Configurar o Tableau Cloud para OpenID Connect
Este tópico descreve como configurar o Tableau Cloud para usar o OpenID Connect (OIDC) para logon único (SSO, Single Sign-on). Esta é uma etapa contida em um processo de várias etapas. Os tópicos a seguir fornecem informações sobre a configuração e uso OIDC com Tableau Cloud.
Visão geral do OpenID Connect
Configurar Tableau Cloud para OpenID Connect (você está aqui)
Observações:
- Antes de executar as etapas descritas aqui, você deve configurar o provedor de identidade OpenID (IdP), conforme descrito em Configurar o provedor de identidades para o OpenID Connect.
- Como alternativa, você pode configurar a autenticação OIDC para o Tableau Cloud usando a API REST do Tableau e os Métodos OpenID Connect(O link abre em nova janela).
- A API REST do Tableau e o tabcmd não oferecem suporte ao logon único (SSO) do OIDC. Para usar o tabcmd ou a API REST(O link abre em nova janela), os usuários devem fazer logon no Tableau Cloud usando uma conta do TableauID.
Requisitos
Parâmetros
ID do Cliente: esse valor é emitido pelo IdP e especifica um identificador para o Tableau Cloud registrado. Isso permite que o IdP saiba de onde vem a solicitação de autenticação.
Segredo do cliente: este é um token usado pelo Tableau Cloud para verificar a autenticidade da resposta do IdP. Este valor deve ser mantido em segurança.
URL de configuration: esse valor especifica a URL para a qual o IdP faz o redirecionamento, depois que o usuário for autenticado. A URL deve incluir o host e protocolo (por exemplo,
https://dev-555555-admin.oktapreview.com/oauth2/default/.well-known/openid-configuration
), mas o Tableau fornece o endpoint da URL. Especifica a localização do documento de descoberta de configuração do provedor que contém os metadados do provedor o OpenID.Observação: se o seu IdP não fornecer uma URL de configuração, uma URL que termine com
.well-known/openid-configuration
, considere usar o Métodos de autenticação OpenID Connect(O link abre em nova janela) na API REST do Tableau para configurar o OIDC.
Parâmetros opcionais
Os seguintes parâmetros opcionais podem ser configurados usando Métodos de autenticação OpenID Connect(O link abre em nova janela) na API REST do Tableau.
Prompt: solicita ao usuário reautenticação e consentimento. Por padrão, o consentimento do usuário está ativado.
Escopo personalizado: valor relacionado ao usuário do escopo personalizado para consultar o IdP.
Autenticação do cliente: método de autenticação de endpoint de token. O valor padrão é:
'client_secret_basic'
. O valor'client_secret_post'
é aceito.Valores essenciais do ACR: lista de valores essenciais da classe de referência de contexto de autenticação usados para autenticação.
Valores voluntários de ACR: lista de valores voluntários de Classe de Referência de Contexto de Autenticação usados para autenticação.
Reinvidicações
Para fazer logon com êxito no Tableau Cloud, um determinado usuário deve ser provisionado no IdP do OpenID Connect (OIDC) e, em seguida, mapeado para uma conta de usuário no Tableau Cloud. O OIDC usa um método que depende que as reivindicações compartilhem os atributos da conta de usuário com outros aplicativos. O Tableau Cloud depende que a reivindicação de IdP mapeiem as contas de usuário do IdP para as hospedadas no Tableau Cloud. As reivindicações incluem atributos de conta de usuário, como e-mail, nome etc. Para compreender como o Tableau Cloud mapeia as reivindicações de IdP nas contas de usuário, consulte Visão geral da autenticação.
Observação: as reinvidicações diferenciam letras maiúsculas de minúsculas.
Nome de usuário: por padrão, o Tableau Cloud espera que o IdP passe a reivindicação de nome de usuário. Dependendo do IdP, talvez seja necessário configurar o Tableau Cloud para usar uma reivindicação de IdP diferente.
Observação: o nome de usuário no Tableau Cloud é imutável e não pode ser atualizado em nenhum momento.
Reivindicação de nome: você pode especificar o nome ou o nome e o sobrenome para recuperar DisplayName para o usuário.
Etapa 1: configurar o OpenID Connect
Entre no Tableau Cloud como um administrador de site e selecione Configurações > Autenticação.
Na guia Autenticação, selecione OpenID Connect (OIDC).
Siga as etapas para configurar a autenticação do Tableau Cloud para OIDC fazendo o seguinte:
Na etapa 1, insira as informações necessárias do seu IdP, incluindo ID do cliente, segredo do cliente e URL de configuração.
Na etapa 2, copie a URL de redirecionamento do Tableau Cloud que você colará no portal do seu IdP para redirecionar os usuários após a autenticação.
Na etapa 3, insira as declarações para garantir o mapeamento correto do nome de usuário e do nome de exibição dos usuários.
Na etapa 4, habilite opcionalmente o logout único (SLO) se o seu IdP oferecer suporte.
Na etapa 5, escolha como os usuários serão autenticados ao acessar a visualização incorporada: em uma janela pop-up separada ou usando um iFrame em linha.
Observação: você pode selecionar o tipo de autenticação para visualizações incorporadas no Tipo de autenticação padrão para visualizações inseridas seção na página Autenticação (abaixo das etapas de configuração do OIDC).
Quando terminar, clique no botão Salvar alterações.
Observação: ao editar a configuração do OIDC, o segredo do cliente fica oculto e precisa ser digitado novamente antes que qualquer alteração possa ser salva.
Etapa 5: testar a configuração
É altamente recomendável que você teste a configuração para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de OIDC antes de alterar o tipo de autenticação de seus usuários para OIDC. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud com o tipo de autenticação OIDC configurado.
Observação: se não tiver certeza de quais são as reivindicações, conclua a configuração e teste-a. Testar a configuração produzirá uma nova janela com os detalhes dos mapeamentos de declarações, incluindo as declarações de nome de usuário e nome de exibição. Alguns IdPs podem mapear o endereço de e-mail para o nome de usuário do Tableau.
Na guia Autenticação enquanto OpenID Connect (OIDC) estiver selecionado, na etapa 6, clique no botão Configuração de teste. Uma nova janela é exibida com detalhes da configuração.
Ao terminar, conclua a configuração do OIDC adicionando usuários ao seu site seguindo a etapa abaixo.
Etapa 3: adicionar usuários ao site do Tableau habilitado por OpenID Connect
As etapas descritas nesta seção são executadas na página Usuários do Tableau Cloud.
Depois de concluir as etapas acima, retorne ao site do Tableau Cloud.
No painel esquerdo, selecione a página Usuários.
Siga o procedimento descrito no tópico Adicionar usuários a um site.
Solução de problemas
Use os tópicos a seguir para solucionar problemas do OpenID Connect (OIDC) no Tableau Cloud.
O protocolo OIDC é aceito por muitos provedores de identidade. O protocolo OIDC é um padrão aberto e flexível. Por isso, nem todas as implementações do padrão são idênticas. A maioria dos problemas que os administradores encontram durante a configuração do Tableau Cloud para OIDC está relacionada à implementação do OIDC por diferentes provedores de identidade. Se você encontrar erros enquanto configurar o OIDC com o Tableau Cloud, é recomendável que trabalhe junto ao seu IdP para solucioná-los.
Entrar por meio da linha de comando
Mesmo que o Tableau Cloud esteja configurado para usar o OIDC, a autenticação do OIDC não será usada caso o Tableau Cloud seja acessado por meio do tabcmd, da API REST(O link abre em nova janela) ou do Utilitário de linha de comando da extração de dados do Tableau(O link abre em nova janela) (fornecido com o Tableau Desktop).
Logon falhou
Em alguns casos, o logon no Tableau Cloud pode falhar com a seguinte mensagem:
Falha de login: autenticação do provedor de identidade malsucedida para o usuário <username_from_IdP>. Falha ao localizar o usuário no Tableau Cloud.
Esse erro normalmente significa que há falta de correspondência entre os nomes de usuário armazenados no Tableau Cloud e os fornecidos pelo IdP. Para resolver isso, certifique-se de que os valores do nome de usuário correspondam. Por exemplo, se o nome de usuário de Jane Silva estiver armazenado no IdP como “js@silva.com”, ele também deverá ser armazenado no Tableau Cloud como “js@silva.com”.