Configurar o Azure AD para Autenticação Moderna e OAuth
Os conectores Azure Synapse, Azure SQL Database, Azure Databricks, Azure Data Lake Gen2, OneDrive and SharePoint Online e Listas do SharePoint (JDBC) oferecem suporte à autenticação por meio do Azure AD configurando um cliente OAuth para o Tableau Server.
Observação: o suporte ao Azure AD só é aceito com o driver Microsoft SQLServer 17.3(O link abre em nova janela)e posterior.
Etapa 1: registrar o cliente OAuth para Azure
Siga as etapas abaixo para registrar e configurar um aplicativo OAuth para o Azure em um locatário específico do Azure.
- Entre no portal do Azure.
- Se você tiver acesso a vários locatários, selecione o locatário no qual deseja registrar um aplicativo.
- Pesquise e selecione Azure Active Directory.
- Em Gerenciar, selecione Registros de aplicativos e Novo registro.
- Insira “Tableau Server OAuth” ou um valor semelhante como o Nome.
- No campo Tipos de conta com suporte na página de registro do aplicativo, selecione quem pode usar este aplicativo.
- No campo (opcional) Redirecionar Uri, escolha Web e, em seguida, insira o endereço de Internet do seu servidor anexado pela cadeia de caracteres,
/auth/add_oauth_token
. - Selecione Registrar. Após a conclusão do registro, o portal do Azure exibe o painel Visão geral do registro do aplicativo, que inclui a ID do aplicativo (cliente). Também conhecido como ID do cliente, esse valor identifica exclusivamente seu aplicativo na plataforma de identidade da Microsoft.
- Copie o valor, ele será usado como o
[your_client_id]
campo nas etapas a seguir. - Selecione Certificados e segredos na barra à esquerda e escolha Novo segredo do cliente.
- Adicione a descrição da segredo.
- Selecione Tempo de vida do segredo do cliente.
- Escolha Adicionar e copie o segredo. O segredo será usado como
[your_client_secret]
nas etapas a seguir. - Selecione permissões de API na barra esquerda.
- Escolha Adicionar permissões.
- Selecione Microsoft Graph..
- Escolha Permissões delegadas.
- Em Selecionar permissões, selecione todas as permissões OpenId (email, offline_access, openid, e perfil).
- Escolha Adicionar permissões.
- Adicionar permissões. Siga as etapas abaixo para os conectores que você está habilitando:
- Banco de dados SQL do Azure
- Clique em Adicionar uma permissão.
- Selecione Minhas APIs.
- Clique em Banco de Dados SQL do Azure e, em seguida , Permissões delegadas.
- Selecione user_impersonation e clique em Adicionar permissões.
- OneDrive e SharePoint Online
- Clique em Adicionar uma permissão.
- Selecione Microsoft Graph..
- Clique em Permissões delegadas.
- Sob Selecionar permissões, na caixa de pesquisa de filtro, insira e adicione as seguintes permissões:
- Files.Read.All
- Sites.Read.All
- User.Read
- Listas do SharePoint (JDBC)
- Clique em Adicionar uma permissão.
- Selecione Microsoft Graph..
- Clique em Permissões delegadas.
- Sob Selecionar permissões, na caixa de pesquisa do filtro, insira e adicione a permissão User.Read.
- Clique em Adicionar uma permissão de novo.
- Selecione SharePoint.
- Clique em Permissões delegadas.
- Expanda a seção AllSites e, em seguida, selecione e adicione a permissão AllSites.Manage.
- Banco de dados SQL do Azure
Observação: se você quiser usar a ID do cliente e o segredo do cliente do seu aplicativo para contas em a diferentes locatários, certifique-se de escolher a segunda opção (Multilocatário).
Por exemplo: https://your_server_url.com/auth/add_oauth_token
Etapa 2: configurar o Tableau Server para Azure
Configurar o Tableau Server requer a execução de um comando do Tableau Server Manager (TSM). O Azure Data Lake Storage Gen2 requer um conjunto diferente de comandos do que o comando comum que é executado para o Azure Synapse, Banco de dados SQL do Azure ou Databricks.
Configure o cliente OAuth padrão para Azure Data Lake Storage Gen2
Para configurar o Tableau Server para Data Lake Storage Gen2, você deve ter os seguintes parâmetros de configuração:
- ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para
[your_client_id]
no primeiro comando tsm. - Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para
[your_client_secret]
no segundo comando tsm. - URL do Tableau Server: insira a URL do Tableau Server, como
https://myco.com
. Copie este valor para[your_server_url]
no terceiro comando tsm.
Execute os seguintes comandos tsm para configurar o Tableau Server OAuth para Azure Data Lake Storage Gen2:
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.azuredatalake_storage_gen2.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurar o cliente padrão para Azure Synapse, Banco de dados SQL do Azure ou Azure Databricks
Para configurar o Tableau Server, você deve ter os seguintes parâmetros de configuração:
- ID do cliente Azure OAuth: gerada com base no procedimento na Etapa 1. Copie este valor para
[your_client_id]
no comando tsm. - Segredo Azure OAuthClient: gerado com base no procedimento na Etapa 1. Copie este valor para
[your_client_secret]
no segundo comando tsm. - URL do Tableau Server: essa é a URL do Tableau Server, como
https://myserver.com
. Copie este valor para[your_server_url]
no terceiro comando tsm. - ID de configuração:esse é o valor para o parâmetro
oauth.config.id
no comando tsm que se segue. Valores válidos:- Azure Synapse:
azure_sql_dw
- Banco de dados SQL do Azure:
azure_sqldb
- Databricks:
databricks
- Azure Synapse:
Execute os seguintes comandos tsm para configurar o Azure AD para Azure Synapse, Banco de dados SQL do Azure ou Databricks. Por exemplo, para configurar o Azure Synapse:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurar um cliente OAuth padrão para OneDrive e SharePoint Online
Para configurar o Tableau Server para OneDrive e SharePoint Online, você deve ter os seguintes parâmetros de configuração:
- ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
- Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no segundo comando tsm.
- URL do Tableau Server: essa é a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no terceiro comando tsm.
Execute os seguintes comandos tsm para configurar o Tableau Server OAuth para OneDrive e SharePoint Online:
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive_and_sharepoint_online.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Configurar um cliente OAuth padrão para Listas do SharePoint (JDBC)
Para configurar o Tableau Server para Listas do SharePoint (JDBC), você deve ter os seguintes parâmetros de configuração:
- ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
- Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no primeiro comando tsm.
- URL do Tableau Server: essa é a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no primeiro comando tsm.
Execute os seguintes comandos tsm para configurar as Listas do SharePoint (JDBC) da Oauth do Tableau Server:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"cdata_sharepoint\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurar um cliente OAuth padrão para OneDrive (obsoleto)
Para configurar o Tableau Server para OneDrive (obsoleto), você deve ter os seguintes parâmetros de configuração:
- ID do cliente Azure OAuth: a ID do cliente é gerada com base no procedimento na Etapa 1. Copie este valor para [your_client_id] no primeiro comando tsm.
- Segredo do cliente Azure OAuth: o segredo do cliente é gerado com base no procedimento na Etapa 1. Copie este valor para [your_client_secret] no segundo comando tsm.
- URL do Tableau Server: essa é a URL do Tableau Server, como https://myco.com. Copie este valor para [your_server_url] no terceiro comando tsm.
Para continuar, execute os seguintes comandos tsm para configurar o Tableau Server OAuth para OneDrive (obsoleto):
tsm configuration set -k oauth.onedrive.client_id -v [your_client_id] --force-keys
tsm configuration set -k oauth.onedrive.client_secret -v [your_client_secret] --force-keys
tsm configuration set -k oauth.onedrive.redirect_uri -v http://[your_server_url]/auth/add_oauth_token --force-keys
tsm pending-changes apply
Cenários de reinicialização do servidor
Depois de configurar um cliente OAuth padrão, os cenários a seguir podem ocorrer.
- Um prompt de reinicialização será exibido se as alterações pendentes exigirem a reinicialização do servidor.
- Cancele o prompt com a opção
--ignore-prompt
, mas isso não interrompe a reinicialização. - Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
Configuração de vários conectores
Se você tiver vários conectores para definir, deverá incluir todos eles em um único comando. Por exemplo:
tsm configuration set -k oauth.config.clients -v "[{\"oauth.config.id\":\"azure_sql_dw\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"azure_sqldb\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}, {\"oauth.config.id\":\"databricks\", \"oauth.config.client_id\":\"[your_client_id]\", \"oauth.config.client_secret\":\"[your_client_secret]\", \"oauth.config.redirect_uri\":\"[your_server_url]/auth/add_oauth_token\"}]" --force-keys
tsm pending-changes apply
Configurar Oauth personalizado para um site
Você pode configurar clientes personalizados do Azure Data Lake Storage Gen2, Azure Synapse, Azure SQL Database, Databricks OAuth, OneDrive e Sharepoint online e listas de Sharepoint (JDBC) para um site.
Considere configurar um cliente OAuth personalizado para 1) substituir um cliente OAuth se configurado para o servidor ou 2) ativar o suporte para conexão segura a dados que requerem clientes OAuth exclusivos.
Quando um cliente OAuth personalizado é configurado, a configuração no nível do site tem precedência sobre qualquer configuração do lado do servidor, e todas as novas credenciais OAuth criadas usam o cliente OAuth no nível do site por padrão. Nenhuma reinicialização do Tableau Server é necessária para que as configurações tenham efeito.
Importante: as credenciais OAuth existentes estabelecidas antes da configuração do cliente OAuth personalizado podem ser usadas temporariamente, mas tanto os administradores do servidor quanto os usuários devem atualizar suas credenciais salvas para ajudar a garantir o acesso ininterrupto aos dados.
1: preparar a ID do cliente OAuth, a chave secreta do cliente e a URL de redirecionamento
Antes de configurar o cliente OAuth personalizado, você precisa das informações listadas abaixo. Depois de preparar essas informações, você pode registrar o cliente OAuth personalizado para o site.
ID do cliente OAuth e segredo do cliente: primeiro registre o cliente OAuth com o provedor de dados (conector) para recuperar a ID do cliente e o segredo gerado para o Tableau Server.
URL de redirecionamento: observe a URL de redirecionamento correto. Você precisará disso durante o processo de registro na Etapa 2 abaixo.
https://<your_server_name>.com/auth/add_oauth_token
Por exemplo, https://example.com/auth/add_oauth_token
2: registre a ID do cliente OAuth e a chave secreta do cliente
Siga o procedimento descrito abaixo para registrar o cliente OAuth personalizado no site.
Entre no site do Tableau Server usando suas credenciais de administrador acesse a página de Configurações.
No Registro de clientes OAuth, clique no botão Adicionar cliente OAuth.
Insira as informações necessárias, incluindo as informações da Etapa 1 acima:
Para Tipo de conexão, selecione o conector, cujo cliente OAuth personalizado você deseja configurar.
URL da instância OAuth é necessária se vários clientes OAuth estiverem sendo registrados. Caso contrário, é opcional.
Para ID do cliente, Segredo do cliente e URL de redirecionamento, insira as informações que você preparou na Etapa 1 acima.
Clique no botão Adicionar cliente OAuth para concluir o processo de registro.
(Opcional) Repita a etapa 3 para todos os conectores compatíveis.
- Clique no botão Salvar na parte inferior ou superior da página Configurações para salvar as alterações.
3: validar e atualizar as credenciais salvas
Para ajudar a garantir o acesso ininterrupto aos dados, você (e os usuários do site) deve excluir as credenciais salvas anteriormente e adicioná-las novamente para usar o cliente OAuth personalizado para o site.
Navegue até a página Minhas configurações da conta.
Em Credenciais salvas para fontes de dados, faça o seguinte:
Clique em Excluir ao lado das credenciais salvas existentes para o conector, cujo cliente OAuth personalizado você configurou na Etapa 2 acima.
Ao lado do nome do conector, clique em Adicionar e siga as instruções para 1) conectar-se ao cliente OAuth personalizado configurado na Etapa 2 acima e 2) salvar as credenciais mais recentes.
4: notificar os usuários para atualizarem as credenciais salvas
Certifique-se de notificar os usuários do seu site para atualizar suas credenciais salvas para o conector, cujo cliente OAuth personalizado você configurou na Etapa 2 acima. Os usuários do site podem usar o procedimento descrito em Atualizar credenciais salvas para atualizar as credenciais salvas.
Proxy de encaminhamento para autenticação OAuth
Para obter mais informações sobre como configurar um proxy de encaminhamento com autenticação OAuth para o Tableau Server (somente Windows), consulte Configurar um proxy de encaminhamento para autenticação OAuth(O link abre em nova janela) na Ajuda do Tableau.