Konfigurieren von Tableau Cloud für OpenID Connect

In diesem Thema wird beschrieben, wie Tableau Cloud für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Cloud.

  1. OpenID Connect – Übersicht

  2. Konfigurieren des Identitätsanbieters für OpenID Connect

  3. Konfigurieren von Tableau Cloud für OpenID Connect (an dieser Stelle befinden Sie sich gerade)

Hinweise:

Anforderungen

Parameter

  • Client-ID: Dieser Wert wird vom IdP ausgegeben und gibt einen Bezeichner für die registrierte Tableau Cloud an. Dadurch kann der IdP erkennen, woher die Authentifizierungsanfrage kommt.

  • Client-Geheimnis: Das ist ein Token, das von Tableau Cloud verwendet wird, um die Authentizität der Antwort vom Identitätsanbieter (IdP) zu verifizieren. Dieser Wert sollte sicher aufbewahrt werden.

  • Konfigurations-URL: Dieser Wert gibt die URL an, die der IdP an den Benutzer weiterleitet, nachdem dieser Benutzer per OIDC authentifiziert wurde. Die URL muss den Host und das Protokoll enthalten (z. B. https://cognito-idp.us-west-1.amazonaws.com/us-west-1_12abC3DefG/.well-known/openid-configuration), während der Endpunkt der URL von Tableau bereitgestellt wird. Gibt den Speicherort des Discovery-Dokuments (Dokument zur Auffindung der Anbieterkonfiguration) an, das OpenID-Anbieter-Metadaten enthält.

Optionale Parameter

Die folgenden optionalen Parameter können mithilfe der OpenID Connect-Methoden(Link wird in neuem Fenster geöffnet) aus der Tableau-REST API konfiguriert werden.

  • Eingabeaufforderung: Fordert den Benutzer zur erneuten Authentifizierung und Einwilligung auf. In der Standardeinstellung ist die Benutzereinwilligung aktiviert.

  • Benutzerdefinierter Bereich: Benutzerbezogener Wert des benutzerdefinierten Bereichs zum Abfragen des IdP.

  • Client-Authentifizierung: Token-Endpunkt-Authentifizierungsmethode. Der Standardwert lautet 'CLIENT_SECRET_BASIC'.

  • Obligatorische ACR-Werte: Liste der obligatorischen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.

  • Fakultative ACR-Werte: Liste der freiwilligen Werte der ACR-Klasse (Authentication Context Reference, Authentifizierungskontextreferenz), die für die Authentifizierung verwendet werden.

Ansprüche

  • Benutzername: Für die erfolgreiche Anmeldung bei Tableau Cloud muss der jeweilige Benutzer in OpenID Connect (OIDC) bereitgestellt und dann einem Benutzerkonto in Tableau Cloud zugeordnet werden. OpenID verwendet eine Methode, die auf Ansprüchen basiert, um Benutzerkontoattribute mit anderen Anwendungen zu teilen. Zu Ansprüchen gehören Benutzerkontoattribute wie E-Mail-Adresse, Telefonnummer und der angegebene Name. Wie das Zuordnen von IdP-Ansprüchen zu Benutzerkonten in Tableau Cloud erfolgt, erfahren Sie im Abschnitt Authentifizierungsübersicht.

    Tableau Cloud nutzt den IdP-Anspruch, um Benutzerkonten vom IdP denen zuzuordnen, die in Tableau Cloud gehostet sind. In der Standardeinstellung geht Tableau Cloud davon aus, dass der IdP den „username“-Anspruch (Benutzername) weitergibt. Je nach Ihrem IdP müssen Sie Tableau Cloud möglicherweise so konfigurieren, dass ein anderer IdP-Anspruch verwendet wird.

    Wenn Sie Okta als IdP nutzen, verwenden Sie den standardmäßigen Anspruch email, um IdP-Identitäten zu Tableau Cloud-Benutzerkonten zuzuordnen. Wenn Sie einen anderen IdP als Okta nutzen, sollten Sie sich an diesen IdP wenden, um zu erfahren, für welchen Anspruch Sie Tableau Cloud konfigurieren sollten.

    Hinweis: Der Benutzername in Tableau Cloud ist unveränderlich und kann zu keinem Zeitpunkt aktualisiert werden.

  • Name oder Vor- und Nachname (Anspruch): Sie können einen Namen oder einen Vor- und Nachnamen angeben, um den Anzeigenamen (DisplayName) für den Benutzer abzurufen.

Schritt 1: Konfigurieren von OpenID Connect

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung aus.

  2. Wählen Sie auf der Registerkarte „Authentifizierung“ die Option OpenID Connect (OIDC) aus.

  3. Folgen Sie den Schritten zum Zuordnen der erforderlichen OIDC-Ansprüche und legen Sie optional SLO (Single Logout) und die Standardeinstellung für eingebettete Ansichten fest.

  4. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Änderungen speichern.

Hinweis: Beim Bearbeiten der OIDC-Konfiguration wird das Client-Geheimnis ausgeblendet und muss erneut eingegeben werden, bevor Änderungen gespeichert werden können.

Schritt 2: Testen der Konfiguration

Wir empfehlen Ihnen dringend, die Konfiguration zu testen, um zu vermeiden, dass jemand versehentlich ausgesperrt wird. Durch Testen der Konfiguration können Sie sicherstellen, dass Sie OIDC korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer in OIDC ändern. Um die Konfiguration erfolgreich testen zu können, müssen Sie sich vergewissern, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits beim IdP bereitgestellt und in Ihrem Tableau Cloud mit OIDC als Authentifizierungstyp hinzugefügt ist.

  1. Klicken Sie auf der Registerkarte „Authentifizierung“, während „OpenID Connect (OIDC)“ ausgewählt ist, unter Schritt 6, auf die SchaltflächeKonfiguration testen. Ein neues Fenster mit Details zu der Konfiguration wird angezeigt.

  2. Wenn Sie fertig sind, schließen Sie die OIDC-Einrichtung ab, indem Sie Ihrer Site Benutzer hinzufügen, wie im folgenden Schritt beschrieben.

Schritt 3: Hinzufügen von Benutzern zu der OpenID Connect-fähigen Tableau-Site

Die in diesem Abschnitt beschriebenen Schritte werden auf der Benutzerseite von Tableau Cloud ausgeführt.

  1. Nachdem Sie die oben genannten Schritte ausgeführt haben, kehren Sie zu Ihrer Tableau Cloud-Site zurück.

  2. Wählen Sie im linken Bereich die Seite Benutzer aus.

  3. Befolgen Sie die im Thema Hinzufügen von Benutzern zu einer Site beschriebenen Vorgehensweise.

Problembehebung

Die folgenden Themen enthalten Informationen zur Behebung von Problemen mit OpenID Connect (OIDC) in Tableau Cloud.

Das OIDC-Protokoll wird von vielen Identitätsanbietern unterstützt. Bei dem OIDC-Protokoll handelt es sich um einen offenen und flexiblen Standard. Nicht alle Implementierungen des Standards sind identisch. Die meisten Probleme, auf die Administratoren beim Konfigurieren von Tableau Cloud für OIDC treffen, resultieren daraus, dass verschiedene Identitätsanbieter OIDC unterschiedlich implementieren. Sollten Sie beim Einrichten von OIDC mit Tableau Cloud auf ein Problem stoßen, wird empfohlen, dieses gemeinsam mit Ihrem IdP zu lösen.

Anmelden über die Befehlszeile

Auch wenn Tableau Cloud für die Verwendung von OpenID konfiguriert wurde, wird OpenID nicht verwendet, wenn Sie sich bei Tableau Cloud über tabcmd-Befehle, die REST API(Link wird in neuem Fenster geöffnet) oder das Befehlszeilenprogramm Tableau Data Extract(Link wird in neuem Fenster geöffnet) (im Lieferumfang von Tableau Desktop enthalten) anmelden.

Fehler beim Anmelden

In einigen Fällen kann das Anmelden bei Tableau Cloud mit der folgenden Meldung fehlschlagen:

Login failure: Identity Provider authentication successful for user <username_from_IdP>. Failed to find the user in Tableau Cloud. (Anmeldefehler: IdP-Authentifizierung für Benutzer <Benutzername_vom_IdP> erfolgreich. Aber in Tableau Cloud konnte der Benutzer nicht gefunden werden.)

Dieser Fehler bedeutet meist, dass der in Tableau Cloud gespeicherte Benutzername und der vom IdP angegebene Benutzername nicht übereinstimmen. Um dieses Problem zu beheben, stellen Sie sicher, dass die Benutzernamenwerte übereinstimmen. Beispiel: Wenn der Benutzername von Jana Schmidt beim Identitätsanbieter als jana.schmidt@gmx.de gespeichert ist, muss er in Tableau Cloud ebenfalls als jana.schmidt@gmx.de gespeichert sein.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.