Konfigurieren von Tableau Cloud oder TCM für OpenID Connect

In diesem Thema wird beschrieben, wie Tableau Cloud oder Tableau Cloud Manager (TCM) für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Cloud oder TCM.

  1. OpenID Connect – Übersicht

  2. Konfigurieren des Identitätsanbieters für OpenID Connect

  3. Konfigurieren von Tableau Cloud oder TCM für OpenID Connect (an dieser Stelle befinden Sie sich gerade)

Hinweise:

Anforderungen

Parameter

  • Client-ID: Dieser Wert wird vom IdP ausgestellt und gibt eine Kennung für die registrierte Tableau Cloud oder TCM an. Dadurch kann der IdP erkennen, woher die Authentifizierungsanforderung kommt.

  • Client-Geheimnis: Das ist ein Token, das von Tableau Cloud oder TCM verwendet wird, um die Authentizität der Antwort vom Identitätsanbieter (IdP) zu verifizieren. Dieser Wert sollte sicher aufbewahrt werden.

  • Konfigurations-URL: Dieser Wert gibt die URL an, an die der IdP den Benutzer weiterleitet, nachdem dieser Benutzer authentifiziert wurde. Die URL muss den Host und das Protokoll enthalten (z. B. https://admin.okta.com/oauth2/default/.well-known/openid-configuration), während der Endpunkt der URL von Tableau bereitgestellt wird. Diese URL gibt den Speicherort des Discovery-Dokuments (Dokument zur Auffindung der Anbieterkonfiguration) an, das die OpenID-Anbieter-Metadaten enthält.

    Hinweis: Wenn Ihr IdP keine Konfigurations-URL bereitstellt, verwenden Sie eine URL, die mit .well-known/openid-configuration endet. Für Tableau Cloud sollten Sie die OpenID Connect-Authentifizierungsmethoden(Link wird in neuem Fenster geöffnet) in der Tableau-REST API verwenden, um OIDC zu konfigurieren.

Optionale Parameter

Hinweis: Gilt nur für Tableau Cloud.

Die folgenden optionalen Parameter können mithilfe der OpenID Connect-Authentifizierungsmethoden(Link wird in neuem Fenster geöffnet) aus der Tableau-REST API konfiguriert werden.

  • Eingabeaufforderung: Fordert den Benutzer zur erneuten Authentifizierung und Einwilligung auf. In der Standardeinstellung ist die Benutzereinwilligung aktiviert.

  • Benutzerdefinierter Bereich: Benutzerbezogener Wert des benutzerdefinierten Bereichs zum Abfragen des IdP.

  • Client-Authentifizierung: Token-Endpunkt-Authentifizierungsmethode. Der Standardwert lautet 'client_secret_basic'. Der Wert 'client_secret_post' wird unterstützt.

  • Obligatorische ACR-Werte: Liste der obligatorischen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.

  • Fakultative ACR-Werte: Liste der freiwilligen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.

Ansprüche

Für eine erfolgreiche Anmeldung in Tableau Cloud oder TCM muss der jeweilige Benutzer in OIDC-IdP (OpenID Connect) bereitgestellt und dann einem Benutzerkonto in Tableau Cloud oder TCM zugeordnet werden. OpenID verwendet eine Methode, die auf Ansprüchen basiert, um Benutzerkontoattribute mit anderen Anwendungen zu teilen. Tableau Cloud oder TCM ist auf den IdP-Anspruch angewiesen, um Benutzerkonten vom IdP zu Konten, die in Tableau Cloud oder TCM gehostet werden, zuordnen zu können. Ansprüche beinhalten Benutzerkontenattribute, wie beispielsweise die E-Mail-Adresse, der jeweilige Name usw. Informationen darüber, wie das Zuordnen von IdP-Ansprüchen zu Benutzerkonten in Tableau Cloud oder TCM erfolgt, finden Sie unter Authentifizierungsübersicht.

Hinweis: Bei Ansprüchen ist auf die korrekte Groß-/Kleinschreibung zu achten.

  • Benutzername: In der Standardeinstellung geht Tableau davon aus, dass der IdP den Anspruch „Benutzername“ weitergibt. Je nach Ihrem IdP müssen Sie Tableau Cloud möglicherweise für die Verwendung eines anderen IdP-Anspruchs konfigurieren. Hinweis: Der Benutzername in Tableau ist unveränderlich und kann zu keinem Zeitpunkt aktualisiert werden.

  • Name (Anspruch): Sie können einen Namen oder einen Vor- und Nachnamen angeben, um den Anzeigenamen (DisplayName) für den Benutzer abzurufen.

Schritt 1: Konfigurieren von OpenID Connect

Für Tableau Cloud

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Klicken Sie auf der Registerkarte "Authentifizierung" auf die Schaltfläche Neue Konfiguration, wählen Sie OpenID Connect (OIDC), und geben Sie einen Namen für die Konfiguration ein.

  3. Folgen Sie den Schritten zum Konfigurieren von Tableau Cloud für OIDC-Authentifizierung, wie folgt beschrieben:

    1. Geben Sie in Schritt 1 die erforderlichen Informationen von Ihrem IdP ein (einschließlich Client-ID, Client-Geheimnis und Konfigurations-URL).

    2. Kopieren Sie in Schritt 2 die Tableau Cloud-Umleitungs-URL, die Sie im Portal Ihres IdP einfügen werden, um Benutzer nach der Authentifizierung umzuleiten.

    3. Geben Sie in Schritt 3 die Ansprüche ein, um eine korrekte Zuordnung von Benutzername und Anzeigename des Benutzers sicherzustellen.

    4. Aktivieren Sie in Schritt 4 optional SLO (Single Logout, einmaliges Abmelden), wenn Ihr IdP dies unterstützt.

    5. Wählen Sie in Schritt 5 optional aus, wie sich Benutzer beim Zugriff auf die eingebettete Ansicht authentifizieren: In einem separaten Pop-up-Fenster oder mithilfe eines Inline-iFrames.

      Hinweis: Sie können den Authentifizierungstyp für eingebettete Ansichten auf der Seite „Authentifizierung“ (unterhalb der OIDC-Konfigurationsschritte) unter dem Abschnitt Standardauthentifizierungstyp für eingebettete Ansichten auswählen.

  4. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Änderungen speichern.

Hinweis: Beim Bearbeiten der OIDC-Konfiguration wird das Client-Geheimnis ausgeblendet und muss erneut eingegeben werden, bevor Änderungen gespeichert werden können.

Für TCM

  1. Melden Sie sich bei TCM als Cloud-Administrator an, und wählen Sie Einstellungen > Authentifizierung aus.

  2. Aktivieren Sie auf der Registerkarte „Authentifizierung“ das Kontrollkästchen Zusätzliche Authentifizierung verwenden.

  3. Wählen Sie im Dropdown-Menü den Eintrag OpenID Connect (OIDC) aus, und klicken Sie auf den Dropdown-Pfeil Konfiguration (erforderlich).

  4. Folgen Sie den Schritten zum Konfigurieren von TCM für OIDC-Authentifizierung auf die folgende Weise:

    1. Geben Sie in Schritt 1 die erforderlichen Informationen von Ihrem IdP ein (einschließlich Client-ID, Client-Geheimnis und Konfigurations-URL).

    2. Kopieren Sie in Schritt 2 die TCM-Umleitungs-URL, die Sie im Portal Ihres IdP einfügen werden, damit Benutzer nach der Authentifizierung umgeleitet werden.

    3. Geben Sie in Schritt 3 die Ansprüche ein, um eine korrekte Zuordnung von Benutzername und Anzeigename des Benutzers sicherzustellen.

    4. Aktivieren Sie in Schritt 4 optional SLO (Single Logout, einmaliges Abmelden), wenn Ihr IdP dies unterstützt.

  5. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Änderungen speichern.

Hinweis: Beim Bearbeiten der OIDC-Konfiguration wird das Client-Geheimnis ausgeblendet und muss erneut eingegeben werden, bevor Änderungen gespeichert werden können.

Schritt 2: Testen der Konfiguration

Wir empfehlen Ihnen dringend, die Konfiguration zu testen, um zu vermeiden, dass jemand versehentlich ausgesperrt wird. Durch Testen der Konfiguration können Sie sicherstellen, dass Sie OIDC korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer in OIDC ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, der bereits im IdP bereitgestellt ist und in Tableau Cloud oder TCM mit konfiguriertem OIDC-Authentifizierungstyp hinzugefügt wurde. Diesen Benutzer verwenden Sie dann zum Anmelden.

Hinweis: Wenn Sie nicht genau wissen, wie die Ansprüche lauten, schließen Sie die Konfiguration ab und testen Sie die Konfiguration. Beim Testen der Konfiguration wird ein neues Fenster mit Details der Anspruchszuordnungen geöffnet, einschließlich den Ansprüchen „Benutzername“ und „Anzeigename“. Einige IdPs ordnen möglicherweise die E-Mail-Adresse dem Tableau-Benutzernamen zu.

Für Tableau Cloud

  1. Klicken Sie auf der Registerkarte „Authentifizierung“, während „OpenID Connect (OIDC)“ ausgewählt ist, unter Schritt 6, auf die SchaltflächeKonfiguration testen. Ein neues Fenster mit Details zu der Konfiguration wird angezeigt.

  2. Wenn Sie fertig sind, schließen Sie die OIDC-Einrichtung ab, indem Sie Ihrer Site Benutzer hinzufügen, wie im folgenden Schritt beschrieben.

Für TCM

  1. Klicken Sie auf der Registerkarte „Authentifizierung“ – während „OpenID Connect (OIDC)“ ausgewählt ist –, unter Schritt 5 auf die SchaltflächeKonfiguration testen. Ein neues Fenster mit Details zu der Konfiguration wird angezeigt.

  2. Wenn Sie fertig sind, schließen Sie die OIDC-Einrichtung ab, indem Sie Ihrem Mandanten Benutzer hinzufügen, wie im folgenden Schritt beschrieben.

Schritt 3: Hinzufügen von Benutzern zu der OpenID Connect-fähigen Tableau-Site oder TCM

Die in diesem Abschnitt beschriebenen Schritte werden in Tableau Cloud oder TCM auf der Seite Benutzer durchgeführt.

  1. Nachdem Sie die oben genannten Schritte ausgeführt haben, kehren Sie zu Ihrer Tableau Cloud-Site oder TCM zurück.

  2. Wählen Sie im linken Bereich die Seite Benutzer aus.

  3. Folgen Sie den Vorgehensweisen, die in einem der folgenden Themen beschrieben werden:

Problembehebung

Die folgenden Themen enthalten Informationen zur Behebung von Problemen mit OpenID Connect (OIDC) in Tableau Cloud oder TCM.

Das OIDC-Protokoll wird von vielen Identitätsanbietern unterstützt. Bei dem OIDC-Protokoll handelt es sich um einen offenen und flexiblen Standard. Nicht alle Implementierungen des Standards sind identisch. Die meisten Probleme, auf die Administratoren beim Konfigurieren von Tableau Cloud oder TCM für OIDC treffen, resultieren daraus, dass verschiedene Identitätsanbieter OIDC unterschiedlich implementieren. Wenn beim Einrichten von OIDC mit Tableau Probleme auftreten, wird empfohlen, sie gemeinsam mit Ihrem IdP zu lösen.

Anmelden über die Befehlszeile

Für Tableau Cloud

Auch wenn Tableau Cloud für die Verwendung von OpenID konfiguriert wurde, wird OpenID-Authentifizierung nicht verwendet, wenn Sie sich bei Tableau Cloud über tabcmd, die Tableau-REST API(Link wird in neuem Fenster geöffnet) oder das Befehlszeilenprogramm Tableau Data Extract(Link wird in neuem Fenster geöffnet) (im Lieferumfang von Tableau Desktop enthalten) anmelden.

Für TCM

Auch wenn TCM für die Verwendung von OIDC konfiguriert ist, wird beim Anmelden in der Tableau Cloud Manager-REST API(Link wird in neuem Fenster geöffnet) keine OIDC-Authentifizierung verwendet.

Fehler beim Anmelden

In einigen Fällen kann das Anmelden bei Tableau Cloud oder TCM mit der folgenden Meldung fehlschlagen:

Anmeldefehler: IdP-Authentifizierung für Benutzer <Benutzername_vom_IdP> fehlgeschlagen. Der Benutzer konnte in Tableau Cloud nicht gefunden werden.

Dieser Fehler weist in der Regel darauf hin, dass ein Benutzername in Tableau und der vom IdP bereitgestellte Benutzername nicht übereinstimmen. Um dieses Problem zu beheben, stellen Sie sicher, dass die Benutzernamenwerte übereinstimmen. Beispiel: Wenn der Benutzername von Jana Schmidt beim Identitätsanbieter als „jschmidt@beispiel.de“ gespeichert ist, muss er in Tableau Cloud oder TCM ebenfalls als „jschmidt@beispiel.de“ gespeichert sein.