將 Snowflake OAuth 變更為已儲存的認證
Tableau Snowflake 連接器會將受管理的金鑰鏈用於 OAuth 權杖,這些權杖由提供者為 Tableau Server 產生,並由同一網站中的所有使用者共用。從 Tableau 2020.4 開始,可以將 Tableau Server 設定為使用新的 OAuth 服務。在這種情況下,不必將 IP 位址列入安全清單即可在 AWS PrivateLink 或 Azure Private Link VPC 中執行 OAuth 流程。
可以將 Snowflake 連接器設定為對新的 OAuth 服務使用「已儲存的認證」,以將 Tableau Server 轉換為支援「私密連結」環境。
步驟 1:在 Snowflake 上取得用戶端 ID
若要在 Snowflake 上註冊自訂 OAuth 用戶端,請按照為自訂用戶端設定 Snowflake OAuth(連結在新視窗開啟) 中的程序進行操作。
註冊後,將使用以下 Snowflake 參數設定 Tableau Server:
- 帳戶執行個體 URL
- 用戶端 ID
- 用戶端密碼
- 重新導向 URL
步驟 2:為 Snowflake OAuth 設定 Tableau Server
在 Tableau Server 電腦上,執行以下命令以啟用 Snowflake Oauth 服務:
tsm configuration set -k native_api.enable_snowflake_privatelink_on_server -v true
在文字編輯器中複製、貼上並自訂以下命令:
附註:若在 Tableau Server 2021.1 及更高版本中進行這些設定變更,請參閱步驟 2:設定 Tableau Server,因為 oauth.snowflake.client 值的格式已變更。
tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"
oauth.snowflake.clients
金鑰會採用金鑰組陣列。金鑰組中的每個元素都必須用雙引號括起來。雙引號必須逸出為\"
。要指定多個帳戶執行個體 URL,請使用用大括號 ({}) 括起來的逗號 (,) 分隔每個額外的 OAuth 用戶端,如下例所示:
tsm configuration set -k oauth.snowflake.clients -v " [{\"oauth.snowflake.instance_url1\":\"https://account.snowflakecomputing.com\", \"oauth.snowflake.client_id\":\"client_id_string\", \"oauth.snowflake.client_secret\":\"client_secret_string\", \"oauth.snowflake.redirect_uri\":\"http://your_server_url.com/auth/add_oauth_token\" }]"
取代每個金鑰的值:
- 帳戶執行個體 URL:
oauth.snowflake.instance_url
- 用戶端 ID:
oauth.snowflake.client_id
- 用戶端密碼:
oauth.snowflake.client_secret
- 重新導向 URL:
oauth.snowflake.redirect_uri
附註:在執行命令之前,請仔細驗證語法。TSM 不會驗證此輸入。
將命令複製到 TSM CLI 中,並執行命令。
- 帳戶執行個體 URL:
輸入以下命令以套用變更:
tsm pending-changes apply
如果擱置組態需要重新啟動伺服器,
pending-changes apply
命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用--ignore-prompt
選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply。
為站點設定自訂 OAuth
可以為站點設定自訂 Snowflake OAuth 用戶端。
考慮將自訂 OAuth 用戶端設定為 1) 如果是為伺服器設定,則覆寫 OAuth 用戶端;或 2) 啟用支援安全連線到需要唯一 OAuth 用戶端的資料。
設定自訂 OAuth 用戶端時,站台等級設定優先於任何伺服器端設定,並且預設情況下建立的所有新 OAuth 憑證都使用站台等級 OAuth 用戶端。無須重新啟動 Tableau Server 即可使設定生效。
重要提示:在設定自訂 OAuth 用戶端之前建立的現有 OAuth 憑證暫時可用,但伺服器管理員和使用者都必須更新其保存的憑證以幫助確保能不間斷存取資料。
步驟 1:準備 OAuth 用戶端 ID、用戶端密碼和重新導向 URL
在設定自訂 OAuth 用戶端之前,需要以下列出的資訊。準備好這些資訊後,就可以為站台註冊自訂 Oauth 用戶端。
OAuth 用戶端 ID 和用戶端密碼:首先向資料提供者(連接器)註冊 OAuth 用戶端以檢索為 Tableau Server 產生的用戶端 ID 和密碼。
重新導向 URL:注意正確的重新導向 URL。您將在下方的步驟 2 註冊過程中需要它。
https://<伺服器名稱> .com/auth/add_oauth_token
例如,https://example.com/auth/add_oauth_token
步驟 2:註冊 OAuth 用戶端 ID 和用戶端密碼
按照下面描述的過程將自訂 OAuth 用戶端註冊到站台。
使用管理員認證登入 Tableau 伺服器站台,並轉到「設定」頁面。
在 OAuth 用戶端登錄檔下,按一下「新增 OAuth 用戶端」按鈕。
輸入所需資訊,包括上述步驟 1 中的資訊:
對於「連線類型」,請選取要設定其自訂 OAuth 用戶端的連接器。
而「用戶端 ID」、「用戶端密碼」和「重新導向 URL」,請輸入在上述步驟 1 中準備的資訊。
按一下「新增 OAuth 用戶端」按鈕以完成註冊過程。
(可選)對所有支援的連接器重複步驟 3。
- 按一下「設定」頁面底部或頂部的「儲存」按鈕以儲存變更。
步驟 3:驗證和更新儲存的憑證
為幫助確保能不間斷存取資料,您(和您的站台使用者)必須刪除之前儲存的憑證並再次新增憑證,以使用站台的自訂 OAuth 用戶端。
轉到「帳戶設定」」頁面。
在「儲存的資料來源憑證」下,執行以下動作:
按一下上述步驟 2 中設定的自訂 OAuth 用戶端連接器的現有已儲存憑證旁邊的「刪除」。
在連接器名稱旁邊,按一下「新增」並按照提示,1) 連線到在上述步驟 2 中設定的自訂 OAuth 用戶端,以及 2) 儲存最新的憑證。
步驟 4:通知使用者更新他們儲存的憑證
確保通知站台使用者更新他們為連接器儲存的憑證,該連接器的自訂 OAuth 用戶端即為上述步驟 2 中設定的。站台使用者可以使用更新儲存的認證中描述的過程來更新他們保存的憑證。
用於 OAuth 身份驗證的正向 Proxy
有關為 Tableau Server(僅限 Windows)設定具有 OAuth 身份驗證的正向 Proxy 的詳細資訊,請參見 Tableau 說明中的為 OAuth 身份驗證配置正向 Proxy。(連結在新視窗開啟)