OpenID Connect

Sie können Tableau Cloud zur Unterstützung von OpenID Connect für SSO (Single Sign-on) konfigurieren. OpenID Connect ist ein Standardauthentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie beispielsweise Google oder Salesforce anmelden können. Nachdem der erfolgreichen Anmeldung bei ihrem IdP sind Benutzer dann automatisch bei Tableau Cloud angemeldet.

Die Konfiguration von OpenID Connect erfolgt in mehreren Schritten. Die Themen in diesem Abschnitt enthalten allgemeine Informationen zur Verwendung von Tableau Cloud mit OpenID Connect und den Ablauf zur Konfiguration von IdP und Tableau Cloud.

Wie OIDC mithilfe der Tableau-REST API konfiguriert wird, erfahren Sie unter Authentifizierungsmethoden für OpenID Connect(Link wird in neuem Fenster geöffnet) in der Tableau REST API-Hilfe.

Authentifizierungsübersicht

In diesem Abschnitt wird der Authentifizierungsprozess via OpenID Connect (OIDC) mit Tableau Cloud beschrieben.

1. Ein Benutzer versucht, sich von einem Clientcomputer aus bei Tableau Cloud anzumelden.

2. Tableau Cloud leitet die Anforderung zur Authentifizierung an das IdP-Gateway weiter.

3. Der Benutzer wird zur Eingabe der Anmeldeinformationen aufgefordert und authentifiziert sich erfolgreich beim Identitätsanbieter. Der IdP gibt als Antwort eine Umleitungs-URL zu Tableau Cloud zurück. Die Umleitungs-URL enthält einen Autorisierungsscode für den Benutzer.

4. Der Client wird zu Tableau Cloud umgeleitet und legt den Autorisierungscode vor.

5. Tableau Cloud präsentiert dem IdP den Autorisierungscode des Clients zusammen mit seinen eigenen Kundenanmeldeinformationen. Tableau Cloud ist ebenfalls Kunde des IdP. Dieser Schritt soll Spoofing oder Man-in-the-Middle-Angriffe verhindern.

6. Der IdP gibt ein Zugriffstoken und ein ID-Token an Tableau Cloud zurück.

  • JSON-Webtoken-Validierung (JWT): Tableau Cloud führt standardmäßig eine Validierung des IdP-JWTs durch. Während des Discovery-Vorgangs ruft Tableau Cloud die öffentlichen Schlüssel ab, die von dem jwks_uri im Discovery-Dokument der IdP-Konfiguration angegeben sind. Tableau Cloud validiert, ob das ID-Token abgelaufen ist, und überprüft dann die JSON-Websignatur (JWS), den Aussteller (IdP) und die Client-ID. Mehr über den JWT-Prozess erfahren Sie in der OIDC-Dokumentation, 10. Signaturen und Verschlüsselung(Link wird in neuem Fenster geöffnet), und im von der IETF vorgeschlagenen Standard JSON-Webtoken(Link wird in neuem Fenster geöffnet). Es wird empfohlen, die JWT-Validierung aktiviert zu lassen, es sei denn, sie wird von Ihrem Internetdienstanbieter nicht unterstützt.

  • Das ID-Token ist ein Satz an Attribut-Schlüssel-Paaren für den Benutzer. Die Schlüssel-Paare werden als Ansprüche bezeichnet. Im Folgenden finden Sie einen Identitätsanbieteranspruch für einen Benutzer:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud identifiziert den Benutzer anhand der IdP-Claims und schließt die Authentifizierungsanforderung aus Schritt 1 ab.Tableau Cloud kann so konfiguriert werden, dass für diesen Prozess unterschiedliche Ansprüche verwendet werden. Siehe Anforderungen.

8. Tableau Cloud autorisiert den Benutzer.

Wie Tableau Cloud mit OpenID Connect funktioniert

OpenID Connect (OIDC) ist ein flexibles Protokoll, das zahlreiche Optionen für den Informationsaustausch zwischen einem Dienstanbieter (hier Tableau Cloud) und einem Identitätsanbieter (IdP) unterstützt. Die folgende Liste enthält Details zur Tableau Cloud-Implementierung von OpenID Connect. Anhand dieser Details erhalten Sie ein besseres Verständnis dafür, welche Arten von Informationen von Tableau Cloud gesendet und erwartet werden und wie ein IdP konfiguriert wird.

  • Tableau Cloud unterstützt nur den OpenID Authorization Code Flow (OpenID-Autorisierungscode-Ablauf), der in der finalen Spezifikation zu OpenID Connect(Link wird in neuem Fenster geöffnet) beschrieben ist.

  • Tableau Cloud basiert auf der Verwendung eines Discovery-Vorgangs oder einer Anbieter-URL, um den IdP abzurufen.

  • Tableau Cloud unterstützt die Client-Authentifizierung mit client_secret_basic (Standard) und client_secret_post sowie weitere Parameter, die in der OpenID Connect-Spezifikation angegeben sind. Diese können nur über die Tableau-REST API konfiguriert werden.

Dynamische Gruppenmitgliedschaft mithilfe von OIDC-Assertionen

Seit Juni 2024 können Sie, wenn die OIDC-Authentifizierung konfiguriert und die Einstellung dieser Funktion aktiviert ist, die Gruppenmitgliedschaft dynamisch über benutzerdefinierte Ansprüche steuern, die im vom Identitätsanbieter (IdP) gesendeten JSON Web Token (JWT) enthalten sind.

Wenn konfiguriert, sendet der IdP während der Benutzerauthentifizierung die OIDC-Assertion, die zwei benutzerdefinierte Gruppenmitgliedschaftsansprüche enthält: Gruppe (https://tableau.com/groups) und Namen der Gruppen (z. B. „Gruppe1“ und „Gruppe2“), in die der Benutzer aufgenommen werden soll. Tableau validiert die Assertion und ermöglicht dann den Zugriff auf die Gruppen und die Inhalte, deren Berechtigungen von diesen Gruppen abhängen.

Weitere Informationen finden Sie unter Dynamische Gruppenmitgliedschaft mithilfe von Assertionen.

Beispiel-JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.