OpenID Connect


U kunt Tableau Cloud of Tableau Cloud Manager (TCM) configureren om ondersteuning te bieden voor OpenID Connect (OIDC) voor eenmalige aanmelding (SSO). OIDC is een standaard verificatieprotocol waarmee gebruikers zich kunnen aanmelden bij een identiteitsprovider (IdP) zoals Google of Salesforce. Nadat gebruikers zich hebben aangemeld bij hun IdP, worden ze automatisch aangemeld bij Tableau Cloud of TCM.

De configuratie van OIDC bestaat uit meerdere stappen. De onderwerpen in deze sectie bieden algemene informatie over het gebruik van Tableau Cloud of TCM met OIDC en over de volgorde waarin de IdP en Tableau Cloud of TCM moeten worden geconfigureerd.

Zie OpenID Connect-verificatiemethoden(Link wordt in een nieuw venster geopend) in de Help bij de Tableau REST API voor meer informatie over de configuratie van OIDC met de Tableau REST API. Opmerking: dit is alleen van toepassing op Tableau Cloud.

Verificatieoverzicht

In dit gedeelte wordt het OpenID Connect (OIDC)-verificatieproces met Tableau Cloud of TCM beschreven.

1. Een gebruiker probeert vanaf een clientcomputer in te loggen bij Tableau Cloud of TCM.

2. Tableau Cloud stuurt de aanvraag voor verificatie door naar de IdP-gateway.

3. De gebruiker wordt gevraagd om hun referenties in te voeren en meldt zich succesvol aan bij de IdP. De IdP reageert door een omleiding-URL terug te sturen naar Tableau Cloud of TCM. De omleiding-URL bevat een autorisatiecode voor de gebruiker.

4. De client wordt omgeleid naar Tableau Cloud of TCM en toont de autorisatiecode.

5. Tableau Cloud of TCM presenteert de autorisatiecode van de client aan de IdP, samen met de eigen clientreferenties. Tableau Cloud of TCM is ook een client van de IdP. Deze stap is bedoeld om 'spoofing' of 'man-in-the-middle'-aanvallen te voorkomen.

6. De IdP retourneert een toegangstoken en een ID-token naar Tableau Cloud of TCM.

  • JSON-webtoken (JWT)-validatie: standaard voert Tableau een validatie uit van de IdP JWT. Tijdens de detectiefase haalt Tableau de openbare sleutels op die zijn opgegeven door de jwks_uri in het detectiedocument voor de IdP-configuratie. Tableau valideert dat de ID-token niet is vervallen en verifieert vervolgens de JSON-webhandtekening (JWS), de uitgever (IdP) en de client-ID. Meer informatie over het JWT-proces vindt u in de OIDC-documentatie, 10. Handtekeningen en encryptie(Link wordt in een nieuw venster geopend) en de standaard die door IETF wordt voorgesteld, JSON-webtoken(Link wordt in een nieuw venster geopend). Wij raden u aan om JWT-validatie ingeschakeld te laten, tenzij uw IdP dit niet ondersteunt.

  • Het ID-token is een set van sleutelparen met kenmerken voor de gebruiker. De sleutelparen worden claims genoemd. Hier is een voorbeeld van een IdP-claim voor een gebruiker:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7. Tableau Cloud of TCM identificeert de gebruiker op basis van de IdP-claims en voltooit het verificatieverzoek uit stap 1.Tableau Cloud kan worden geconfigureerd om verschillende claims voor dit proces te gebruiken. Zie Vereisten.

8. Tableau Cloud of TCM autoriseert de gebruiker.

Hoe werkt Tableau met OpenID Connect?

OpenID Connect (OIDC) is een flexibel protocol dat allerlei opties ondersteunt voor de informatie die wordt uitgewisseld tussen een serviceprovider (hier is dat Tableau Cloud of TCM) en een IdP. De volgende lijst bevat details over de Tableau Cloud en TCM-implementatie van OIDC. Hiermee kunt u zien welke soorten informatie worden verzonden en verwacht door Tableau Cloud of TCM, en hoe u een IdP configureert.

  • Tableau Cloud en TCM ondersteunt alleen de flow voor de OpenID-autorisatiecode zoals beschreven in de Uiteindelijke specificatie voor OpenID Connect(Link wordt in een nieuw venster geopend) in de OpenID Connect-documentatie.

  • Tableau Cloud en TCM is afhankelijk van een detectiefunctie of een provider-URL om de metadata van de IdP op te halen.

  • Tableau Cloud en TCM ondersteunt de client_secret_basic- (standaard) en de client_secret_post-clientverificatie en andere parameters die zijn opgegeven in de OpenID Connect-specificatie. Deze parameters kunnen alleen worden geconfigureerd met de Tableau REST-API.

Lidmaatschap van een dynamische groep met behulp van OIDC-assertions

Opmerking: dit is alleen van toepassing op Tableau Cloud.

Vanaf juni 2024 geldt dat, als OICD-verificatie is geconfigureerd en de instelling van deze optie is ingeschakeld, u het groepslidmaatschap dynamisch kunt beheren via aangepaste claims die zijn opgenomen in het JSON-webtoken (JWT) dat wordt verzonden door de identiteitsprovider (IdP).

Indien geconfigureerd, verzendt de IdP tijdens gebruikersverificatie de OIDC-assertion die twee aangepaste claims voor groepslidmaatschap bevat: voor de groep (https://tableau.com/groups) en voor groepsnamen (bijvoorbeeld 'Groep1' en 'Groep2') waarin de gebruiker zich moet bevinden. Tableau valideert de bewering en maakt vervolgens toegang mogelijk tot de groepen en de inhoud waarvan de machtigingen afhankelijk zijn van die groepen.

Zie Lidmaatschap van een dynamische groep met behulp van beweringen voor meer informatie.

Voorbeeld van JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Terug naar boven