OpenID Connect

É possível configurar o Tableau Cloud para oferecer suporte ao OpenID Connect (OIDC) para Single Sign-on (Logon único, SSO). O OIDC é um protocolo de autenticação padrão que permite aos usuários fazer logon em um provedor de identidade (IdP) como o Google ou Salesforce. Após fazerem logon com sucesso no IdP, eles entram automaticamente no Tableau Cloud.

A configuração do OIDC envolve várias etapas. Os tópicos nesta seção fornecem informações gerais sobre a utilização do Tableau Cloud com o OIDC e uma sequência para a configuração do IdP e do Tableau Cloud.

Para configurar o OIDC usando a API REST do Tableau, consulte Métodos de Autenticação do OpenID Connect(O link abre em nova janela) na Ajuda de API REST do Tableau.

Visão geral da autenticação

Esta seção descreve o processo de autenticação do OpenID Connect (OIDC) com Tableau Cloud.

1. Um usuário tenta entrar no Tableau Cloud em um computador cliente.

2. Tableau Cloud redireciona a solicitação de autenticação ao gateway IdP.

3. O usuário é solicitado a fornecer credenciais e faz a autenticação com o IdP com sucesso. O IdP responde com uma URL de redirecionamento de volta ao Tableau Cloud. A URL de redirecionamento inclui um código de autorização para o usuário.

4. O cliente é redirecionado para o Tableau Cloud e apresenta o código de autorização.

5. O Tableau Cloud apresenta o código de autorização do cliente ao IdP, juntamente com suas próprias credenciais de cliente. O Tableau Cloud também é cliente do IdP. Esta etapa destina-se a evitar ataques de spoofing ou “man-in-the-middle”.

6. O IdP retorna um token de acesso e um token de ID para o Tableau Cloud.

  • Validação do JSON Web Token (JWT): por padrão, o Tableau Cloud executa uma validação do IdP JWT. Durante a descoberta, o Tableau Cloud recupera as chaves públicas especificadas pelo jwks_uri no documento de descoberta da configuração do IdP. O Tableau Cloud valida o token de ID da expiração e, em seguida, verifica o JWS (JSON Web Signature), o emissor (IdP) e a ID do cliente. Você pode saber mais sobre o processo do JWT na documentação do OIDC 10. Assinaturas e criptografia(O link abre em nova janela) e o padrão proposto pela IETF, o JSON Web Token(O link abre em nova janela). Recomenda-se deixar a validação do JWT habilitada, a menos que o Idp não ofereça suporte.

  • O token da ID é um conjunto de pares de chaves de atributo para o usuário. Os pares de chaves são chamados de reivindicações. Veja um exemplo de reivindicação de IdP para um usuário:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. O Tableau Cloud identifica o usuário nas reivindicações de IdP e conclui a solicitação de autenticação da Etapa 1.O Tableau Cloud pode ser configurado para usar declarações diferentes para esse processo. Consulte Requisitos.

8. O Tableau Cloud autoriza o usuário.

Como o Tableau Cloud funciona com OpenID Connect

O OpenID Connect (OIDC) é um protocolo flexível, compatível com muitas opções de informações, que são trocadas entre um provedor de serviços (nesse caso, o Tableau Cloud) e um IdP. A lista a seguir fornece detalhes sobre a implementação do OpenID no Tableau Cloud. Estes detalhes podem ajudar a entender quais tipos de informação o Tableau Cloud envia e espera, e como configurar um IdP.

  • O Tableau Cloud é compatível somente com o OpenID Authorization Code Flow como descrito na Especificação final do OpenID Connect(O link abre em nova janela) na documentação do OpenID Connect.

  • O Tableau Cloud depende do uso de descoberta ou de uma URL de provedor para recuperar os metadados do IdP.

  • O Tableau Cloud tem suporte de autenticação do cliente client_secret_basic (padrão) e client_secret_post e outros parâmetros especificados na especificação OpenID Connect. Você pode configurada somente na API REST do Tableau.

Associação dinâmica a grupos usando asserções OIDC

A partir de junho de 2024, se a autenticação OIDC estiver configurada e a configuração do recurso habilitada, você poderá controlar dinamicamente a associação ao grupo por meio de declarações personalizadas incluídas no JSON Web Token (JWT) enviado pelo provedor de identidade (IdP).

Quando configurado, durante a autenticação do usuário, o IdP envia a asserção OIDC que contém duas declarações personalizadas de associação de grupo: grupo (https://tableau.com/groups) e nomes de grupos (por exemplo, "Grupo1" e "Grupo2") para inserir o usuário. O Tableau valida a declaração e, em seguida, permite o acesso aos grupos e ao conteúdo cujas permissões dependem desses grupos.

Para obter mais informações, consulte: Associação dinâmica a grupos usando asserções

Exemplo de JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!