Configurar Azure AD para OAuth y autenticación moderna

A partir de Tableau 2021.1, los conectores Azure Synapse, Azure SQL Database, Azure Databricks y Azure Data Lake Gen2 admiten la autenticación mediante Azure AD configurando un cliente de OAuth para Tableau Server.

Nota: La compatibilidad con OAuth para Azure AD solo se admite con el controlador 17.3 de Microsoft SQLServer(El enlace se abre en una ventana nueva) y versiones posteriores.

Paso 1: Registrar el cliente OAuth para Azure

Consulte la publicación de la comunidad de Tableau, Azure Application Registration for On-Prem Server OAuth(El enlace se abre en una ventana nueva).

Paso 2: Configurar Tableau Server para Azure

La configuración de Tableau Server requiere la ejecución de un comando de TSM. Azure Data Lake Storage Gen2 requiere un conjunto diferente de comandos que el comando común que se ejecuta para Azure Synapse, Azure SQL Database o Databricks.

Configurar el cliente OAuth predeterminado para Azure Data Lake Storage Gen2

Para configurar Tableau Server para Data Lake Storage Gen2, debe contar con los siguientes parámetros de configuración:

  • ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor [your_client_id] en el primer comando de TSM a continuación.
  • Secreto de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor [your_client_secret] en el segundo comando de TSM a continuación.
  • URL de Tableau Server: esta es su URL de Tableau Server, como https://myco.com. Copie este valor [your_server_url] en el tercer comando de TSM a continuación.

Ejecute los siguientes comandos de TSM para configurar Tableau Server OAuth para Azure Data Lake Storage Gen2:

  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply
  • Si los cambios pendientes requieren un reinicio del servidor, el comando pending-changes apply mostrará un mensaje para informarle de que se producirá un reinicio. Este mensaje aparece aunque el servidor esté detenido, pero en ese caso no se reiniciará. Puede suprimir el mensaje con la opción --ignore-prompt, pero no se modificará el comportamiento de reinicio. Si los cambios no requieren un reinicio, se aplicarán sin ningún mensaje. Para obtener más información, consulte tsm pending-changes apply.

Configurar el cliente predeterminado para Azure Synapse, Azure SQL Database o Azure Databricks.

Para configurar Tableau Server, debe contar con los siguientes parámetros de configuración:

  • ID de cliente de Azure OAuth: se genera a partir del procedimiento del paso 1. Copie este valor [your_client_id] en el comando de TSM a continuación.
  • Secreto de Azure OAuthClient: se genera a partir del procedimiento del paso 1. Copie este valor [your_client_secret] en el comando de TSM a continuación.
  • La URL de Tableau Server, como https://myserver.com. Copie este valor [your_server_url] en el comando de TSM a continuación.
  • Identificación de configuración: este es el valor del parámetro oauth.config.id en el comando de TSM a continuación. Valores válidos:
    • Azure Synapse: azure_sql_dw
    • Azure SQL Database: azure_sqldb
    • Databricks: databricks

Ejecute los siguientes comandos de TSM para configurar Azure AD para Azure Synapse, Azure SQL Database o Databricks. Por ejemplo, para configurar Azure Synapse:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configuración de múltiples conectores

Si va a establecer varios conectores, debe incluirlos todos en un solo comando. Por ejemplo:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurar OAuth personalizado para un sitio

Puede configurar clientes personalizados de Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database y Databricks OAuth para un sitio.

Considere la posibilidad de configurar un cliente OAuth personalizado para 1) anular un cliente OAuth si está configurado para el servidor o 2) habilitar la compatibilidad para conectarse de forma segura a los datos que requieren clientes OAuth únicos.

Cuando se configura un cliente OAuth personalizado, la configuración a nivel de sitio tiene prioridad sobre cualquier configuración del lado del servidor y todas las nuevas credenciales de OAuth creadas utilizan el cliente OAuth a nivel de sitio de forma predeterminada. No es necesario reiniciar Tableau Server para que las configuraciones surtan efecto.

Importante: Las credenciales de OAuth existentes establecidas antes de que se configure el cliente OAuth personalizado se pueden utilizar temporalmente, pero tanto los administradores del servidor como los usuarios deben actualizar sus credenciales guardadas para ayudar a garantizar el acceso ininterrumpido a los datos.

Paso 1: Preparar el ID de cliente de OAuth, el secreto del cliente y la URL de redireccionamiento

Antes de que pueda configurar el cliente OAuth personalizado, necesita la información que se indica a continuación. Una vez preparada esta información, puede registrar el cliente OAuth personalizado para el sitio.

  • ID de cliente de OAuth y secreto de cliente: primero registre el cliente de OAuth con el proveedor de datos (conector) para recuperar el ID de cliente y el secreto generado para Tableau Server.

  • URL de redireccionamiento: tenga en cuenta la URL de redireccionamiento correcta. Lo necesitará durante el proceso de registro en el Paso 2 a continuación.

    https://<nombre_del_servidor>.com/auth/add_oauth_token

    Por ejemplo, https://myco.com/auth/add_oauth_token

Paso 2: Registrar el ID de cliente de OAuth y el secreto del cliente

Siga el procedimiento que se describe a continuación para registrar el cliente OAuth personalizado en el sitio.

  1. Inicie sesión en el sitio Tableau Server con las credenciales de administrador de su sitio y vaya a la página Configuración.

  2. En Registro de clientes OAuth, haga clic en el botón Agregar cliente OAuth.

  3. Escriba la información requerida, incluida la información del Paso 1 anterior:

    1. En Tipo de conexión, seleccione uno de los conectores cuyo cliente OAuth personalizado desee configurar:

    2. Para ID de cliente, Secreto de cliente y URL de redireccionamiento, escriba la información que preparó en el Paso 1 anterior.

    3. Haga clic en el botón Agregar cliente OAuth para completar el proceso de registro.

  4. (Opcional) Repita el paso 3 para todos los conectores compatibles.

  5. Haga clic en el botón Guardar en la parte inferior o superior de la página Configuración para guardar los cambios.

Paso 3: Validar y actualizar las credenciales guardadas

Para ayudar a garantizar el acceso ininterrumpido a los datos, usted (y los usuarios de su sitio) deben eliminar las credenciales guardadas anteriormente y agregarlas nuevamente para usar el cliente OAuth personalizado para el sitio.

  1. Vaya a la página Configuración de la cuenta.

  2. En Credenciales guardadas para fuentes de datos, haga lo siguiente:

    1. Haga clic en Eliminar junto a las credenciales guardadas existentes para el conector cuyo cliente OAuth personalizado configuró en el Paso 2 anterior.

    2. Junto al nombre del conector, haga clic en Agregar y siga las instrucciones para 1) conectarse al cliente OAuth personalizado configurado en el Paso 2 anterior y 2) guardar las últimas credenciales.

Paso 4: Notificar a los usuarios que actualicen sus credenciales guardadas

Asegúrese de notificar a los usuarios de su sitio que actualicen sus credenciales guardadas para el conector cuyo cliente OAuth personalizado configuró en el Paso 2 anterior. Los usuarios del sitio pueden utilizar el procedimiento descrito en Actualizar credenciales guardadas para actualizar sus credenciales guardadas.

¡Gracias por sus comentarios!