Configurare Azure AD per OAuth e l’autenticazione moderna


I connettori Azure Synapse, Database SQL di Azure, Azure Databricks, Azure Data Lake Gen2, OneDrive e SharePoint Online, nonché Elenchi di SharePoint (JDBC) supportano l’autenticazione tramite Azure AD configurando un client OAuth per Tableau Server.

Nota: OAuth per Azure AD è supportato solo con il driver Microsoft SQL Server 17.3(Il collegamento viene aperto in una nuova finestra) e versioni successive.

Passaggio 1. Registrare il client OAuth per Azure

Procedi come segue per registrare e configurare un’applicazione OAuth per Azure in un tenant di Azure specifico.

  1. Accedi al portale di Azure.
  2. Se disponi dell’accesso a più tenant, seleziona quello in cui vuoi registrare un’applicazione.
  3. Cerca e seleziona Azure Active Directory.
  4. In Gestisci seleziona Registrazioni app, quindi Nuova registrazione.
  5. Inserisci "OAuth Tableau Server" o un valore simile per Nome.
  6. Sotto il campo Tipi di account supportati nella pagina di registrazione dell’app seleziona chi può utilizzare questa applicazione.

    7. Nota: se desideri utilizzare l’ID client e il segreto client della tua applicazione per account in tenant diversi, scegli la seconda opzione (Multi-tenant).

  7. Nel campo URI di reindirizzamento (facoltativo) scegli Web, quindi immetti l’indirizzo Internet del tuo server e aggiungi la stringa /auth/add_oauth_token alla fine.

    8. Ad esempio: https://your_server_url.com/auth/add_oauth_token

  8. Seleziona Registra. Al termine della registrazione, nel portale di Azure viene visualizzato il riquadro Panoramica della registrazione dell’app, che include l’ID applicazione (client). Anche denominato ID client, questo valore identifica in modo univoco l’applicazione nella piattaforma di identità Microsoft.
  9. Copia il valore: verrà utilizzato come campo [your_client_id] nelle fasi seguenti.
  10. Seleziona Certificati e segreti sulla barra di sinistra, quindi scegli Nuovo segreto client.
  11. Aggiungi una descrizione del segreto.
  12. Seleziona Durata del segreto client.
  13. Scegli Aggiungi, quindi copia il segreto. Il segreto verrà utilizzato come [your_client_secret] nelle fasi seguenti.
  14. Seleziona Autorizzazioni API sulla barra di sinistra.
  15. Scegli Aggiungi autorizzazioni.
  16. Seleziona Microsoft Graph.
  17. Scegli Autorizzazioni delegate.
  18. In Selezionare le autorizzazioni seleziona tutte le autorizzazioni OpenId (email, offline_access, openid e profile).
  19. Scegli Aggiungi autorizzazioni.
  20. Aggiungi ulteriori autorizzazioni. Procedi come segue per uno o più connettori che intendi abilitare:
    • Database SQL di Azure
      1. Fai clic su Aggiungi un’autorizzazione.
      2. Seleziona Le mie API.
      3. Fai clic su Database SQL di Azure, quindi su Autorizzazioni delegate.
      4. Seleziona user_impersonation, quindi fai clic su Aggiungi autorizzazioni.
    • OneDrive e SharePoint Online
      1. Fai clic su Aggiungi un’autorizzazione.
      2. Seleziona Microsoft Graph.
      3. Fai clic su Autorizzazioni delegate.
      4. In Selezionare le autorizzazioni immetti e quindi aggiungi le seguenti autorizzazioni nella casella di ricerca del filtro:
      • Files.Read.All
      • Sites.Read.All
      • User.Read
    • Elenchi di SharePoint (JDBC)
      1. Fai clic su Aggiungi un’autorizzazione.
      2. Seleziona Microsoft Graph.
      3. Fai clic su Autorizzazioni delegate.
      4. In Selezionare le autorizzazioni immetti e quindi aggiungi l’autorizzazione User.Read nella casella di ricerca del filtro:
      5. Fai di nuovo clic su Aggiungi un’autorizzazione.
      6. Seleziona SharePoint.
      7. Fai clic su Autorizzazioni delegate.
      8. Espandi la sezione AllSites e quindi seleziona e aggiungi l’autorizzazione AllSites.Manage.

Passaggio 2. Configurare Tableau Server per Azure

La configurazione di Tableau Server richiede l’esecuzione di un comando TSM (Tableau Server Manager). Azure Data Lake Storage Gen2 richiede un insieme di comandi diverso da quello comunemente eseguito per Azure Synapse, Database SQL di Azure o Databricks.

Configurare il client OAuth predefinito per Azure Data Lake Storage Gen2

Per configurare Tableau Server per Data Lake Storage Gen2, è necessario disporre dei seguenti parametri di configurazione:

  • ID client OAuth di Azure: l’ID client viene generato dalla procedura nel passaggio 1. Copia questo valore per [your_client_id] nel primo comando tsm.
  • Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
  • URL di Tableau Server: immetti l’URL di Tableau Server, ad esempio https://myco.com. Copia questo valore per [your_server_url] nel terzo comando tsm.

Esegui questi comandi tsm per configurare OAuth di Tableau Server per Azure Data Lake Storage Gen2:

  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Configurare il client predefinito per Azure Synapse, Database SQL di Azure o Databricks

Per configurare Tableau Server, è necessario disporre dei seguenti parametri di configurazione:

  • ID client OAuth di Azure: generato dalla procedura nella fase 1. Copia questo valore per [your_client_id] nel comando tsm.
  • Segreto OAuthClient di Azure: generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
  • URL di Tableau Server: l’URL di Tableau Server, ad esempio https://myserver.com. Copia questo valore per [your_server_url] nel terzo comando tsm.
  • ID configurazione: il valore per il parametro oauth.config.id nel comando tsm riportato di seguito. Valori validi:
    • Azure Synapse: azure_sql_dw
    • Database SQL di Azure: azure_sqldb
    • Databricks: databricks

Esegui questi comandi tsm per configurare Azure AD per Azure Synapse, Database SQL di Azure o Databricks. Ad esempio, per configurare Azure Synapse:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurare un client OAuth predefinito per OneDrive e SharePoint Online

Per configurare Tableau Server per OneDrive e SharePoint Online, è necessario disporre dei seguenti parametri di configurazione:

  • ID client OAuth di Azure: l’ID client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_id] nel primo comando tsm.
  • Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
  • URL di Tableau Server: l’URL di Tableau Server, ad esempio https://myco.com. Copia questo valore per [your_server_url] nel terzo comando tsm.

Esegui questi comandi tsm per configurare OAuth di Tableau Server per OneDrive e SharePoint Online:

  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Configurare un client OAuth predefinito per OneDrive (deprecato)

Per configurare Tableau Server per OneDrive (deprecato), è necessario disporre dei seguenti parametri di configurazione:

  • ID client OAuth di Azure: l’ID client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_id] nel primo comando tsm.
  • Segreto client OAuth di Azure: il segreto client viene generato dalla procedura nella fase 1. Copia questo valore per [your_client_secret] nel secondo comando tsm.
  • URL di Tableau Server: l’URL di Tableau Server, ad esempio https://myco.com. Copia questo valore per [your_server_url] nel terzo comando tsm.

Per continuare, esegui i seguenti comandi tsm per configurare OAuth di Tableau Server per OneDrive (deprecato):

  • tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Scenari di riavvio del server

Dopo aver configurato un client OAuth predefinito, possono verificarsi gli scenari seguenti.

  • Viene visualizzata una richiesta di riavvio se le modifiche in sospeso richiedono il riavvio del server.
  • Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non interrompe il riavvio.
  • Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Impostazione di più connettori

Se è necessario impostare più connettori, devi includerli tutti in un unico comando. Ad esempio:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Configurare OAuth personalizzato per un sito

Puoi configurare client OAuth personalizzati Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database e Databricks per un sito.

Valuta la possibilità di configurare un client OAuth personalizzato per 1) sostituire un client OAuth configurato per il server o 2) abilitare il supporto per la connessione sicura ai dati che richiedono client OAuth univoci.

Quando viene configurato un client OAuth personalizzato, la configurazione a livello di sito ha la precedenza su qualsiasi configurazione lato server e tutte le nuove credenziali OAuth create utilizzano il client OAuth a livello di sito per impostazione predefinita. Non è necessario riavviare Tableau Server per rendere effettive le configurazioni.

Importante: le credenziali OAuth esistenti stabilite prima della configurazione del client OAuth personalizzato sono utilizzabili temporaneamente, ma sia gli amministratori del server che gli utenti devono aggiornare le credenziali salvate per garantire un accesso senza interruzioni ai dati.

Fase 1. Preparare l’ID client OAuth, il segreto client e l’URL di reindirizzamento

Prima di poter configurare il client OAuth personalizzato, sono necessarie le informazioni elencate di seguito. Dopo aver preparato queste informazioni, puoi registrare il client OAuth personalizzato per il sito.

  • ID client OAuth e segreto client: registra innanzitutto il client OAuth con il provider di dati (connettore) per recuperare l’ID client e il segreto generati per Tableau Server.

  • URL di reindirizzamento: annota l’URL di reindirizzamento corretto. Sarà necessario durante il processo di registrazione nella fase 2 di seguito.

    https://<nome_del_server>.com/auth/add_oauth_token

    Ad esempio, https://example.com/auth/add_oauth_token

Fase 2. Registrare l’ID client OAuth e il segreto client

Segui la procedura descritta di seguito per registrare il client OAuth personalizzato nel sito.

  1. Accedi al sito Tableau Server utilizzando le credenziali di amministratore e passa alla pagina Impostazioni.

  2. In Registro client OAuth fai clic sul pulsante Aggiungi client OAuth.

  3. Inserisci le informazioni richieste, comprese le informazioni della fase 1 precedente:

    1. Per Tipo di connessione, seleziona il connettore per cui desideri configurare il client OAuth personalizzato.

    2. Per ID client, Segreto client e URL di reindirizzamento, inserisci le informazioni che hai preparato nella fase 1 precedente.

    3. Fai clic sul pulsante Aggiungi client OAuth per completare il processo di registrazione.

  4. (Facoltativo) Ripeti la fase 3 per tutti i connettori supportati.

  5. Fai clic sul pulsante Salva nella parte inferiore o superiore della pagina Impostazioni per salvare le modifiche.

Fase 3. Convalidare e aggiornare le credenziali salvate

Per garantire un accesso senza interruzioni ai dati, tu (e gli utenti del sito) dovete eliminare le credenziali salvate in precedenza e aggiungerle di nuovo per utilizzare il client OAuth personalizzato per il sito.

  1. Passa alla pagina Impostazioni account.

  2. In Credenziali salvate per le origini dati procedi come segue:

    1. Fai clic su Elimina accanto alle credenziali salvate esistenti per il connettore di cui hai configurato il client OAuth personalizzato nella fase 2 precedente.

    2. Accanto al nome del connettore, fai clic su Aggiungi e segui le istruzioni per 1) connetterti al client OAuth personalizzato configurato nella fase 2 precedente e 2) salvare le credenziali più recenti.

Fase 4. Richiedere agli utenti di aggiornare le credenziali salvate

Assicurati di richiedere agli utenti del sito di aggiornare le credenziali salvate per il connettore di cui hai configurato il client OAuth personalizzato nella fase 2 precedente. Gli utenti del sito possono utilizzare la procedura descritta in Aggiornare le credenziali salvate per aggiornare le credenziali salvate.

Proxy di inoltro per l’autenticazione OAuth

Per maggiori informazioni sulla configurazione di un proxy di inoltro con l’autenticazione OAuth per Tableau Server (solo Windows), consulta Configurare un proxy di inoltro per l’autenticazione OAuth(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau.

Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!