OpenID Connect

U kunt Tableau Cloud configureren om OpenID Connect (OIDC) voor de SSO-functie voor eenmalige aanmelding te ondersteunen. OIDC is een standaard verificatieprotocol waarmee gebruikers zich kunnen aanmelden bij een identiteitsprovider (IdP) zoals Google of Salesforce. Nadat gebruikers zich hebben aangemeld bij hun IdP, worden ze automatisch aangemeld bij Tableau Cloud.

De configuratie van OIDC bestaat uit meerdere stappen. De onderwerpen in deze sectie bieden algemene informatie over het gebruik van Tableau Cloud met OIDC, en over de volgorde waarin de IdP en Tableau Cloud moeten worden geconfigureerd.

Zie OpenID Connect-verificatiemethoden(Link wordt in een nieuw venster geopend) in de Tableau REST-API Help voor meer informatie over de configuratie van OIDC met de Tableau REST-API.

Verificatieoverzicht

In dit gedeelte wordt het OpenID Connect (OIDC)-verificatieproces met Tableau Cloud beschreven.

1. Een gebruiker probeert vanaf een clientcomputer in te loggen bij Tableau Cloud.

2. Tableau Cloud stuurt de aanvraag voor verificatie door naar de IdP-gateway.

3. De gebruiker wordt gevraagd om hun referenties in te voeren en meldt zich succesvol aan bij de IdP. De IdP reageert door een omleiding-URL terug te sturen naar Tableau Cloud. De omleiding-URL bevat een autorisatiecode voor de gebruiker.

4. De client wordt omgeleid naar Tableau Cloud en toont de autorisatiecode.

5. Tableau Cloud presenteert de autorisatiecode van de client aan de IdP, samen met zijn eigen clientreferenties. Tableau Cloud is ook een client van de IdP. Deze stap is bedoeld om 'spoofing' of 'man-in-the-middle'-aanvallen te voorkomen.

6. De IdP retourneert een toegangstoken en een ID-token naar Tableau Cloud.

  • JSON Web Token (JWT)-validatie: Standaard voert Tableau Cloud een validatie uit van de IdP JWT. Tijdens de detectiefase haalt Tableau Cloud de openbare sleutels op die zijn opgegeven door de jwks_uri in het detectiedocument voor de IdP-configuratie. Tableau Cloud valideert dat de ID-token niet zijn vervallen en verifieert vervolgens de JSON-webhandtekening (JWS), de uitgever (IdP) en de client-ID. Meer informatie over het JWT-proces vindt u in de OIDC-documentatie, 10. Handtekeningen en encryptie(Link wordt in een nieuw venster geopend) en de standaard die door IETF wordt voorgesteld, JSON-webtoken(Link wordt in een nieuw venster geopend). Wij raden u aan om JWT-validatie ingeschakeld te laten, tenzij uw IdP dit niet ondersteunt.

  • Het ID-token is een set van sleutelparen met kenmerken voor de gebruiker. De sleutelparen worden claims genoemd. Hier is een voorbeeld van een IdP-claim voor een gebruiker:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud identificeert de gebruiker op basis van de IdP-claims en voltooit het verificatieaanvraag vanaf stap 1.Tableau Cloud kan worden geconfigureerd om verschillende claims voor dit proces te gebruiken. Zie Vereisten.

8. Tableau Cloud autoriseert de gebruiker.

Hoe werkt Tableau Cloud met OpenID Connect?

OpenID Connect (OIDC) is een flexibel protocol dat allerlei opties ondersteunt voor de informatie die wordt uitgewisseld tussen een serviceprovider (hier is dat Tableau Cloud) en een IdP. De volgende lijst bevat details over de Tableau Cloud-implementatie van OIDC. Hiermee kunt u zien welke soorten informatie wordt verzonden en verwacht door Tableau Cloud, en hoe u een IdP configureert.

  • Tableau Cloud ondersteunt alleen de flow voor de OpenID-authorizatiecode zoals beschreven in de Uiteindelijke specificatie voor OpenID Connect(Link wordt in een nieuw venster geopend) in de OpenID Connect-documentatie.

  • Tableau Cloud is afhankelijk van een detectiefunctie of een provider-URL om de metadata van de IdP op te halen.

  • Tableau Cloud ondersteunt de client_secret_basic- (standaard) en de client_secret_post-client-verificatie en andere parameters die zijn opgegeven in de OpenID Connect-specificatie. Deze parameters kunnen alleen worden geconfigureerd met de Tableau REST-API.

Lidmaatschap van een dynamische groep met behulp van OIDC-assertions

Vanaf juni 2024 geldt dat, als OICD-verificatie is geconfigureerd en de instelling van deze optie is ingeschakeld, u het groepslidmaatschap dynamisch kunt beheren via aangepaste claims die zijn opgenomen in het JSON-webtoken (JWT) dat wordt verzonden door de identiteitsprovider (IdP).

Indien geconfigureerd, verzendt de IdP tijdens gebruikersverificatie de OIDC-assertion die twee aangepaste claims voor groepslidmaatschap bevat: voor de groep (https://tableau.com/groups) en voor groepsnamen (bijvoorbeeld 'Groep1' en 'Groep2') waarin de gebruiker zich moet bevinden. Tableau valideert de bewering en maakt vervolgens toegang mogelijk tot de groepen en de inhoud waarvan de machtigingen afhankelijk zijn van die groepen.

Zie Lidmaatschap van een dynamische groep met behulp van beweringen voor meer informatie.

Voorbeeld van JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.