Tableau Cloud configureren voor OpenID Connect
In dit onderwerp wordt beschreven hoe u Tableau Cloud configureert om OpenID Connect (OIDC) te gebruiken voor eenmalige aanmelding (SSO). Dit is één stap in een proces dat uit meerdere stappen bestaat. De volgende onderwerpen bieden informatie over het configureren en gebruiken van OIDC met Tableau Cloud.
Overzicht van OpenID Connect
Tableau Cloud configureren voor OpenID Connect (dit onderwerp)
Opmerkingen:
- Voordat u de hier beschreven stappen uitvoert, dient u de OpenID-identiteitsprovider (IdP) te configureren, zoals wordt beschreven in De identiteitsprovider voor OpenID Connect configureren.
- U kunt ook OIDC-verificatie voor Tableau Cloud configureren met behulp van de Tableau REST API en de OpenID Connect-methoden(Link wordt in een nieuw venster geopend).
- De Tableau REST API en tabcmd bieden geen ondersteuning voor eenmalige aanmelding (SSO) via OIDC. Als gebruikers tabcmd of de REST-API(Link wordt in een nieuw venster geopend) willen gebruiken, moeten ze zich aanmelden bij Tableau Cloud met behulp van een TableauID-account.
Vereisten
Parameters
Client-ID: deze waarde wordt uitgegeven door de IdP en geeft een identificatiecode op voor de geregistreerde Tableau Cloud-versie. Zo weet de IdP waar de verificatieaanvraag vandaan komt.
Clientgeheim: een token dat door Tableau wordt gebruikt om de authenticiteit van het antwoord van de IdP te verifiëren. Deze waarde moet veilig worden bewaard.
Configuratie-URL: deze waarde geeft de URL op waarnaar de IdP de gebruiker doorverwijst nadat deze is geverifieerd. De URL moet de host en het protocol bevatten (bijvoorbeeld
https://dev-555555-admin.oktapreview.com/oauth2/default/.well-known/openid-configuration
), maar Tableau levert het URL-eindpunt. Geeft de locatie op van het detectiedocument voor de providerconfiguratie dat de metadata van de OpenID-provider bevat.Opmerking: als uw IdP geen configuratie-URL verstrekt, dat wil zeggen een URL die eindigt op
.well-known/openid-configuration
, overweeg dan om de OpenID Connect-verificatiemethoden(Link wordt in een nieuw venster geopend) in de Tableau REST API te gebruiken om OIDC te configureren.
Optionele parameters
De volgende optionele parameters kunnen worden geconfigureerd met behulp van de OpenID Connect-verificatiemethoden(Link wordt in een nieuw venster geopend) in de Tableau REST API.
Prompt: vraagt de gebruiker zich opnieuw te verifiëren en opnieuw toestemming te geven. Standaard is toestemming van de gebruiker ingeschakeld.
Aangepast bereik: aangepaste, aan de gebruiker gerelateerde bereikwaarde om query's uit te voeren op de IdP.
Clientverificatie: verificatiemethode voor het tokeneindpunt. De standaardwaarde is
'client_secret_basic'
. De waarde'client_secret_post'
wordt ondersteund.Essentiële ACR-waarden: lijst met essentiële ACR-waarden (Authentication Context Class Reference) die worden gebruikt voor verificatie.
Vrijwillige ACR-waarden: lijst met vrijwillige ACR-waarden (Authentication Context Class Reference) die worden gebruikt voor verificatie.
Claims
Gebruikers kunnen zich alleen aanmelden bij Tableau Cloud als ze zijn ingericht in OpenID Connect (OIDC) IdP en daarna zijn toegewezen aan een gebruikersaccount in Tableau Cloud. OIDC maakt gebruik van een methode die afhankelijk is van claims om gebruikersaccountkenmerken te delen met andere toepassingen. Tableau Cloud vertrouwt op de IdP-claim om gebruikersaccounts van de IdP toe te wijzen aan accounts die op Tableau Cloud worden gehost. Claims omvatten kenmerken van gebruikersaccounts, zoals e-mail, voornaam, enz. Zie Verificatieoverzicht voor meer informatie over hoe Tableau Cloud IdP-claims toewijst aan gebruikersaccounts.
Opmerking: claims zijn hoofdlettergevoelig.
Gebruikersnaam: Tableau Cloud verwacht standaard dat de IdP de gebruikersnaamclaim doorgeeft. Afhankelijk van uw IdP moet u Tableau Cloud mogelijk configureren om een andere IdP-claim te gebruiken.
Opmerking: de gebruikersnaam in Tableau Cloud staat vast en kan nooit worden bijgewerkt.
Naamclaim: u kunt een naam of voor- en achternaam opgeven om de weergavenaam voor de gebruiker op te halen.
Stap 1: OpenID Connect configureren
Meld u als sitebeheerder aan bij Tableau Cloud en selecteer Instellingen > Verificatie.
Selecteer OpenID Connect (OIDC) op het tabblad Verificatie.
Voer de volgende stappen uit om Tableau Cloud te configureren voor OIDC-verificatie:
Voer in stap 1 de vereiste informatie van uw IdP in, zoals client-ID, clientgeheim en configuratie-URL.
Kopieer in stap 2 de omleidings-URL van Tableau Cloud die u in de portal van uw IdP plakt om gebruikers door te sturen nadat ze zijn geverifieerd.
Voer in stap 3 de claims in om ervoor te zorgen dat de gebruikersnaam en weergavenaam van gebruikers correct worden toegewezen.
In stap 4 kunt u desgewenst eenmalige afmelding (SLO) inschakelen als uw IdP daar ondersteuning voor biedt.
In stap 5 kunt u desgewenst kiezen hoe gebruikers zich moeten verifiëren als ze toegang willen tot de ingesloten weergave: in een apart pop-upvenster of via een inline iFrame.
Opmerking: u kunt het verificatietype voor ingesloten weergaven selecteren in het gedeelte Standaardverificatietype voor ingesloten weergaven op de pagina Verificatie (onder de OIDC-configuratiestappen).
Klik op de knop Wijzigingen opslaan als u klaar bent.
Opmerking: bij het bewerken van de OIDC-configuratie wordt het clientgeheim verborgen en moet dit opnieuw worden ingevoerd voordat wijzigingen kunnen worden opgeslagen.
Stap 2: de configuratie testen
We raden u ten zeerste aan de configuratie te testen om vergrendelscenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u OIDC correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt in OIDC. Om de configuratie succesvol te testen, moet u ervoor zorgen dat er ten minste één gebruiker is als wie u zich kunt aanmelden, die al is ingericht in de IdP en die al is toegevoegd aan uw Tableau Cloud met het geconfigureerde OIDC-verificatietype.
Opmerking: als u niet zeker weet wat de claims zijn, voer de configuratie dan uit en test deze. Wanneer u de configuratie test, wordt een nieuw venster geopend met details over de claimtoewijzingen, waaronder de claims voor de gebruikersnaam en de weergavenaam. Sommige IdP's koppelen het e-mailadres aan de Tableau-gebruikersnaam.
Klik op het tabblad Verificatie terwijl OpenID Connect (OIDC) is geselecteerd en klik bij stap 6 op de knop Configuratie testen knop. Er verschijnt een nieuw venster met meer informatie over de configuratie.
Als u klaar bent, voltooit u de OIDC-installatie door gebruikers aan uw site toe te voegen. Volg hiervoor de onderstaande stappen.
Stap 3: gebruikers toevoegen aan de met OpenID Connect compatibele Tableau-site
De stappen die in deze sectie worden beschreven, worden uitgevoerd op de pagina Gebruikers van Tableau Cloud.
Nadat u de bovenstaande stappen hebt voltooid, keert u terug naar uw Tableau Cloud-site.
Selecteer in het linkerdeelvenster de pagina Gebruikers.
Volg de procedure die wordt beschreven in het onderwerp Gebruikers aan een site toevoegen.
Problemen oplossen
Raadpleeg de volgende onderwerpen als er problemen optreden met OpenID Connect (OIDC) in Tableau Cloud.
Het OIDC-protocol wordt door veel identiteitsproviders ondersteund. Het OIDC-protocol is een open en flexibele standaard. Niet alle implementaties van de standaard zijn daarom identiek De meeste problemen die beheerders tegenkomen bij het configureren van Tableau Cloud voor OIDC zijn het resultaat van de manier waarop verschillende identiteitsaanbieders OIDC implementeren. Als u fouten tegenkomt bij het instellen van OIDC met Tableau Cloud, raden wij u aan om samen met uw IdP een oplossing te zoeken.
Aanmelden vanaf de opdrachtregel
Zelfs als Tableau Cloud is geconfigureerd om OIDC te gebruiken, wordt OIDC-verificatie niet gebruikt wanneer u zich aanmeldt bij Tableau Cloudmet gebruik van tabcmd, de Tableau REST-API(Link wordt in een nieuw venster geopend) of het Tableau-opdrachtregelhulpprogramma voor data-extractie(Link wordt in een nieuw venster geopend) (meegeleverd met Tableau Desktop).
Aanmelden is mislukt
In sommige gevallen mislukt het aanmelden bij Tableau Cloud en wordt het volgende bericht weergegeven:
Aanmelding mislukt: verificatie door identiteitsprovider niet gelukt voor gebruiker <gebruikersnaam_van_IdP>. Kan de gebruiker niet vinden in Tableau Cloud.
Deze fout betekent doorgaans dat een gebruikersnaam die is opgeslagen in Tableau Cloud niet overeenkomt met de gebruikersnaam die door de IdP is verstrekt. Zorg dat de gebruikersnaamwaarden overeenkomen om dit probleem op te lossen. Als de gebruikersnaam van Jolanda Smeets bijvoorbeeld in de IdP is opgeslagen als 'jsmith@example.com', moet deze in Tableau Cloud ook worden opgeslagen als "jsmith@example.com.