Tableau Cloud of TCM configureren voor OpenID Connect


In dit onderwerp wordt beschreven hoe u Tableau Cloud of Tableau Cloud Manager (TCM) configureert om OpenID Connect (OIDC) te gebruiken voor eenmalige aanmelding (SSO). Dit is één stap in een proces dat uit meerdere stappen bestaat. De volgende onderwerpen bieden informatie over het configureren en gebruiken van OIDC met Tableau Cloud of TCM.

  1. Overzicht van OpenID Connect

  2. De identiteitsprovider voor OpenID Connect configureren

  3. Tableau Cloud of TCM configureren voor OpenID Connect (dit onderwerp)

Opmerkingen:

Vereisten

Parameters

  • Client-ID: deze waarde wordt uitgegeven door de IdP en geeft een identificatiecode op voor de geregistreerde Tableau Cloud of TCM. Hierdoor weet de IdP waar het verificatieverzoek vandaan komt.

  • Clientgeheim: een token dat door Tableau Cloud of TCM wordt gebruikt om de authenticiteit van het antwoord van de IdP te verifiëren. Deze waarde moet veilig worden bewaard.

  • Configuratie-URL: deze waarde geeft de URL op waarnaar de IdP de gebruiker doorverwijst nadat deze is geverifieerd. De URL moet de host en het protocol bevatten (bijvoorbeeld https://admin.okta.com/oauth2/default/.well-known/openid-configuration), maar Tableau levert het URL-eindpunt. Deze URL geeft de locatie op van het detectiedocument voor de providerconfiguratie dat de metadata van de OpenID-provider bevat.

    Opmerking: Als uw IdP geen configuratie-URL verstrekt, gebruik dan een URL die eindigt op .well-known/openid-configuration. Overweeg voor Tableau Cloud het gebruik van OpenID Connect-verificatiemethoden(Link wordt in een nieuw venster geopend) in de Tableau REST API om OIDC te configureren.

Optionele parameters

Opmerking: dit is alleen van toepassing op Tableau Cloud.

De volgende optionele parameters kunnen worden geconfigureerd met behulp van de OpenID Connect-verificatiemethoden(Link wordt in een nieuw venster geopend) in de Tableau REST API.

  • Prompt: vraagt de gebruiker zich opnieuw te verifiëren en opnieuw toestemming te geven. Standaard is toestemming van de gebruiker ingeschakeld.

  • Aangepast bereik: aangepaste, aan de gebruiker gerelateerde bereikwaarde om query's uit te voeren op de IdP.

  • Clientverificatie: verificatiemethode voor het tokeneindpunt. De standaardwaarde is 'client_secret_basic'. De waarde 'client_secret_post' wordt ondersteund.

  • Essentiële ACR-waarden: lijst met essentiële ACR-waarden (Authentication Context Class Reference) die worden gebruikt voor verificatie.

  • Vrijwillige ACR-waarden: lijst met vrijwillige ACR-waarden (Authentication Context Class Reference) die worden gebruikt voor verificatie.

Claims

Gebruikers kunnen zich alleen aanmelden bij Tableau Cloud of TCM als ze zijn ingericht in OpenID Connect (OIDC) IdP en daarna zijn toegewezen aan een gebruikersaccount in Tableau Cloud of TCM. OIDC maakt gebruik van een methode die afhankelijk is van claims om gebruikersaccountkenmerken te delen met andere toepassingen. Tableau Cloud of TCM vertrouwt op de IdP-claim om gebruikersaccounts van de IdP toe te wijzen aan accounts die op Tableau Cloud of TCM worden gehost. Claims omvatten kenmerken van gebruikersaccounts, zoals e-mail, voornaam, enz. Zie Verificatieoverzicht voor meer informatie over hoe Tableau Cloud of TCM IdP-claims toewijst aan gebruikersaccounts.

Opmerking: claims zijn hoofdlettergevoelig.

  • Gebruikersnaam: standaard verwacht Tableau dat de IdP de gebruikersnaamclaim doorgeeft. Afhankelijk van uw IdP moet u Tableau Cloud mogelijk configureren om een andere IdP-claim te gebruiken. Opmerking: de gebruikersnaam in Tableau staat vast en kan nooit worden bijgewerkt.

  • Naamclaim: u kunt een naam of voor- en achternaam opgeven om de weergavenaam voor de gebruiker op te halen.

  • E-mailclaim: desgewenst kunt u vanaf juli 2025 een ander e-mailadres opgeven dat afwijkt van de gebruikersnaam. De e-mailadresclaim wordt alleen gebruikt voor meldingen en niet voor aanmelding.

Eenmalige aanmelding bij OIDC inschakelen

Stap 1: OpenID Connect configureren

Voor Tableau Cloud

  1. Meld u als sitebeheerder aan bij Tableau Cloud en selecteer Instellingen > Verificatie.

  2. Klik op het tabblad Verificatie op de knop Nieuwe configuratie, selecteer OpenID Connect (OIDC) en voer een naam in voor de configuratie.

  3. Voer de volgende stappen uit om Tableau Cloud te configureren voor OIDC-verificatie:

    1. Voer in stap 1 de vereiste informatie van uw IdP in, zoals client-ID, clientgeheim en configuratie-URL.

    2. Kopieer in stap 2 de omleidings-URL van Tableau Cloud die u in de portal van uw IdP plakt om gebruikers door te sturen nadat ze zijn geverifieerd.

    3. Voer in stap 3 de claims in om ervoor te zorgen dat de gebruikersnaam en weergavenaam van gebruikers correct worden toegewezen.

    4. In stap 4 kunt u desgewenst eenmalige afmelding (SLO) inschakelen als uw IdP daar ondersteuning voor biedt.

    5. In stap 5 kunt u desgewenst kiezen hoe gebruikers zich moeten verifiëren als ze toegang willen tot de ingesloten weergave: in een apart pop-upvenster of via een inline iFrame.

      Opmerking: u kunt het verificatietype voor ingesloten weergaven selecteren in het gedeelte Standaardverificatietype voor ingesloten weergaven op de pagina Verificatie (onder de OIDC-configuratiestappen).

  4. Klik op de knop Wijzigingen opslaan als u klaar bent.

Opmerking: bij het bewerken van de OIDC-configuratie wordt het clientgeheim verborgen en moet dit opnieuw worden ingevoerd voordat wijzigingen kunnen worden opgeslagen.

Voor TCM

  1. Meld u als cloudbeheerder aan bij TCM en selecteer Instellingen > Verificatie.

  2. Vink op het tabblad Verificatie het selectievakje Aanvullende verificatiemethode inschakelen aan.

  3. Selecteer OpenID Connect (OIDC) in het vervolgkeuzemenu en klik op de vervolgkeuzepijl Configuratie (verplicht).

  4. Voer de volgende stappen uit om TCM te configureren voor OIDC-verificatie:

    1. Voer in stap 1 de vereiste informatie van uw IdP in, zoals client-ID, clientgeheim en configuratie-URL.

    2. Kopieer in stap 2 de omleiding-URL van TCM die u in de portal van uw IdP plakt om gebruikers door te sturen nadat ze zijn geverifieerd.

    3. Voer in stap 3 de claims in om ervoor te zorgen dat de gebruikersnaam en weergavenaam van gebruikers correct worden toegewezen.

    4. In stap 4 kunt u desgewenst eenmalige afmelding (SLO) inschakelen als uw IdP daar ondersteuning voor biedt.

  5. Klik op de knop Wijzigingen opslaan als u klaar bent.

Opmerking: bij het bewerken van de OIDC-configuratie wordt het clientgeheim verborgen en moet dit opnieuw worden ingevoerd voordat wijzigingen kunnen worden opgeslagen.

Stap 2: de configuratie testen

We raden u ten zeerste aan de configuratie te testen om vergrendelscenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u OIDC correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt in OIDC. Om de configuratie te kunnen testen, moet u ervoor zorgen dat er ten minste één gebruiker is namens wie u zich kunt aanmelden en die al is ingericht in de IdP en is toegevoegd aan Tableau Cloud of TCM met het geconfigureerde OIDC-verificatietype.

Opmerking: als u niet zeker weet wat de claims zijn, voer de configuratie dan uit en test deze. Wanneer u de configuratie test, wordt een nieuw venster geopend met details over de claimtoewijzingen, waaronder de claims voor de gebruikersnaam en de weergavenaam. Sommige IdP's koppelen het e-mailadres aan de Tableau-gebruikersnaam.

Voor Tableau Cloud

  1. Klik op het tabblad Verificatie terwijl OpenID Connect (OIDC) is geselecteerd en klik bij stap 6 op de knop Configuratie testen knop. Er verschijnt een nieuw venster met meer informatie over de configuratie.

  2. Als u klaar bent, voltooit u de OIDC-installatie door gebruikers aan uw site toe te voegen. Volg hiervoor de onderstaande stappen.

Voor TCM

  1. Klik op het tabblad Verificatie terwijl OpenID Connect (OIDC) is geselecteerd bij stap 5 op de knop Configuratie testen. Er verschijnt een nieuw venster met meer informatie over de configuratie.

  2. Als u klaar bent, voltooit u de OIDC-configuratie door gebruikers aan uw tenant toe te voegen. Volg hiervoor de onderstaande stap.

Stap 3: gebruikers toevoegen aan de met OpenID Connect compatibele Tableau-site of TCM

De stappen die in deze sectie worden beschreven, worden uitgevoerd op de pagina Gebruikers van Tableau Cloud of TCM.

  1. Nadat u de bovenstaande stappen hebt voltooid, keert u terug naar uw Tableau Cloud-site of TCM.

  2. Selecteer in het linkerdeelvenster de pagina Gebruikers.

  3. Volg de procedure die in een van de volgende onderwerpen wordt beschreven:

Problemen oplossen

Raadpleeg de volgende onderwerpen als er problemen optreden met OpenID Connect (OIDC) in Tableau Cloud of TCM.

Het OIDC-protocol wordt door veel identiteitsproviders ondersteund. Het OIDC-protocol is een open en flexibele standaard. Niet alle implementaties van de standaard zijn daarom identiek De meeste problemen die beheerders tegenkomen bij het configureren van Tableau Cloud of TCM voor OIDC zijn het resultaat van de manier waarop verschillende identiteitsaanbieders OIDC implementeren. Als u fouten tegenkomt bij het configureren van OIDC met Tableau, raden wij u aan om samen met uw IdP een oplossing te zoeken.

Aanmelden vanaf de opdrachtregel

Voor Tableau Cloud

Zelfs als Tableau Cloud is geconfigureerd om OIDC te gebruiken, wordt OIDC-verificatie niet gebruikt wanneer u zich aanmeldt bij Tableau Cloud met gebruik van tabcmd, de Tableau REST API(Link wordt in een nieuw venster geopend) of het Tableau-opdrachtregelhulpprogramma voor data-extractie(Link wordt in een nieuw venster geopend) (meegeleverd met Tableau Desktop).

Voor TCM

Op dezelfde manier wordt OIDC-verificatie niet gebruikt wanneer u zich aanmeldt bij de Tableau Cloud Manager REST API(Link wordt in een nieuw venster geopend), zelfs als TCM is geconfigureerd om OIDC te gebruiken.

Aanmelden is mislukt

In sommige gevallen mislukt het aanmelden bij Tableau Cloud of TCM en wordt het volgende bericht weergegeven:

Aanmelding mislukt: verificatie door identiteitsprovider niet gelukt voor gebruiker <gebruikersnaam_van_IdP>. Kan de gebruiker niet vinden in Tableau Cloud.

Deze fout betekent doorgaans dat een gebruikersnaam die is opgeslagen in Tableau niet overeenkomt met de gebruikersnaam die door de IdP is verstrekt. Zorg dat de gebruikersnaamwaarden overeenkomen om dit probleem op te lossen. Als de gebruikersnaam van Jolanda Smeets bijvoorbeeld in de IdP is opgeslagen als 'jsmeets@voorbeeld.com', moet deze in Tableau Cloud of TCM ook worden opgeslagen als 'jsmeets@voorbeeld.com'.

De toegang tot data aanpassen en beheren met behulp van gebruikerskenmerken

Gebruikerskenmerken zijn metadata van gebruikers die door uw organisatie zijn gedefinieerd. Met gebruikerskenmerken kunt u de toegang bepalen in een typisch, op kenmerken gebaseerd ABAC-autorisatiemodel (Attribute-Based Access Control). Bij gebruikerskenmerken kan het gaan om elk aspect van het gebruikersprofiel, zoals functierollen, afdelingslidmaatschap, managementniveau, enzovoort. Deze kenmerken kunnen ook worden gekoppeld aan gebruikerscontexten tijdens de runtime, zoals de site waar de gebruiker is aangemeld, of de taalvoorkeur van de gebruiker.

Door gebruikerskenmerken in uw workflow op te nemen, kunt u de gebruikerservaring beheren en aanpassen via datatoegang en personalisatie.

  • Toegang tot data: u kunt gebruikerskenmerken gebruiken om databeveiligingsbeleid af te dwingen. Dit zorgt ervoor dat gebruikers alleen de data kunnen zien waarvoor ze geautoriseerd zijn.
  • Personalisatie: door gebruikerskenmerken zoals locatie en rol door te geven, kunt u uw inhoud aanpassen zodat alleen de informatie wordt weergegeven die relevant is voor de gebruiker die de inhoud opent. Zo wordt het voor hen gemakkelijker om de informatie te vinden die ze nodig hebben.

Samenvatting van de stappen voor het doorgeven van gebruikerskenmerken

Het proces voor het inschakelen van gebruikerskenmerken in een workflow kan worden samengevat in de volgende stappen:

  1. De instelling voor gebruikerskenmerken inschakelen
  2. De gebruikerskenmerken opnemen in het JWT
  3. Ervoor zorgen dat de auteur functies voor gebruikerskenmerken en relevante filters in de inhoud opneemt
  4. De inhoud controleren

Stap 1: De instelling voor gebruikerskenmerken inschakelen

Uit veiligheidsoverwegingen worden gebruikerskenmerken alleen gevalideerd in een verificatieworkflow wanneer de instelling voor gebruikerskenmerken is ingeschakeld door een sitebeheerder.

  1. Meld u aan bij Tableau Cloud en klik op Instellingen > Verificatie.

  2. Schakel het selectievakje Vastleggen van gebruikerskenmerken in verificatieworkflows mogelijk makenin onder de kop 'Gebruikerstoegang beheren in verificatieworkflows'.

Zie Gebruikerstoegang beheren in verificatieworkflows voor meer informatie over site-instellingen.

Stap 2: Claims voor gebruikerskenmerken opnemen in het JWT

Zorg ervoor dat het JSON Web Token (JWT) de gebruikerskenmerken bevat.

Opmerking: Voor kenmerken in het JWT geldt een limiet van 4096 tekens, met uitzondering van de kenmerken scope of scp. Als de kenmerken in het JWT, waaronder gebruikerskenmerken, deze limiet overschrijden, verwijdert Tableau de kenmerken en wordt in plaats daarvan het kenmerk ExtraAttributesRemoved doorgegeven. De auteur van de inhoud kan vervolgens een berekening maken met het kenmerk ExtraAttributesRemoved om te bepalen hoe de inhoud aan gebruikers wordt weergegeven wanneer het kenmerk is gedetecteerd.

Voorbeeld

Stel dat u een werknemer hebt, Fred Suzuki, die manager is in de regio Zuid. U wilt ervoor zorgen dat Fred bij het beoordelen van rapporten alleen de data voor de regio Zuid ziet. In een dergelijk scenario kunt u het gebruikerskenmerk Regio opnemen in het JWT, zoals in het onderstaande voorbeeld.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Stap 3: Zorg ervoor dat de auteur van de inhoud kenmerkfuncties opneemt

Let erop dat de auteur van de inhoud de gebruikerskenmerkfuncties en bijbehorende filters opneemt om te bepalen welke data in de inhoud kunnen worden weergegeven. Om ervoor te zorgen dat de claims voor gebruikerskenmerken worden doorgegeven aan Tableau, moet de inhoud een van de volgende functies voor gebruikerskenmerken bevatten:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Welke functie de auteur van de inhoud gebruikt, hangt ervan af of de gebruikerskenmerken één waarde of meerdere waarden moeten retourneren. Zie Gebruikersfuncties(Link wordt in een nieuw venster geopend) in de Tableau Help voor meer informatie over deze functies en voorbeelden.

Opmerkingen:

  • Wanneer u in Tableau Desktop of Tableau Cloud ontwerpt, is er geen voorbeeld van de inhoud met deze functies beschikbaar. De functie retourneert in dat geval NULL of FALSE. Om er zeker van te zijn dat de gebruikersfuncties werken zoals verwacht, raden we de auteur aan de functies te controleren nadat deze de inhoud beschikbaar heeft gesteld.
  • Om te zorgen dat de inhoud wordt weergegeven zoals verwacht, kan de auteur van de inhoud overwegen een berekening op te nemen waarbij ExtraAttributesRemoved wordt toegepast om 1) te controleren op dit kenmerk en 2) te bepalen wat er met de inhoud moet gebeuren als dit het geval is, zoals bijvoorbeeld een bericht weergeven. Tableau voegt alleen het kenmerk ExtraAttributesRemoved toe en verwijdert alle andere kenmerken (behalve scp of scope) wanneer de kenmerken in het JWT langer zijn dan 4096 tekens. Zo worden optimale prestaties gegarandeerd en worden de opslagbeperkingen gerespecteerd.

Voorbeeld

We gaan verder met het eerder in Stap 2: Claims voor gebruikerskenmerken opnemen in het JWT genoemde voorbeeld: als de auteur de claim voor het gebruikerskenmerk 'Regio' wil doorgeven aan een werkmap, kan deze het volgende opnemen: USERATTRIBUTEINCLUDES. Bijvoorbeeld, USERATTRIBUTEINCLUDES('Region', [Region]), waarbij 'Region' het gebruikerskenmerk is en [Region] een kolom in de data. Met de nieuwe berekening kan de auteur een tabel maken met data voor de manager en voor de verkoop. Wanneer de berekening wordt toegevoegd, retourneert de werkmap zoals verwacht de waarde 'False'.

Om alleen de data weer te geven die zijn gekoppeld aan de regio Zuid in de ingesloten werkmap, kan de auteur een filter maken en dit aanpassen om waarden weer te geven wanneer de regio Zuid op 'True' staat. Wanneer dit filter wordt toegepast, wordt de werkmap zoals verwacht leeg, omdat de functie 'False'-waarden retourneert en het filter is aangepast om alleen 'True'-waarden weer te geven.

Stap 4: De inhoud controleren

Controleer en valideer de inhoud.

Voorbeeld

Laten we nu het voorbeeld van Stap 3: Zorg ervoor dat de auteur van de inhoud kenmerkfuncties opneemt afsluiten. Hierboven kunt u zien dat de verkoopdata in de weergave zijn aangepast aan Fred Suzuki omdat zijn gebruikerscontext de regio Zuid is.

Als het goed is, zien managers uit de regio's die in de werkmap voorkomen de waarde die aan hun regio is gekoppeld. Sawdie Pawthorne uit de regio West ziet bijvoorbeeld data die specifiek zijn voor haar regio.

Managers waarvan de regio's niet in de werkmap zijn opgenomen, zien een lege werkmap.

Bekende problemen en beperkingen

Er zijn een aantal bekende problemen en beperkingen waarmee u rekening moet houden als u met functies voor gebruikerskenmerken werkt.

Lege afbeeldingen bij gebruik van de Tableau REST API

Bij de Tableau REST API-aanvragen Query uitvoeren op voorbeeldafbeelding(Link wordt in een nieuw venster geopend), Query uitvoeren op werkmapafbeelding(Link wordt in een nieuw venster geopend) en Afbeelding van een aangepaste weergave ophalen(Link wordt in een nieuw venster geopend) worden lege afbeeldingen gegenereerd.

Beperkingen

  • Functies voor gebruikerskenmerken worden niet ondersteund in gepubliceerde databronnen (.pds).
  • Functies voor gebruikerskenmerken worden niet ondersteund in Tableau Bridge-workflows.
Terug naar boven
Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.