Tableau Server supporta OAuth per numerosi connettori diversi. In molti casi, la funzionalità OAuth non richiede una configurazione aggiuntiva in Tableau Server.

Da Tableau, una volta eseguito l'accesso ai dati con un connettore che utilizza OAuth, gli utenti verranno reindirizzati alla pagina di accesso del provider di autenticazione. Dopo aver fornito le credenziali e aver autorizzato l'accesso ai dati da parte di Tableau, il provider di autenticazione invia a Tableau un token di accesso che identifica in modo univoco Tableau e gli utenti. Questo token di accesso viene utilizzato per accedere ai dati per conto degli utenti. Per maggiori informazioni, consulta Panoramica del processo OAuth di seguito.

L'utilizzo delle connessioni basate su OAuth offre i seguenti vantaggi:

  • Sicurezza: le credenziali del database non sono mai note o archiviate in Tableau Server e il token di accesso può essere utilizzato solo da Tableau per conto degli utenti.

  • Comodità: anziché incorporare l'ID della tua origine dati e la password in più posizioni, puoi utilizzare il token fornito per un provider di dati specifico per tutte le cartelle di lavoro pubblicate e le origini dati che accedono al provider di dati.

    Inoltre, per le connessioni live ai dati di Google BigQuery, ogni viewer delle cartelle di lavoro può disporre di un token di accesso univoco che identifica l'utente, anziché condividere una singola credenziale basata su nome utente e password.

Panoramica del processo OAuth

Nei passaggi seguenti viene descritto un flusso di lavoro nell'ambiente introduttivo che chiama il processo OAuth.

  1. Un utente esegue un'azione che richiede l'accesso a un'origine dati basata sul cloud.

    Apri ad esempio una cartella di lavoro pubblicata in Tableau Server.

  2. Tableau indirizza l'utente alla pagina di accesso del provider di dati cloud. Le informazioni inviate al provider di dati identificano Tableau come sito richiedente.

  3. Quando l'utente effettua l'accesso ai dati, il provider chiede conferma per concedere a Tableau Server l'autorizzazione ad accedere ai dati.

  4. Dopo aver ricevuto la conferma da parte dell'utente, il provider di dati invia un token di accesso a Tableau Server.

  5. Tableau Server presenta all'utente la cartella di lavoro e i dati.

    Panoramica dell'autenticazione OAuth

I seguenti flussi di lavoro utente possono utilizzare il processo OAuth:

  • Creazione di una cartella di lavoro e connessione all'origine dati da Tableau Desktop o da Tableau Server.

  • Pubblicazione di un'origine dati da Tableau Desktop.

  • Accesso a Tableau Server da un client approvato, ad esempio Tableau Mobile o Tableau Desktop.

Connettori con credenziali salvate predefinite

Le credenziali salvate si riferiscono alla funzionalità che consente a Tableau Server di archiviare i token utente per le connessioni OAuth. Ciò permette agli utenti di salvare le credenziali OAuth nel proprio profilo utente in Tableau Server. Dopo aver salvato le credenziali, queste non verranno richieste successivamente durante l'accesso al connettore al momento della pubblicazione, della modifica o dell'aggiornamento.

I connettori seguenti utilizzano le credenziali salvate per impostazione predefinita e non richiedono una configurazione aggiuntiva in Tableau Server.

I seguenti connettori possono utilizzare le credenziali salvate con una configurazione aggiuntiva da parte dell'amministratore del server.

Tutti i connettori supportati sono elencati in Credenziali salvate per le origini dati nella pagina Impostazioni account degli utenti in Tableau Server. Gli utenti gestiscono le credenziali salvate per ogni connettore.

Token di accesso per le connessioni dati

Puoi incorporare credenziali in base ai token di accesso con connessioni dati, per consentire l'accesso diretto dopo il processo di autenticazione iniziale. Un token di accesso è valido finché un utente Tableau Server lo elimina o il provider di dati lo revoca.

È possibile superare il numero di token di accesso consentiti dal provider di origine dati. In tal caso, quando un utente crea un nuovo token, il provider di dati utilizza il periodo di tempo trascorso dall'ultimo accesso per stabilire il token da invalidare per fare spazio a quello nuovo.

Token di accesso per l'autenticazione dai client approvati

Per impostazione predefinita, Tableau Server consente agli utenti di accedere ai siti direttamente dai client Tableau approvati, dopo che gli utenti forniscono le proprie credenziali al primo accesso. Questo tipo di autenticazione utilizza inoltre i token di accesso OAuth per archiviare in modo sicuro le credenziali degli utenti.

Per maggiori informazioni, consulta Disattivare l'autenticazione automatica del client.

Connettori con keychain gestiti predefiniti

Per keychain gestito si intende la funzionalità per cui i token OAuth sono generati per Tableau Server dal provider e condivisi da tutti gli utenti nello stesso sito. Quando un utente esegue per la prima volta la pubblicazione di un'origine dati, Tableau Server richiede all'utente le credenziali dell'origine dati. Tableau Server invia le credenziali al provider dell'origine dati, che restituisce i token OAuth che Tableau Server deve utilizzare per conto dell'utente. Nelle operazioni di pubblicazione successive, viene utilizzato il token OAuth archiviato da Tableau Server per la stessa classe e lo stesso nome utente, in modo che all'utente non vengano richieste le credenziali OAuth. Se la password dell'origine dati viene modificata, questo processo viene ripetuto e il token precedente viene sostituito da un nuovo token in Tableau Server.

Non è necessaria una configurazione OAuth aggiuntiva in Tableau Server per i connettori con keychain gestiti predefiniti:

  • Google Analytics, Google BigQuery e Fogli Google

  • Salesforce

Limite e archiviazione dei token

Google ha un limite di 50 token per utente per ogni applicazione client (in questo scenario, Tableau Server è l'applicazione client). Poiché il token OAuth viene archiviato in Tableau Server e riutilizzato dall'utente, è improbabile che l'utente superi il limite di token.

Tutti i token utente vengono crittografati mentre sono inattivi quando vengono archiviati in Tableau Server. Per maggiori informazioni, consulta Gestire i segreti del server.

Rimozione dei record di keychain inutilizzati

Un record di keychain gestito contiene attributi di connessione come dbClass, il nome utente e gli attributi dei segreti OAuth. Tutti i record di keychain gestiti per un determinato sito vengono uniti, crittografati e archiviati in PostgreSQL.

I record vengono mantenuti anche per le cartelle di lavoro e le origini dati che sono state rimosse. Nel corso del tempo, questi record possono aumentare di dimensioni, causando problemi.

È consigliabile eliminare regolarmente i record di keychain inutilizzati come attività di manutenzione periodica. Puoi visualizzare il numero di record e di record inutilizzati archiviati in ogni sito. Puoi anche eliminare i record inutilizzati.

Per accedere a Pulizia keychain gestiti, accedi alle pagine di amministrazione di Tableau Server, passa al sito in cui desideri eliminare i record inutilizzati e fai clic su Impostazioni.

Limitazioni degli scenari con keychain gestito

Quando si utilizza OAuth con Tableau Server, tre scenari non sono supportati:

  • Richiesta di credenziali OAuth su connessioni live. Gli utenti devono incorporare le credenziali nelle connessioni live in caso di utilizzo di OAuth con keychain gestito.

  • Modifica della connessione all'origine dati OAuth in Tableau Server

  • Web authoring

Convertire il keychain gestito in credenziali salvate

Puoi convertire i connettori che usano il keychain gestito in modo da utilizzare credenziali salvate configurando Tableau Server con un ID client e un segreto OAuth per ogni connettore. Convertendo questi connettori in credenziali salvate, gli utenti saranno in grado di gestire le proprie credenziali per ogni tipo di connettore nella pagina Impostazioni account in Tableau Server. Sono inoltre supportati le richieste di connessione live, la modifica delle connessioni e il Web authoring.

Configurare OAuth personalizzato per un sito

Per un sottoinsieme di connettori, puoi configurare OAuth a livello di sito configurando client OAuth personalizzati. Per maggiori informazioni, consulta uno dei seguenti argomenti:

Grazie per il tuo feedback.