OpenID Connect

Puoi configurare Tableau Cloud per supportare OpenID Connect (OIDC) per il Single Sign-On (SSO). OIDC è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google o Salesforce. Dopo aver effettuato correttamente l’accesso al tuo IdP, l’accesso a Tableau Cloud è automatico.

La configurazione di OIDC prevede diversi passaggi. Gli argomenti di questa sezione forniscono informazioni generali sull’utilizzo di Tableau Cloud con OIDC e forniscono una sequenza per la configurazione dell’IdP e di Tableau Cloud.

Per configurare OIDC utilizzando l’API REST di Tableau, consulta Metodi di autenticazione OpenID Connect(Il collegamento viene aperto in una nuova finestra) nella Guida dell’API REST di Tableau.

Panoramica sull’autenticazione

Questa sezione descrive il processo di autenticazione di OpenID Connect (OIDC) con Tableau Cloud.

1. Un utente tenta di accedere a Tableau Cloud da un computer client.

2. Tableau Cloud reindirizza la richiesta di autenticazione al gateway IdP.

3. All’utente vengono richieste le credenziali e riesce ad autenticarsi all’IdP. L’IdP risponde con un URL di reindirizzamento a Tableau Cloud. L’URL di reindirizzamento include un codice di autorizzazione per l’utente.

4. Il client viene reindirizzato a Tableau Cloud e presenta il codice di autorizzazione.

5. Tableau Cloud presenta il codice di autorizzazione del client all’IdP insieme alle proprie credenziali client. Tableau Cloud è anche un client dell’IdP. Questo passaggio ha lo scopo di prevenire spoofing o attacchi di tipo man-in-the-middle.

6. L’IdP restituisce un token di accesso e un token ID a Tableau Cloud.

  • Convalida del token Web JSON (JWT): per impostazione predefinita, Tableau Cloud esegue una convalida del JWT dell’IdP. Durante l’individuazione, Tableau Cloud recupera le chiavi pubbliche specificate da jwks_uri nel documento di individuazione della configurazione dell’IdP. Tableau Cloud convalida il token ID per la scadenza e quindi verifica la firma Web JSON (JWS), l’emittente (IdP) e l’ID client. Per ulteriori informazioni sul processo JWT, consulta la documentazione di OIDC, 10. Firme e crittografia(Il collegamento viene aperto in una nuova finestra) e lo standard proposto dall’IETF, JSON Web Token(Il collegamento viene aperto in una nuova finestra). Consigliamo di lasciare abilitata la convalida JWT, a meno che il tuo Idp non lo supporti.

  • L’ID token è un insieme di coppie di chiave di attributi per l’utente. Le coppie di chiavi si chiamano attestazioni. Ecco un esempio di attestazione IdP per un utente:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud identifica l’utente dall’attestazione IdP e completa la richiesta dalla fase 1.È possibile configurare Tableau Cloud in modo che utilizzi diverse attestazioni per questo processo. Consulta Requisiti.

8. Tableau Cloud autorizza l’utente.

Come funziona Tableau Cloud con OpenID Connect

OpenID Connect (OIDC) è un protocollo flessibile che supporta molte opzioni per le informazioni scambiate tra un provider di servizi (qui, Tableau Cloud) e un IdP. Il seguente elenco fornisce dettagli sull’implementazione Tableau Cloud di OIDC. Questi dettagli possono aiutare a capire quali tipi di informazioni vengono inviate e attese da Tableau Cloud e come configurare un IdP.

  • Tableau Cloud supporta solo l’OpenID Authorization Code Flow come descritto nella specifica finale di OpenID Connect(Il collegamento viene aperto in una nuova finestra) nella documentazione di OpenID Connect.

  • Tableau Cloud si basa sull’utilizzo dell’individuazione o di un URL del provider per recuperare i metadati dell’IdP.

  • Tableau Cloud supporta i parametri di autenticazione client client_secret_basic (predefinito) e client_secret_post, oltre ad altri parametri indicati nella specifica OpenID Connect. Questi metodi possono essere configurati solo tramite l’API REST di Tableau.

Appartenenza ai gruppi dinamica con asserzioni OIDC

A partire da giugno 2024, se l’autenticazione OIDC è configurata e l’impostazione della funzionalità è abilitata, puoi controllare dinamicamente l’appartenenza ai gruppi tramite attestazioni personalizzate incluse nel token Web JSON (JWT) inviato dal provider di identità (IdP).

Una volta configurata, durante l’autenticazione degli utenti, l’IdP invia l’asserzione OIDC che contiene due attestazioni di appartenenza ai gruppi personalizzate: gruppo (https://tableau.com/groups) e nomi di gruppo (ad esempio, “Gruppo1” e “Gruppo2”) in cui asserire l’utente. Tableau convalida l’asserzione e quindi consente l’accesso ai gruppi e al contenuto le cui autorizzazioni dipendono da tali gruppi.

Per maggiori informazioni, consulta Appartenenza ai gruppi dinamica con le asserzioni.

JWK dell’esempio

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!