OpenID Connect

Puoi configurare Tableau Cloud o Tableau Cloud Manager (TCM) per supportare OpenID Connect (OIDC) per il Single Sign-On (SSO). OIDC è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google o Salesforce. Dopo aver effettuato correttamente l’accesso al tuo IdP, l’accesso a Tableau Cloud o a TCM è automatico.

La configurazione di OIDC prevede diversi passaggi. Gli argomenti di questa sezione forniscono informazioni generali sull’utilizzo di Tableau Cloud o di TCM con OIDC e forniscono una sequenza per la configurazione dell’IdP e di Tableau Cloud o di TCM.

Per configurare OIDC utilizzando l’API REST di Tableau, consulta Metodi di autenticazione OpenID Connect(Il collegamento viene aperto in una nuova finestra) nella Guida dell’API REST di Tableau. Nota: si riferisce solo a Tableau Cloud.

Panoramica sull’autenticazione

Questa sezione descrive il processo di autenticazione di OpenID Connect (OIDC) con Tableau Cloud o TCM.

1. Un utente tenta di accedere a Tableau Cloud o a TCM da un computer client.

2. Tableau Cloud reindirizza la richiesta di autenticazione al gateway IdP.

3. All’utente vengono richieste le credenziali e riesce ad autenticarsi all’IdP. L’IdP risponde con un URL di reindirizzamento a Tableau Cloud o a TCM. L’URL di reindirizzamento include un codice di autorizzazione per l’utente.

4. Il client viene reindirizzato a Tableau Cloud o a TCM e presenta il codice di autorizzazione.

5. Tableau Cloud o TCM presenta il codice di autorizzazione del client all’IdP insieme alle proprie credenziali client. Tableau Cloud o TCM è anche un client dell’IdP. Questo passaggio ha lo scopo di prevenire spoofing o attacchi di tipo man-in-the-middle.

6. L’IdP restituisce un token di accesso e un token ID a Tableau Cloud o a TCM.

  • Convalida JSON Web Token (JWT): per impostazione predefinita, Tableau esegue una convalida del JWT dell’IdP. Durante l’individuazione, Tableau recupera le chiavi pubbliche specificate da jwks_uri nel documento di individuazione della configurazione dell’IdP. Tableau convalida il token ID per la scadenza e quindi verifica la firma Web JSON (JWS), l’emittente (IdP) e l’ID client. Per ulteriori informazioni sul processo JWT, consulta la documentazione di OIDC, 10. Firme e crittografia(Il collegamento viene aperto in una nuova finestra) e lo standard proposto dall’IETF, JSON Web Token(Il collegamento viene aperto in una nuova finestra). Consigliamo di lasciare abilitata la convalida JWT, a meno che il tuo Idp non lo supporti.

  • L’ID token è un insieme di coppie di chiave di attributi per l’utente. Le coppie di chiavi si chiamano attestazioni. Ecco un esempio di attestazione IdP per un utente:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud o TCM identifica l’utente dall’attestazione IdP e completa la richiesta dalla fase 1.È possibile configurare Tableau Cloud in modo che utilizzi diverse attestazioni per questo processo. Consulta Requisiti.

8. Tableau Cloud o TCM autorizza l’utente.

Come funziona Tableau con OpenID Connect

OpenID Connect (OIDC) è un protocollo flessibile che supporta molte opzioni per le informazioni scambiate tra un provider di servizi (qui, Tableau Cloud o TCM) e un IdP. Il seguente elenco fornisce dettagli sull’implementazione Tableau Cloud e TCM di OIDC. Questi dettagli possono aiutare a capire quali tipi di informazioni vengono inviate e attese da Tableau Cloud o TCM e come configurare un IdP.

  • Tableau Cloud e TCM supporta solo l’OpenID Authorization Code Flow come descritto nella specifica finale di OpenID Connect(Il collegamento viene aperto in una nuova finestra) nella documentazione di OpenID Connect.

  • Tableau Cloud e TCM si basa sull’utilizzo dell’individuazione o di un URL del provider per recuperare i metadati dell’IdP.

  • Tableau Cloud e TCM supporta i parametri di autenticazione client client_secret_basic (predefinito) e client_secret_post, oltre ad altri parametri indicati nella specifica OpenID Connect. Questi metodi possono essere configurati solo tramite l’API REST di Tableau.

Appartenenza ai gruppi dinamica con asserzioni OIDC

Nota: si riferisce solo a Tableau Cloud.

A partire da giugno 2024, se l’autenticazione OIDC è configurata e l’impostazione della funzionalità è abilitata, puoi controllare dinamicamente l’appartenenza ai gruppi tramite attestazioni personalizzate incluse nel token Web JSON (JWT) inviato dal provider di identità (IdP).

Una volta configurata, durante l’autenticazione degli utenti, l’IdP invia l’asserzione OIDC che contiene due attestazioni di appartenenza ai gruppi personalizzate: gruppo (https://tableau.com/groups) e nomi di gruppo (ad esempio, “Gruppo1” e “Gruppo2”) in cui asserire l’utente. Tableau convalida l’asserzione e quindi consente l’accesso ai gruppi e al contenuto le cui autorizzazioni dipendono da tali gruppi.

Per maggiori informazioni, consulta Appartenenza ai gruppi dinamica con le asserzioni.

JWK dell’esempio

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]