Conexões OAuth
O Tableau Server é compatível com OAuth para vários conectores diferentes. Na maioria dos casos, a funcionalidade OAuth não requer configuração adicional no Tableau Server.
No Tableau, quando os usuários entram em dados com um conector que usa OAuth, eles são redirecionados para a página de entrada do provedor de autenticação. Após fornecer as credenciais e autorizar o Tableau para acessar os dados, o provedor de dados envia ao Tableau um token de acesso que identifica exclusivamente as Tableau e os usuários. Este token de acesso é usado para acessar dados em nome dos usuários. Para obter mais informações, consulte Visão geral do processo OAuth abaixo.
O uso de conexões baseadas em OAuth oferece os seguintes benefícios:
Segurança: as credenciais de banco de dados nunca são mostradas nem armazenadas no Tableau Server, e o token de acesso pode ser usado apenas pelo Tableau em nome de usuários.
Praticidade: Em vez de inserir ID e senha da fonte de dados em vários locais, você pode usar o token fornecido para determinado provedor de dados em todas as pastas de trabalhos e extrações de dados publicadas que acessam esse provedor de dados.
Observação: para conexões em tempo real com os dados do Google BigQuery, cada visualizador de pasta de trabalho pode ter um token de acesso exclusivo que identifica o usuário, em vez de compartilhar uma única credencial de nome de usuário e senha.
Visão geral do processo OAuth
As seguintes etapas descrevem um fluxo de trabalho no ambiente do Tableau que chama o processo OAuth.
Um usuário executa uma ação que exige acesso a uma fonte de dados baseada em nuvem.
Por exemplo, você abre uma pasta de trabalho que foi publicada no Tableau Server.
O Tableau direciona o usuário para a página de logon do provedor de dados na nuvem. As informações enviadas para o provedor de dados identificam o Tableau como o site solicitante.
Quando o usuário entra nos dados, o provedor solicita que ele confirme a autorização para o acesso do Tableau Server aos dados.
Após a confirmação do usuário, o provedor de dados envia um token de acesso de volta ao Tableau Server.
O Tableau Server apresenta a pasta de trabalho e os dados para ao usuário.
Os fluxos de trabalho do usuário a seguir podem usar o processo OAuth:
Criação de uma pasta de trabalho e conexão à fonte de dados no Tableau Desktop ou no Tableau Server.
Publicação de uma fonte de dados do Tableau Desktop.
Entrar no Tableau Server de um cliente aprovado, como o Tableau Mobile ou Tableau Desktop.
Conectores de credenciais salvas padrão
Credenciais salvas refere-se à funcionalidade em que o TTableau Server armazena tokens de usuário para conexões OAuth. Isso permite que os usuários salvem suas credenciais OAuth no perfil de usuário do Tableau Server. Depois de salvar as credenciais, elas não serão solicitadas ao publicar, editar ou atualizar posteriormente ao acessar o conector.
Observação: ao editar fluxos do Tableau Prep na Web, você ainda pode ser solicitado a autenticar novamente.
Os conectores a seguir usam credenciais salvas por padrão e não exigem configuração adicional no Tableau Server.
- Anaplan
- Box
- Dropbox
- Esri ArcGIS Server
- Google Ads, Google Drive
- Navegador de vendas do LinkedIn
- Marketo
- OneDrive (configuração adicional é necessária a partir de 2022.3)
- Oracle Eloqua
- ServiceNow ITSM
- Snowflake - O uso do “link privado” requer uma configuração adicional. Para obter mais informações, consulte Configurar Snowflake OAuth para aplicativos de parceiros(O link abre em nova janela) no site Snowflake e Alterar o OAuth do Snowflake para credenciais salvas.
Os conectores a seguir podem usar credenciais salvas com configuração adicional pelo administrador do servidor.
Azure Data Lake Storage Gen2, Azure Synapse, Banco de Dados SQL do Azure, Databricks
Dremio
Para obter mais informações, consulte Configurar OAuth para Dremio.
Google Analytics, Google BigQuery, Google Sheets (descontinuado na versão 2022.1 do Tableau)
Para obter mais informações, consulte Configurar OAuth para Google.
Intuit QuickBooks Online
Para obter mais informações, consulte Configurar OAuth para QuickBooks Online do Intuit.
OneDrive (começando com 2022.3)
Para obter mais informações, consulte Configurar OAuth personalizado para um site
Salesforce
Para obter mais informações, consulte Alterar o OAuth do Salesforce.com para credenciais salvas.
Salesforce CDP
Para obter mais informações, consulte Conectar o Tableau Server ao Salesforce Data Cloud.
Observação: se o Tableau Server não estiver listado na lista Aplicativos acessados no console de administração do Google, você poderá adicionar manualmente um novo aplicativo à lista usando sua ID de cliente. Para criar uma ID do cliente, consulte Alterar o Google OAuth para credenciais salvas.
Todos os conectores compatíveis estão listados em Credenciais salvas para fontes de dados na página Minhas configurações de conta dos usuários no Tableau Server. Os usuários gerenciam as credenciais salvas para cada de conector.
Tokens de acesso para conexões de dados
Você pode inserir as credenciais com base nos tokens de acesso com as conexões de dados, para habilitar o acesso direto após o processo de autenticação inicial. Os tokens de acesso permanecem válidos até um usuário do Tableau Server excluí-los ou o provedor de dados revogá-los.
É possível exceder o número de tokens de acesso permitido pelo seu provedor de fonte de dados. Se for esse o caso, quando um usuário criar um novo token, o provedor de dados usará o tempo decorrido desde o último acesso para determinar qual token invalidar para liberar espaço para o novo.
Tokens de acesso para autenticação por meio de clientes aprovados
Por padrão, sites do Tableau Server permitem que usuários acessem seus sites diretamente de clientes do Tableau aprovados, após fornecerem suas credenciais pela primeira vez que efetuarem logon. Esse tipo de autenticação também usa tokens de acesso do OAuth para armazenar as credenciais dos usuários com segurança.
Por obter mais informações, consulte Desabilitar a autenticação do cliente.
Conectores de chaves gerenciadas padrão
Chaves gerenciadas refere-se à funcionalidade em que os tokens do OAuth são gerados para o Tableau Server pelo provedor e compartilhados por todos os usuários no mesmo site. Quando um usuário publica pela primeira vez na fonte de dados, o Tableau Server solicita ao usuário as credenciais de fonte de dados. O Tableau Server envia as credenciais para o provedor de fonte de dados, que retorna os tokens do OAuth para o Tableau Server para usar em nome do usuário. Nas operações de publicação subsequentes, o token do OAuth armazenado pelo Tableau Server para a mesma classe e nome de usuário é usado para que não solicite ao usuário as credenciais OAuth. Se a senha da fonte de dados mudar, o processo acima será repetido e o token antigo será substituído por um novo no Tableau Server.
A configuração adicional do OAuth no Tableau Server não é necessária para os conectores de chaves gerenciadas padrão:
Google Analytics, Google BigQuery e Google Sheets (
- Salesforce
Limite e armazenamento de tokens
O Google tem o limite de 50 tokens por usuário por aplicativo cliente (neste cenário, o Tableau Server é o aplicativo cliente). Como o token do OAuth é armazenado no Tableau Server e reutilizado pelo usuário, é improvável que o usuário exceda o limite de tokens.
Todos os tokens do usuário são criptografados em repouso quando armazenados no Tableau Server. Consulte Gerenciar segredos do servidor para obter mais informações.
Remoção de registros de keychain não utilizados
Um registro de chaveiro gerenciado contém atributos de conexão como atributos secretos dbClass, nome de usuário e OAuth. Todos os registros de keychain gerenciados para um determinado site são mesclados, criptografados e armazenados em PostgreSQL.
Os registros são mantidos até mesmo para pastas de trabalho e fontes de dados que foram removidas. Com o tempo, esses registros podem crescer para tamanhos grandes que podem causar problemas.
Recomendamos a eliminação dos registros de keychain não usados periodicamente como uma tarefa regular de manutenção. Você pode visualizar o número de registros e os registros não usados armazenados em cada site. Você também pode excluir registros não usados.
Para acessar Limpeza de keychain gerenciado, entre nas páginas administrativas do Tableau Server, navegue até o site onde deseja excluir registros não usados e clique em Configurações.
Limitações de cenário com chaves gerenciadas
Três cenários não compatíveis ao usar o chaves gerenciadas do OAuth com o Tableau Server:
Ao solicitar credenciais OAuth em conexões em tempo real. Os usuários devem incorporar as credenciais a conexões em tempo real com as chaves gerenciadas do OAuth.
Ao editar a conexão de fonte de dados do OAuth no Tableau Server
Criação na Web
Converter chaves gerenciadas em credenciais salvas
Converta os conectores que usam chaves gerenciadas para usar credenciais salvas configurando o Tableau Server com um ID de cliente do OAuth e um segredo para cada conector. Ao converter esses conectores em credenciais salvas, os usuários poderão gerenciar as credenciais para cada tipo de conector na página Configurações da Minha Conta no Tableau Server. Além disso, solicitações de conexão em tempo real, edição de conexões e criação na Web também são compatíveis.
Configurar Oauth personalizado para um site
Para um subconjunto de conectores, você pode configurar o OAuth no nível do site configurando clientes OAuth personalizados. Para obter mais informações, consulte um dos tópicos a seguir:
Para Azure Data Lake Storage Gen2, Banco de Dados SQL do Azure, Azure Synapse e Databricks, consulte Configurar Oauth personalizado para um site.
Para Dremio, consulte Configurar OAuth para Dremio .
Para Google Analytics, Google BigQuery, Google Sheets (descontinuado no Tableau versão 2022.1), consulte Configurar Oauth personalizado para um site.
Para o Salesforce, consulte Configurar Oauth personalizado para um site.
Para o Salesforce CDP, consulte Conectar o Tableau Server ao Salesforce Data Cloud.
Para o Snowflake, consulte Configurar Oauth personalizado para um site.