OAuth 連線
Tableau Server 支援 OAuth 使用多種不同的連接器。在許多情況下,OAuth 功能不需要 Tableau Server 上的附加組態。
從 Tableau 中,使用者透過 OAuth 連接器登入資料時,將重新導向身分驗證提供者的登入頁面。使用者提供認證並授權 Tableau 存取其資料後,身分驗證提供者會向 Tableau 傳送唯一標識 Tableau 和使用者的存取權杖。此存取權杖用來代表使用者存取資料。有關詳情,請參閱下面的 OAuth 處理序概述。
使用 OAuth -基礎連線可提供以下優點:
安全:您的資料庫認證不會被 Tableau Server 知道或儲存在其中,並且存取權杖只能由代表使用者的 Tableau 使用。
方便:不必在多個位置嵌入您的資料來源 ID 和密碼,您可以對存取特定資料提供者的所有已發佈工作簿和資料來源使用為該資料提供者提供的權杖。
附註:如果是 Google BigQuery 資料的即時連線,每個工作簿檢視器都可以擁有標識使用者的唯一存取權杖,而不是共用單個使用者名和密碼認證。
OAuth 處理序概述
下列步驟描述了 Tableau 環境中呼叫 OAuth 流程的工作流程。
使用者執行的動作需要存取雲端-基礎資料來源。
例如,您開啟發佈到 Tableau Server 的工作簿。
Tableau 將使用者導向雲端資料提供者的登入頁面。傳送給資料提供者的資訊將 Tableau 標識為請求網站。
當使用者登入資料時,提供者會提示使用者確認 Tableau Server 存取資料的授權。
使用者確認後,資料提供者會向 Tableau Server 傳送存取權杖。
Tableau Server 向使用者顯示工作簿和資料。
下列使用者工作流程可以使用 Oauth 程序:
從 Tableau Desktop 或從 Tableau Server 建立工作簿並連線到資料來源。
從 Tableau Desktop 發佈資料來源。
從諸如 Tableau Mobile 或 Tableau Desktop 等批准的用戶端登入Tableau Server。
預設的已儲存憑證連接器
已儲存的認證是指 Tableau Server 儲存用於 OAuth 連線的使用者權杖的功能。這項功能可讓使用者將 OAuth 認證儲存到其在 Tableau Server 上的使用者設定檔。儲存憑證後,使用者之後在存取連接器時,就不會在發佈、編輯或重新整理動作時收到系統提示。
附註:在 Web 上編輯 Tableau Prep 流程時,系統可能仍會提示您重新進行驗證。
預設情況下,以下連接器會使用已儲存的認證,並不需要 Tableau Server 上的附加組態。
- Anaplan
- Box
- Dropbox
- Esri ArcGIS Server
- Google Ads、Google Drive
- LinkedIn Sales Navigator
- Marketo
- OneDrive(從 2022.3 開始需要額外設定)
- Oracle Eloqua
- ServiceNow ITSM
- Snowflake - 要使用「私密連結」需要附加組態。有關詳情,請參閱 Snowflake 網站上的為合作夥伴應用程式設定 Snowflake OAuth(連結在新視窗開啟)將 Snowflake OAuth 變更為已儲存的認證。
以下連接器可透過伺服器管理員使用有附加組態的已儲存的認證。
Azure Data Lake Storage Gen2、Azure Synapse、Azure SQL 資料庫、Databricks
有關詳情,請參閱為 OAuth 和新式驗證設定 Azure AD。
Dremio
有關詳情,請參閱為 Salesforce.com 設定 OAuth。
Google Analytics、Google BigQuery、Google Sheets(在 Tableau 版本 2022.1 中已被取代)
有關詳情,請參閱為 Google 設定 OAuth。
Intuit QuickBooks Online
有關詳情,請參閱為 Intuit QuickBooks Online 設定 OAuth。
OneDrive(從 2022.3 開始)
有關更多資訊,請參閱為站台設定自訂 OAuth
Salesforce
有關詳情,請參閱將 Salesforce.com OAuth 變更為已儲存的認證。
Salesforce CDP
有關更多資訊,請參閱將 Tableau Server 與 Salesforce Data Cloud 連線。
附註:如果 Tableau Server 未列在 Google 管理主控台的已存取應用程式清單中,則可以使用其用戶端 ID 手動在該清單中新增應用程式。要建立用戶端 ID,請參閱將 Google OAuth 變更為已儲存的認證。
所有支援的連接器皆列在 Tableau Server 上使用者的我的帳戶設定頁面的資料來源已儲存的認證下。使用者需為每個連接器管理其已儲存的認證。
資料連線存取權杖
可以根據包含資料連線的存取權杖嵌入認證,以允許在初始驗證過程結束之後直接存取。除非 Tableau Server 使用者刪除存取權杖或資料提供者撤銷它,否則它會一直有效。
可能超出了資料來源提供程式允許的存取權杖數。在這種情況下,當使用者建立新權杖時,資料提供者將使用自上次存取以來已經過去的時間長度來決定使哪個權杖失效以便為新權杖騰出空間。
批准的用戶端驗證的存取權杖
預設情況下,在使用者第一次登入時提供其認證後,Tableau Server 網站允許使用者直接從核准的 Tableau 用戶端存取其網站。此類型的驗證還使用 OAuth 存取權杖來安全地儲存使用者的認證。
有關詳情,請參閱停用自動用戶端驗證。
預設的受管金鑰鏈連接器
受管金鑰鏈是指提供者針對 Tableau Server 產生 OAuth 權杖並由同一站台中所有使用者共用的功能。使用者首次發佈資料來源時,Tableau Server 會向使用者要求資料來源認證。Tableau Server 向資料來源提供者提交認證,提供者會再傳回 OAuth 權杖供 Tableau Server 代表使用者使用。在後續的發佈作業中,系統會使用 Tableau Server 為相同類別和使用者名稱儲存的 OAuth 權杖,因此不會提示使用者輸入 OAuth 認證。若資料來源密碼發生變更,系統會重複上述程序,並在 Tableau Server 上以新權杖取代舊權杖。
Tableau Server 中的其他 OAuth 設定不需要預設受控 keychain 連接器:
Google Analytics、Google BigQuery 和 Google Sheets(
- Salesforce
權仗限制及儲存
Google 限制每個用戶端應用程式只能為每個使用者儲存 50 個權杖(在此案例中,Tableau Server 即為用戶端應用程式)。由於使用者將 OAuth 權杖儲存在 Tableau Server 上並重複使用,因此使用者不太可能超過權杖限制。
所有儲存在 Tableau Server 上的使用者權杖,都會在閒置時經過加密。有關詳情,請參閱管理伺服器密碼。
移除未使用的金鑰鏈記錄
受管金鑰鏈記錄包含 dbClass、使用者名稱和 Oauth 密碼屬性等連線屬性。指定站台上所有受管金鑰鏈記錄,都會合併、加密並儲存在 PostgreSQL 中。
即使已移除工作簿和資料來源,記錄也將保留。隨著時間的流逝,這些記錄大小可能會變得很大,並可能導致問題。
我們建議定期清除未使用的金鑰鏈記錄作為常規維護工作。您可以檢視每個網站上儲存的記錄數和未使用的記錄數。您也可以刪除未使用的記錄。
若要存取「受管金鑰鏈清理」,請登入 Tableau Server 管理頁面,巡覽至要刪除未使用的記錄的網站,然後按一下「設定」。
受管金鑰鏈在各種情境下的限制
以下三種情境不適用於在 Tableau Server 使用受管金鑰鏈 OAuth:
在即時連線時要求輸入的 OAuth 憑證。使用者必須以受控 keychain OAuth 在即時連線時嵌入憑證
在 Tableau Server 編輯 OAuth 資料來源連線
Web 製作
將受管理的金鑰鏈轉換為已儲存的認證
您可以藉由為每個連接器設定 Tableau Server 的 OAuth 用戶端 ID 和密碼,將使用受管理的金鑰鏈的連接器轉換成使用已儲存的認證。將這些連接器轉換為已儲存憑證後,使用者將能在 Tableau Server 的「我的帳戶設定」頁面上管理自己在每個連接器類型的憑證。此外,此功能也支援即時連線提示、編輯連線和 Web 製作。
為站台設定自訂 OAuth
可以透過設定自訂 OAuth 用戶端,為一部分連接器設定站台層級 OAuth。有關詳情,請擇一參閱以下主題:
有關 Azure Data Lake Storage Gen2、Azure SQL 資料庫、Azure Synapse 和 Databricks,請參閱為站台設定自訂 OAuth 。
Dremio 的詳細資訊,請參閱為 Salesforce.com 設定 OAuth 。
有關 Google Analytics、Google BigQuery、Google Sheets(在 Tableau 版本 2022.1 中被取代),請參閱為站台設定自訂 OAuth。
有關 Salesforce,請參閱為站台設定自訂 OAuth。
對於 Salesforce CDP,請參閱將 Tableau Server 與 Salesforce Data Cloud 連線。
有關 Snowflake,請參閱為站台設定自訂 OAuth。