OAuth-Verbindungen

Tableau Server unterstützt OAuth für eine Reihe verschiedener Connectoren. In den meisten Fällen ist für die OAuth-Funktion keine zusätzliche Konfiguration in Tableau Server erforderlich.

Wenn sich Benutzer bei Daten über Tableau mit einem Connector anmelden, der OAuth verwendet, werden sie auf die Anmeldeseite des Authentifizierungsanbieters weitergeleitet. Nachdem die Benutzer ihre Anmeldeinformationen eingegeben haben und Tableau den Zugriff auf ihre Daten genehmigt hat, sendet der Authentifizierungsanbieter ein Zugriffstoken an Tableau, welches Tableau und die Benutzer eindeutig identifiziert. Dieses Zugriffstoken wird verwendet, um im Namen der Benutzer auf Daten zuzugreifen. Weitere Informationen dazu finden Sie im nachfolgenden Abschnitt Übersicht über den OAuth-Prozess.

Die Nutzung von OAuth-Verbindungen bietet die folgenden Vorteile:

  • Sicherheit: Ihre Datenbankanmeldeinformationen werden Tableau Server gegenüber nie bekanntgegeben oder dort gespeichert, und die Zugriffstoken können nur von Tableau im Namen der Benutzer genutzt werden.

  • Bequemere Nutzung: Anstatt Datenquellen-ID und Kennwort an verschiedenen Orten integrieren zu müssen, können Sie das für einen bestimmten Datenanbieter bereitgestellte Token für alle veröffentlichten Arbeitsmappen und Datenextrakte mit Zugriff auf diesen Datenanbieter verwenden.

    Hinweis: Für Direktverbindungen zu Google BigQuery-Daten kann jedem Arbeitsmappen-Viewer ein eindeutiges Zugriffstoken zur Benutzererkennung anstatt Benutzernamen und Kennwort zugewiesen werden.

Übersicht über den OAuth-Prozess

In den folgenden Schritten wird ein Workflow in der Tableau-Umgebung zum Abrufen des OAuth-Prozesses beschrieben.

  1. Ein Benutzer kann eine Aktion ausführen, für die Zugriff auf eine cloudbasierte Datenquelle erforderlich ist.

    Nehmen wir einmal an, Sie öffnen eine in Tableau Server veröffentlichte Arbeitsmappe.

  2. Tableau leitet den Benutzer auf die Anmeldeseite des Cloud-Datenanbieters weiter. Die an den Datenanbieter weitergeleiteten Informationen weisen Tableau als die anfordernde Site aus.

  3. Wenn sich der Benutzer bei der Datenquelle anmeldet, wird er vom Anbieter aufgefordert, seine Autorisierung für Tableau Server zu bestätigen, um auf die Daten zuzugreifen.

  4. Nach der Bestätigung des Benutzers sendet der Datenanbieter ein Zugriffstoken an Tableau Server zurück.

  5. Tableau Server zeigt dem Benutzer die Arbeitsmappe und die Daten an.

Hinweis: Einmalig zu verwendende Aktualisierungstoken (auch rollierende Aktualisierungstoken oder Aktualisierungstoken-Rotation genannt) werden für OAuth-Verbindungen zu Tableau derzeit nicht unterstützt. Die Unterstützung dieser Token ist für eine zukünftige Version geplant.

Folgende Benutzer-Workflows können den OAuth-Prozess verwenden:

  • Arbeitsmappe erstellen und Verbindung zur Datenquelle von Tableau Desktop oder von Tableau Server herstellen

  • Veröffentlichen einer Datenquelle aus Tableau Desktop

  • Anmeldung bei Tableau Server von einem zugelassenen Client wie Tableau Mobile oder Tableau Desktop

Standardmäßige Connectoren für gespeicherte Anmeldeinformationen

Gespeicherte Anmeldeinformationen beziehen sich auf die Funktionalität, in der Tableau Server Benutzertoken für OAuth-Verbindungen speichert. Auf diese Weise können Benutzer ihre OAuth-Anmeldeinformationen in ihrem Benutzerprofil in Tableau Server speichern. Nachdem sie die Anmeldeinformationen gespeichert haben, werden sie beim Zugriff auf den Connector nicht mehr dazu aufgefordert, wenn sie anschließend Objekte veröffentlichen, bearbeiten oder aktualisieren.

Hinweis: Wenn Sie im Internet Tableau Prep-Schemata bearbeiten, kann es vorkommen, dass Sie dennoch aufgefordert werden, sich erneut zu authentifizieren.

Die folgenden Connectoren verwenden gespeicherte Anmeldeinformationen standardmäßig und erfordern keine weitere Konfiguration in Tableau Server.

Die folgenden Connectoren können gespeicherte Anmeldeinformationen nach zusätzlicher Konfiguration durch den Serveradministrator verwenden.

Alle unterstützten Connectoren sind unter Gespeicherte Anmeldeinformationen für Datenquellen auf der Seite Eigene Kontoeinstellungen des Benutzers in Tableau Server aufgeführt. Benutzer verwalten ihre gespeicherten Anmeldeinformationen für jeden Connector.

Zugriffstoken für Datenverbindungen

Sie können Anmeldeinformationen basierend auf Zugriffstoken mit Datenverbindungen speichern. So ermöglichen Sie nach dem anfänglichen Authentifizierungsprozess direkten Zugriff auf die Daten. Ein Zugriffstoken ist so lange gültig, bis ein Tableau Server-Benutzer ihn löscht oder der Datenanbieter ihn widerruft.

Es ist möglich, die von Ihrem Datenquellenanbieter genehmigte Token-Anzahl zu überschreiten. In diesem Fall entscheidet der Datenanbieter bei Erstellung eines neuen Tokens durch den Benutzer anhand der seit dem letzten Zugriff verstrichenen Zeit, welches vorhandene Token für das neue Token ungültig gemacht werden soll.

Zugriffstoken für die Authentifizieurng von zugelassenen Clients

Standardmäßig gestatten Tableau Server-Sites Benutzern den direkten Zugriff auf ihre Sites über genehmigte Tableau-Clients, nachdem diese bei der ersten Anmeldung ihre Anmeldeinformationen eingegeben haben. Bei dieser Art der Authentifizierung werden auch OAuth-Zugriffstoken verwendet, um die Anmeldeinformationen der Benutzer sicher zu speichern.

Weitere Informationen finden Sie unter Deaktivieren der automatischen Client-Authentifizierung.

Standardmäßig verwaltete Keychain-Connectoren

Verwaltete Keychain bezieht sich auf die Funktionalität, in der OAuth-Token durch den Anbieter für Tableau Server generiert und von allen Benutzern in derselben Site gemeinsam verwendet werden. Wenn ein Benutzer zum ersten Mal in eine Datenquelle veröffentlicht, fordert Tableau Server den Benutzer zur Eingabe der Datenquellen-Anmeldeinformationen auf. Tableau Server übermittelt die Anmeldeinformationen an den Datenquellenanbieter, der OAuth-Token für Tableau Server zurückgibt, die im Namen des Benutzers verwendet werden können. Bei nachfolgenden Veröffentlichungsvorgängen wird das OAuth-Token verwendet, das von Tableau Server für dieselbe Klasse und denselben Benutzernamen gespeichert wurde, sodass der Benutzer nicht zur Eingabe der OAuth-Anmeldeinformationen aufgefordert wird. Sollte sich das Kennwort für die Datenquelle ändern, wird der oben beschriebene Vorgang wiederholt, und das alte Token wird durch ein neues Token in Tableau Server ersetzt.

Für die standardmäßig verwalteten Keychain-Connectoren ist keine zusätzliche OAuth-Konfiguration in Tableau Server erforderlich:

  • Google Analytics, Google BigQuery und Google Sheets (eingestellt in Tableau-Version 2022.1 )

  • Salesforce

Token-Limits und Speicherung

Google hat pro Benutzer und Client-Anwendung ein Token-Limit von 50 (in diesem Szenario ist Tableau Server die Client-Anwendung). Da das OAuth-Token in Tableau Server gespeichert und vom Benutzer wiederverwendet wird, ist es unwahrscheinlich, dass der Benutzer das Token-Limit überschreitet.

Alle Benutzertoken werden im Ruhezustand verschlüsselt, wenn sie auf Tableau Server gespeichert werden. Weitere Informationen finden Sie unter Verwalten von Servergeheimnissen.

Entfernen nicht verwendeter Keychain-Datensätze

Ein verwalteter Keychain-Datensatz enthält Verbindungsattribute wie dbClass, Benutzernamen und geheime OAuth-Attribute. Alle verwalteten Keychain-Datensätze für eine bestimmte Site werden zusammengeführt, verschlüsselt und in PostgreSQL gespeichert.

Datensätze werden auch für Arbeitsmappen und Datenquellen beibehalten, die entfernt wurden. Im Laufe der Zeit können diese Datensätze zu großen Mengen anwachsen, was Probleme verursachen kann.

Es wird empfohlen, die nicht verwendeten Keychain-Datensätze als regelmäßige Wartungsaufgabe zu löschen. Sie können die Anzahl der Datensätze und nicht verwendeten Datensätze anzeigen, die auf jeder Site gespeichert sind. Sie können auch nicht verwendete Datensätze löschen.

Um auf Löschen verwalteter Keychains zuzugreifen, melden Sie sich bei den Tableau Server-Administratorseiten an, navigieren zu der Site, auf der Sie nicht verwendete Datensätze löschen möchten, und klicken auf Einstellungen.

Einschränkungen für die verwaltete Keychain in bestimmten Szenarien

Drei Szenarien werden nicht unterstützt, wenn die verwaltete Keychain für OAuth mit Tableau Server verwendet wird:

  • Eingabeaufforderung der OAuth-Anmeldeinformationen für Live-Verbindungen. Benutzer müssen Anmeldeinformationen in Direktverbindungen mit der verwalteten Keychain für OAuth einbetten.

  • Bearbeiten der OAuth-Datenquellenverbindung in Tableau Server

  • Webdokumenterstellung

Konvertieren einer verwalteten Keychain in gespeicherte Anmeldeinformationen

Sie können die Connectoren, die eine verwaltete Keychain verwenden, so konvertieren, dass gespeicherte Anmeldeinformationen verwendet werden, indem Sie Tableau Server mit einer OAuth-Client-ID und einem geheimen Schlüssel für jeden Connector konfigurieren. Durch Konvertierung dieser Connectoren in gespeicherte Anmeldeinformationen können Benutzer ihre Anmeldeinformationen für jeden Connector-Typ in Tableau Server auf der Seite Eigene Kontoeinstellungen verwalten. Darüber hinaus werden Eingabeaufforderungen für Live-Verbindung, das Bearbeiten von Verbindungen und die Webdokumenterstellung unterstützt.

Konfigurieren von benutzerdefiniertem OAuth für eine Site

Für eine Teilmenge von Connectoren können Sie OAuth auf Site-Ebene konfigurieren, indem Sie benutzerdefinierte OAuth-Clients konfigurieren. Weitere Informationen finden Sie in einem der folgenden Themen:

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.