Configurar aplicativos conectados com confiança OAuth 2.0
Como administrador do Tableau Server, você pode registrar um ou mais servidores de autorização externo (EASs) para estabelecer uma relação de confiança entre o TTableau Server e o EAS usando o protocolo padrão OAuth 2.0.
Quando o conteúdo inserido do Tableau é carregado em seu aplicativo externo, um fluxo OAuth padrão é usado. Após os usuários fazerem logon com sucesso no IdP, eles entram automaticamente no Tableau Server. Siga as etapas descritas abaixo para registrar seu EAS com o Tableau Server.
Importante:
- alguns dos procedimentos neste tópico requerem configuração com software e serviços de terceiros. Fizemos o possível para verificar os procedimentos para habilitar o recurso EAS no Tableau Server. No entanto, software e serviços de terceiros podem mudar ou sua organização pode ser diferente. Se você tiver problemas, consulte a documentação de terceiros para obter detalhes e suporte de configuração confiável.
- Para habilitar a incorporação por meio do EAS, o Tableau Server deve ser configurado para usar SSL para tráfego HTTP.
- Para que o token de sessão seja válido, os relógios do aplicativo externo e do servidor que hospeda o aplicativo externo devem ser definidos como Tempo Universal Coordenado (UTC). Se um dos relógios usar um padrão diferente, o aplicativo conectado não será confiável.
Etapa 1: antes de começar
Para registrar um EAS com o Tableau Server , você deve ter um EAS já configurado. Além disso, o EAS deve enviar um token da Web JSON (JWT) válido que contenha as declarações registradas e o cabeçalho listado na tabela abaixo.
| Reivindicação | Nome | Descrição ou valor obrigatório |
"kid " | ID da chave | Obrigatório (no cabeçalho). Um identificador de chave exclusivo do provedor de identidade. |
"iss " | Emissor | Obrigatório (no cabeçalho ou como uma declaração). URI de emissor exclusivo que identifica o aplicativo de conexão confiável e a chave de assinatura. |
"alg " | Algoritmo | Obrigatório (no cabeçalho). Algoritmo de assinatura JWT. Os nomes de algoritmos compatíveis estão listados na página JWSAlgorithm de classe(O link abre em nova janela) na documentação javadoc.io. |
"sub " | Assunto | Nome de usuário do usuário autenticado do Tableau Server. |
"aud " | Público | O valor deve ser: " |
"exp " | Data de validade | |
"jti " | ID do JWT | A declaração JWT ID fornece um identificador exclusivo para o JWT e diferencia maiúsculas de minúsculas. |
"scp " | Escopo | Para fluxos de inserir pastas de trabalho, os valores com suporte incluem: " Observações:
Para fluxos de trabalho de autorização da API REST, consulte Métodos da API REST que dão suporte à autorização JWT. Para Fluxos de trabalho da API de metadados que usam a API REST para autenticação, o único escopo aceito é |
https://tableau.com/groups | Associação ao grupo dinâmica | Para fluxos de trabalho inseridos somente. O valor deve corresponder ao nome de um ou mais grupos no Tableau Server. Para obter mais informações, consulte a seção Associação dinâmica a grupos (apenas fluxos de trabalho inseridos) abaixo. |
Observação: as reivindicações JWT acima estão documentadas na seção Nomes de reivindicações registradas(O link abre em nova janela) na documentação distribuída pela organização Internet Engineering Task Force (IETF).
Etapa 2: registrar o EAS com o Tableau Server
Ao registrar o EAS com o Tableau Server, você estabelece uma relação de confiança entre o EAS e o Tableau Server. Isso significa que, quando os usuários acessam o conteúdo do Tableau inserido no aplicativo externo, eles são redirecionados para se autenticar com o IdP. O EAS gera o token de autenticação, que é passado ao Tableau Server para verificação. Depois que a relação de confiança é verificada, o acesso ao conteúdo inserido é concedido os usuários.
Observação: alguns EAS são compatíves com a opção de exibir uma caixa de diálogo de consentimento que solicita a aprovação dos usuários para o aplicativo acessar o conteúdo do Tableau. Para garantir a melhor experiência para os usuários, recomendamos que você configure o EAS para consentir automaticamente a solicitação do aplicativo externo em nome dos usuários.
Sobre EAS em nível de site
A partir do Tableau Server 2024.2, você pode configurar o EAS no nível do site. Para registrar um EAS no nível do site, os aplicativos conectados devem estar habilitados no Tableau Server Manager (TSM).
Há duas maneiras de registrar o EAS em todo o servidor: usando a interface de usuário da Web do TSM ou usando a CLI do TSM.
Depois de registrar o EAS, a relação de confiança estabelecida se aplica a todos os sites no Tableau Server.
Opção 1: usar a interface de usuário da Web do TSM
Como administrador do Tableau Server, faça logon na interface do usuário na Web do Tableau Services Manager (TSM). Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Execute um destes procedimentos:
No Tableau Server 2024.2 e posterior, navegue até a página Identidade e acesso do usuário > guia Aplicativos conectados.
No Tableau Server 2023.3 e versões anteriores, navegue até a página Identidade e acesso do usuário > guia Servidor de autorização.
- Execute um destes procedimentos:
No Tableau Server 2024.2 e posterior:
Marque a caixa de seleção Habilitar aplicativos conectados.
Selecione o segundo botão de opção, Permitir aplicativos conectados (configurar no nível do site) e confiança OAuth 2.0 em todo o servidor (configurar abaixo).
Na caixa de texto URL do emissor, cole a URL do emissor do EAS.
Clique no botão Salvar alterações pendentes.
No Tableau Server 2023.3 e versões anteriores:
Marque a caixa de seleção Habilitar acesso OAuth para conteúdo incorporado .
Na caixa de texto URL do emissor, cole a URL do emissor do EAS.
Clique no botão Salvar alterações pendentes.
- Quando terminar, faça o seguinte:
No canto superior direito da página, clique no botão Alterações pendentes.
No canto inferior direito da página, clique no botão Aplicar alterações e reiniciar para interromper e reiniciar o Tableau Server.
Opção 2: usando a CLI do TSM
- Abra um prompt de comando como administrador no nó inicial (onde o TSM está instalado) no cluster.
Execute os seguintes comandos:
tsm configuration set -k vizportal.oauth.external_authorization.enabled -v true tsm configuration set -k vizportal.oauth.external_authorization_server.issuer -v "<issuer_url_of_EAS>" tsm restart
A partir do Tableau Server 2024.2, você pode registrar um ou mais EASs para um site. Depois de registar o EAS ao nível do local, a relação de confiança estabelecida aplica-se apenas ao local.
Observação: um pré-requisito para configurar o EAS em nível de site é que os aplicativos conectados estejam habilitados no TSM.
Etapa 1: habilitar aplicativos conectados
Como administrador do Tableau Server, faça logon na interface do usuário na Web do Tableau Services Manager (TSM). Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Navegue até a página Identidade e acesso do usuário > guia Aplicativos conectados.
Marque a caixa de seleção Habilitar aplicativos conectados.
Execute um destes procedimentos:
Selecione o primeiro botão de opção, Permitir aplicativos conectados (configurar no nível do site) para permitir o registro de EAS apenas no nível do site.
(Padrão) Selecione o segundo botão de opção, Permitir aplicativos conectados (configurar no nível do site) e confiança OAuth 2.0 em todo o servidor (configurar abaixo) para permitir o registro de EASs no nível do site e em todo o servidor. Se você escolher esta opção, certifique-se de que a URL do emissor especificado no nível do site seja diferente da URL do emissor em todo o servidor.
Clique no botão Salvar alterações pendentes.
- Quando terminar, faça o seguinte:
No canto superior direito da página, clique no botão Alterações pendentes.
No canto inferior direito da página, clique no botão Aplicar alterações e reiniciar para interromper e reiniciar o Tableau Server.
Etapa 2: registrar o EAS
Como um administrador do Tableau Server, entre em Tableau Server.
No painel esquerdo, selecione Configurações > Aplicativos conectados.
Clique na seta suspensa do botão Novo aplicativo conectado e selecione OAuth 2.0 Trust.
- Na caixa de diálogo Criar aplicativo conectado, faça o seguinte:
Na caixa de texto Nome, insira um nome para o aplicativo conectado.
Na caixa de texto URL do emissor, cole a URL do emissor do EAS.
Selecione o Habilitar aplicativo conectado. Por motivos de segurança, um aplicativo conectado é definido como desabilitado por padrão quando criado.
Quando terminar, clique no botão Criar.
Depois que o aplicativo conectado for criado, copie a ID do site do aplicativo conectado. A ID do site é usada para a declaração "aud" (público) do JWT descrita na Etapa 1 acima.
Etapa 3: próximas etapas
Para inserir fluxos de trabalho
Depois de configurar o Tableau Server EAS, você deve adicionar o código inserido ao aplicativo externo. Certifique-se de incluir o JWT válido gerado por seu EAS, conforme descrito na Etapa 1, no componente da Web chamado pelo aplicativo externo.
Para obter mais informações sobre a inserção de conteúdo do Tableau, consulte um ou ambos os itens a seguir:
- Incorpore métricas, consulte o tópico Incorporar métricas a páginas(O link abre em nova janela) da Web na Ajuda do Tableau. (Em
- Incorpore exibições e métricas usando a API de incorporação no Tableau v3(O link abre em nova janela).
Observação: para que os usuários se autentiquem com êxito, ao acessar o conteúdo incorporado, os navegadores devem ser configurados para permitir cookies de terceiros.
Controlar onde o conteúdo pode ser inserido usando a lista de permissões de domínio para inserção
A partir de
Por padrão, a configuração do site unrestrictedEmbedding para inserção está definida como true para permitir a inserção irrestrita. Como alternativa, você e seus usuários podem definir a configuração como false e especificar os domínios nos quais o conteúdo do Tableau em aplicativos externos pode ser inserido usando o parâmetro allowList.
Para obter mais informações, consulte uma das seguintes alternativas ou as duas:
- Atualizar as configurações de inserção para site(O link abre em nova janela) na Ajuda da API REST do Tableau
- Configuração do site do Tableau para inserção(O link abre em nova janela) na Ajuda da API v3 de inserção do Tableau.
Para fluxos de trabalho de autorização da API REST
Após a configuração do JWT, você deve adicionar o JWT válido à solicitação de login da API REST para acesso autorizado. Para obter informações, consulte Escopos de acesso para aplicativos conectados.
Para obter os fluxos de trabalho da API de metadados
Após a configuração do JWT, você deve adicionar o JWT válido à solicitação de login da API REST. Para obter informações, consulte Escopos de acesso para aplicativos conectados.
Associação dinâmica a grupos (apenas fluxos de trabalho inseridos)
A partir de
Quando configurado, durante a autenticação do usuário, o aplicativo externo envia o JWT que contém duas declarações personalizadas para associação ao grupo: grupo (https://tableau.com/groups) e nomes de grupos (por exemplo, "Grupo1" e "Grupo2") para inserir o usuário. O Tableau valida o JWT e, em seguida, permite o acesso aos grupos e ao conteúdo cujas permissões dependem desses grupos.
Problemas conhecidos (somente para inserir fluxos de trabalho)
Existem alguns problemas conhecidos no uso de aplicativos conectados que serão abordados em uma versão futura.
Recursos da barra de ferramentas: quando o conteúdo incorporado tem o parâmetro da barra de ferramentas definido, nem todos os recursos da barra de ferramentas funcionarão. Para contornar esse problema, recomendamos que você oculte o parâmetro da barra de ferramentas como no exemplo abaixo.
<tableau-viz id='tab-viz' src='https://<your_server>/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
Fontes de dados publicadas: as fontes de dados publicadas definidas como Solicitar usuário, para obter credenciais do banco de dados, não serão exibidas. Para contornar esse problema, se possível, recomendamos que os proprietários da fonte de dados incorporem suas credenciais de banco de dados.
- Exibições inseridas em vários sites: no Tableau Server 2023.1 e versões anteriores, alternar entre exibições em sites diferentes no mesmo navegador causa erro 1008: não foi possível buscar o segredo para o aplicativo de conexão. Para contornar esse problema, atualize para o Tableau Server 2023.3 ou posterior.
Solução de problemas
Quando o conteúdo inserido não consegue ser exibido em seu aplicativo externo ou a autorização da API REST do Tableau falha, você pode usar as ferramentas de desenvolvedor de um navegador, para inspecionar e identificar códigos de erro que podem estar associados com o recurso EAS habilitado no Tableau Server .
Consulte a tabela abaixo para revisar a descrição do código de erro e a resolução potencial.
| Código de erro | Resumo | Descrição | Resolução ou explicação potencial |
| 5 | SYSTEM_USER_NOT_FOUND | Não foi possível encontrar o usuário do Tableau | sub' (Assunto) no JWT é "nome de usuário" para o Tableau Server autenticado. Este valor diferencia maiúsculas de minúsculas. |
| 16 | LOGIN_FAILED | Falha no logon | Esse erro normalmente é causado por um dos seguintes problemas de reivindicação no JWT:
|
| 67 | FEATURE_NOT_ENABLED | O acesso sob demanda não é compatível | O acesso sob demanda está disponível somente por meio de sites licenciados do Tableau Cloud. |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | Endpoint de metadados EAS ausente | Para resolver esse problema, verifique se o EAS está configurado corretamente e se o emissor correto está sendo chamado. |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | Emissor ausente | Para resolver esse problema, verifique se o emissor correto está sendo chamado. |
| 10083 | BAD_JWT | O cabeçalho JWT contém problemas | As declarações de 'kid’ (ID secreta) ou 'clientId' (Emissor) estão faltando no cabeçalho JWT. Para resolver esse problema, certifique-se de que essas informações estejam incluídas. |
| 10084 | JWT_PARSE_ERROR | JWT contém problemas | Para resolver o problema, verifique o seguinte:
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | O JWT não conseguiu encontrar as chaves | Não foi possível encontrar o segredo. Para resolver esse problema, verifique se o emissor correto está sendo chamado. |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | Problema com o algoritmo de assinatura JWT | Para resolver o problema, você pode remover o algoritmo de assinatura. |
| 10088 | RSA_KEY_SIZE_INVALID | Problema com requisitos de assinatura JWT | Para resolver esse problema, verifique com o EAS ou IdP se o JWT está sendo assinado com um tamanho de chave RSA de 2048. |
| 10091 | JTI_ALREADY_USED | JWT exclusivo necessário | O JWT já foi usado no processo de autenticação. Para resolver esse problema, o EAS ou IdP deve gerar um novo JWT. |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | O domínio do conteúdo inserido não foi especificado | Para resolver esse problema, verifique se a configuração unrestrictedEmbedding está definida como true ou se o parâmetro domainAllowlist inclui os domínios nos quais o conteúdo do Tableau está inserido usando o método Atualizar as configurações de inserção para site(O link abre em nova janela) na API REST do Tableau. |
| 10094 | MISSING_REQUIRED_JTI | ID do JWT ausente | Para resolver esse problema, verifique se o 'jti' (ID do JWT) está incluído no JWT. |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp' (Tempo de expiração) excede o período de validade máximo padrão. Para resolver esse problema, analise as reivindicações registradas(O link abre em nova janela) necessárias para um JWT válido e certifique-se de que o valor correto seja usado. Para alterar o período máximo de validade, você pode usar o comando vizportal.oauth.external_authorization_server.max_expiration_period_in_minutes | |
| 10097 | SCOPES_MALFORMED | Problemas com a reivindicação de escopos | Esse erro pode ocorrer quando o 'scp' (Escopo) está faltando no JWT ou não foi passado como um tipo de lista. Para resolver esse problema, verifique 'scp' é incluído no JWT e passado como um tipo de lista. Para obter ajuda na solução de problemas com um JWT, consulte Depurador(O link abre em nova janela) no site auth0. |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | JWT não está assinado ou criptografado | O Tableau não oferece suporte a JWT não assinado ou criptografado. |
| 10099 | SCOPES_MISSING_IN_JWT | Declaração de escopos ausente | O JWT não tem a declaração 'scp' (Escopo) necessária. Para resolver esse problema, verifique se o 'scp' está incluído no JWT. Para obter ajuda na solução de problemas com um JWT, consulte Depurador(O link abre em nova janela) no site auth0. |
| 10100 | JTI_PERSISTENCE_FAILED | Erro inesperado de ID JWT | Houve um erro inesperado com o 'jti' (ID JWT). Para resolver esse problema, um novo JWT com um novo 'jti’ deve ser gerado. |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT excede o tamanho máximo | Esse erro pode ocorrer quando o tamanho do JWT excede 8.000 bytes. Para resolver esse problema, certifique-se de que apenas as declarações necessárias estejam sendo passadas para Tableau Server. |