Configurare Tableau Cloud o TCM per OpenID Connect


Questo argomento descrive come configurare Tableau Cloud o Tableau Cloud Manager (TCM) per utilizzare OpenID Connect (OIDC) per l’accesso Single Sign-On (SSO). Questo è un passaggio in un processo a più fasi. I seguenti argomenti forniscono informazioni sulla configurazione e l’utilizzo di OIDC con Tableau Cloud o TCM.

  1. OpenID Connect Panoramica

  2. Configurare il provider di identità per OpenID Connect

  3. Configurare Tableau Cloud o TCM per OpenID Connect (ti trovi qui)

Note:

Requisiti

Parametri

  • ID client: questo valore viene emesso dall'IdP e specifica un identificatore per il sistema Tableau Cloud o TCM registrato. Ciò consente all’IdP di sapere da dove proviene la richiesta di autenticazione.

  • Segreto client: è un token utilizzato da Tableau Cloud o TCM per verificare l’autenticità della risposta dell’IdP. Questo valore deve essere tenuto al sicuro.

  • URL di configurazione: questo valore specifica l’URL a cui reindirizza l’IdP dopo l’autenticazione dell’utente. L’URL deve includere l’host e il protocollo (ad esempio, https://admin.okta.com/oauth2/default/.well-known/openid-configuration), ma Tableau fornisce l’endpoint dell’URL. Questo URL specifica il percorso del documento di individuazione della configurazione del provider che contiene i metadati del provider OpenID.

    Nota: se il tuo IdP non fornisce un URL di configurazione, usa un URL che termini con .well-known/openid-configuration. Per Tableau Cloud, considera l'utilizzo dei metodi di autenticazione di OpenID Connect(Il collegamento viene aperto in una nuova finestra) nell'API REST di Tableau per configurare OIDC.

Parametri facoltativi

Nota: si riferisce solo a Tableau Cloud.

I seguenti parametri facoltativi possono essere configurati utilizzando i metodi di autenticazione OpenID Connect(Il collegamento viene aperto in una nuova finestra) nell’API REST di Tableau.

  • Richiesta: richiede all’utente la riautenticazione e il consenso. Per impostazione predefinita, il consenso dell’utente è attivato.

  • Ambito personalizzato: valore correlato all’utente dell’ambito personalizzato per eseguire query sull’IdP.

  • Autenticazione client: metodo di autenticazione dell’endpoint token. Il valore predefinito è 'client_secret_basic'. Il valore 'client_secret_post' è supportato.

  • Valori ACR essenziali: elenco dei valori essenziali della classe di riferimento del contesto di autenticazione utilizzati per l’autenticazione.

  • Valori ACR volontari: elenco dei valori volontari della classe di riferimento del contesto di autenticazione utilizzati per l’autenticazione.

Attestazioni

Per accedere correttamente a Tableau Cloud o a TCM, è necessario eseguire il provisioning di un determinato utente nell’IdP di OpenID Connect (OIDC) e quindi mapparlo a un account utente su Tableau Cloud o TCM. OIDC utilizza un metodo basato sulle attestazioni per condividere gli attributi degli account utente con altre applicazioni. Tableau Cloud o TCM si basa sull’attestazione IdP per mappare gli account utente dell’IdP a quelli ospitati su Tableau Cloud o TCM. Le attestazioni includono attributi di account utente quali e-mail, nome assegnato e così via. Per sapere in che modo Tableau Cloud o TCM mappa le attestazioni IdP agli account utente, consulta Panoramica sull’autenticazione.

Nota: per le attestazioni viene applicata la distinzione tra maiuscole e minuscole.

  • Nome utente: per impostazione predefinita, Tableau prevede che sia l’IdP a passare l’attestazione per il nome utente. A seconda dell’IdP, potrebbe essere necessario configurare Tableau Cloud in modo che utilizzi un’altra attestazione IdP. Nota: il nome utente in Tableau non è modificabile e non può essere aggiornato.

  • Attestazione nome: è possibile specificare il nome, il nome assegnato e il nome e cognome per recuperare DisplayName per l’utente.

  • Attestazione e-mail: se lo desideri, a partire da luglio 2025, puoi specificare un indirizzo e-mail diverso dal nome utente. L’attestazione con indirizzo e-mail viene utilizzata solo per le notifiche e non per l’accesso.

Abilitare il Single Sign-On OIDC

Fase 1. Configurare OpenID Connect

Per Tableau Cloud

  1. Accedi a Tableau Cloud come amministratore del sito e seleziona Impostazioni > Autenticazione.

  2. Nella scheda Autenticazione, fai clic sul pulsante Nuova configurazione, seleziona OpenID Connect (OIDC) e immetti un nome per la configurazione.

  3. Segui la procedura per configurare Tableau Cloud per l’autenticazione OIDC eseguendo queste operazioni:

    1. Nella fase 1 immetti le informazioni richieste dal tuo IdP, inclusi ID client, segreto client e URL di configurazione.

    2. Nella fase 2 copia l’URL di reindirizzamento di Tableau Cloud che incollerai nel portale del tuo IdP per reindirizzare gli utenti dopo l’autenticazione.

    3. Nella fase 3 immetti le attestazioni per garantire il mapping corretto tra nome utente e nome visualizzato degli utenti.

    4. Nella fase 4 abilita facoltativamente il single logout (SLO) se supportato dal tuo IdP.

    5. Nella fase 5, facoltativamente, scegli la modalità di autenticazione degli utenti quando accedono alla vista incorporata: in una finestra popup separata o utilizzando un iFrame inline.

      Nota: è possibile selezionare il tipo di autenticazione per le viste incorporate nella sezione Tipo di autenticazione predefinito per le viste incorporate della pagina Autenticazione (sotto la procedura di configurazione OIDC).

  4. Al termine, fai clic sul pulsante Salva modifiche.

Nota: quando si modifica la configurazione OIDC, il segreto client viene nascosto e deve essere reinserito prima di poter salvare le eventuali modifiche.

Per TCM

  1. Accedi a TCM come amministratore cloud e seleziona Impostazioni > Autenticazione.

  2. Nella scheda Autenticazione, seleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo.

  3. Seleziona Connessione OpenID (OIDC) dal menu a discesa e fai clic sulla freccia dell’elenco a discesa Configurazione (obbligatorio).

  4. Segui la procedura per configurare TCM per l’autenticazione OIDC eseguendo queste operazioni:

    1. Nella fase 1 immetti le informazioni richieste dal tuo IdP, inclusi ID client, segreto client e URL di configurazione.

    2. Nella fase 2 copia l’URL di reindirizzamento di TCM che incollerai nel portale del tuo IdP per reindirizzare gli utenti dopo l’autenticazione.

    3. Nella fase 3 immetti le attestazioni per garantire il mapping corretto tra nome utente e nome visualizzato degli utenti.

    4. Nella fase 4 abilita facoltativamente il single logout (SLO) se supportato dal tuo IdP.

  5. Al termine, fai clic sul pulsante Salva modifiche.

Nota: quando si modifica la configurazione OIDC, il segreto client viene nascosto e deve essere reinserito prima di poter salvare le eventuali modifiche.

Fase 2. Testare la configurazione

È consigliabile testare la configurazione per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato OIDC correttamente prima di modificare il tipo di autenticazione degli utenti in OIDC. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud o a TCM con il tipo di autenticazione OIDC configurato.

Nota: se hai dubbi in merito alle attestazioni, completa la configurazione e testala. In seguito al test della configurazione verrà visualizzata una nuova finestra con i dettagli dei mapping delle attestazioni, tra cui quelle tra nome utente e nome visualizzato. Alcuni IdP potrebbero eseguire il mapping dell’indirizzo e-mail al nome utente di Tableau.

Per Tableau Cloud

  1. Nella scheda Autenticazione mentre è selezionato OpenID Connect (OIDC), nella fase 6, fai clic sul pulsante Verifica configurazione. Verrà visualizzata una nuova finestra con i dettagli sulla configurazione.

  2. Al termine, completa la configurazione OIDC aggiungendo gli utenti al tuo sito nella fase seguente.

Per TCM

  1. Nella scheda Autenticazione mentre è selezionato OpenID Connect (OIDC), nella fase 5, fai clic sul pulsante Verifica configurazione. Verrà visualizzata una nuova finestra con i dettagli sulla configurazione.

  2. Al termine, completa la configurazione OIDC aggiungendo gli utenti al tuo tenant nella fase seguente.

Fase 3. Aggiungere utenti al sito Tableau o TCM con OpenID Connect abilitato

I passaggi descritti in questa sezione vengono eseguiti nella pagina Utenti di Tableau Cloud o di TCM.

  1. Dopo aver completato le fasi precedenti, torna al sito Tableau Cloud o a TCM.

  2. Dal riquadro di sinistra seleziona la pagina Utenti.

  3. Segui la procedura descritta in uno dei seguenti argomenti:

Risoluzione dei problemi

Utilizza le seguenti sezioni per risolvere i problemi di OpenID Connect (OIDC) in Tableau Cloud o in TCM.

Il protocollo OIDC è supportato da diversi provider di identità. Il protocollo OIDC è uno standard aperto e flessibile e, come tale, non tutte le implementazioni dello standard sono identiche. La maggior parte dei problemi riscontrati dagli amministratori durante la configurazione di Tableau Cloud o di TCM per OIDC è il risultato di come i diversi provider di identità implementano OIDC. Se si verificano errori durante la configurazione di OIDC con Tableau, collabora con il tuo IdP per risolverli.

Accesso dalla riga di comando

Per Tableau Cloud

Anche se Tableau Cloud è configurato per l’utilizzo di OIDC, l’autenticazione OIDC non viene utilizzata se accedi a Tableau Cloud utilizzando tabcmd, l’API REST di Tableau(Il collegamento viene aperto in una nuova finestra) o Tableau Data Extract Command-Line Utility(Il collegamento viene aperto in una nuova finestra) (fornita con Tableau Desktop).

Per TCM

Analogamente, anche se TCM è configurato per l’utilizzo di OIDC, l'autenticazione OIDC non viene utilizzata se accedi all'API REST di Tableau Cloud Manager(Il collegamento viene aperto in una nuova finestra).

Accesso non riuscito

In alcuni casi, l’accesso a Tableau Cloud o a TCM può non riuscire con il seguente messaggio:

Errore di accesso: autenticazione del provider di identità non riuscita per l’utente <nome_utente_da_IdP>. Impossibile trovare l’utente in Tableau Cloud.

Questo errore indica in genere che esiste una mancata corrispondenza tra un nome utente memorizzato in Tableau e il nome utente fornito dall’IdP. Per risolvere questo problema, assicurati che i valori del nome utente corrispondano. Ad esempio, se il nome utente di Rosa Bianchi è archiviato nell’IdP come “rbianchi@esempio.it”, dovrà essere archiviato anche in Tableau Cloud o in TCM come “rbianchi@esempio.it”.

Personalizzare e controllare l’accesso ai dati con gli attributi utente

Gli attributi utente sono metadati utente definiti dall’organizzazione. Gli attributi utente possono essere utilizzati per determinare l’accesso in un tipico modello di autorizzazione di controllo degli accessi basato su attributi (ABAC, Attribute-Based Access Control). Gli attributi utente possono riferirsi a qualsiasi aspetto del profilo utente, ad esempio ruoli lavorativi, appartenenza al reparto, livello di gestione e così via. Potrebbero anche essere associati a contesti utente in fase di esecuzione, ad esempio la località da cui l’utente ha eseguito l’accesso o la sua lingua preferita.

Includendo gli attributi utente nel flusso di lavoro, puoi controllare e personalizzare l’esperienza utente tramite l’accesso ai dati e la personalizzazione.

  • Accesso ai dati: gli attributi utente possono essere utilizzati per applicare criteri di sicurezza dei dati. In questo modo si garantisce che gli utenti visualizzino solo i dati per cui sono autorizzati.
  • Personalizzazione: trasmettendo attributi utente, quali la posizione e il ruolo, è possibile personalizzare i tuoi contenuti in modo da mostrare solo le informazioni pertinenti per l’utente che vi accede e facilitando il reperimento delle informazioni necessarie.

Riepilogo della procedura per la trasmissione degli attributi utente

Il processo di abilitazione degli attributi utente in un flusso di lavoro è riepilogato nelle fasi seguenti:

  1. Abilitare l’impostazione degli attributi utente
  2. Includere gli attributi utente nel token Web JSON
  3. Verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti
  4. Esaminare i contenuti

Fase 1: abilitare l’impostazione degli attributi utente

Per motivi di sicurezza, gli attributi utente vengono convalidati in un flusso di lavoro di autenticazione solo quando l’impostazione degli attributi utente è abilitata da un amministratore del sito.

  1. Accedi a Tableau Cloud e fai clic su Impostazioni > Autenticazione.

  2. Sotto l’intestazione Controlla accesso utente nei workflow di autenticazione seleziona la casella di controllo Abilita acquisizione di attributi utente nei workflow di autenticazione.

Per maggiori informazioni sulle impostazioni del sito, consulta Controlla accesso utente nei workflow di autenticazione.

Fase 2: includere le attestazioni degli attributi utente nel token Web JSON

Verifica che il token Web JSON (JWT) contenga gli attributi utente.

Nota: gli attributi nel token JWT sono soggetti al limite di 4096 caratteri, ad eccezione degli attributi scope o scp. Se gli attributi nel token JWT, inclusi quelli utente, superano questo limite, Tableau rimuoverà gli attributi e passerà invece l’attributo ExtraAttributesRemoved. L’autore di contenuti può quindi creare un calcolo con l’attributo ExtraAttributesRemoved per determinare come visualizzare i contenuti agli utenti quando l’attributo è stato rilevato.

Esempio

Supponiamo di avere un dipendente, Fred Suzuki, un manager che opera nella regione South. Desideri assicurarti che, quando Fred esamina i report, possa visualizzare solo i dati relativi alla regione di competenza. In uno scenario di questo tipo potresti includere l’attributo utente region nel token JWT come nell’esempio seguente.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti

Verifica che l’autore dei contenuti includa le funzioni degli attributi utente e i relativi filtri per controllare i dati visualizzabili nei suoi contenuti. Per essere certi che le attestazioni degli attributi utente vengano passate a Tableau, i contenuti devono includere una delle seguenti funzioni degli attributi utente:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

La funzione utilizzata dall’autore dei contenuti varia a seconda che gli attributi utente restituiscano un singolo valore o più valori. Per maggiori informazioni su queste funzioni ed esempi di ciascuna, consulta Funzioni utente(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau.

Note:

  • L’anteprima dei contenuti con queste funzioni non è disponibile durante l’authoring in Tableau Desktop o Tableau Cloud. La funzione restituirà NULL o FALSE. Per essere certi che le funzioni utente funzionino come previsto, consigliamo all’autore di esaminare le funzioni dopo aver reso disponibili i contenuti.
  • Per essere certo che i contenuti vengano visualizzati come previsto, l’autore dei contenuti può provare a includere un calcolo che utilizza l’attributo ExtraAttributesRemoved che 1) verifica la presenza di tale attributo e 2) se presente, determina cosa fare con i contenuti, ad esempio mostrare un messaggio. Tableau aggiungerà l’attributo ExtraAttributesRemoved e rimuoverà tutti gli altri attributi (ad eccezione di scp o scope) solo quando gli attributi nel token JWT superano i 4096 caratteri. Questo per garantire prestazioni ottimali e rispettare le limitazioni di archiviazione.

Esempio

Riprendendo l’esempio presentato nella Fase 2: includere le attestazioni degli attributi utente nel token Web JSON precedente, per passare l’attestazione dell’attributo utente “Region” a una cartella di lavoro, l’autore può includere USERATTRIBUTEINCLUDES. Ad esempio, USERATTRIBUTEINCLUDES('Region', [Region]), dove 'Region' è l’attributo utente e [Region] è una colonna nei dati. Utilizzando il nuovo calcolo, l’autore può creare una tabella con i dati relativi a Manager e Sales. Dopo l’aggiunta del calcolo, la cartella di lavoro restituisce i valori “False” come previsto.

Per visualizzare solo i dati associati alla regione South nella cartella di lavoro incorporata, l’autore può creare un filtro e personalizzarlo per mostrare i valori quando la regione South è “True”. Quando viene applicato il filtro, la cartella di lavoro diventa vuota come previsto perché la funzione restituisce valori “False” e il filtro è personalizzato per mostrare solo i valori “True”.

Fase 4: esaminare i contenuti

Esamina e convalida i contenuti.

Esempio

Per concludere l’esempio della Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti precedente, puoi notare che i dati di Sales nella vista sono personalizzati per Fred Suzuki perché il suo contesto utente è la regione South.

I manager delle regioni rappresentate nella cartella di lavoro dovrebbero vedere il valore associato alla propria regione. Ad esempio, Sawdie Pawthorne della regione West visualizza i dati specifici della propria regione.

I manager le cui regioni non sono rappresentate nella cartella di lavoro visualizzano una cartella di lavoro vuota.

Problemi noti e limitazioni

Esistono alcuni problemi noti e limitazioni da considerare quando utilizzi le funzioni degli attributi utente.

Immagini vuote quando si utilizza l’API REST di Tableau

Le richieste Query Preview Image(Il collegamento viene aperto in una nuova finestra), Query Workbook Image(Il collegamento viene aperto in una nuova finestra) e Get Custom View Image(Il collegamento viene aperto in una nuova finestra)dell’API REST di Tableau restituiscono immagini vuote.

Limitazioni

  • Le funzioni degli attributi utente non sono supportate nelle origini dati pubblicate (.pds).
  • Le funzioni degli attributi utente non sono supportate nei flussi di lavoro di Tableau Bridge.
Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!