使用 IAM Identity Center 将 Tableau 与 Amazon Redshift 集成

这篇文章是与 SalesForce 的 Sid Wray、Jade Koskela 和 Ravi Bhattiprolu 共同撰写的。 Amazon Redshift 和 Tableau 增强数据分析能力。 Amazon Redshift 是一个云数据仓库，可以大规模、快速地处理复杂的查询。其高级查询优化为 Tableau 提供结果。 Tableau 的广泛功能和企业连接可帮助分析师在全公司范围内高效准备、探索和共享数据见解。

Amazon Redshift and Tableau are powerful tools for data analysis. Amazon Redshift is a cloud data warehouse that can process complex queries at scale and with speed. Its advanced query optimization serves results to Tableau. Tableau’s extensive capabilities and enterprise connectivity help analysts efficiently prepare, explore, and share data insights company-wide.

Amazon Redshift 和 Tableau 是强大的数据分析工具。 Amazon Redshift 是一个云数据仓库，可以大规模、快速地处理复杂查询。其高级查询优化为 Tableau 提供结果。 Tableau 的广泛功能和企业连接可帮助分析师在全公司范围内高效准备、探索和共享数据见解。

Customers can integrate Amazon Redshift with Tableau using single sign-on (SSO) capabilities enabled by AWS IAM Identity Center integration with trusted identity propagation. This allows you to seamlessly implement authentication with third-party identity providers (IdP) and authorization with Redshift. It positions Amazon Redshift as an AWS managed application, allowing you to take full advantage of the trusted identity propagation feature.

客户可以使用 AWS IAM Identity Center 与可信身份传播集成启用的单点登录 (SSO) 功能将 Amazon Redshift 与 Tableau 集成。这使您可以无缝地实施第三方身份提供商 (IdP) 的身份验证和 Redshift 的授权。它将 Amazon Redshift 定位为 AWS 托管应用程序，使您能够充分利用可信身份传播功能。

Amazon Web Services (AWS) collaborated with Tableau to enable SSO support for accessing Amazon Redshift from Tableau. Both Tableau Desktop 2023.3.9 and Tableau Server 2023.3.9 releases support trusted identity propagation with IAM Identity Center. This SSO integration is available for Tableau Desktop, Tableau Server, and Tableau Prep.

Amazon Web Services (AWS) 与 Tableau 合作，为从 Tableau 访问 Amazon Redshift 提供 SSO 支持。 Tableau Desktop 2023.3.9 和 Tableau Server 2023.3.9 版本都支持使用 IAM 身份中心进行可信身份传播。此 SSO 集成适用于 Tableau Desktop、Tableau Server 和 Tableau Prep。

This blog post provides a step-by-step guide to integrating IAM Identity Center with Microsoft Entra ID as the IdP and configuring Amazon Redshift as an AWS managed application. Additionally, you’ll learn how to set up the Amazon Redshift driver in Tableau, enabling SSO directly within Tableau Desktop.

此博文提供了将 IAM Identity Center 与作为 IdP 的 Microsoft Entra ID 集成以及将 Amazon Redshift 配置为 AWS 托管应用程序的分步指南。此外，您还将了解如何在 Tableau 中设置 Amazon Redshift 驱动程序，从而直接在 Tableau Desktop 中启用 SSO。

Solution overview

解决方案概述

The following diagram illustrates the architecture of the Tableau SSO integration with Amazon Redshift, IAM Identity Center, and Microsoft Entra ID.

下图说明了 Tableau SSO 与 Amazon Redshift、IAM Identity Center 和 Microsoft Entra ID 集成的架构。

Figure 1: Solution overview for Tableau integration with Amazon Redshift using IAM Identity Center and Microsoft Entra ID

图 1：使用 IAM Identity Center 和 Microsoft Entra ID 将 Tableau 与 Amazon Redshift 集成的解决方案概述

The solution depicted in Figure 1 includes the following steps:

图 1 所示的解决方案包括以下步骤：

Prerequisites

先决条件

Before you begin implementing the solution, you must have the following in place:

在开始实施解决方案之前，您必须具备以下条件：

Walkthrough

演练

In this walkthrough, you will use the following steps to build the solution:

在本演练中，您将使用以下步骤来构建解决方案：

Set up the Microsoft Entra ID OIDC application

设置 Microsoft Entra ID OIDC 应用程序

To create your Microsoft Entra application and service principal, follow these steps:

要创建 Microsoft Entra 应用程序和服务主体，请执行以下步骤：

For more information about setting up the Microsoft Entra app, see Register a Microsoft Entra app and create a service principal.

有关设置 Microsoft Entra 应用程序的详细信息，请参阅注册 Microsoft Entra 应用程序并创建服务主体。

Collect Microsoft Entra ID information

收集 Microsoft Entra ID 信息

To configure your IdP with IAM Identity Center and Amazon Redshift, collect the following parameters from Microsoft Entra ID. If you don’t have these parameters, contact your Microsoft Entra ID admin.

要使用 IAM Identity Center 和 Amazon Redshift 配置您的 IdP，请从 Microsoft Entra ID 收集以下参数。如果您没有这些参数，请联系您的 Microsoft Entra ID 管理员。

Figure 2: Overview section of OIDC application

图 2：OIDC 应用程序概述部分

Figure 3: Application scope

图3：应用范围

Set up a trusted token issuer in IAM Identity Center

在 IAM Identity Center 中设置可信令牌颁发者

At this point, you have finished configurations in the Entra ID console; now you’re ready to add Entra ID as a TTI. You will start by adding a TTI so you can exchange tokens. In this step, you will create a TTI in the centralized management account. To create a TTI, follow these steps:

至此，Entra ID控制台配置完毕；现在您已准备好将 Entra ID 添加为 TTI。您将首先添加 TTI，以便可以交换代币。在此步骤中，您将在集中管理帐户中创建 TTI。要创建 TTI，请执行以下步骤：

Figure 4 that follows shows the set up for TTI.

下面的图 4 显示了 TTI 的设置。

Figure 4: Create a trusted token issuer

图 4：创建可信令牌发行者

Set up client connections and trusted token issuers

设置客户端连接和可信令牌颁发者

A third-party application (such as Tableau) that isn’t managed by AWS exchanges the external token (JSON Web Token (JWT) for an IAM Identity Center token before calling AWS services.

不受 AWS 管理的第三方应用程序（例如 Tableau）在调用 AWS 服务之前将外部令牌（JSON Web 令牌 (JWT)）交换为 IAM 身份中心令牌。

The JWT must contain a subject (sub) claim, an audience (aud) claim, an issuer (iss), a user attribute claim, and a JWT ID (JTI) claim. The audience is a value that represents the AWS service that the application will use, and the audience claim value must match the value that’s configured in the Redshift application that exchanges the token.

JWT 必须包含主题 (sub) 声明、受众 (aud) 声明、颁发者 (iss)、用户属性声明和 JWT ID (JTI) 声明。受众是代表应用程序将使用的 AWS 服务的值，并且受众声明值必须与交换令牌的 Redshift 应用程序中配置的值匹配。

In this section, you will specify the audience claim in the Redshift application, which you will get from Microsoft Entra ID. You will configure the Redshift application in the member account where the Redshift cluster or serverless instance is.

在此部分中，您将在 Redshift 应用程序中指定受众声明，该声明将从 Microsoft Entra ID 获取。您将在 Redshift 集群或无服务器实例所在的成员账户中配置 Redshift 应用程序。

Figure 5: Redshift IAM Identity Center connection

图 5：Redshift IAM 身份中心连接

Figure 6: Adding an audience claim for the TTI

图 6：为 TTI 添加受众声明

Your IAM Identity Center, Amazon Redshift, and Microsoft Entra ID configuration is complete. Next, you need to configure Tableau.

您的 IAM Identity Center、Amazon Redshift 和 Microsoft Entra ID 配置已完成。接下来，您需要配置 Tableau。

Set up the Tableau OAuth config files for Microsoft Entra ID

为 Microsoft Entra ID 设置 Tableau OAuth 配置文件

To integrate Tableau with Amazon Redshift using IAM Identity Center, you need to use a custom XML. In this step, you use the following XML and replace the values starting with the $ sign and highlighted in bold. The rest of the values can be kept as they are, or you can modify them based on your use case. For detailed information on each of the elements in the XML file, see the Tableau documentation on GitHub.

要使用 IAM Identity Center 将 Tableau 与 Amazon Redshift 集成，您需要使用自定义 XML。在此步骤中，您将使用以下 XML 并替换以 $ 符号开头并以粗体突出显示的值。其余的值可以保留原样，或者您可以根据您的用例修改它们。有关 XML 文件中每个元素的详细信息，请参见 GitHub 上的 Tableau 文档。

Note: The XML file will be used for all the Tableau products including Tableau Desktop, Server, and Cloud. You can use the following XML or you can refer to Tableau’s github.

注意：XML 文件将用于所有 Tableau 产品，包括 Tableau Desktop、Server 和 Cloud。您可以使用以下 XML，也可以参考 Tableau 的 github。

The following is an example XML file:

以下是 XML 文件示例：

Install the Tableau OAuth config file for Tableau Desktop

为 Tableau Desktop 安装 Tableau OAuth 配置文件

After the configuration XML file is created, it must be copied to a location to be used by Amazon Redshift Connector from Tableau Desktop. Save the file from the previous step as .xml and save it under Documents\My Tableau Repository\

创建配置 XML 文件后，必须将其复制到 Tableau Desktop 中 Amazon Redshift Connector 使用的位置。将上一步中的文件另存为 .xml 并将其保存在 Documents\My Tableau Repository\ 下