OpenID Connect


Sie können Tableau Cloud oder Tableau Cloud Manager (TCM) zur Unterstützung von OpenID Connect für SSO (Single Sign-on) konfigurieren. OpenID Connect ist ein Standardauthentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie beispielsweise Google oder Salesforce anmelden können. Nach der erfolgreichen Anmeldung bei ihrem IdP sind Benutzer dann automatisch bei Tableau Cloud oder TCM angemeldet.

Die Konfiguration von OpenID Connect erfolgt in mehreren Schritten. Die Themen in diesem Abschnitt enthalten allgemeine Informationen zur Verwendung von Tableau Cloud oder TCM mit OIDC und den Ablauf zur Konfiguration des IdPs und von Tableau Cloud oder TCM.

Wie OIDC mithilfe der Tableau-REST API konfiguriert wird, erfahren Sie unter Authentifizierungsmethoden für OpenID Connect(Link wird in neuem Fenster geöffnet) in der Tableau-Hilfe zur REST API. Hinweis: Gilt nur für Tableau Cloud.

Authentifizierungsübersicht

In diesem Abschnitt wird der Authentifizierungsprozess via OpenID Connect (OIDC) mit Tableau Cloud oder TCM beschrieben.

1. Ein Benutzer versucht, sich von einem Client-Computer aus bei Tableau Cloud oder TCM anzumelden.

2. Tableau Cloud leitet die Anforderung zur Authentifizierung an das IdP-Gateway weiter.

3. Der Benutzer wird zur Eingabe der Anmeldeinformationen aufgefordert und authentifiziert sich erfolgreich beim Identitätsanbieter. Der IdP gibt als Antwort eine Umleitungs-URL zu Tableau Cloud oder TCM zurück. Die Umleitungs-URL enthält einen Autorisierungsscode für den Benutzer.

4. Der Client wird zu Tableau Cloud oder TCM umgeleitet und legt den Autorisierungscode vor.

5. Tableau Cloud oder TCM präsentiert dem IdP den Autorisierungscode des Clients zusammen mit seinen eigenen Kundenanmeldeinformationen. Tableau Cloud oder TCM sind ebenfalls Kunde des IdP. Dieser Schritt soll Spoofing oder Man-in-the-Middle-Angriffe verhindern.

6. Der IdP gibt ein Zugriffstoken und ein ID-Token an Tableau Cloud oder TCM zurück.

  • JSON-Webtoken-Validierung (JWT): Tableau Server führt standardmäßig eine Validierung des IdP-JWTs durch. Während der Erkennung ruft Tableau Server die öffentlichen Schlüssel ab, die durch jwks_uri im Discovery-Dokument der IdP-Konfiguration angegeben sind. Tableau Server stellt sicher, dass das ID-Token nicht abgelaufen ist, und überprüft anschließend die JSON-Websignatur (JWS), den Aussteller (IdP) und die Client-ID. Mehr über den JWT-Prozess erfahren Sie in der OIDC-Dokumentation, 10. Signaturen und Verschlüsselung(Link wird in neuem Fenster geöffnet), und im von der IETF vorgeschlagenen Standard JSON-Webtoken(Link wird in neuem Fenster geöffnet). Es wird empfohlen, die JWT-Validierung aktiviert zu lassen, es sei denn, sie wird von Ihrem Internetdienstanbieter nicht unterstützt.

  • Das ID-Token ist ein Satz an Attribut-Schlüssel-Paaren für den Benutzer. Die Schlüssel-Paare werden als Ansprüche bezeichnet. Im Folgenden finden Sie einen Identitätsanbieteranspruch für einen Benutzer:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7. Tableau Cloud oder TCM identifiziert den Benutzer anhand der IdP-Ansprüche und schließt die Authentifizierungsanforderung aus Schritt 1 ab.Tableau Cloud kann so konfiguriert werden, dass für diesen Prozess unterschiedliche Ansprüche verwendet werden. Siehe Anforderungen.

8. Tableau Cloud oder TCM autorisiert den Benutzer.

Funktionsweise von Tableau mit OpenID Connect

OpenID Connect (OIDC) ist ein flexibles Protokoll, das zahlreiche Optionen für den Informationsaustausch zwischen einem Dienstanbieter (hier Tableau Cloud oder TCM) und einem Identitätsanbieter (IdP) unterstützt. Die folgende Liste enthält Details zur Implementierung von OpenID Connect in Tableau Cloud und TCM. Diese Details vermitteln Ihnen ein besseres Verständnis dafür, welche Arten von Informationen von Tableau Cloud oder TCM gesendet und erwartet werden, und wie ein IdP konfiguriert wird.

  • Tableau Cloud und TCM unterstützt nur den OpenID Authorization Code Flow (OpenID-Autorisierungscode-Ablauf), der in der finalen Spezifikation zu OpenID Connect(Link wird in neuem Fenster geöffnet) beschrieben ist.

  • Tableau Cloud und TCM setzt auf die Verwendung eines Discovery-Vorgangs oder einer Anbieter-URL, um die Metadaten zum IdP abzurufen.

  • Tableau Cloud und TCM unterstützt die client_secret_basic (Standardwert) und client_secret_post-Clientauthentifizierung, und andere in der OpenID Connect-Spezifikation angegebene Parameter. Diese können nur über die Tableau-REST API konfiguriert werden.

Dynamische Gruppenmitgliedschaft mithilfe von OIDC-Assertionen

Hinweis: Gilt nur für Tableau Cloud.

Seit Juni 2024 können Sie, wenn die OIDC-Authentifizierung konfiguriert und die Einstellung dieser Funktion aktiviert ist, die Gruppenmitgliedschaft dynamisch über benutzerdefinierte Ansprüche steuern, die im vom Identitätsanbieter (IdP) gesendeten JSON Web Token (JWT) enthalten sind.

Wenn konfiguriert, sendet der IdP während der Benutzerauthentifizierung die OIDC-Assertion, die zwei benutzerdefinierte Gruppenmitgliedschaftsansprüche enthält: Gruppe (https://tableau.com/groups) und Namen der Gruppen (z. B. „Gruppe1“ und „Gruppe2“), in die der Benutzer aufgenommen werden soll. Tableau validiert die Assertion und ermöglicht dann den Zugriff auf die Gruppen und die Inhalte, deren Berechtigungen von diesen Gruppen abhängen.

Weitere Informationen finden Sie unter Dynamische Gruppenmitgliedschaft mithilfe von Assertionen.

Beispiel-JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Zurück zum Anfang