Configurer Azure AD pour OAuth et l’authentification moderne
Les connecteurs Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive et SharePoint Online et Listes SharePoint (JDBC) prennent en charge l’authentification via Azure AD en configurant un client OAuth pour Tableau Server.
Remarque : les jetons d’actualisation à usage unique (parfois appelés jetons d’actualisation continus ou rotation des jetons d’actualisation) ne sont pas pris en charge actuellement pour les connexions OAuth à Tableau. La prise en charge de ces jetons est prévue pour une version future.
Remarque : la prise en charge d’OAuth pour Azure AD n’est possible qu’avec le pilote Microsoft SQLServer 17.3(Le lien s’ouvre dans une nouvelle fenêtre) et ultérieur.
Étape 1 : Enregistrer le client OAuth pour Azure
Suivez les étapes ci-dessous pour enregistrer et configurer une application OAuth pour Azure sous un locataire Azure spécifique.
- Connectez-vous au Portail Azure.
- Si vous avez accès à plusieurs locataires, sélectionnez celui dans lequel vous souhaitez enregistrer une application.
- Recherchez et sélectionnez Azure Active Directory.
- Sous Gérer, sélectionnez Enregistrements d’applications, puis sélectionnez Nouvel enregistrement.
- Entrez « Tableau Server OAuth » ou une valeur similaire comme Nom.
- Dans le champ Types de comptes pris en charge de la page d’enregistrement de l’application, sélectionnez qui peut utiliser cette application.
- Dans le champ URI de redirection (facultatif), choisissez Web, puis saisissez l’adresse Internet de votre serveur suivie de la chaîne
/auth/add_oauth_token
. - Sélectionnez Enregistrer. Une fois l’enregistrement terminé, le portail Azure affiche le volet Vue d’ensemble de l’inscription de l’application, qui inclut son ID d’application (client). Également appelée ID client, cette valeur identifie de manière unique votre application dans la plate-forme d’identité Microsoft.
- Copiez la valeur. Elle sera utilisée comme champ
[your_client_id]
dans les étapes suivantes. - Sélectionnez Certificats et secrets dans la barre de gauche, puis choisissez Nouveau secret client.
- Ajoutez une description du secret.
- Sélectionnez Durée de vie du secret client.
- Choisissez Ajouter, puis copiez le secret. Le secret sera utilisé comme
[your_client_secret]
dans les étapes suivantes. - Sélectionnez Autorisations de l’API dans la barre de gauche.
- Choisissez Ajouter des autorisations.
- Sélectionnez Microsoft Graph.
- Choisissez Autorisations déléguées.
- Sous Sélectionner les autorisations, sélectionnez toutes les autorisations OpenId (email, offline_access, openid et profile).
- Choisissez Ajouter des autorisations.
- Ajoutez des autorisations supplémentaires. Suivez les étapes ci-dessous pour le(s) connecteur(s) que vous activez :
- Azure SQL Database
- Cliquez sur Ajouter une autorisation.
- Sélectionnez Mes API.
- Cliquez sur Azure SQL Database, puis sur Autorisations déléguées.
- Sélectionnez user_impersonation puis cliquez sur Ajouter des autorisations.
- OneDrive et SharePoint Online
- Cliquez sur Ajouter une autorisation.
- Sélectionnez Microsoft Graph.
- Cliquez sur Autorisations déléguées.
- Sous Sélectionner des autorisations, dans la zone de recherche de filtre, saisissez les autorisations suivantes, puis ajoutez-les :
- Files.Read.All
- Sites.Read.All
- User.Read
- Listes SharePoint (JDBC)
- Cliquez sur Ajouter une autorisation.
- Sélectionnez Microsoft Graph.
- Cliquez sur Autorisations déléguées.
- Sous Sélectionner des autorisations, dans la zone de recherche du filtre, saisissez puis ajoutez l’autorisation User.Read.
- Cliquez à nouveau sur Ajouter une autorisation.
- Sélectionnez SharePoint.
- Cliquez sur Autorisations déléguées.
- Développez la section AllSites, puis sélectionnez l’autorisation AllSites.Manage et ajoutez-la.
- Azure SQL Database
Remarque : si vous souhaitez utiliser l’ID client et le secret client de votre application pour des comptes sous un locataire différent, choisissez la deuxième option (multilocataire).
Par exemple : https://your_server_url.com/auth/add_oauth_token
Étape 2 : Configurer Tableau Server pour Azure
L’exécution d’une commande Tableau Server Manager (TSM) est requise pour configurer Tableau Server. Azure Data Lake Storage Gen2 nécessite un ensemble de commandes différent de la commande commune qui est exécutée pour Azure Synapse, Azure SQL Database ou Azure Databricks.
Configurer le client OAuth par défaut pour Azure Data Lake Storage Gen2
Pour configurer Tableau Server pour Data Lake Storage Gen2, vous devez utiliser les paramètres de configuration suivants :
- ID Client Azure OAuth : cet ID est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour
[your_client_id]
dans la première commande tsm ci-dessous. - Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour
[your_client_secret]
dans la deuxième commande tsm ci-dessous. - URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple
https://myco.com
. Copiez cette valeur pour[your_server_url]
dans la troisième commande tsm ci-dessous.
Exécutez les commandes tsm suivantes pour configurer Tableau Server OAuth pour Azure Data Lake Storage Gen2 :
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurer le client par défaut pour Azure Synapse, Azure SQL Database ou Databricks
Pour configurer Tableau Server, vous devez avoir les paramètres de configuration suivants :
- ID de client Azure OAuth : cet ID est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour
[your_client_id]
dans la commande tsm. - Secret client Azure OAuth : généré à partir de la procédure dans l’étape 1. Copiez cette valeur pour
[your_client_secret]
dans la deuxième commande tsm ci-dessous. - URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple
https://myserver.com
. Copiez cette valeur pour[your_server_url]
dans la troisième commande tsm ci-dessous. - ID de configuration : il s’agit de la valeur du paramètre
oauth.config.id
de la commande tsm qui suit. Valeurs valides :- Azure Synapse :
azure_sql_dw
- SQL Azure Database :
azure_sqldb
- Databricks :
databricks
- Azure Synapse :
Exécutez les commandes tsm suivantes pour configurer Azure AD pour Azure Synapse, Azure SQL Database ou Databricks. Par exemple, pour configurer Azure Synapse :
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurer un client OAuth par défaut pour OneDrive et SharePoint Online
Pour configurer Tableau Server pour OneDrive et SharePoint Online, vous devez utiliser les paramètres de configuration suivants :
- ID de client Azure OAuth : l’ID client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
- Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_secret] dans la deuxième commande tsm ci-dessous.
- URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [your_server_url] dans la troisième commande tsm ci-dessous.
Exécutez les commandes tsm suivantes pour configurer Tableau Server OAuth pour OneDrive et SharePoint Online :
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurer un client OAuth par défaut pour les listes SharePoint (JDBC)
Pour configurer Tableau Server pour des listes SharePoint (JDBC), vous devez utiliser les paramètres de configuration suivants :
- ID de client Azure OAuth : l’ID client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
- Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [votre_secret_client] dans la première commande tsm ci-dessous.
- URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [votre_url_serveur] dans la première commande tsm ci-dessous.
Exécutez les commandes tsm suivantes pour configurer Tableau Server OAuth pour les listes SharePoint (JDBC) :
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurer un client OAuth par défaut pour OneDrive (obsolète)
Pour configurer Tableau Server pour OneDrive (obsolète) vous devez utiliser les paramètres de configuration suivants :
- ID de client Azure OAuth : l’ID client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_id] dans la première commande tsm ci-dessous.
- Secret client Azure OAuth : le secret client est généré à partir de la procédure décrite dans l’étape 1. Copiez cette valeur pour [your_client_secret] dans la deuxième commande tsm ci-dessous.
- URL de Tableau Server : il s’agit de votre URL Tableau Server, par exemple https://myco.com. Copiez cette valeur pour [your_server_url] dans la troisième commande tsm ci-dessous.
Pour continuer à exécuter les commandes tsm suivantes pour configurer Tableau Server OAuth pour OneDrive (obsolète) :
tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Scénarios de redémarrage du serveur
Après la configuration d’un client OAuth par défaut, les scénarios suivants peuvent se produire.
- Une invite de redémarrage s’affiche si les modifications en attente nécessitent un redémarrage du serveur.
- Vous pouvez supprimer l’invite à l’aide de l’option
--ignore-prompt
, mais cela n’arrêtera pas le de redémarrage. - Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Configuration de plusieurs connecteurs
Si vous avez plusieurs connecteurs à configurer, vous devez tous les inclure dans une seule commande. Par exemple :
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurer OAuth personnalisé pour un site
Vous pouvez configurer des clients Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks OAuth, OneDrive et Sharepoint en ligne, et les listes Sharepoint (JDBC) pour un site.
Envisagez de configurer un client OAuth personnalisé pour 1) remplacer un client OAuth s’il est configuré pour le serveur ou 2) activer la prise en charge de la connexion sécurisée aux données qui nécessitent des clients OAuth uniques.
Lorsqu’un client OAuth personnalisé est configuré, la configuration au niveau du site est prioritaire sur toute configuration côté serveur et toutes les nouvelles informations d’identification OAuth créées utilisent le client OAuth au niveau du site par défaut. Aucun redémarrage de Tableau Server n’est requis pour que les configurations prennent effet.
Important : les informations d’identification OAuth existantes établies avant la configuration du client OAuth personnalisé sont utilisables temporairement, mais les administrateurs de serveur et les utilisateurs doivent mettre à jour leurs informations d’identification enregistrées pour garantir un accès ininterrompu aux données.
1 : Préparer l’ID client , le secret client et l’URL de redirection OAuth
Avant de pouvoir configurer le client OAuth personnalisé, vous avez besoin des informations répertoriées ci-dessous. Une fois ces informations préparées, vous pouvez enregistrer le client OAuth personnalisé pour le site.
ID client OAuth et secret client : enregistrez d’abord le client OAuth auprès du fournisseur de données (connecteur) pour récupérer l’ID client et le secret générés pour Tableau Server.
URL de redirection : notez l’URL de redirection correcte. Vous en aurez besoin pendant le processus d’inscription à l’Étape 2 ci-dessous.
https://<your_server_name> .com/auth/add_oauth_token
Par exemple, https://example.com/auth/add_oauth_token
2 : Enregistrer l’ID client et le secret client OAuth
Suivez la procédure décrite ci-dessous pour enregistrer le client OAuth personnalisé sur le site.
Connectez-vous à votre site Tableau Serveur à l’aide de vos informations d’identification d’administrateur de et accédez à la page Paramètres.
Sous Registre des clients OAuth, cliquez sur le bouton Ajouter un client OAuth.
Saisissez les informations requises, y compris les informations de l’Étape 1 ci-dessus :
Dans Type de connexion, sélectionnez le connecteur dont vous souhaitez configurer le client OAuth personnalisé.
Vous devez indiquer l’URL de l’instance OAuth si plusieurs clients OAuth sont enregistrés (facultatif, si ce n’est pas le cas).
Pour l’ID client , le Secret client et l’URL de redirection, saisissez les informations que vous avez préparées à l’Étape 1 ci-dessus.
Cliquez sur le bouton Ajouter un client OAuth pour terminer le processus d’enregistrement.
(Facultatif) Répétez l’Étape 3 pour tous les connecteurs pris en charge.
- Cliquez sur le bouton Enregistrer en bas ou en haut de la page Paramètres pour enregistrer les modifications.
3 : Valider et mettre à jour les informations d’identification enregistrées
Pour garantir un accès ininterrompu aux données, vous (et les utilisateurs de votre site) devez supprimer les informations d’identification enregistrées précédemment et les ajouter à nouveau pour utiliser le client OAuth personnalisé pour le site.
Accédez à votre page Paramètres de Mon compte.
Sous Informations d’identification enregistrées pour les sources de données, procédez comme suit :
Cliquez sur Supprimer en regard des informations d’identification enregistrées existantes pour le connecteur dont vous avez configuré le client OAuth personnalisé à l’Étape 2 ci-dessus.
À côté du nom du connecteur, cliquez sur Ajouter et suivez les invites pour 1) vous connecter au client OAuth personnalisé configuré à l’Étape 2 ci-dessus et 2) enregistrer les informations d’identification les plus récentes.
4 : Informer les utilisateurs de mettre à jour leurs informations d’identification enregistrées
Veillez à demander aux utilisateurs de votre site de mettre à jour leurs informations d’identification enregistrées pour le connecteur dont vous avez configuré le client OAuth personnalisé à l’Étape 2 ci-dessus. Les utilisateurs du site peuvent utiliser la procédure décrite dans Mettre à jour les informations d’identification enregistrées pour mettre à jour leurs informations d’identification enregistrées.
Proxy de transfert pour l’authentification OAuth
Pour plus d’informations sur la configuration d’un proxy de transfert avec authentification OAuth pour Tableau Server (Windows uniquement), consultez Configurer un proxy de transfert pour l’authentification OAuth(Le lien s’ouvre dans une nouvelle fenêtre) dans l’aide de Tableau.