Configurar o Tableau Cloud ou TCM para OpenID Connect


Este tópico descreve como configurar o Tableau Cloud ou Tableau Cloud Manager (TCM) para usar o OpenID Connect (OIDC) para logon único (SSO, Single Sign-on). Esta é uma etapa contida em um processo de várias etapas. Os tópicos a seguir fornecem informações sobre a configuração e uso de OIDC com Tableau Cloud ou TCM.

  1. Visão geral do OpenID Connect

  2. Configurar o provedor de identidades para o OpenID Connect

  3. Configurar Tableau Cloud ou TCM para OpenID Connect (você está aqui)

Observações:

Requisitos

Parâmetros

  • ID do cliente: este valor é emitido pelo IdP e especifica um identificador para o Tableau Cloud registrado ou TCM. Isso permite que o IdP saiba de onde vem a solicitação de autenticação.

  • Segredo do cliente: este é um token usado pelo Tableau Cloud ou TCM para verificar a autenticidade da resposta do IdP. Este valor deve ser mantido em segurança.

  • URL de configuration: esse valor especifica a URL para a qual o IdP faz o redirecionamento, depois que o usuário for autenticado. A URL deve incluir o host e protocolo (por exemplo, https://admin.okta.com/oauth2/default/.well-known/openid-configuration), mas o Tableau fornece o endpoint da URL. Esta URL especifica a localização do documento de descoberta de configuração do provedor que contém os metadados do provedor OpenID.

    Observação: se o seu IdP não fornecer uma URL de configuração, use uma URL que termine com .well-known/openid-configuration. Para o Tableau Cloud, considere usar o Métodos de autenticação OpenID Connect(O link abre em nova janela) na API REST do Tableau para configurar o OIDC.

Parâmetros opcionais

Observação: se aplica somente ao Tableau Cloud.

Os seguintes parâmetros opcionais podem ser configurados usando Métodos de autenticação OpenID Connect(O link abre em nova janela) na API REST do Tableau.

  • Prompt: solicita ao usuário reautenticação e consentimento. Por padrão, o consentimento do usuário está ativado.

  • Escopo personalizado: valor relacionado ao usuário do escopo personalizado para consultar o IdP.

  • Autenticação do cliente: método de autenticação de endpoint de token. O valor padrão é: 'client_secret_basic'. O valor 'client_secret_post' é aceito.

  • Valores essenciais do ACR: lista de valores essenciais da classe de referência de contexto de autenticação usados para autenticação.

  • Valores voluntários de ACR: lista de valores voluntários de Classe de Referência de Contexto de Autenticação usados para autenticação.

Reinvidicações

Para fazer logon com êxito no Tableau Cloud ou TCM, um determinado usuário deve ser provisionado no IdP do OpenID Connect (OIDC) e, em seguida, mapeado para uma conta de usuário no Tableau Cloud ou TCM. O OIDC usa um método que depende que as reivindicações compartilhem os atributos da conta de usuário com outros aplicativos. O Tableau Cloud ou TCM depende que a reivindicação de IdP mapeiem as contas de usuário do IdP para as hospedadas no Tableau Cloud ou TCM. As reivindicações incluem atributos de conta de usuário, como e-mail, nome etc. Para compreender como o Tableau Cloud ou TCM mapeia as reivindicações de IdP nas contas de usuário, consulte Visão geral da autenticação.

Observação: as reinvidicações diferenciam letras maiúsculas de minúsculas.

  • Nome de usuário: por padrão, o Tableau espera que o IdP passe a reivindicação de nome de usuário. Dependendo do IdP, talvez seja necessário configurar o Tableau Cloud para usar uma reivindicação de IdP diferente. Observação: o nome de usuário no Tableau é imutável e não pode ser atualizado em nenhum momento.

  • Reivindicação de nome: você pode especificar o nome ou o nome e o sobrenome para recuperar DisplayName para o usuário.

  • Reivindicação de e-mail: opcionalmente, a partir de julho de 2025, você pode especificar um endereço de e-mail diferente do nome de usuário. A reinvidicações de endereço de e-mail é usado apenas para fins de notificação e não para login.

Habilitar logon único de OIDC

Etapa 1: configurar o OpenID Connect

Para o Tableau Cloud

  1. Entre no Tableau Cloud como um administrador de site e selecione Configurações > Autenticação.

  2. Na guia Autenticação, clique no botão Nova configuração, selecione OpenID Connect (OIDC) e insira um nome para a configuração.

  3. Siga as etapas para configurar a autenticação do Tableau Cloud para OIDC fazendo o seguinte:

    1. Na etapa 1, insira as informações necessárias do seu IdP, incluindo ID do cliente, segredo do cliente e URL de configuração.

    2. Na etapa 2, copie a URL de redirecionamento do Tableau Cloud que você colará no portal do seu IdP para redirecionar os usuários após a autenticação.

    3. Na etapa 3, insira as declarações para garantir o mapeamento correto do nome de usuário e do nome de exibição dos usuários.

    4. Na etapa 4, habilite opcionalmente o logout único (SLO) se o seu IdP oferecer suporte.

    5. Na etapa 5, escolha como os usuários serão autenticados ao acessar a visualização incorporada: em uma janela pop-up separada ou usando um iFrame em linha.

      Observação: você pode selecionar o tipo de autenticação para visualizações incorporadas no Tipo de autenticação padrão para visualizações inseridas seção na página Autenticação (abaixo das etapas de configuração do OIDC).

  4. Quando terminar, clique no botão Salvar alterações.

Observação: ao editar a configuração do OIDC, o segredo do cliente fica oculto e precisa ser digitado novamente antes que qualquer alteração possa ser salva.

Para TCM

  1. Entre no TCM como um administrador e nuvem e selecione Configurações > Autenticação.

  2. Na guia Autenticação, marque a caixa de seleção Habilitar um método de autenticação adicional.

  3. Selecione Conexão OpenID (OIDC) no menu suspenso e clique na seta suspensa Configuração (obrigatório).

  4. Siga as etapas para configurar a autenticação do TCM para OIDC fazendo o seguinte:

    1. Na etapa 1, insira as informações necessárias do seu IdP, incluindo ID do cliente, segredo do cliente e URL de configuração.

    2. Na etapa 2, copie a URL de redirecionamento do TCM que você colará no portal do seu IdP para redirecionar os usuários após a autenticação.

    3. Na etapa 3, insira as declarações para garantir o mapeamento correto do nome de usuário e do nome de exibição dos usuários.

    4. Na etapa 4, habilite opcionalmente o logout único (SLO) se o seu IdP oferecer suporte.

  5. Quando terminar, clique no botão Salvar alterações.

Observação: ao editar a configuração do OIDC, o segredo do cliente fica oculto e precisa ser digitado novamente antes que qualquer alteração possa ser salva.

Etapa 2: testar a configuração

É altamente recomendável que você teste a configuração para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de OIDC antes de alterar o tipo de autenticação de seus usuários para OIDC. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud ou TCM com o tipo de autenticação OIDC configurado.

Observação: se não tiver certeza de quais são as reivindicações, conclua a configuração e teste-a. Testar a configuração produzirá uma nova janela com os detalhes dos mapeamentos de declarações, incluindo as declarações de nome de usuário e nome de exibição. Alguns IdPs podem mapear o endereço de e-mail para o nome de usuário do Tableau.

Para o Tableau Cloud

  1. Na guia Autenticação enquanto OpenID Connect (OIDC) estiver selecionado, na etapa 6, clique no botão Configuração de teste. Uma nova janela é exibida com detalhes da configuração.

  2. Ao terminar, conclua a configuração do OIDC adicionando usuários ao seu site seguindo a etapa abaixo.

Para TCM

  1. Na guia Autenticação enquanto OpenID Connect (OIDC) estiver selecionado, na etapa 5, clique no botão Configuração de teste. Uma nova janela é exibida com detalhes da configuração.

  2. Ao terminar, conclua a configuração do OIDC adicionando usuários ao seu locatário seguindo a etapa abaixo.

Etapa 3: adicionar usuários ao site do Tableau habilitado por OpenID Connect ou TCM

As etapas descritas nesta seção são executadas na página Usuários do Tableau Cloud ou do TCM.

  1. Depois de concluir as etapas acima, retorne ao site do Tableau Cloud ou TCM.

  2. No painel esquerdo, selecione a página Usuários.

  3. Siga o procedimento descrito em um dos tópicos a seguir:

Solução de problemas

Use as seções a seguir para solucionar problemas do OpenID Connect (OIDC) no Tableau Cloud ou TCM.

O protocolo OIDC é aceito por muitos provedores de identidade. O protocolo OIDC é um padrão aberto e flexível. Por isso, nem todas as implementações do padrão são idênticas. A maioria dos problemas que os administradores encontram durante a configuração do Tableau Cloud ou TCM para OIDC está relacionada à implementação do OIDC por diferentes provedores de identidade. Se você encontrar erros enquanto configurar o OIDC com o Tableau, é recomendável que trabalhe junto ao seu IdP para solucioná-los.

Entrar por meio da linha de comando

Para o Tableau Cloud

Mesmo que o Tableau Cloud esteja configurado para usar o OIDC, a autenticação do OIDC não será usada caso o Tableau Cloud seja acessado por meio do tabcmd, da API REST(O link abre em nova janela) ou do Utilitário de linha de comando da extração de dados do Tableau(O link abre em nova janela) (fornecido com o Tableau Desktop).

Para TCM

Da mesma forma, mesmo que o TCM esteja configurado para usar OIDC, a autenticação OIDC não é usada quando você faz login na API REST do Tableau Cloud Manager(O link abre em nova janela).

Logon falhou

Em alguns casos, o logon no Tableau Cloud ou TCM pode falhar com a seguinte mensagem:

Falha de login: autenticação do provedor de identidade malsucedida para o usuário <username_from_IdP>. Falha ao localizar o usuário no Tableau Cloud.

Esse erro normalmente significa que há falta de correspondência entre os nomes de usuário armazenados no Tableau e os fornecidos pelo IdP. Para resolver isso, certifique-se de que os valores do nome de usuário correspondam. Por exemplo, se o nome de usuário de Jane Silva estiver armazenado no IdP como “js@silva.com”, ele também deverá ser armazenado no Tableau Cloud ou TCM como “js@silva.com”.

Personalizar e controlar o acesso aos dados usando atributos de usuário

Os atributos de usuário são metadados de usuário definidos pela sua organização. Os atributos de usuário podem ser usados para determinar o acesso em um modelo de autorização típico de controle de acesso baseado em atributos (ABAC). Os atributos de usuário podem ser qualquer aspecto do perfil do usuário, incluindo cargos, associação departamental, nível de gerenciamento etc. Eles também podem estar associados a contextos de usuário de tempo de execução, como onde o usuário está conectado ou sua preferência de idioma.

Ao incluir atributos do usuário em seu fluxo de trabalho, você pode controlar e personalizar a experiência do usuário por meio de acesso e personalização de dados.

  • Acesso aos dados: os atributos do usuário podem ser usados para impor políticas de segurança de dados. Isso garante que os usuários vejam apenas as informações que estão autorizados a ver.
  • Personalização: ao passar atributos de usuário como localização e função, seu conteúdo pode ser personalizado para exibir apenas as informações relevantes para o usuário que o acessa, facilitando a localização das informações de que precisa.

Resumo das etapas para passar atributos de usuário

O processo de habilitar atributos de usuário em um fluxo de trabalho é resumido nas seguintes etapas:

  1. Habilitar a configuração de atributos de usuário
  2. Incluir atributos de usuário no JWT
  3. Verificar se o autor do conteúdo inclui funções de atributo de usuário e filtros relevantes
  4. Revisar o conteúdo

Etapa 1: habilitar a configuração de atributos de usuário

Por motivos de segurança, os atributos de usuário só são validados em um fluxo de trabalho de autenticação quando a configuração de atributo de usuário é habilitada por um administrador de site.

  1. Entre no Tableau Cloud e clique em Configurações > Autenticação.

  2. No título Controlar o acesso do usuário nos fluxos de trabalho de autenticação, marque a caixa de seleção Habilitar a captura de atributos de usuário em fluxos de trabalho de autenticação.

Para obter informações sobre configurações do site, consulte Controle o acesso do usuário em fluxos de trabalho de autenticação.

Etapa 2: incluir declarações de atributo de usuário no JWT

Verifique se o JSON Web Token (JWT) contém os atributos de usuário.

Observação: os atributos no JWT estão sujeitos ao limite de 4096 caracteres, com exceção dos atributos scope ou scp. Se os atributos no JWT, incluindo atributos de usuário, excederem esse limite, o Tableau removerá os atributos e passará o atributo ExtraAttributesRemoved. O autor do conteúdo pode então criar um cálculo com o atributo ExtraAttributesRemoved para determinar como exibir o conteúdo aos usuários quando o atributo for detectado.

Exemplo

Suponha que você tenha um funcionário, Fred Suzuki, que é um gerente localizado na região Sul. Você quer garantir que, quando Fred revisar relatórios, ele só consiga ver os dados da região Sul. Em um cenário como este, você pode incluir o atributo de usuário Region no JWT como no exemplo abaixo.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Etapa 3: verificar se o autor do conteúdo inclui funções de atributo

Verifique se o autor do conteúdo inclui as funções de atributo do usuário e filtros relacionados para controlar quais dados podem ser exibidos em seu conteúdo. Para garantir que as declarações de atributos do usuário sejam passadas para o Tableau, o conteúdo deve conter uma das seguintes funções de atributo do usuário:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

A função usada pelo autor de conteúdo depende se os atributos do usuário devem retornar um único valor ou vários. Para obter mais informações sobre essas funções e exemplos de cada uma, consulte Funções do usuário(O link abre em nova janela) na Ajuda do Tableau.

Observações:

  • Visualização do conteúdo com essas funções não está disponível durante a criação no Tableau Desktop ou Tableau Cloud. A função retornará NULL ou FALSE. Para garantir que as funções do usuário funcionem conforme o esperado, recomendamos que o autor revise as funções após disponibilizar o conteúdo.
  • Para garantir que o conteúdo seja renderizado conforme o esperado, o autor do conteúdo pode considerar a inclusão de um cálculo que use ExtraAttributesRemoved que 1) verifica esse atributo e 2) determina o que fazer com o conteúdo se ele existir, como exibir uma mensagem. O Tableau só adicionará o atributo ExtraAttributesRemoved e removerá todos os outros atributos (exceto scp ou scope) quando os atributos no JWT excederem 4096 caracteres. Isso é para garantir o desempenho ideal e respeitar as limitações de armazenamento.

Exemplo

Continuando o exemplo introduzido na Etapa 2: incluir declarações de atributo de usuário no JWT acima, para passar a declaração de atributo de usuário “Region” para uma pasta de trabalho, o autor pode incluir USERATTRIBUTEINCLUDES. Por exemplo, USERATTRIBUTEINCLUDES('Region', [Region]), onde “Region” é o atributo do usuário e [Region] é uma coluna nos dados. Usando o novo cálculo, o autor pode criar uma tabela com dados de Gerente e Vendas. Quando o cálculo é adicionado, a pasta de trabalho retorna os valores “False” conforme esperado.

Para mostrar apenas os dados associados à região Sul na pasta de trabalho inserida, o autor pode criar um filtro e personalizá-lo para mostrar valores quando a região Sul for “True”. Quando o filtro é aplicado, a pasta de trabalho fica em branco, conforme esperado, porque a função está retornando valores “False” e o filtro é personalizado para mostrar apenas valores “True”.

Etapa 4: revisar o conteúdo

Revise e valide o conteúdo.

Exemplo

Para concluir o exemplo da Etapa 3: verificar se o autor do conteúdo inclui funções de atributo acima, você pode ver que os dados de vendas na exibição são personalizados para Fred Suzuki porque o contexto de usuário dele é a região Sul.

Os gerentes das regiões representadas na pasta de trabalho devem ver o valor associado à sua região. Por exemplo, Sawdie Pawthorne, da região Oeste, vê dados específicos para sua região.

Os gerentes cujas regiões não estão representadas na pasta de trabalho verão uma pasta de trabalho em branco.

Problemas conhecidos e limitações

Existem alguns problemas conhecidos e limitações que você deve considerar ao trabalhar com funções de atributo do usuário.

Imagens em branco usando a API REST do Tableau

As solicitações da API REST do Tableau Consultar imagem de visualização(O link abre em nova janela), Consultar imagem da pasta de trabalho(O link abre em nova janela) e Obter imagem de exibição personalizada(O link abre em nova janela) produzem imagens em branco.

Limitações

  • As funções de atributo do usuário em fontes de dados publicadas (.pds) não são compatíveis.
  • As funções de atributo do usuário em fluxos de trabalho do Tableau Bridge não são compatíveis.
Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!