siga as etapas abaixo para os conectores que você está habilitando:
    • Banco de dados SQL do Azure
      1. Clique em Adicionar uma permissão.
      2. Selecione Minhas APIs.
      3. Clique em Banco de Dados SQL do Azure e, em seguida , Permissões delegadas.
      4. Selecione user_impersonation e clique em Adicionar permissões.
    • OneDrive e SharePoint Online
      1. Clique em Adicionar uma permissão.
      2. Selecione Microsoft Graph..
      3. Clique em Permissões delegadas.
      4. Sob Selecionar permissões, na caixa de pesquisa de filtro, insira e adicione as seguintes permissões:
      • Files.Read.All
      • Sites.Read.All
      • User.Read
    • Listas do SharePoint (JDBC)
      1. Clique em Adicionar uma permissão.
      2. Selecione Microsoft Graph..
      3. Clique em Permissões delegadas.
      4. Sob Selecionar permissões, na caixa de pesquisa do filtro, insira e adicione a permissão User.Read.
      5. Clique em Adicionar uma permissão de novo.
      6. Selecione SharePoint.
      7. Clique em Permissões delegadas.
      8. Expanda a seção AllSites e, em seguida, selecione e adicione a permissão AllSites.Manage.

Etapa 2: configurar o Tableau Server para Azure

Configurar o Tableau Server requer a execução de um comando do Tableau Server Manager (TSM). O Azure Data Lake Storage Gen2 requer um conjunto diferente de comandos do que o comando comum que é executado para o Azure Synapse, Banco de dados SQL do Azure ou Databricks.

Configure o cliente OAuth padrão para Azure Data Lake Storage Gen2

Para configurar o Tableau Server para Data Lake Storage Gen2, você deve ter os seguintes parâmetros de configuração:

  • ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
  • Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no segundo comando tsm.
  • URL do Tableau Server: insira a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no terceiro comando tsm.

Execute os seguintes comandos tsm para configurar o Tableau Server OAuth para Azure Data Lake Storage Gen2:

  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Configurar o cliente padrão para Azure Synapse, Banco de dados SQL do Azure ou Azure Databricks

Para configurar o Tableau Server, você deve ter os seguintes parâmetros de configuração:

  • ID do cliente Azure OAuth: gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no comando tsm.
  • Segredo Azure OAuthClient: gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no segundo comando tsm.
  • URL do Tableau Server: essa é a URL do Tableau Server, como https://myserver.com. Copie este valor para [your_server_url] no terceiro comando tsm.
  • ID de configuração:esse é o valor para o parâmetro oauth.config.id no comando tsm que se segue. Valores válidos:
    • Azure Synapse: azure_sql_dw
    • Banco de dados SQL do Azure: azure_sqldb
    • Databricks: databricks

Execute os seguintes comandos tsm para configurar o Azure AD para Azure Synapse, Banco de dados SQL do Azure ou Databricks. Por exemplo, para configurar o Azure Synapse:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurar um cliente OAuth padrão para OneDrive e SharePoint Online

Para configurar o Tableau Server para OneDrive e SharePoint Online, você deve ter os seguintes parâmetros de configuração:

  • ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
  • Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no segundo comando tsm.
  • URL do Tableau Server: essa é a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no terceiro comando tsm.

Execute os seguintes comandos tsm para configurar o Tableau Server OAuth para OneDrive e SharePoint Online:

  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Configurar um cliente OAuth padrão para Listas do SharePoint (JDBC)

Para configurar o Tableau Server para Listas do SharePoint (JDBC), você deve ter os seguintes parâmetros de configuração:

  • ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
  • Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no primeiro comando tsm.
  • URL do Tableau Server: essa é a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no primeiro comando tsm.

Execute os seguintes comandos tsm para configurar as Listas do SharePoint (JDBC) da Oauth do Tableau Server:

  • tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
  • tsm pending-changes apply

Configurar um cliente OAuth padrão para OneDrive (obsoleto)

Para configurar o Tableau Server para OneDrive (obsoleto), você deve ter os seguintes parâmetros de configuração:

  • ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
  • Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no segundo comando tsm.
  • URL do Tableau Server: essa é a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no terceiro comando tsm.

Para continuar, execute os seguintes comandos tsm para configurar o Tableau Server OAuth para OneDrive (obsoleto):

  • tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Cenários de reinicialização do servidor

Depois de configurar um cliente OAuth padrão, os cenários a seguir podem ocorrer.

  • Um prompt de reinicialização será exibido se as alterações pendentes exigirem a reinicialização do servidor.
  • Cancele o prompt com a opção --ignore-prompt, mas isso não interrompe a reinicialização.
  • Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Configuração de vários conectores

Se você tiver vários conectores para definir, deverá incluir todos eles em um único comando. Por exemplo:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurar Oauth personalizado para um site

Você pode configurar clientes personalizados do Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks OAuth, OneDrive e Sharepoint online e listas de Sharepoint (JDBC) para um site.

Considere configurar um cliente OAuth personalizado para 1) substituir um cliente OAuth se configurado para o servidor ou 2) ativar o suporte para conexão segura a dados que requerem clientes OAuth exclusivos.

Quando um cliente OAuth personalizado é configurado, a configuração no nível do site tem precedência sobre qualquer configuração do lado do servidor, e todas as novas credenciais OAuth criadas usam o cliente OAuth no nível do site por padrão. Nenhuma reinicialização do Tableau Server é necessária para que as configurações tenham efeito.

Importante: as credenciais OAuth existentes estabelecidas antes da configuração do cliente OAuth personalizado podem ser usadas temporariamente, mas tanto os administradores do servidor quanto os usuários devem atualizar suas credenciais salvas para ajudar a garantir o acesso ininterrupto aos dados.

1: preparar a ID do cliente OAuth, a chave secreta do cliente e a URL de redirecionamento

Antes de configurar o cliente OAuth personalizado, você precisa das informações listadas abaixo. Depois de preparar essas informações, você pode registrar o cliente OAuth personalizado para o site.

  • ID do cliente OAuth e segredo do cliente: primeiro registre o cliente OAuth com o provedor de dados (conector) para recuperar a ID do cliente e o segredo gerado para o Tableau Server.

  • URL de redirecionamento: observe a URL de redirecionamento correto. Você precisará disso durante o processo de registro na Etapa 2 abaixo.

    https://<your_server_name>.com/auth/add_oauth_token

    Por exemplo, https://example.com/auth/add_oauth_token

2: registre a ID do cliente OAuth e a chave secreta do cliente

Siga o procedimento descrito abaixo para registrar o cliente OAuth personalizado no site.

  1. Entre no site do Tableau Server usando suas credenciais de administrador acesse a página de Configurações.

  2. No Registro de clientes OAuth, clique no botão Adicionar cliente OAuth.

  3. Insira as informações necessárias, incluindo as informações da Etapa 1 acima:

    1. Para Tipo de conexão, selecione o conector, cujo cliente OAuth personalizado você deseja configurar.

    2. URL da instância OAuth é necessária se vários clientes OAuth estiverem sendo registrados. Caso contrário, é opcional.

    3. Para ID do cliente, Segredo do cliente e URL de redirecionamento, insira as informações que você preparou na Etapa 1 acima.

    4. Clique no botão Adicionar cliente OAuth para concluir o processo de registro.

  4. (Opcional) Repita a etapa 3 para todos os conectores compatíveis.

  5. Clique no botão Salvar na parte inferior ou superior da página Configurações para salvar as alterações.

3: validar e atualizar as credenciais salvas

Para ajudar a garantir o acesso ininterrupto aos dados, você (e os usuários do site) deve excluir as credenciais salvas anteriormente e adicioná-las novamente para usar o cliente OAuth personalizado para o site.

  1. Navegue até a página Minhas configurações da conta.

  2. Em Credenciais salvas para fontes de dados, faça o seguinte:

    1. Clique em Excluir ao lado das credenciais salvas existentes para o conector, cujo cliente OAuth personalizado você configurou na Etapa 2 acima.

    2. Ao lado do nome do conector, clique em Adicionar e siga as instruções para 1) conectar-se ao cliente OAuth personalizado configurado na Etapa 2 acima e 2) salvar as credenciais mais recentes.

4: notificar os usuários para atualizarem as credenciais salvas

Certifique-se de notificar os usuários do seu site para atualizar suas credenciais salvas para o conector, cujo cliente OAuth personalizado você configurou na Etapa 2 acima. Os usuários do site podem usar o procedimento descrito em Atualizar credenciais salvas para atualizar as credenciais salvas.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!