Konfigurieren von Azure AD für OAuth und Modern Authentication


Die Connectoren Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive und SharePoint Online sowie SharePoint Lists (JDBC) unterstützen die Authentifizierung über Azure AD durch die Konfiguration eines OAuth-Clients für Tableau Server.

Hinweis: Die OAuth-Unterstützung für Azure AD wird nur von Microsoft SQLServer-Treiber 17.3(Link wird in neuem Fenster geöffnet) und höher unterstützt.

Schritt 1: OAuth-Client für Azure registrieren

Führen Sie die folgenden Schritte aus, um eine OAuth-Anwendung für Azure unter einem bestimmten Azure-Mandanten zu registrieren und zu konfigurieren.

  1. Melden Sie sich beim Azure-Portal an.
  2. Wenn Sie Zugang zu mehreren Mandanten haben, wählen Sie den Mandanten aus, in dem Sie eine Anwendung registrieren möchten.
  3. Suchen Sie Azure Active Directory und wählen Sie es aus.
  4. Wählen Sie unter Verwalten die Option App-Registrierungen und dann Neue Registrierung.
  5. Geben Sie "Tableau Server OAuth" oder einen ähnlichen Wert als Namen ein.
  6. Wählen Sie unter dem Feld Unterstützte Kontotypen auf der App-Registrierungsseite aus, wer diese Anwendung verwenden darf.

    7. Hinweis: Wenn Sie die Client-ID und das Client-Geheimnis Ihrer Anwendung für Konten unter verschiedenen Mandanten verwenden möchten, wählen Sie die zweite Option (mehrere Mandanten) aus.

  7. Unter Uri umleiten (optionales) Feld, wählen Sie Web und geben Sie dann die Internetadresse Ihres Servers ein, an die Sie die Zeichenfolge anhängen: /auth/add_oauth_token.

    8. Beispiel: https://your_server_url.com/auth/add_oauth_token

  8. Wählen Sie Registrieren. Nach Abschluss der Registrierung zeigt das Azure-Portal den Übersichtsbereich der App-Registrierung an, der die Anwendungs-ID (Client-ID) enthält. Dieser Wert wird auch als Client-ID bezeichnet und identifiziert Ihre Anwendung in der Microsoft Identity-Plattform eindeutig.
  9. Kopieren Sie den Wert, der als Feld [your_client_id] in den folgenden Schritten verwendet wird.
  10. Wählen Sie Zertifikate & Geheimnisse auf der linken Leiste und dannNeues Client-Geheimnis.
  11. Fügen Sie eine Beschreibung der Abbildung hinzu.
  12. Wählen Sie Client-Secret-Lebensdauer.
  13. Wählen Sie Hinzufügen und kopieren Sie dann das Geheimnis. Das Geheimnis wird in den folgenden Schritten als [your_client_secret] verwendet.
  14. Wählen Sie API-Berechtigungen auf der linken Leiste.
  15. Wählen Sie Berechtigungen hinzufügen.
  16. Wählen Sie Microsoft Graph.
  17. Wählen Sie Delegierte Berechtigungen.
  18. Wählen Sie unter Berechtigungen auswählen alle OpenId-Berechtigungen aus (E-Mail, offline_access, OpenID, Profil).
  19. Wählen Sie Berechtigungen hinzufügen.
  20. Fügen Sie zusätzliche Berechtigungen hinzu. Führen Sie die folgenden Schritte für die Connectoren aus, die Sie aktivieren:
    • Azure-SQL-Datenbank
      1. Klicken Sie auf Berechtigung hinzufügen.
      2. Wählen Sie Meine APIs.
      3. Klicken Sie auf Azure SQL-Datenbank, dann auf Delegierte Berechtigungen.
      4. Wählen Sie user_impersonation aus und klicken Sie dann auf Berechtigungen hinzufügen.
    • OneDrive und SharePoint Online
      1. Klicken Sie auf Berechtigung hinzufügen.
      2. Wählen Sie Microsoft Graph.
      3. Klicken Sie auf Delegierte Berechtigungen.
      4. Geben Sie unter Berechtigungen auswählen im Filtersuchfeld die folgenden Berechtigungen ein und fügen Sie sie hinzu:
      • Files.Read.All
      • Sites.Read.All
      • User.Read
    • SharePoint-Listen (JDBC)
      1. Klicken Sie auf Berechtigung hinzufügen.
      2. Wählen Sie Microsoft Graph.
      3. Klicken Sie auf Delegierte Berechtigungen.
      4. Geben Sie unter Berechtigungen auswählen im Filtersuchfeld Folgendes ein und fügen Sie dann die Berechtigung „User.Read“ hinzu.
      5. Klicken Sie erneut auf Berechtigung hinzufügen.
      6. Wählen Sie SharePoint.
      7. Klicken Sie auf Delegierte Berechtigungen.
      8. Erweitern Sie den Abschnitt AllSites, wählen Sie die Berechtigung „AllSites.Manage“ aus und fügen Sie sie hinzu.

Schritt 2: Konfigurieren von Tableau Server für Azure

Zum Konfigurieren von Tableau Server muss ein TSM-Befehl (Tableau Server Manager) ausgeführt werden. Azure Data Lake Storage Gen2 erfordert einen anderen Satz von Befehlen als der übliche Befehl, der für Azure Synapse, Azure SQL Database oder Databricks zum Einsatz kommt.

Konfigurieren des Standard-OAuth-Clients für Azure Data Lake Storage Gen2

Zum Konfigurieren von Tableau Server für Data Lake Storage Gen2 müssen Sie über die folgenden Konfigurationsparameter verfügen:

  • Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_id] in den ersten tsm-Befehl.
  • Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den zweiten tsm-Befehl.
  • Tableau Server-URL: Geben Sie Ihre Tableau Server-URL ein (z. B. https://myco.com). Kopieren Sie diesen Wert als [your_server_url] in den dritten tsm-Befehl.

Führen Sie die folgenden tsm-Befehle aus, um Tableau Server-OAuth für Azure Data Lake Storage Gen2 zu konfigurieren:

  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Konfigurieren des Standard-Clients für Azure Synapse, Azure SQL Database oder Databricks

Zum Konfigurieren von Tableau Server müssen Sie über die folgenden Konfigurationsparameter verfügen:

  • Azure OAuth-Client-ID: Wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie den Wert für [your_client_id] in den tsm-Befehl.
  • Azure OAuth-Client-Geheimnis: Wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den zweiten tsm-Befehl.
  • Tableau Server-URL: Dies ist Ihre Tableau Server-URL, wie z. B. https://myserver.com. Kopieren Sie diesen Wert als [your_server_url] in den dritten tsm-Befehl.
  • Konfigurations-ID: Der Wert für den oauth.config.id-Parameter in dem folgenden tsm-Befehl. Gültige Werte:
    • Azure Synapse: azure_sql_dw
    • Azure SQL Database: azure_sqldb
    • Databricks: databricks

Führen Sie die folgenden tsm-Befehle aus, um Azure AD für Azure Synapse, Azure SQL Database oder Databricks zu konfigurieren. So richten Sie beispielsweise Azure Synapse ein:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Konfigurieren eines standardmäßigen OAuth-Clients für OneDrive und SharePoint Online

Um Tableau Server OneDrive und SharePoint Online zu konfigurieren, benötigen Sie die folgenden Konfigurationsparameter:

  • Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_id] in den ersten tsm-Befehl.
  • Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den zweiten tsm-Befehl.
  • Tableau Server-URL: Dies ist Ihre Tableau Server-URL (z. B. https://myco.com). Kopieren Sie diesen Wert als [your_server_url] in den dritten tsm-Befehl.

Führen Sie die folgenden tsm-Befehle aus, um Tableau Server OAuth für OneDrive und SharePoint Online zu konfigurieren:

  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Konfigurieren eines standardmäßigen OAuth-Clients für OneDrive (eingestellt)

Zum Konfigurieren von Tableau Server für OneDrive (eingestellt) müssen Sie über die folgenden Konfigurationsparameter verfügen:

  • Azure OAuth-Client-ID: Die Client-ID wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_id] in den ersten tsm-Befehl.
  • Azure OAuth-Client-Geheimnis: Das Client-Geheimnis wird durch das Verfahren in Schritt 1 generiert. Kopieren Sie diesen Wert als [your_client_secret] in den zweiten tsm-Befehl.
  • Tableau Server-URL: Dies ist Ihre Tableau Server-URL (z. B. https://myco.com). Kopieren Sie diesen Wert als [your_server_url] in den dritten tsm-Befehl.

Führen Sie zum Fortfahren die folgenden tsm-Befehle aus, um Tableau Server OAuth für OneDrive (eingestellt) zu konfigurieren:

  • tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Szenarien für einen Server-Neustart

Nachdem Sie einen standardmäßigen OAuth-Client konfiguriert haben, kann es zu den folgenden Szenarien kommen.

  • Eine Aufforderung zum Neustart wird angezeigt, wenn die ausstehenden Änderungen einen Neustart des Servers erfordern.
  • Sie können diese Aufforderung mithilfe der Option --ignore-prompt unterdrücken, wobei jedoch der Neustart nicht verhindert wird.
  • Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne weitere Aufforderung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Einstellen mehrerer Connectoren

Wenn Sie mehrere Connectoren einstellen möchten, müssen Sie diese alle in einen einzigen Befehl aufnehmen. Beispiel:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Konfigurieren von benutzerdefinierten OAuth für eine Site

Sie können benutzerdefinierte Azure Data Lake Storage Gen2-, Azure Synapse-, Azure SQL Database- und Databricks-OAuth-Clients für eine Site konfigurieren.

Erwägen Sie die Konfiguration eines benutzerdefinierten OAuth-Clients, um 1) einen OAuth-Client zu überschreiben, wenn er für den Server konfiguriert ist, oder 2) Unterstützung für die sichere Verbindung zu Daten zu aktivieren, die eindeutige OAuth-Clients erfordern.

Wenn ein benutzerdefinierter OAuth-Client konfiguriert ist, hat die Konfiguration auf Site-Ebene Vorrang vor jeder serverseitigen Konfiguration und alle neu erstellten OAuth-Anmeldeinformationen verwenden standardmäßig den OAuth-Client auf Site-Ebene. Damit die Konfigurationen wirksam werden, ist kein Neustart von Tableau Server erforderlich.

Wichtig: Vorhandene OAuth-Anmeldeinformationen, die vor der Konfiguration des benutzerdefinierten OAuth-Clients erstellt wurden, sind vorübergehend verwendbar, aber sowohl Serveradministratoren als auch Benutzer müssen ihre gespeicherten Anmeldeinformationen aktualisieren, um einen kontinuierlichen Datenzugriff zu gewährleisten.

Schritt 1: Vorbereiten der OAuth-Client-ID, des Client-Geheimnisses und der Weiterleitungs-URL

Bevor Sie den benutzerdefinierten OAuth-Client konfigurieren können, benötigen Sie die unten aufgeführten Informationen. Sobald Sie diese Informationen zur Verfügung haben, können Sie den benutzerdefinierten OAuth-Client für die Site registrieren.

  • OAuth-Client-ID und Client-Geheimnis: Registrieren Sie zunächst den OAuth-Client beim Datenanbieter (Connector), um die für Tableau Server generierte Client-ID sowie das dazugehörige Geheimnis abzurufen.

  • Weiterleitungs-URL: Notieren Sie sich die korrekte Weiterleitungs-URL. Sie benötigen diese für den Registrierungsprozess in Schritt 2 weiter unten.

    https://<your_server_name>.com/auth/add_oauth_token

    Beispiel: https://example.com/auth/add_oauth_token

Schritt 2: Registrieren der OAuth-Client-ID und des Client-Geheimnisses

Befolgen Sie das unten beschriebene Verfahren, um den benutzerdefinierten OAuth-Client bei der Site zu registrieren.

  1. Melden Sie sich mit Ihren Administrator-Anmeldeinformationen bei Ihrer Tableau Server-Site an und navigieren Sie zur Seite Einstellungen.

  2. Klicken Sie unter "OAuth-Clients-Registrierung" auf die Schaltfläche OAuth-Client hinzufügen.

  3. Geben Sie die erforderlichen Informationen ein, einschließlich der Informationen aus Schritt 1 oben:

    1. Wählen Sie bei Verbindungstyp den Connector aus, dessen benutzerdefinierten OAuth-Client Sie konfigurieren möchten.

    2. Geben Sie für Client-ID, Client-Geheimnis und Weiterleitungs-URL die Informationen ein, die Sie in Schritt 1 oben zusammengestellt haben.

    3. Klicken Sie auf die Schaltfläche OAuth-Client hinzufügen, um den Registrierungsprozess abzuschließen.

  4. (Optional) Wiederholen Sie Schritt 3 für alle unterstützten Connectoren.

  5. Klicken Sie unten oder oben auf der Einstellungsseite auf die Schaltfläche Speichern, um die Änderungen zu speichern.

Schritt 3: Validieren und Aktualisieren gespeicherter Anmeldeinformationen

Zur Gewährleistung eines kontinuierlichen Datenzugriffs müssen Sie (und Ihre Site-Benutzer) die zuvor gespeicherten Anmeldeinformationen löschen und sie erneut hinzufügen, um den benutzerdefinierten OAuth-Client für die Site zu verwenden.

  1. Navigieren Sie zur Seite Meine Kontoeinstellungen.

  2. Führen Sie unter Gespeicherte Anmeldeinformationen für Datenquellen Folgendes aus:

    1. Klicken Sie neben den vorhandenen gespeicherten Anmeldeinformationen für den Connector, dessen benutzerdefinierten OAuth-Client Sie oben in Schritt 2 konfiguriert haben, auf Löschen.

    2. Klicken Sie neben dem Namen des Connectors auf Hinzufügen und folgen Sie den Anweisungen, um 1) eine Verbindung mit dem benutzerdefinierten OAuth-Client herzustellen, der oben in Schritt 2 konfiguriert wurde, und 2) die neuesten Anmeldeinformationen zu speichern.

Schritt 4: Benachrichtigung der Benutzer hinsichtlich der Aktualisierung ihrer gespeicherten Anmeldeinformationen

Stellen Sie sicher, dass Sie Ihre Site-Benutzer darüber informieren, ihre gespeicherten Anmeldeinformationen für den Connector zu aktualisieren, dessen benutzerdefinierten OAuth-Client Sie oben in Schritt 2 konfiguriert haben. Site-Benutzer können dazu die Vorgehensweise verwenden, die unter Aktualisierung gespeicherter Anmeldeinformationen beschrieben ist, um ihre gespeicherten Anmeldeinformationen zu aktualisieren.

Forward-Proxy für OAuth-Authentifizierung

Weitere Informationen zum Einrichten eines Forward-Proxys mit OAuth-Authentifizierung für Tableau Server (nur Windows) finden Sie unter Konfigurieren eines Forward-Proxys für OAuth-Authentifizierung(Link wird in neuem Fenster geöffnet) in der Tableau-Hilfe.

Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.