Konfigurera OAuth för Snowflake-anslutningar i Tableau Server
Du kan konfigurera OAuth för Snowflake-anslutningar på flera sätt, beroende på vilken version av Tableau Server du använder och hur många platser du uppdaterar. Det här ämnet tar upp konfigurationen för varje tillgängligt alternativ.
För alla versioner av Tableau upp till och med version 2024.1 använder Tableau Snowflake-kopplingen som standard en OAuth-proxy i AWS (GALOP) som använder ett gemensamt klient-ID och en gemensam hemlighet. Du kan välja att konfigurera Tableau Server att använda en ny OAuth-tjänst som körs på samma plats som den instansen av Tableau. Detta kräver att du tillhandahåller ditt eget klient-ID och din egen hemlighet, vilket kallas anpassad OAuth och kan konfigureras med hjälp av anvisningarna nedan.
Från och med 2024.2 kommer GALOP-proxyn att vara inaktuell och instruktionerna nedan för att ställa in anpassad OAuth kommer att vara obligatoriska att följa, eftersom den lokala OAuth-tjänsten nu kommer att användas för autentisering.
För Tableau Desktop och Tableau Cloud version 2024.3 och senare kan du konfigurera en extern identitetsprovider (extern OAuth) för Snowflake. Mer information finns i Extern OAuth för Snowflake.
Fördelarna med anpassad OAuth inkluderar:
Förbättrad säkerhet
Du kan använda OAuth i isolerade miljöer som inte kan ansluta till OAuth Proxy (GALOP).
Du behöver inte placera GALOP-IP-adresserna på godkännandelistan för att köra OAuth-flödet i AWS PrivateLink- eller Azure Private Link VPC:er.
Steg 1: Konfigurera och registrera OAuth-klienten med Snowflake
Om du vill använda en anpassad OAuth-konfiguration i Tableau Server måste du först konfigurera och registrera OAuth-klienten och skaffa ett klient-ID och en klienthemlighet i Snowflake. För Tableau Server-version 2024.2 och senare krävs detta steg, oavsett vilket konfigurationsalternativ du använder. Om du vill registrera en anpassad OAuth-klient med Snowflake följer du stegen som beskrivs i Configure Snowflake OAuth for Custom Clients(Länken öppnas i ett nytt fönster) (Konfigurera Snowflake OAuth för anpassade klienter (engelska)).
När du har registrerat OAuth-klienten i Snowflake så som beskrivs i den länkade Snowflake-artikeln ovan använder du följande Snowflake-parametrar för att konfigurera Tableau Server:
URL för konto-instans
Klient-ID
Klienthemlighet
Omdirigerings-URL
Obs! Omdirigeringsadressen är densamma när den anges både på Snowflake- och Tableau-sidan. Formatet är:
https://<your_tableau_server_url>.com/auth/add_oauth_token
Steg 2: Konfigurera Tableau Server att använda OAuth för Snowflake
Alternativ 1: Konfigurera OAuth för Snowflake-kopplingar med TSM
Vi rekommenderar att du använder det här alternativet när du behöver uppdatera flera Tableau Server-platser samtidigt.
Obs! Det här alternativet kan inte användas för Tableau Cloud.
(Version 2024.1 och tidigare) Kör följande kommando på datorn med Tableau Server för att aktivera Snowflake OAuth-tjänsten:
tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v trueObs! I version 2024.2 och senare hoppar du över steg 1 oavsett om en privat Snowflake-anslutning används eller inte.
Kopiera, klistra in och anpassa följande kommando i en textredigerare:
tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"Nyckeln
oauth.snowflake.clientstar en uppsättning nyckelpar. Varje element i nyckelparet måste vara inkapslat med dubbla citattecken. Dubbla citattecken måste avslutas med\".För att ange webbadresser för flera kontoinstanser, separera varje ytterligare OAuth-klient inom klammerparenteser ({}) med ett kommatecken (,), som i följande exempel:
tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\",\"oauth.snowflake.client_id\":\"client_id_string1\",\"oauth.snowflake.client_secret\":\"client_secret_string1\",\"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" },{\"oauth.snowflake.instance_url\":\"https://account2.snowflakecomputing.com\",\"oauth.snowflake.client_id\":\"client_id_string2\",\"oauth.snowflake.client_secret\":\"client_secret_string2\",\"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"Byt ut värdena för varje nyckel:
URL för konto-instans:
oauth.snowflake.instance_urlKlient-ID:
oauth.snowflake.client_idKlienthemlighet:
oauth.snowflake.client_secretOmdirigerings-URL:
oauth.snowflake.redirect_uri
Obs! Kontrollera syntaxen noga innan du kör kommandot. TSM validerar inte den här inmatningen.
Kopiera kommandot till TSM CLI och kör kommandot.
Ange följande kommando för att tillämpa ändringarna:
tsm pending-changes applyOm de väntande ändringarna kräver att servern startas om visar kommandot
pending-changes applyen kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet--ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.
Alternativ 2: Konfigurera OAuth för Snowflake-kopplingar efter plats
Obs! Det här alternativet är också tillgängligt för Tableau Cloud från och med version 2024.2.
Du kan konfigurera en anpassad Snowflake OAuth-klient på platsnivå genom att använda Tableau Server UI.
Överväg att konfigurera en anpassad OAuth-klient på platsnivå för att:
åsidosätta en OAuth-klient om den har konfigurerats för servern
aktivera stöd för säker anslutning till data som kräver unika OAuth-klienter.
När en anpassad OAuth-klient konfigureras har konfigurationen på platsnivå företräde framför alla konfigurationer på serversidan och alla nyligen tillagda OAuth-inloggningsuppgifter använder som standard OAuth-klienten på platsnivå. Tableau Server behöver inte startas om för att anpassade OAuth-konfigurationer på platsnivå ska träda i kraft.
Viktigt: Befintliga OAuth-inloggningsuppgifter som upprättats innan den anpassade OAuth-klienten konfigureras är tillfälligt användbara, men både Tableau Server-administratörer och användare måste uppdatera sina sparade inloggningsuppgifter för att säkerställa oavbruten dataåtkomst.
Steg 1: Förbereda klient-ID:t, klienthemligheten och omdirigerings-URL:en för OAuth
Innan du kan konfigurera den anpassade OAuth-klienten behöver du ha informationen nedan. När du har förberett denna information kan du registrera den anpassade OAuth-klienten för platsen. Mer information finns i avsnittet Steg 1: Konfigurera och registrera OAuth-klienten med Snowflake ovan.
URL för konto-instans
OAuth-klient-ID och klienthemlighet: Registrera först OAuth-klienten hos dataleverantören (anslutaren) för att hämta klient-ID och hemlighet som genereras för Tableau Server.
Omdirigerings-URL: Notera korrekt omdirigerings-URL. Du behöver detta under registreringsprocessen i Steg 2: Lägga till en OAuth-klient på Tableau Server-platsen nedan.
https://<your_tableau_server_url>.com/auth/add_oauth_token
Steg 2: Lägga till en OAuth-klient på Tableau Server-platsen
Följ proceduren som beskrivs nedan för att registrera den anpassade OAuth-klienten på platsen.
(Version 2024.1 och tidigare) Kör följande två kommandon på datorn med Tableau Server för att aktivera Snowflake OAuth-tjänsten:
tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v truetsm pending-changes applyObs! I version 2024.2 och senare hoppar du över steg 1 oavsett om en privat Snowflake-anslutning används eller inte.
Logga in på din Tableau Server-plats med dina administratörsuppgifter och navigera till sidan Inställningar.
Klicka på knappen Lägg till OAuth-klient under Register för OAuth-klienter.
Ange nödvändig information, inklusive information från Steg 1 ovan:
För Anslutningstyp, välj den anslutare vars anpassade OAuth-klient du vill konfigurera.
URL för OAuth-instans krävs om flera OAuth-klienter registreras. Annars är det valfritt.
För Klient-ID, Klienthemlighet och Omdirigera URL anger du den information som du förberedde i Steg 1 ovan.
Klicka på knappen Lägg till OAuth-klinet för att slutföra registreringsprocessen.
Klicka på knappen Spara längst ned eller högst upp på sidan Inställningar för att spara ändringarna.
Steg 3: Validera och uppdatera sparade inloggningsuppgifter
För att säkerställa oavbruten dataåtkomst måste du (och dina platsanvändare) ta bort de tidigare sparade inloggningsuppgifterna och lägga till dem igen för att använda den anpassade OAuth-klienten för platsen.
Gå till sidan Mina kontoinställningar.
Gör följande under Sparade inloggningsuppgifter för datakällor:
Klicka på Ta bort bredvid de befintliga sparade inloggningsuppgifterna för den koppling vars anpassade OAuth-klient du konfigurerade i Steg 2: Lägga till en OAuth-klient på Tableau Server-platsen ovan.
Bredvid kopplingsnamnet klickar du på Lägg till och följer anvisningarna för att 1) ansluta till den anpassade OAuth-klienten som du konfigurerade i Steg 2: Lägga till en OAuth-klient på Tableau Server-platsen ovan och 2) spara de senaste inloggningsuppgifterna.
Steg 4: Meddela användarna att de ska uppdatera sina sparade inloggningsuppgifter
Se till att du meddelar platsanvändarna att de ska uppdatera sina sparade inloggningsuppgifter för den koppling vars anpassade OAuth-klient du konfigurerade i Steg 2: Lägga till en OAuth-klient på Tableau Server-platsen ovan. Platsanvändare kan uppdatera sina sparade inloggningsuppgifter genom att följa stegen som beskrivs i Uppdatera sparade inloggningsuppgifter.
Proxy för vidarebefordran med OAuth-autentisering
Se Konfigurera en Proxy för vidarebefordran med OAuth-autentisering(Länken öppnas i ett nytt fönster) i Tableau-hjälpen för mer information om hur du konfigurerar en proxy för vidarebefordran med OAuth-autentisering för Tableau Server (endast Windows).