OpenID Connect

Sie können Tableau Cloud zur Unterstützung von OpenID Connect für SSO (Single Sign-on) konfigurieren. OpenID Connect ist ein Standardauthentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie beispielsweise Google oder Salesforce anmelden können. Nachdem der erfolgreichen Anmeldung bei ihrem IdP sind Benutzer dann automatisch bei Tableau Cloud angemeldet.

Die Konfiguration von OpenID Connect erfolgt in mehreren Schritten. Die Themen in diesem Abschnitt enthalten allgemeine Informationen zur Verwendung von Tableau Cloud mit OpenID Connect und den Ablauf zur Konfiguration von IdP und Tableau Cloud.

Wie OIDC mithilfe der Tableau-REST API konfiguriert wird, erfahren Sie unter Methoden für OpenID Connect(Link wird in neuem Fenster geöffnet).

Authentifizierungsübersicht

In diesem Abschnitt wird der Authentifizierungsprozess via OpenID Connect (OIDC) mit Tableau Cloud beschrieben.

1. Ein Benutzer versucht, sich von einem Clientcomputer aus bei Tableau Cloud anzumelden.

2. Tableau Cloud leitet die Anforderung zur Authentifizierung an das IdP-Gateway weiter.

3. Der Benutzer wird zur Eingabe der Anmeldeinformationen aufgefordert und authentifiziert sich erfolgreich beim Identitätsanbieter. Der IdP gibt als Antwort eine Umleitungs-URL zu Tableau Cloud zurück. Die Umleitungs-URL enthält einen Autorisierungsscode für den Benutzer.

4. Der Client wird zu Tableau Cloud umgeleitet und legt den Autorisierungscode vor.

5. Tableau Cloud präsentiert dem IdP den Autorisierungscode des Clients zusammen mit seinen eigenen Kundenanmeldeinformationen. Tableau Cloud ist ebenfalls Kunde des IdP. Dieser Schritt soll Spoofing oder Man-in-the-Middle-Angriffe verhindern.

6. Der IdP gibt ein Zugriffstoken und ein ID-Token an Tableau Cloud zurück.

  • JSON-Webtoken-Validierung (JWT): Tableau Cloud führt standardmäßig eine Validierung des IdP-JWTs durch. Während des Discovery-Vorgangs ruft Tableau Cloud die öffentlichen Schlüssel ab, die von dem jwks_uri im Discovery-Dokument der IdP-Konfiguration angegeben sind. Tableau Cloud validiert, ob das ID-Token abgelaufen ist, und überprüft dann die JSON-Websignatur (JWS), den Aussteller (IdP) und die Client-ID. Mehr über den JWT-Prozess erfahren Sie in der OIDC-Dokumentation, 10. Signaturen und Verschlüsselung(Link wird in neuem Fenster geöffnet), und im von der IETF vorgeschlagenen Standard JSON-Webtoken(Link wird in neuem Fenster geöffnet). Es wird empfohlen, die JWT-Validierung aktiviert zu lassen, es sei denn, sie wird von Ihrem Internetdienstanbieter nicht unterstützt.

  • Das ID-Token ist ein Satz an Attribut-Schlüssel-Paaren für den Benutzer. Die Schlüssel-Paare werden als Ansprüche bezeichnet. Im Folgenden finden Sie einen Identitätsanbieteranspruch für einen Benutzer:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

7. Tableau Cloud identifiziert den Benutzer anhand der IdP-Claims und schließt die Authentifizierungsanforderung aus Schritt 1 ab.Tableau Cloud kann so konfiguriert werden, dass für diesen Prozess unterschiedliche Ansprüche verwendet werden. Siehe Anforderungen.

8. Tableau Cloud autorisiert den Benutzer.

Wie Tableau Cloud mit OpenID Connect funktioniert

OpenID Connect (OIDC) ist ein flexibles Protokoll, das zahlreiche Optionen für den Informationsaustausch zwischen einem Dienstanbieter (hier Tableau Cloud) und einem Identitätsanbieter (IdP) unterstützt. Die folgende Liste enthält Details zur Tableau Cloud-Implementierung von OpenID Connect. Anhand dieser Details erhalten Sie ein besseres Verständnis dafür, welche Arten von Informationen von Tableau Cloud gesendet und erwartet werden und wie ein IdP konfiguriert wird.

  • Tableau Cloud unterstützt nur den OpenID Authorization Code Flow (OpenID-Autorisierungscode-Ablauf), der in der finalen Spezifikation zu OpenID Connect(Link wird in neuem Fenster geöffnet) beschrieben ist.

  • Tableau Cloud basiert auf der Verwendung eines Discovery-Vorgangs oder einer Anbieter-URL, um die Metadaten des OpenID-Anbieters abzurufen.

  • Tableau Cloud unterstützt die in der OpenID Connect-Spezifikation angegebenen Clientauthentifizierungsmethoden client_secret_basic und client_secret_post. Diese können nur über die Tableau-REST API konfiguriert werden.

  • Tableau Cloud erwartet einen kid-Wert im JOSE-Header des id_token-Attributs. Dieser Wert wird mit einem der Schlüssel im JWK-Satz-Dokument abgeglichen, dessen URI durch den jwks_uri-Wert im OpenID Discovery-Dokument angegeben wird. Ein kid-Wert muss vorhanden sein, auch wenn das JWK-Satz-Dokument nur einen Schlüssel enthält.

  • Tableau Cloud Bietet keine OpenID-Unterstützung für den JWK x5c-Parameter oder die Verwendung von X.509-Zertifikaten

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.