Konfigurieren von Tableau Cloud für OpenID Connect
In diesem Thema wird beschrieben, wie Tableau Cloud für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Cloud.
OpenID Connect – Übersicht
Konfigurieren von Tableau Cloud für OpenID Connect (an dieser Stelle befinden Sie sich gerade)
Hinweise:
- Bevor Sie die hier beschriebenen Schritte ausführen, müssen Sie den OpenID-Identitätsanbieter (Identity Provider, IdP) wie in Konfigurieren des Identitätsanbieters für OpenID Connect beschrieben konfigurieren.
- Alternativ dazu können Sie OIDC-Authentifizierung für Tableau Cloud auch mithilfe der OpenID Connect-Methoden(Link wird in neuem Fenster geöffnet) aus der Tableau-REST API konfigurieren.
- OIDC-SSO (Single Sign-On) wird von der REST API und von tabcmd nicht unterstützt. Zum Verwenden von tabcmd oder der REST API(Link wird in neuem Fenster geöffnet) müssen sich Benutzer mithilfe eines TableauID-Kontos bei Tableau Cloud anmelden.
Anforderungen
Parameter
Client-ID: Dieser Wert wird vom IdP ausgegeben und gibt einen Bezeichner für die registrierte Tableau Cloud an. Dadurch kann der IdP erkennen, woher die Authentifizierungsanfrage kommt.
Client-Geheimnis: Das ist ein Token, das von Tableau Cloud verwendet wird, um die Authentizität der Antwort vom Identitätsanbieter (IdP) zu verifizieren. Dieser Wert sollte sicher aufbewahrt werden.
Konfigurations-URL: Dieser Wert gibt die URL an, an die der IdP den Benutzer weiterleitet, nachdem dieser Benutzer authentifiziert wurde. Die URL muss den Host und das Protokoll enthalten (z. B.
https://admin.okta.com/oauth2/default/.well-known/openid-configuration
), während der Endpunkt der URL von Tableau bereitgestellt wird. Gibt den Speicherort des Discovery-Dokuments (Dokument zur Auffindung der Anbieterkonfiguration) an, das OpenID-Anbieter-Metadaten enthält.Hinweis: Wenn Ihr IdP keine Konfigurations-URL bereitstellt (eine URL, die mit
.well-known/openid-configuration
endet), sollten Sie erwägen, zum Konfigurieren von OIDC die OpenID Connect-Authentifizierungsmethoden(Link wird in neuem Fenster geöffnet) aus der Tableau-REST API zu verwenden.
Optionale Parameter
Die folgenden optionalen Parameter können mithilfe der OpenID Connect-Authentifizierungsmethoden(Link wird in neuem Fenster geöffnet) aus der Tableau-REST API konfiguriert werden.
Eingabeaufforderung: Fordert den Benutzer zur erneuten Authentifizierung und Einwilligung auf. In der Standardeinstellung ist die Benutzereinwilligung aktiviert.
Benutzerdefinierter Bereich: Benutzerbezogener Wert des benutzerdefinierten Bereichs zum Abfragen des IdP.
Client-Authentifizierung: Token-Endpunkt-Authentifizierungsmethode. Der Standardwert lautet
'client_secret_basic'
. Der Wert'client_secret_post'
wird unterstützt.Obligatorische ACR-Werte: Liste der obligatorischen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.
Fakultative ACR-Werte: Liste der freiwilligen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.
Ansprüche
Für eine erfolgreiche Anmeldung in Tableau Cloud muss der jeweilige Benutzer in OpenID Connect (OIDC) IdP bereitgestellt und dann einem Benutzerkonto in Tableau Cloud zugeordnet werden. OpenID verwendet eine Methode, die auf Ansprüchen basiert, um Benutzerkontoattribute mit anderen Anwendungen zu teilen. Für das Zuordnen von Benutzerkonten vom IdP zu Konten, die in Tableau Cloud gehostet werden, ist Tableau Cloud auf den IdP-Anspruch angewiesen. Zu Ansprüchen gehören beispielsweise die E-Mail-Adresse, der jeweilige Benutzer usw. Informationen darüber, wie das Zuordnen von IdP-Ansprüchen zu Benutzerkonten in Tableau Cloud erfolgt, finden Sie unter Authentifizierungsübersicht.
Hinweis: Bei Ansprüchen ist auf die korrekte Groß-/Kleinschreibung zu achten.
Benutzername: In der Standardeinstellung geht Tableau Cloud davon aus, dass der IdP den Anspruch „Benutzername“ weitergibt. Je nach Ihrem IdP müssen Sie Tableau Cloud möglicherweise für die Verwendung eines anderen IdP-Anspruchs konfigurieren.
Hinweis: Der Benutzername in Tableau Cloud ist unveränderlich und kann zu keinem Zeitpunkt aktualisiert werden.
Name (Anspruch): Sie können einen Namen oder einen Vor- und Nachnamen angeben, um den Anzeigenamen (DisplayName) für den Benutzer abzurufen.
Schritt 1: Konfigurieren von OpenID Connect
Melden Sie sich bei Tableau Cloud als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung aus.
Wählen Sie auf der Registerkarte „Authentifizierung“ die Option OpenID Connect (OIDC) aus.
Folgen Sie den Schritten zum Konfigurieren von Tableau Cloud für OIDC-Authentifizierung, wie folgt beschrieben:
Geben Sie in Schritt 1 die erforderlichen Informationen von Ihrem IdP ein (einschließlich Client-ID, Client-Geheimnis und Konfigurations-URL).
Kopieren Sie in Schritt 2 die Tableau Cloud-Umleitungs-URL, die Sie im Portal Ihres IdP einfügen werden, um Benutzer nach der Authentifizierung umzuleiten.
Geben Sie in Schritt 3 die Ansprüche ein, um eine korrekte Zuordnung von Benutzername und Anzeigename des Benutzers sicherzustellen.
Aktivieren Sie in Schritt 4 optional SLO (Single Logout, einmaliges Abmelden), wenn Ihr IdP dies unterstützt.
Wählen Sie in Schritt 5 optional aus, wie sich Benutzer beim Zugriff auf die eingebettete Ansicht authentifizieren: In einem separaten Pop-up-Fenster oder mithilfe eines Inline-iFrames.
Hinweis: Sie können den Authentifizierungstyp für eingebettete Ansichten auf der Seite „Authentifizierung“ (unterhalb der OIDC-Konfigurationsschritte) unter dem Abschnitt Standardauthentifizierungstyp für eingebettete Ansichten auswählen.
Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Änderungen speichern.
Hinweis: Beim Bearbeiten der OIDC-Konfiguration wird das Client-Geheimnis ausgeblendet und muss erneut eingegeben werden, bevor Änderungen gespeichert werden können.
Schritt 2: Testen der Konfiguration
Wir empfehlen Ihnen dringend, die Konfiguration zu testen, um zu vermeiden, dass jemand versehentlich ausgesperrt wird. Durch Testen der Konfiguration können Sie sicherstellen, dass Sie OIDC korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer in OIDC ändern. Um die Konfiguration erfolgreich testen zu können, müssen Sie sich vergewissern, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits beim IdP bereitgestellt und in Ihrem Tableau Cloud mit OIDC als Authentifizierungstyp hinzugefügt ist.
Hinweis: Wenn Sie nicht genau wissen, wie die Ansprüche lauten, schließen Sie die Konfiguration ab und testen Sie die Konfiguration. Beim Testen der Konfiguration wird ein neues Fenster mit Details der Anspruchszuordnungen geöffnet, einschließlich den Ansprüchen „Benutzername“ und „Anzeigename“. Einige IdPs ordnen möglicherweise die E-Mail-Adresse dem Tableau-Benutzernamen zu.
Klicken Sie auf der Registerkarte „Authentifizierung“, während „OpenID Connect (OIDC)“ ausgewählt ist, unter Schritt 6, auf die SchaltflächeKonfiguration testen. Ein neues Fenster mit Details zu der Konfiguration wird angezeigt.
Wenn Sie fertig sind, schließen Sie die OIDC-Einrichtung ab, indem Sie Ihrer Site Benutzer hinzufügen, wie im folgenden Schritt beschrieben.
Schritt 3: Hinzufügen von Benutzern zu der OpenID Connect-fähigen Tableau-Site
Die in diesem Abschnitt beschriebenen Schritte werden auf der Benutzerseite von Tableau Cloud ausgeführt.
Nachdem Sie die oben genannten Schritte ausgeführt haben, kehren Sie zu Ihrer Tableau Cloud-Site zurück.
Wählen Sie im linken Bereich die Seite Benutzer aus.
Folgen Sie der unter Hinzufügen von Benutzern zu einer Site beschriebenen Vorgehensweise.
Problembehebung
Die folgenden Themen enthalten Informationen zur Behebung von Problemen mit OpenID Connect (OIDC) in Tableau Cloud.
Das OIDC-Protokoll wird von vielen Identitätsanbietern unterstützt. Bei dem OIDC-Protokoll handelt es sich um einen offenen und flexiblen Standard. Nicht alle Implementierungen des Standards sind identisch. Die meisten Probleme, auf die Administratoren beim Konfigurieren von Tableau Cloud für OIDC treffen, resultieren daraus, dass verschiedene Identitätsanbieter OIDC unterschiedlich implementieren. Sollten Sie beim Einrichten von OIDC mit Tableau Cloud auf ein Problem stoßen, wird empfohlen, dieses gemeinsam mit Ihrem IdP zu lösen.
Anmelden über die Befehlszeile
Auch wenn Tableau Cloud für die Verwendung von OpenID konfiguriert wurde, wird OpenID nicht verwendet, wenn Sie sich bei Tableau Cloud über tabcmd-Befehle, die REST API(Link wird in neuem Fenster geöffnet) oder das Befehlszeilenprogramm Tableau Data Extract(Link wird in neuem Fenster geöffnet) (im Lieferumfang von Tableau Desktop enthalten) anmelden.
Fehler beim Anmelden
In einigen Fällen kann das Anmelden bei Tableau Cloud mit der folgenden Meldung fehlschlagen:
Anmeldefehler: IdP-Authentifizierung für Benutzer <Benutzername_vom_IdP> fehlgeschlagen. Der Benutzer konnte in Tableau Cloud nicht gefunden werden.
Dieser Fehler bedeutet meist, dass der in Tableau Cloud gespeicherte Benutzername und der vom IdP angegebene Benutzername nicht übereinstimmen. Um dieses Problem zu beheben, stellen Sie sicher, dass die Benutzernamenwerte übereinstimmen. Beispiel: Wenn der Benutzername von Jana Schmidt beim Identitätsanbieter als „jschmidt@beispiel.de“ gespeichert ist, muss er in Tableau Cloud ebenfalls als „jschmidt@beispiel.de“ gespeichert sein.