Configurare Tableau Cloud per OpenID Connect
Questo argomento descrive come configurare Tableau Cloud per utilizzare OpenID Connect (OIDC) per l’accesso Single Sign-On (SSO). Questo è un passaggio in un processo a più fasi. I seguenti argomenti forniscono informazioni sulla configurazione e l’utilizzo di OIDC con Tableau Cloud.
OpenID Connect Panoramica
Configurare Tableau Cloud per OpenID Connect (ti trovi qui)
Note:
- prima di eseguire i passaggi qui descritti, devi configurare il provider di identità OpenID (IdP) come descritto in Configurare il provider di identità per OpenID Connect.
- In alternativa, puoi configurare l’autenticazione OIDC per Tableau Cloud tramite l’API REST di Tableau utilizzando i metodi OpenID Connect(Il collegamento viene aperto in una nuova finestra).
- L’API REST di Tableau e tabcmd non supportano l’autenticazione OIDC SSO (Single Sign-On). Per utilizzare tabcmd o l’API REST(Il collegamento viene aperto in una nuova finestra), gli utenti devono accedere a Tableau Cloud utilizzando un account TableauID.
Requisiti
Parametri
ID client: questo valore viene emesso dall’IdP e specifica un identificatore per il sistema Tableau Cloud registrato. Ciò consente all’IdP di sapere da dove proviene la richiesta di autenticazione.
Segreto client: è un token utilizzato da Tableau Cloud per verificare l’autenticità della risposta dell’IdP. Questo valore deve essere tenuto al sicuro.
URL di configurazione: questo valore specifica l’URL a cui reindirizza l’IdP dopo l’autenticazione dell’utente. L’URL deve includere l’host e il protocollo (ad esempio,
https://admin.okta.com/oauth2/default/.well-known/openid-configuration
), ma Tableau fornisce l’endpoint dell’URL. Specifica il percorso del documento di individuazione della configurazione del provider che contiene i metadati del provider OpenID.Nota: se il tuo IdP non fornisce un URL di configurazione, ovvero un URL che termini con
.well-known/openid-configuration
, considera l’utilizzo dei metodi di autenticazione di OpenID Connect(Il collegamento viene aperto in una nuova finestra) nell’API REST di Tableau per configurare OIDC.
Parametri facoltativi
I seguenti parametri facoltativi possono essere configurati utilizzando i metodi di autenticazione OpenID Connect(Il collegamento viene aperto in una nuova finestra) nell’API REST di Tableau.
Richiesta: richiede all’utente la riautenticazione e il consenso. Per impostazione predefinita, il consenso dell’utente è attivato.
Ambito personalizzato: valore correlato all’utente dell’ambito personalizzato per eseguire query sull’IdP.
Autenticazione client: metodo di autenticazione dell’endpoint token. Il valore predefinito è
'client_secret_basic'
. Il valore'client_secret_post'
è supportato.Valori ACR essenziali: elenco dei valori essenziali della classe di riferimento del contesto di autenticazione utilizzati per l’autenticazione.
Valori ACR volontari: elenco dei valori volontari della classe di riferimento del contesto di autenticazione utilizzati per l’autenticazione.
Attestazioni
Per accedere correttamente a Tableau Cloud, è necessario eseguire il provisioning di un determinato utente nell’IdP di OpenID Connect (OIDC) e quindi mapparlo a un account utente su Tableau Cloud. OIDC utilizza un metodo basato sulle attestazioni per condividere gli attributi degli account utente con altre applicazioni. Tableau Cloud si basa sull’attestazione IdP per mappare gli account utente dell’IdP a quelli ospitati su Tableau Cloud. Le attestazioni includono attributi di account utente quali e-mail, nome assegnato e così via. Per sapere in che modo Tableau Cloud mappa le attestazioni IdP agli account utente, consulta Panoramica sull’autenticazione.
Nota: per le attestazioni viene applicata la distinzione tra maiuscole e minuscole.
Nome utente: per impostazione predefinita, Tableau Cloud prevede che sia l’IdP a passare l’attestazione per il nome utente. A seconda dell’IdP, potrebbe essere necessario configurare Tableau Cloud in modo che utilizzi un’altra attestazione IdP.
Nota: il nome utente in Tableau Cloud non è modificabile e non può essere aggiornato.
Attestazione nome: è possibile specificare il nome, il nome assegnato e il nome e cognome per recuperare DisplayName per l’utente.
Fase 1. Configurare OpenID Connect
Accedi a Tableau Cloud come amministratore del sito e seleziona Impostazioni > Autenticazione.
Nella scheda Autenticazione seleziona OpenID Connect (OIDC).
Segui la procedura per configurare Tableau Cloud per l’autenticazione OIDC eseguendo queste operazioni:
Nella fase 1 immetti le informazioni richieste dal tuo IdP, inclusi ID client, segreto client e URL di configurazione.
Nella fase 2 copia l’URL di reindirizzamento di Tableau Cloud che incollerai nel portale del tuo IdP per reindirizzare gli utenti dopo l’autenticazione.
Nella fase 3 immetti le attestazioni per garantire il mapping corretto tra nome utente e nome visualizzato degli utenti.
Nella fase 4 abilita facoltativamente il single logout (SLO) se supportato dal tuo IdP.
Nella fase 5, facoltativamente, scegli la modalità di autenticazione degli utenti quando accedono alla vista incorporata: in una finestra popup separata o utilizzando un iFrame inline.
Nota: è possibile selezionare il tipo di autenticazione per le viste incorporate nella sezione Tipo di autenticazione predefinito per le viste incorporate della pagina Autenticazione (sotto la procedura di configurazione OIDC).
Al termine, fai clic sul pulsante Salva modifiche.
Nota: quando si modifica la configurazione OIDC, il segreto client viene nascosto e deve essere reinserito prima di per poter salvare le eventuali modifiche.
Fase 2. Testare la configurazione
È consigliabile testare la configurazione per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato OIDC correttamente prima di modificare il tipo di autenticazione degli utenti in OIDC. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud con il tipo di autenticazione OIDC configurato.
Nota: se hai dubbi in merito alle attestazioni, completa la configurazione e testala. In seguito al test della configurazione verrà visualizzata una nuova finestra con i dettagli dei mapping delle attestazioni, tra cui quelle tra nome utente e nome visualizzato. Alcuni IdP potrebbero eseguire il mapping dell’indirizzo e-mail al nome utente di Tableau.
Nella scheda Autenticazione mentre è selezionato OpenID Connect (OIDC), nella fase 6, fai clic sul pulsante Verifica configurazione. Verrà visualizzata una nuova finestra con i dettagli sulla configurazione.
Al termine, completa la configurazione OIDC aggiungendo gli utenti al tuo sito nella fase seguente.
Fase 3. Aggiungere utenti al sito Tableau con OpenID Connect abilitato
I passaggi descritti in questa sezione vengono eseguiti nella pagina Utenti di Tableau Cloud.
Dopo aver completato le fasi precedenti, torna al sito Tableau Cloud.
Dal riquadro di sinistra seleziona la pagina Utenti.
Segui la procedura descritta nell’argomento Aggiungere utenti a un sito.
Risoluzione dei problemi
Utilizza i seguenti argomenti per risolvere i problemi di OpenID Connect (OIDC) in Tableau Cloud.
Il protocollo OIDC è supportato da diversi provider di identità. Il protocollo OIDC è uno standard aperto e flessibile e, come tale, non tutte le implementazioni dello standard sono identiche. La maggior parte dei problemi riscontrati dagli amministratori durante la configurazione di Tableau Cloud per OIDC è il risultato di come i diversi provider di identità implementano OIDC. Se si verificano errori durante la configurazione di OIDC con Tableau Cloud, collabora con il tuo IdP per risolverli.
Accesso dalla riga di comando
Anche se Tableau Cloud è configurato per l’utilizzo di OIDC, l’autenticazione OIDC non viene utilizzata se accedi a Tableau Cloud utilizzando tabcmd, l’API REST di Tableau(Il collegamento viene aperto in una nuova finestra) o Tableau Data Extract Command-Line Utility(Il collegamento viene aperto in una nuova finestra) (fornita con Tableau Desktop).
Accesso non riuscito
In alcuni casi, l’accesso a Tableau Cloud può non riuscire con il seguente messaggio:
Errore di accesso: autenticazione del provider di identità non riuscita per l’utente <nome_utente_da_IdP>. Impossibile trovare l’utente in Tableau Cloud.
Questo errore indica in genere che esiste una mancata corrispondenza tra un nome utente memorizzato in Tableau Cloud e il nome utente fornito dall’IdP. Per risolvere questo problema, assicurati che i valori del nome utente corrispondano. Ad esempio, se il nome utente di Rosa Bianchi è archiviato nell’IdP come “rbianchi@esempio.it”, dovrà essere archiviato in Tableau Cloud come “rbianchi@esempio.it”.