Conexões OAuth

O Tableau Server é compatível com OAuth para vários conectores diferentes. Na maioria dos casos, a funcionalidade OAuth não estruturados não configuração adicional no Tableau Server.

No Tableau, quando os usuários entram em dados com um conector que usa OAuth, eles são redirecionados para a página de entrada do provedor de autenticação. Após fornecer as credenciais e autorizar o Tableau para acessar os dados, o provedor de dados envia ao Tableau um token de acesso que identifica exclusivamente as Tableau e os usuários. Este token de acesso é usado para acessar dados em nome dos usuários. Para obter mais informações, consulte Visão geral do processo OAuth abaixo.

O uso de conexões baseadas em OAuth oferece os seguintes benefícios:

  • Segurança: as credenciais de banco de dados nunca são mostradas nem armazenadas no Tableau Server, e o token de acesso pode ser usado apenas pelo Tableau em nome de usuários.

  • Praticidade: Em vez de inserir ID e senha da fonte de dados em vários locais, você pode usar o token fornecido para determinado provedor de dados em todas as pastas de trabalhos e extrações de dados publicadas que acessam esse provedor de dados.

    Observação: para conexões em tempo real com os dados do Google BigQuery, cada visualizador de pasta de trabalho pode ter um token de acesso exclusivo que identifica o usuário, em vez de compartilhar uma única credencial de nome de usuário e senha.

Visão geral do processo OAuth

As seguintes etapas descrevem um fluxo de trabalho no ambiente do Tableau que chama o processo OAuth.

  1. Um usuário executa uma ação que exige acesso a uma fonte de dados baseada em nuvem.

    Por exemplo, você abre uma pasta de trabalho que foi publicada no Tableau Server.

  2. O Tableau direciona o usuário para a página de logon do provedor de dados na nuvem. As informações enviadas para o provedor de dados identificam o Tableau como o site solicitante.

  3. Quando o usuário entra nos dados, o provedor solicita que ele confirme a autorização para o acesso do Tableau Server aos dados.

  4. Após a confirmação do usuário, o provedor de dados envia um token de acesso de volta ao Tableau Server.

  5. O Tableau Server apresenta a pasta de trabalho e os dados para ao usuário.

Observação: tokens de atualização de uso único (às vezes chamados de tokens de atualização contínua ou rotação de tokens de atualização) não são suportados para conexões OAuth com o Tableau no momento. O suporte para esses tokens está planejado para uma versão futura.

Os fluxos de trabalho do usuário a seguir podem usar o processo OAuth:

  • Criação de uma pasta de trabalho e conexão à fonte de dados no Tableau Desktop ou no Tableau Server.

  • Publicação de uma fonte de dados do Tableau Desktop.

  • Entrar no Tableau Server de um cliente aprovado, como o Tableau Mobile ou Tableau Desktop.

Conectores de credenciais salvas padrão

Credenciais salvas refere-se à funcionalidade em que o TTableau Server armazena tokens de usuário para conexões OAuth. Isso permite que os usuários salvem suas credenciais OAuth no perfil de usuário do Tableau Server. Depois de salvar as credenciais, elas não serão solicitadas ao publicar, editar ou atualizar posteriormente ao acessar o conector.

Observação: ao editar fluxos do Tableau Prep na Web, você ainda pode ser solicitado a autenticar novamente.

Os conectores a seguir usam credenciais salvas por padrão não precisam exigem configuração adicional no Tableau Server.

Os conectores a seguir podem usar credenciais salvas com configuração adicional pelo administrador do servidor.

Todos os conectores compatíveis estão listados em Credenciais salvas para fontes de dados na página Minhas configurações de conta dos usuários no Tableau Server. Os usuários gerenciam as credenciais salvas para cada de conector.

Tokens de acesso para conexões de dados

Você pode inserir as credenciais com base nos tokens de acesso com as conexões de dados, para habilitar o acesso direto após o processo de autenticação inicial. Os tokens de acesso permanecem válidos até um usuário do Tableau Server excluí-los ou o provedor de dados revogá-los.

É possível exceder o número de tokens de acesso permitido pelo seu provedor de fonte de dados. Se for esse o caso, quando um usuário criar um token, o provedor de dados usará o tempo decorrido desde o último acesso para determinar qual token invalidar para liberar espaço para.

Tokens de acesso para autenticação por meio de clientes aprovados

Por padrão, sites do Tableau Server permitem que usuários acessem seus sites diretamente de clientes do Tableau aprovados, após fornecerem suas credenciais pela primeira vez que efetuarem logon. Esse tipo de autenticação também usa tokens de acesso do OAuth para armazenar as credenciais dos usuários com segurança.

Por obter mais informações, consulte Desabilitar a autenticação do cliente.

Conectores de chaves gerenciadas padrão

Chaves gerenciadas refere-se à funcionalidade em que os tokens do OAuth são gerados para o Tableau Server pelo provedor e compartilhados por todos os usuários no mesmo site. Quando um usuário publica pela primeira vez na fonte de dados, o Tableau Server solicita ao usuário as credenciais de fonte de dados. O Tableau Server envia as credenciais para o provedor de fonte de dados, , que retorna os tokens do OAuth para o Tableau Server para usar em nome do usuário. Nas operações de publicação subsequentes, o token do OAuth armazenado pelo Tableau Server para a mesma classe e nome de usuário é usado para que o usuário não seja solicitado a fornecer as credenciais do OAuth. Se a senha da fonte de dados mudar, o processo anterior será repetido e o token antigo será substituído por um novo no Tableau Server.

A configuração adicional do OAuth no Tableau Server não é necessária para os conectores de chaves - gerenciadas padrão:

  • Google Analytics, Google BigQuery e Google Sheets (obsoleto no Tableau versão 2022.1)

  • Salesforce

Limite e armazenamento de tokens

O Google tem o limite de a 50 tokens por usuário por aplicativo cliente (neste cenário, o Tableau Server é o aplicativo cliente). Como o token do OAuth é armazenado no Tableau Server e reutilizado pelo usuário, é improvável que o usuário exceda o limite de tokens.

Todos os tokens do usuário são criptografados em repouso quando armazenados no Tableau Server. Consulte Gerenciar segredos do servidor para obter mais informações.

Remoção de registros de keychain não utilizados

Um registro de chaveiro gerenciado contém atributos de conexão como atributos secretos dbClass, nome de usuário e OAuth. Todos os registros de keychain gerenciados para um determinado site são mesclados, criptografados e armazenados em PostgreSQL.

Os registros são mantidos até mesmo para pastas de trabalho e fontes de dados que foram removidas. Com o tempo, esses registros podem crescer para tamanhos grandes que podem causar problemas.

Recomendamos a eliminação dos registros de keychain não usados periodicamente como uma tarefa regular de manutenção. Você pode visualizar o número de registros e os registros não usados armazenados em cada site. Você também pode excluir registros não usados.

Para acessar Limpeza de keychain gerenciado, entre nas páginas administrativas do Tableau Server, navegue até o site onde deseja excluir registros não usados e clique em Configurações.

Limitações de cenário com chaves gerenciadas

Três cenários não são aceitos ao usar a chave gerenciada do OAuth com o Tableau Server:

  • Ao solicitar credenciais OAuth em conexões em tempo real. Os usuários devem inserir as credenciais a conexões em tempo real com as chaves gerenciadas do OAuth.

  • Ao editar a conexão de fonte de dados do OAuth no Tableau Server

  • Criação na Web

Converter chaves gerenciadas em credenciais salvas

Converta os conectores que usam chaves gerenciadas para usar credenciais salvas configurando o Tableau Server com um ID de cliente do OAuth e um segredo para cada conector. Ao converter esses conectores em credenciais salvas, os usuários poderão gerenciar as credenciais para cada tipo de conector na página Configurações da minha conta no Tableau Server. Além disso, solicitações de conexão em tempo real, edição de conexões e criação na Web também são compatíveis.

Configurar um Oauth personalizado para um site

Para um subconjunto de conectores, você pode configurar o OAuth no nível do site configurando clientes OAuth personalizados. Para obter mais informações, consulte um dos tópicos a seguir:

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!