Azure AD configureren voor OAuth en Modern Authentication

De connectors van Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive en SharePoint Online en SharePoint Lists (JDBC) ondersteunen verificatie via Azure AD door een OAuth-client voor Tableau Server te configureren.

Opmerking: Vernieuwingstokens voor eenmalig gebruik (soms ook wel rolling vernieuwingstokens of rotatie van vernieuwingstokens genoemd) worden op dit moment niet ondersteund voor OAuth-verbindingen met Tableau. Ondersteuning voor deze tokens staat gepland voor een toekomstige release.

Opmerking: OAuth-ondersteuning voor Azure AD wordt alleen ondersteund met Microsoft SQLServer-stuurprogramma 17.3(Link wordt in een nieuw venster geopend) en later.

Stap 1: Registreer een OAuth-client voor Azure

Volg de onderstaande stappen om een OAuth-toepassing voor Azure te registreren en te configureren onder een specifieke Azure-tenant.

  1. Meld u aan bij de Azure-portal.
  2. Als u toegang hebt tot meerdere tenants, selecteert u de tenant waarin u een toepassing wilt registreren.
  3. Zoek en selecteer Azure Active Directory.
  4. Selecteer onder Beheren de optie App-registraties en selecteer vervolgens Nieuwe registratie.
  5. Voer 'Tableau Server OAuth' of een vergelijkbare waarde in als de Naam.
  6. Selecteer onder het veld Ondersteunde accounttypen op de app-registratiepagina wie deze toepassing kan gebruiken.
  7. Opmerking: als u de client-ID en het clientgeheim van uw toepassing wilt gebruiken voor accounts onder een andere tenant, kiest u de tweede optie (Multitenant).

  8. Kies onder het veld Omleiding-URI (optioneel) de optie Weben voer vervolgens het internetadres van uw server in, aangevuld met de tekenreeks /auth/add_oauth_token.
  9. Bijvoorbeeld: https://your_server_url.com/auth/add_oauth_token

  10. Selecteer Registreren. Nadat de registratie is voltooid, geeft de Azure-portal het overzichtsvenster van de appregistratie weer met daarin de toepassings-ID (client). Deze waarde, ook wel client-ID genoemd, identificeert uw toepassing op unieke wijze in het Microsoft Identity-platform.
  11. Kopieer de waarde. Deze wordt gebruikt als het veld [your_client_id] in de volgende stappen.
  12. Selecteer Certificaten en geheimen in de linkerbalk en kies vervolgens Nieuw clientgeheim.
  13. Voeg een beschrijving van het geheim toe.
  14. Selecteer Levensduur van het clientgeheim.
  15. Kies Toevoegen en kopieer vervolgens het geheim. Het geheim wordt in de volgende stappen gebruikt als [your_client_secret].
  16. Selecteer API-machtigingen op de linkerbalk.
  17. Kies Machtigingen toevoegen.
  18. Selecteer Microsoft Graph.
  19. Kies Gedelegeerde machtigingen.
  20. Selecteer onder Machtigingen selecteren alle OpenId-machtigingen (e-mail, offline_access, openid en profile).
  21. Kies Machtigingen toevoegen.
  22. Voeg extra machtigingen toe. Volg de onderstaande stappen voor de connector(s) die u inschakelt:
    • Azure SQL-database
      1. Klik op Een machtiging toevoegen.
      2. Selecteer Mijn API's.
      3. Klik op Azure SQL-database en vervolgens op Gedelegeerde machtigingen.
      4. Selecteer user_impersonation en klik vervolgens op Machtigingen toevoegen.
    • OneDrive en SharePoint Online
      1. Klik op Een machtiging toevoegen.
      2. Selecteer Microsoft Graph.
      3. Klik op Gedelegeerde machtigingen.
      4. Voer onder Machtigingen selecteren in het filterzoekvak de volgende machtigingen in en voeg deze toe:
      • Files.Read.All
      • Sites.Read.All
      • User.Read
    • SharePoint-lijsten (JDBC)
      1. Klik op Een machtiging toevoegen.
      2. Selecteer Microsoft Graph.
      3. Klik op Gedelegeerde machtigingen.
      4. Voer onder Machtigingen selecteren in het filterzoekvak de machtiging User.Read in en voeg deze toe.
      5. Klik opnieuw op Machtiging toevoegen.
      6. Selecteer SharePoint.
      7. Klik op Gedelegeerde machtigingen.
      8. Vouw de sectie AllSites uit, en selecteer vervolgens de machtiging AllSites.Manage en voeg deze toe.

Stap 2: Configureer Tableau Server voor Azure

Voor het configureren van Tableau Server is het uitvoeren van een Tableau Server Manager-opdracht (TSM) vereist. Voor Azure Data Lake Storage Gen2 is een andere set opdrachten vereist dan de algemene opdracht die wordt uitgevoerd voor Azure Synapse, Azure SQL Database of Databricks.

De standaard OAuth-client voor Azure Data Lake Storage Gen2 configureren

Als u Tableau Server voor Data Lake Storage Gen2 wilt configureren, hebt u de volgende configuratieparameters nodig:

  • Azure OAuth-client-ID: de client-ID wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [your_client_id] in de eerste TSM-opdracht.
  • Azure OAuth-clientgeheim: het clientgeheim wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [your_client_secret] in de tweede TSM-opdracht.
  • URL van Tableau Server: voer uw Tableau Server-URL in, zoals https://myco.com. Kopieer deze waarde voor [your_server_url] in de derde TSM-opdracht.

Voer de volgende TSM-opdrachten uit om Tableau Server OAuth te configureren voor Azure Data Lake Storage Gen2:

  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

De standaardclient voor Azure Synapse, Azure SQL Database of Databricks configureren

Als u Tableau Server wilt configureren, hebt u de volgende configuratieparameters nodig:

  • Azure OAuth-client-ID: gegenereerd op basis van de procedure in stap 1. Kopieer deze waarde voor [your_client_id] in de TSM-opdracht.
  • Azure OAuthClient-geheim: gegenereerd op basis van de procedure in stap 1. Kopieer deze waarde voor [your_client_secret] in de tweede TSM-opdracht.
  • Tableau-server-URL: dit is uw Tableau Server-URL, zoals https://myserver.com. Kopieer deze waarde voor [your_server_url] in de derde TSM-opdracht.
  • Configuratie-ID: de waarde voor de parameter oauth.config.id in de volgende TSM-opdracht. Geldige waarden:
    • Azure Synapse: azure_sql_dw
    • Azure SQL-Database: azure_sqldb
    • Databricks: databricks

Voer de volgende TSM-opdrachten uit om Azure AD te configureren voor Azure Synapse, Azure SQL Database of Databricks. Bijvoorbeeld Azure Synapse instellen:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Een standaard OAuth-client voor OneDrive en SharePoint Online configureren

Als u Tableau Server voor OneDrive en SharePoint Online wilt configureren, hebt u de volgende configuratieparameters nodig:

  • Azure OAuth-client-ID: de client-ID wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [uw_client_id] in de eerste TSM-opdracht.
  • Azure OAuth-clientgeheim: het clientgeheim wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [your_client_secret] in de tweede TSM-opdracht.
  • Tableau-server-URL: dit is uw Tableau Server-URL, zoals https://myco.com. Kopieer deze waarde voor [your_server_url] in de derde TSM-opdracht.

Voer de volgende TSM-opdrachten uit om Tableau Server OAuth te configureren voor OneDrive en SharePoint Online:

  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Een standaard OAuth-client voor SharePoint-lijsten (JDBC) configureren

Als u Tableau Server voor SharePoint-lijsten (JDBC) wilt configureren, hebt u de volgende configuratieparameters nodig:

  • Azure OAuth-client-ID: de client-ID wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [uw_client_id] in de eerste TSM-opdracht.
  • Azure OAuth-clientgeheim: het clientgeheim wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [your_client_secret] in de eerste TSM-opdracht.
  • Tableau-server-URL: dit is uw Tableau Server-URL, zoals https://myco.com. Kopieer deze waarde voor [your_server_url] in de eerste TSM-opdracht.

Voer de volgende TSM-opdrachten uit om Tableau Server OAuth SharePoint Lists (JDBC) te configureren:

  • tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
  • tsm pending-changes apply

Een standaard OAuth-client voor OneDrive (verouderd) configureren

Als u Tableau Server voor OneDrive (verouderd) wilt configureren, hebt u de volgende configuratieparameters nodig:

  • Azure OAuth-client-ID: de client-ID wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [uw_client_id] in de eerste TSM-opdracht.
  • Azure OAuth-clientgeheim: het clientgeheim wordt gegenereerd via de procedure in stap 1. Kopieer deze waarde voor [your_client_secret] in de tweede TSM-opdracht.
  • Tableau-server-URL: dit is uw Tableau Server-URL, zoals https://myco.com. Kopieer deze waarde voor [your_server_url] in de derde TSM-opdracht.

Ga verder door de volgende TSM-opdrachten uit te voeren om Tableau Server OAuth voor OneDrive te configureren (verouderd):

  • tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
  • tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
  • tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
  • tsm pending-changes apply

Scenario's om de server opnieuw op te starten

Nadat u een standaard OAuth-client hebt geconfigureerd, kunnen de volgende scenario's optreden.

  • Er verschijnt een herstartprompt als de lopende wijzigingen een herstart van de server vereisen.
  • U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan de herstart.
  • Als de wijzigingen geen herstart vereisen, worden de wijzigingen zonder prompt toegepast. Zie tsm pending-changes-apply voor meer informatie.

Meerdere connectors instellen

Als u meerdere connectors moet instellen, moet u ze allemaal in één opdracht opnemen. Bijvoorbeeld:

tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys

tsm pending-changes apply

Aangepaste OAuth configureren voor een site

U kunt aangepaste Azure Data Lake Storage Gen2-, Azure Synapse-, Azure SQL Database-, Databricks OAuth-, OneDrive- en SharePoint Online-, en Sharepoint Lists (JDBC)-clients configureren voor een site.

U kunt een aangepaste OAuth-client configureren om 1) een OAuth-client te overschrijven, als deze voor de server is geconfigureerd, of 2) ondersteuning te bieden voor een veilige verbinding met data waarvoor unieke OAuth-clients nodig zijn.

Wanneer een aangepaste OAuth-client is geconfigureerd, heeft de configuratie op siteniveau voorrang op eventuele configuraties aan de serverzijde en maken alle nieuwe OAuth-referenties standaard gebruik van de OAuth-client op siteniveau. U hoeft Tableau Server niet opnieuw op te starten om de configuraties van kracht te laten worden.

Belangrijk: Bestaande OAuth-referenties die zijn ingesteld voordat de aangepaste OAuth-client is geconfigureerd, zijn tijdelijk bruikbaar, maar zowel serverbeheerders als gebruikers moeten hun opgeslagen referenties bijwerken om ononderbroken toegang tot gegevens te garanderen.

1: Bereid de OAuth-client-ID, het clientgeheim en de omleiding-URL voor

Voordat u de aangepaste OAuth-client kunt configureren, hebt u de onderstaande informatie nodig. Nadat u deze informatie hebt voorbereid, kunt u de aangepaste OAuth-client voor de site registreren.

  • OAuth-client-ID en clientgeheim: Registreer eerst de OAuth-client bij de dataprovider (connector) om de client-ID en het geheim op te halen die voor Tableau Server zijn gegenereerd.

  • Omleiding-URL: Let op de juiste omleiding-URL. U hebt dit nodig tijdens het registratieproces in Stap 2 hieronder.

    https://<uw_servernaam>.com/auth/add_oauth_token

    Bijvoorbeeld: https://example.com/auth/add_oauth_token

2: Registreer de OAuth-client-ID en het clientgeheim

Voer de hieronder beschreven procedure uit om de aangepaste OAuth-client op de site te registreren.

  1. Meld u aan bij uw Tableau Server-site met uw beheerdersreferenties en navigeer naar de pagina Instellingen.

  2. Ga naar Register OAuth-clients en klik op de knop OAuth-client toevoegen.

  3. Vul de vereiste informatie in, inclusief de informatie van Stap 1 hierboven:

    1. Bij Verbindingstype selecteert u de connector waarvan u de aangepaste OAuth-client wilt configureren.

    2. URL voor OAuth-instantie is vereist als er meerdere OAuth-clients worden geregistreerd. Anders is het optioneel.

    3. Bij Klant-ID, Klantgeheim en Omleiding-URL, voert u de informatie in die u hebt voorbereid in Stap 1 hierboven.

    4. Klik op de knop OAuth-client toevoegen om het registratieproces te voltooien.

  4. (Optioneel) Herhaal stap 3 voor alle ondersteunde connectors.

  5. Klik op de knop Opslaan onderaan of bovenaan de pagina Instellingen om de wijzigingen op te slaan.

3: Valideer de opgeslagen referenties en werk deze bij

U (en uw sitegebruikers) moeten de eerder opgeslagen referenties verwijderen en deze opnieuw toevoegen om de aangepaste OAuth-client voor de site te gebruiken.

  1. Navigeer naar uw pagina Mijn accountinstellingen.

  2. Voer de volgende stappen uit onder Opgeslagen referenties voor databronnen:

    1. Klik op Verwijderen naast de bestaande opgeslagen referenties voor de connector waarvan u de aangepaste OAuth-client hebt geconfigureerd in Stap 2 hierboven.

    2. Klik naast de connectornaam op Toevoegen en volg de aanwijzingen om 1) verbinding te maken met de aangepaste OAuth-client die is geconfigureerd in Stap 2 hierboven en 2) om de meest recente referenties op te slaan.

4: Informeer gebruikers dat ze hun opgeslagen referenties moeten bijwerken

Zorg ervoor dat u uw sitegebruikers op de hoogte stelt om hun opgeslagen referenties bij te werken voor de connector waarvan u de aangepaste OAuth-client hebt geconfigureerd in Stap 2 hierboven. Sitegebruikers kunnen hun opgeslagen referenties bijwerken aan de hand van de procedure die wordt beschreven in Opgeslagen referenties bijwerken.

Forward-proxy voor OAuth-verificatie

Zie Een forward-proxy voor OAuth-verificatie configureren(Link wordt in een nieuw venster geopend) in Tableau Help voor meer informatie over het instellen van een forward-proxy met OAuth-verificatie voor Tableau Server (alleen Windows).

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.