Konfigurieren von Tableau Cloud oder TCM für OpenID Connect


In diesem Thema wird beschrieben, wie Tableau Cloud oder Tableau Cloud Manager (TCM) für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Cloud oder TCM.

  1. OpenID Connect – Übersicht

  2. Konfigurieren des Identitätsanbieters für OpenID Connect

  3. Konfigurieren von Tableau Cloud oder TCM für OpenID Connect (an dieser Stelle befinden Sie sich gerade)

Hinweise:

Anforderungen

Parameter

  • Client-ID: Dieser Wert wird vom IdP ausgestellt und gibt eine Kennung für die registrierte Tableau Cloud oder TCM an. Dadurch kann der IdP erkennen, woher die Authentifizierungsanforderung kommt.

  • Client-Geheimnis: Das ist ein Token, das von Tableau Cloud oder TCM verwendet wird, um die Authentizität der Antwort vom Identitätsanbieter (IdP) zu verifizieren. Dieser Wert sollte sicher aufbewahrt werden.

  • Konfigurations-URL: Dieser Wert gibt die URL an, an die der IdP den Benutzer weiterleitet, nachdem dieser Benutzer authentifiziert wurde. Die URL muss den Host und das Protokoll enthalten (z. B. https://admin.okta.com/oauth2/default/.well-known/openid-configuration), während der Endpunkt der URL von Tableau bereitgestellt wird. Diese URL gibt den Speicherort des Discovery-Dokuments (Dokument zur Auffindung der Anbieterkonfiguration) an, das die OpenID-Anbieter-Metadaten enthält.

    Hinweis: Wenn Ihr IdP keine Konfigurations-URL bereitstellt, verwenden Sie eine URL, die mit .well-known/openid-configuration endet. Für Tableau Cloud sollten Sie die OpenID Connect-Authentifizierungsmethoden(Link wird in neuem Fenster geöffnet) in der Tableau-REST API verwenden, um OIDC zu konfigurieren.

Optionale Parameter

Hinweis: Gilt nur für Tableau Cloud.

Die folgenden optionalen Parameter können mithilfe der OpenID Connect-Authentifizierungsmethoden(Link wird in neuem Fenster geöffnet) aus der Tableau-REST API konfiguriert werden.

  • Eingabeaufforderung: Fordert den Benutzer zur erneuten Authentifizierung und Einwilligung auf. In der Standardeinstellung ist die Benutzereinwilligung aktiviert.

  • Benutzerdefinierter Bereich: Benutzerbezogener Wert des benutzerdefinierten Bereichs zum Abfragen des IdP.

  • Client-Authentifizierung: Token-Endpunkt-Authentifizierungsmethode. Der Standardwert lautet 'client_secret_basic'. Der Wert 'client_secret_post' wird unterstützt.

  • Obligatorische ACR-Werte: Liste der obligatorischen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.

  • Fakultative ACR-Werte: Liste der freiwilligen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.

Ansprüche

Für eine erfolgreiche Anmeldung in Tableau Cloud oder TCM muss der jeweilige Benutzer in OIDC-IdP (OpenID Connect) bereitgestellt und dann einem Benutzerkonto in Tableau Cloud oder TCM zugeordnet werden. OpenID verwendet eine Methode, die auf Ansprüchen basiert, um Benutzerkontoattribute mit anderen Anwendungen zu teilen. Tableau Cloud oder TCM ist auf den IdP-Anspruch angewiesen, um Benutzerkonten vom IdP zu Konten, die in Tableau Cloud oder TCM gehostet werden, zuordnen zu können. Ansprüche beinhalten Benutzerkontenattribute, wie beispielsweise die E-Mail-Adresse, der jeweilige Name usw. Informationen darüber, wie das Zuordnen von IdP-Ansprüchen zu Benutzerkonten in Tableau Cloud oder TCM erfolgt, finden Sie unter Authentifizierungsübersicht.

Hinweis: Bei Ansprüchen ist auf die korrekte Groß-/Kleinschreibung zu achten.

  • Benutzername: In der Standardeinstellung geht Tableau davon aus, dass der IdP den Anspruch „Benutzername“ weitergibt. Je nach Ihrem IdP müssen Sie Tableau Cloud möglicherweise für die Verwendung eines anderen IdP-Anspruchs konfigurieren. Hinweis: Der Benutzername in Tableau ist unveränderlich und kann zu keinem Zeitpunkt aktualisiert werden.

  • Name (Anspruch): Sie können einen Namen oder einen Vor- und Nachnamen angeben, um den Anzeigenamen (DisplayName) für den Benutzer abzurufen.

  • E-Mail-Anspruch: Optional können Sie seit Juli 2025 eine E-Mail-Adresse angeben, die sich vom Benutzernamen unterscheidet. Der Anspruch einer E-Mail-Adresse wird nur für Benachrichtigungszwecke und nicht für die Anmeldung verwendet.

Aktivieren von OIDC für Single Sign-On

Schritt 1: Konfigurieren von OpenID Connect

Für Tableau Cloud

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Klicken Sie auf der Registerkarte "Authentifizierung" auf die Schaltfläche Neue Konfiguration, wählen Sie OpenID Connect (OIDC), und geben Sie einen Namen für die Konfiguration ein.

  3. Folgen Sie den Schritten zum Konfigurieren von Tableau Cloud für OIDC-Authentifizierung, wie folgt beschrieben:

    1. Geben Sie in Schritt 1 die erforderlichen Informationen von Ihrem IdP ein (einschließlich Client-ID, Client-Geheimnis und Konfigurations-URL).

    2. Kopieren Sie in Schritt 2 die Tableau Cloud-Umleitungs-URL, die Sie im Portal Ihres IdP einfügen werden, um Benutzer nach der Authentifizierung umzuleiten.

    3. Geben Sie in Schritt 3 die Ansprüche ein, um eine korrekte Zuordnung von Benutzername und Anzeigename des Benutzers sicherzustellen.

    4. Aktivieren Sie in Schritt 4 optional SLO (Single Logout, einmaliges Abmelden), wenn Ihr IdP dies unterstützt.

    5. Wählen Sie in Schritt 5 optional aus, wie sich Benutzer beim Zugriff auf die eingebettete Ansicht authentifizieren: In einem separaten Pop-up-Fenster oder mithilfe eines Inline-iFrames.

      Hinweis: Sie können den Authentifizierungstyp für eingebettete Ansichten auf der Seite „Authentifizierung“ (unterhalb der OIDC-Konfigurationsschritte) unter dem Abschnitt Standardauthentifizierungstyp für eingebettete Ansichten auswählen.

  4. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Änderungen speichern.

Hinweis: Beim Bearbeiten der OIDC-Konfiguration wird das Client-Geheimnis ausgeblendet und muss erneut eingegeben werden, bevor Änderungen gespeichert werden können.

Für TCM

  1. Melden Sie sich bei TCM als Cloud-Administrator an, und wählen Sie Einstellungen > Authentifizierung aus.

  2. Aktivieren Sie auf der Registerkarte „Authentifizierung“ das Kontrollkästchen Zusätzliche Authentifizierung verwenden.

  3. Wählen Sie im Dropdown-Menü den Eintrag OpenID Connect (OIDC) aus, und klicken Sie auf den Dropdown-Pfeil Konfiguration (erforderlich).

  4. Folgen Sie den Schritten zum Konfigurieren von TCM für OIDC-Authentifizierung auf die folgende Weise:

    1. Geben Sie in Schritt 1 die erforderlichen Informationen von Ihrem IdP ein (einschließlich Client-ID, Client-Geheimnis und Konfigurations-URL).

    2. Kopieren Sie in Schritt 2 die TCM-Umleitungs-URL, die Sie im Portal Ihres IdP einfügen werden, damit Benutzer nach der Authentifizierung umgeleitet werden.

    3. Geben Sie in Schritt 3 die Ansprüche ein, um eine korrekte Zuordnung von Benutzername und Anzeigename des Benutzers sicherzustellen.

    4. Aktivieren Sie in Schritt 4 optional SLO (Single Logout, einmaliges Abmelden), wenn Ihr IdP dies unterstützt.

  5. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Änderungen speichern.

Hinweis: Beim Bearbeiten der OIDC-Konfiguration wird das Client-Geheimnis ausgeblendet und muss erneut eingegeben werden, bevor Änderungen gespeichert werden können.

Schritt 2: Testen der Konfiguration

Wir empfehlen Ihnen dringend, die Konfiguration zu testen, um zu vermeiden, dass jemand versehentlich ausgesperrt wird. Durch Testen der Konfiguration können Sie sicherstellen, dass Sie OIDC korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer in OIDC ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, der bereits im IdP bereitgestellt ist und in Tableau Cloud oder TCM mit konfiguriertem OIDC-Authentifizierungstyp hinzugefügt wurde. Diesen Benutzer verwenden Sie dann zum Anmelden.

Hinweis: Wenn Sie nicht genau wissen, wie die Ansprüche lauten, schließen Sie die Konfiguration ab und testen Sie die Konfiguration. Beim Testen der Konfiguration wird ein neues Fenster mit Details der Anspruchszuordnungen geöffnet, einschließlich den Ansprüchen „Benutzername“ und „Anzeigename“. Einige IdPs ordnen möglicherweise die E-Mail-Adresse dem Tableau-Benutzernamen zu.

Für Tableau Cloud

  1. Klicken Sie auf der Registerkarte „Authentifizierung“, während „OpenID Connect (OIDC)“ ausgewählt ist, unter Schritt 6, auf die Schaltfläche Konfiguration testen. Ein neues Fenster mit Details zu der Konfiguration wird angezeigt.

  2. Wenn Sie fertig sind, schließen Sie die OIDC-Einrichtung ab, indem Sie Ihrer Site Benutzer hinzufügen, wie im folgenden Schritt beschrieben.

Für TCM

  1. Klicken Sie auf der Registerkarte „Authentifizierung“, während „OpenID Connect (OIDC)“ ausgewählt ist, unter Schritt 6, auf die Schaltfläche Konfiguration testen. Ein neues Fenster mit Details zu der Konfiguration wird angezeigt.

  2. Wenn Sie fertig sind, schließen Sie die OIDC-Einrichtung ab, indem Sie Ihrem Mandanten Benutzer hinzufügen, wie im folgenden Schritt beschrieben.

Schritt 3: Hinzufügen von Benutzern zu der OpenID Connect-fähigen Tableau-Site oder TCM

Die in diesem Abschnitt beschriebenen Schritte werden in Tableau Cloud oder TCM auf der Seite Benutzer durchgeführt.

  1. Nachdem Sie die oben genannten Schritte ausgeführt haben, kehren Sie zu Ihrer Tableau Cloud-Site oder TCM zurück.

  2. Wählen Sie im linken Bereich die Seite Benutzer aus.

  3. Folgen Sie den Vorgehensweisen, die in einem der folgenden Themen beschrieben werden:

Problembehebung

Die folgenden Themen enthalten Informationen zur Behebung von Problemen mit OpenID Connect (OIDC) in Tableau Cloud oder TCM.

Das OIDC-Protokoll wird von vielen Identitätsanbietern unterstützt. Bei dem OIDC-Protokoll handelt es sich um einen offenen und flexiblen Standard. Nicht alle Implementierungen des Standards sind identisch. Die meisten Probleme, auf die Administratoren beim Konfigurieren von Tableau Cloud oder TCM für OIDC treffen, resultieren daraus, dass verschiedene Identitätsanbieter OIDC unterschiedlich implementieren. Wenn beim Einrichten von OIDC mit Tableau Probleme auftreten, wird empfohlen, sie gemeinsam mit Ihrem IdP zu lösen.

Anmelden über die Befehlszeile

Für Tableau Cloud

Auch wenn Tableau Cloud für die Verwendung von OpenID konfiguriert wurde, wird OpenID-Authentifizierung nicht verwendet, wenn Sie sich bei Tableau Cloud über tabcmd, die Tableau-REST API(Link wird in neuem Fenster geöffnet) oder das Befehlszeilenprogramm Tableau Data Extract(Link wird in neuem Fenster geöffnet) (im Lieferumfang von Tableau Desktop enthalten) anmelden.

Für TCM

Auch wenn TCM für die Verwendung von OIDC konfiguriert ist, wird beim Anmelden in der Tableau Cloud Manager-REST API(Link wird in neuem Fenster geöffnet) keine OIDC-Authentifizierung verwendet.

Fehler beim Anmelden

In einigen Fällen kann das Anmelden bei Tableau Cloud oder TCM mit der folgenden Meldung fehlschlagen:

Anmeldefehler: IdP-Authentifizierung für Benutzer <Benutzername_vom_IdP> fehlgeschlagen. Der Benutzer konnte in Tableau Cloud nicht gefunden werden.

Dieser Fehler weist in der Regel darauf hin, dass ein Benutzername in Tableau und der vom IdP bereitgestellte Benutzername nicht übereinstimmen. Um dieses Problem zu beheben, stellen Sie sicher, dass die Benutzernamenwerte übereinstimmen. Beispiel: Wenn der Benutzername von Jana Schmidt beim Identitätsanbieter als „jschmidt@beispiel.de“ gespeichert ist, muss er in Tableau Cloud oder TCM ebenfalls als „jschmidt@beispiel.de“ gespeichert sein.

Anpassen und Steuern des Datenzugriffs mithilfe von Benutzerattributen

Bei Benutzerattributen handelt es sich um von Ihrer Organisation definierte Benutzermetadaten. Benutzerattribute können verwendet werden, um den Zugriff in einem typischen attributbasierten Zugriffssteuerungsmodell (Attribute-Based Access Control, ABAC) zu bestimmen. Benutzerattribute können jegliche Aspekte des Benutzerprofils umfassen, einschließlich Aufgabenbereiche, Abteilungszugehörigkeit, Managementebene usw. Sie können aber auch auf Kontextinformationen zur aktuellen Sitzung basieren, wie z. B. von wo aus sich der Benutzer angemeldet oder welche Sprache er eingestellt hat.

Indem Sie Benutzerattribute in Ihren Workflow einbeziehen, können Sie mithilfe des Datenzugriffs und der Personalisierung die Benutzererfahrung steuern und anpassen.

  • Datenzugriff: Benutzerattribute können verwendet werden, um Datensicherheitsrichtlinien durchzusetzen. Dadurch wird sichergestellt, dass Benutzer nur die Daten sehen können, zu deren Anzeige sie berechtigt sind.
  • Personalisierung: Durch die Übergabe von Benutzerattributen (wie Standort und Rolle) können Ihre Inhalte so angepasst werden, dass nur die Informationen angezeigt werden, die für den jeweiligen Benutzer, der auf den Inhalt zugreift, relevant sind – so kann jeder Benutzer die Informationen leichter finden, die er benötigt.

Zusammenfassung der Schritte zum Übergeben von Benutzerattributen

Der Prozess zur Aktivierung von Benutzerattributen in einem Workflow sieht zusammengefasst so aus:

  1. Aktivieren Sie die Benutzerattributeinstellung.
  2. Nehmen Sie Benutzerattribute in das JWT auf.
  3. Stellen Sie sicher, dass der Inhaltsautor Benutzerattributfunktionen und entsprechende Filter verwendet
  4. Überprüfen Sie den Inhalt

Schritt 1: Aktivieren Sie die Benutzerattributeinstellung

Aus Sicherheitsgründen werden Benutzerattribute in einem Authentifizierungsworkflow nur validiert, wenn die Benutzerattributeinstellung von einem Site-Administrator aktiviert wurde.

  1. Melden Sie sich bei Tableau Cloud an, und klicken Sie auf Einstellungen > Authentifizierung.

  2. Aktivieren Sie unter der Überschrift „Benutzerzugriff in Authentifizierungsworkflows steuern“ das Kontrollkästchen Erfassung von Benutzerattributen in Authentifizierungsworkflows aktivieren.

Weitere Informationen über Site-Einstellungen finden Sie in der Benutzerzugriff in Authentifizierungsworkflows steuern.

Schritt 2: Nehmen Sie Benutzerattribute in das JWT auf

Stellen Sie sicher, dass das JSON-Webtoken (JWT) die Benutzerattribute enthält.

Hinweis: Attribute im JWT unterliegen der 4096-Zeichenbeschränkung mit Ausnahme von scope- oder scp-Attributen. Wenn die Attribute im JWT, einschließlich der Benutzerattribute, diese Grenze überschreiten, entfernt Tableau die Attribute und übergibt stattdessen das Attribut ExtraAttributesRemoved. Der Inhaltsautor kann dann eine Berechnung mit dem Attribut ExtraAttributesRemoved erstellen, um zu bestimmen, wie der Inhalt den Benutzern angezeigt werden soll, wenn das Attribut erkannt wurde.

Beispiel

Angenommen, Ihr Mitarbeiter Fred Suzuki ist Manager der Region Süd. Sie möchten sicherstellen, dass Fred bei der Überprüfung von Berichten nur Daten für die Region Süd sehen kann. Für diesen Fall sollten Sie das Benutzerattribut „Region“, wie im folgenden Beispiel veranschaulicht, in das JWT aufnehmen.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Schritt 3: Sicherstellen, dass der Inhaltsautor Attributfunktionen mit einfügt

Stellen Sie sicher, dass der Inhaltsautor die Benutzerattributfunktionen und zugehörige Filter mit einfügt, um zu steuern, welche Daten in seinen Inhalten angezeigt werden können. Damit die Benutzerattribute als Claims an Tableau übergeben werden, muss der Inhalt eine der folgenden Benutzerattributfunktionen enthalten:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Welche Funktion der Inhaltsautor verwendet, hängt davon ab, ob die Benutzerattribute einen einzelnen Wert oder mehrere Werte zurückgeben sollen. Weitere Informationen zu diesen Funktionen und Beispiele dazu finden Sie unter Benutzerfunktionen(Link wird in neuem Fenster geöffnet) in der Tableau-Hilfe.

Hinweise:

  • Eine Vorschau von Inhalten mit diesen Funktionen ist nicht verfügbar, wenn sie in Tableau Desktop oder Tableau Cloud verfasst werden. Die Funktion gibt in diesem Fall NULL oder FALSE zurück. Um sicherzustellen, dass die Benutzerfunktionen wie erwartet funktionieren, empfehlen wir dem Autor, die Funktionen nach Bereitstellung der Inhalte zu überprüfen.
  • Um sicherzustellen, dass Inhalte wie erwartet dargestellt werden, kann der Inhaltsautor eine Berechnung einfügen, die das Attribut ExtraAttributesRemoved verwendet, um 1) zu prüfen, ob dieses Attribut überhaupt vorhanden ist, und 2) zu bestimmen, was in diesem Fall mit dem Inhalt geschehen soll, z. B. eine Meldung anzeigen. Tableau fügt nur dann das Attribut ExtraAttributesRemoved hinzu und entfernt alle anderen Attribute (außer scp bzw. scope), wenn die Attribute im JWT mehr als 4096 Zeichen umfassen. Dies dient dazu, eine optimale Leistung zu gewährleisten und Speicherbeschränkungen einzuhalten.

Beispiel

Fortsetzung des oben in Schritt 2: Nehmen Sie Benutzerattribute in das JWT auf ein. Um den Benutzerattribut-Claim „Region“ an die Arbeitsmappe zu übergeben, kann der Autor USERATTRIBUTEINCLUDES verwenden. Beispiel: USERATTRIBUTEINCLUDES('Region', [Region]), wobei „Region“ das Benutzerattribut und [Region] eine Spalte in den Daten ist. Mithilfe der neuen Berechnung kann der Autor eine Tabelle mit Manager- und Vertriebsdaten erstellen. Wenn die Berechnung hinzugefügt wird, gibt die Arbeitsmappe wie erwartet „False“-Werte zurück.

Um nur die Daten anzuzeigen, die in der eingebetteten Arbeitsmappe der Region Süd zugeordnet sind, kann der Autor einen Filter erstellen und ihn so anpassen, dass Werte angezeigt werden, wenn für die Region Süd „True“ festgelegt ist. Wenn der Filter angewendet wird, bleibt die Arbeitsmappe wie erwartet leer, da die Funktion „False“-Werte zurückgibt und der Filter so eingestellt ist, dass nur „True“-Werte angezeigt werden.

Schritt 4: Überprüfen Sie den Inhalt

Überprüfen und validieren Sie den Inhalt.

Beispiel

Abschluss des obigen Beispiels von Schritt 3: Sicherstellen, dass der Inhaltsautor Attributfunktionen mit einfügt: Sie sehen, dass die Ansicht der Vertriebsdaten an Fred Suzuki angepasst wurden, da sein Benutzerkontext die Region Süd ist.

Die Manager für die in der Arbeitsmappe dargestellten Regionen sollten den jeweiligen Wert sehen, der ihrer Region zugeordnet ist. Beispielsweise sieht Sawdie Pawthorne aus der Region West Daten speziell für ihre Region.

Manager, deren Regionen in der Arbeitsmappe nicht repräsentiert sind, sehen eine leere Arbeitsmappe.

Bekannte Probleme und Einschränkungen

Es gibt einige bekannte Probleme und Einschränkungen, die Sie bei der Arbeit mit Benutzerattributfunktionen berücksichtigen sollten.

Leere Bilder bei Verwendung der Tableau REST-API

Die Tableau-REST API-Anforderungen Vorschaubild abfragen(Link wird in neuem Fenster geöffnet), Arbeitsmappenbild abfragen(Link wird in neuem Fenster geöffnet) und Benutzerdefiniertes Ansichtsbild abrufen(Link wird in neuem Fenster geöffnet) erzeugen leere Bilder.

Einschränkungen

  • Benutzerattributfunktionen in veröffentlichten Datenquellen (.pds) werden nicht unterstützt.
  • Benutzerattributfunktionen in Tableau Bridge-Workflows werden nicht unterstützt.
Zurück zum Anfang
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.