Konfigurera anslutna program med OAuth 2.0-förtroende

Som Tableau Cloud-platsadministratör kan du registrera en eller flera externa auktoriseringsservrar (EAS) för att etablera en betrodd relation mellan Tableau Cloud-platsen och EAS med standardprotokollet OAuth 2.0.

Viktigt:

Vissa av procedurerna i detta ämne kräver konfiguration med programvara och tjänster från tredje part. Vi har gjort vårt bästa för att verifiera procedurerna för att aktivera EAS-funktionen i Tableau Cloud. Programvara och tjänster från tredje part kan emellertid ändras eller så kan din organisation vara annorlunda. Om det uppstår problem kan du hänvisa till din dokumentation från tredje part för auktoritativ konfigurationsinformation och support.
För att sessionstoken ska vara giltig måste klockorna för det externa programmet och servern, som är värd för det externa programmet, ställas in till Koordinerad universell tid (UTC). Om någon av klockorna använder en annan standard kommer det anslutna programmet inte att vara betrott.

Så här fungerar Tableau-anslutna program med OAuth 2.0-förtroende

Förtroenderelationen mellan Tableau Cloud-platsen och det anslutna programmet upprättas och verifieras via en autentiseringstoken i JSON-format.

När inbäddat Tableau-innehåll läses in i det externa programmet används OAuth-auktoriseringskodflödet. När användarna har loggat in till sin identitetsprovider loggas de automatiskt in på Tableau Cloud. Följ stegen nedan för att registrera den externa auktoriseringsservern med Tableau Cloud-platsen.

Viktiga komponenter i anslutna program

Följande komponenter i ett anslutet program samverkar med JWT i ert externa program för att autentisera användare och visa inbäddat innehåll.

Extern auktoriseringsserver (EAS): Den server, vanligtvis er identitetsprovider, som fungerar som gränssnitt mellan användarna och det externa programmet. Servern autentiserar och auktoriserar användare för åtkomst till det skyddade Tableau-innehållet.
Utfärdar-URL: Den webbadress som unikt identifierar EAS-instansen.

Arbetsflöde för anslutna program

Inbäddningsarbetsflöden

I diagrammet nedan ser du hur autentiseringen mellan den externa auktoriseringsservern (EAS), det externa programmet (webbserver och webbsida) och det Tableau-anslutna programmet fungerar.

Användaren besöker webbsidan: När en användare besöker det inbäddade innehållet på en webbsida skickar sidan en GET-begäran till det externa programmet.
Det externa programmet omdirigerar begäran till EAS: Det externa programmet svarar med en webbsida som omdirigerar till den externa auktoriseringsservern (EAS).
Användaren autentiserar med EAS: Användaren autentiserar och auktoriserar med den externa auktoriseringsservern.
EAS svarar webbsidan med en auktoriseringskod: Den externa auktoriseringsservern svarar sidan med en auktoriseringskod och dirigerar tillbaka till webbsidan.
EAS konverterar auktoriseringskoden till JWT: Webbsidan anropar den externa auktoriseringsservern för att konvertera auktoriseringskoden till en JSON-webbtoken, som webbsidan lägger in i det inbäddade innehållets URL.
Webbsidan begär innehåll från Tableau: Webbsidan läser in iframe-elementet och skickar en GET-begäran till Tableau.
Tableau validerar token: Tableau validerar JSON-webbtoken i URL:en med signaturen och svarar med innehållet samt respekterar de inbäddningsomfång som definierats i JSON-webbtoken.

Skapa ett anslutet program

Steg 1: Innan du börjar

För att registrera en EAS med din Tableau Cloud plats måste du redan ha en EAS konfigurerat. Dessutom måste EAS skicka en giltig JSON-webbtoken (JWT) med registrerade anspråk och rubriker som anges i tabellen nedan.

Anspråk	Namn	Beskrivning eller obligatoriskt värde
”`kid`”	Nyckel-ID	Obligatoriskt (i rubriken). En unik nyckelidentifierare från identitetsprovidern.
”`iss`”	Utgivare	Obligatoriskt (i sidhuvudet eller som ett anspråk). Unik utfärdar-URI, i HTTPS, som identifierar det betrodda anslutna programmet och dess signeringsnyckel.
”`alg`”	Algoritm	Obligatoriskt (i rubriken). JWT-signeringsalgoritm. Namn på algoritmer som stöds finns på sidan Klass JWSAlgorithm(Länken öppnas i ett nytt fönster) i javadoc.io-dokumentation.
”`sub`”	Ämne	Användarnamnet (e-postadressen) för den autentiserade Tableau Cloud-användaren.
”`aud`”	Målgrupp	Värdet måste vara: ”`tableau:<site_luid>`” För att få plats-LUID kan du använda Tableau REST API:ets inloggningsmetod eller följa stegen nedan för att kopiera plats-ID. Obs! Du måste registrera en EAS genom proceduren som beskrivs här innan du kan kopiera plats-ID. Välj Inställningar > Anslutna program och välj sedan det anslutna programmet extern auktoriseringsserver. Klicka på knappen Kopiera plats-ID.
”`exp`”	Utgångstid	En giltig JWT får inte förfalla. Förfallotiden (i UTC) för JWT måste ligga inom den maximala giltighetstiden, som är 10 minuter.
”`jti`”	JWT-ID	Genom ID-anspråket får JWT en skiftlägeskänslig, unik identifierare.
”`scp`”	Omfattning	För inbäddning av arbetsflöden inkluderar de värden som stöds: ”`tableau:views:embed`” ”`tableau:views:embed_authoring`” ”`tableau:metrics:embed`” (Utfasat i oktober 2023 (Tableau 2023.3)) ”`tableau:ask_data:embed`”(Utfasat i februari 2024 (Tableau 2024.1)) Obs! Värdena måste skickas som en listtyp. För `tableau:views:embed` tar omfattningen hänsyn till de användarbehörigheter som redan har konfigurerats i Tableau Cloud och ger användarna möjlighet att interagera med verktygen i den inbäddade vyn om de är tillgängliga i den ursprungliga vyn. Vi rekommenderar att verktygsfältsparametern utelämnas i den inbäddade koden. Mer information finns i avsnittet Kända problem (endast inbäddningsarbetsflöden) nedan. För REST API-auktoriseringsarbetsflöden läser du REST API-metoder som stöder JWT-auktorisering. För de av metadata-API:ets arbetsflöden som använder REST API för autentisering är den enda omfattning som stöds `tableau:content:read`. För VizQL Data Service-arbetsflöden som använder REST API för autentisering är den enda omfattning som stöds `tableau:viz_data_service:read`.
`https://tableau.com/oda`	Åtkomst på begäran – anspråk (aktivera funktion)	Endast för inbäddningsarbetsflöden. Värdet måste vara ”`true`” och en eller flera Tableau Cloud-grupper måste anges (se nästa rad). Mer information, inklusive förutsättningar som licensen för inbäddad analys, finns i avsnittet Konfigurera anslutna program med OAuth 2.0-förtroende nedan.
`https://tableau.com/groups`	Åtkomst på begäran – anspråk (ange gruppnamn)	Endast för inbäddningsarbetsflöden. Värdet måste matcha namnet på en eller flera grupper i Tableau Cloud. Mer information, inklusive förutsättningar som licensen för inbäddad analys, finns i avsnittet Konfigurera anslutna program med OAuth 2.0-förtroende nedan.
`https://tableau.com/groups`	Dynamiskt gruppmedlemskap	Endast för inbäddningsarbetsflöden. Värdet måste matcha namnet på en eller flera grupper i Tableau Cloud. Mer information finns i avsnittet Konfigurera anslutna program med OAuth 2.0-förtroende nedan.
(Användarattribut)	(Användarattributvärden)	Endast för inbäddningsarbetsflöden. du inkludera användarattribut i JWT. När funktionerna för användarattribut sedan används i inbäddat innehåll kontrollerar Tableau den autentiserade användarens kontext och fastställer vilka data som kan visas under körning. Obs! Hjälpen för Tableau Embedding API v3(Länken öppnas i ett nytt fönster) innehåller kända problem och begränsningar som kan påverka arbetsflödet. För att användarattributet ska fungera måste 1) du aktivera inställningen Kontrollera användaråtkomst i autentiseringsarbetsflöden och 2) innehållsskaparen skapa en användarattributsfunktion(Länken öppnas i ett nytt fönster). Användarattribut är skiftlägeskänsliga.

Obs! JWT-anspråken som nämns ovan finns i avsnittet Registrerade anspråksnamn(Länken öppnas i ett nytt fönster) i den dokumentation som distribueras av organisationen Internet Engineering Task Force (IETF).

Steg 2: Registrera din EAS hos Tableau Cloud

Genom att registrera din EAS hos Tableau Cloud etablerar du en betrodd relation mellan EAS och din Tableau Cloud-plats. Detta innebär att när användare får tillgång till Tableau-innehåll som är inbäddat i ditt externa program omdirigeras de för att autentisera med IdP. EAS genererar autentiseringstoken som skickas till Tableau Cloud för verifiering. Efter att den betrodda relationen har verifierats beviljas användarna åtkomst till det inbäddade innehållet.

Obs! Vissa EAS stöder alternativet att visa en dialogruta som samtycke som frågar efter användarnas godkännande så att programmet får tillgång till Tableau-innehåll. För att säkerställa att dina användare får bästa möjliga upplevelse rekommenderar vi att du konfigurerar din EAS så att den automatiskt samtycker till det externa programmets begäran för användarnas räkning.

Logga in på Tableau Cloud som platsadministratör.
Välj Inställningar > Anslutna program i den vänstra rutan.
Klicka på listrutan Nytt anslutet program och välj OAuth 2.0-förtroende.
Gör följande i dialogrutan Skapa anslutet program:
1. Skriv ett namn för det anslutna programmet i textrutan Namn.
2. I textrutan Utgivar-URL klistrar du in utgivar-URL för EAS.
3. Välj Aktivera anslutet program. Av säkerhetsskäl är anslutna program som standard inaktiverade när de skapas.
4. När du är klar klickar du på knappen Skapa.
När det anslutna programmet har skapats kopierar du dess plats-ID. Plats-ID:t används för JWT:s "aud"-anspråk (målgrupp) som beskrivs i steg 1 ovan.

Steg 3: Nästa steg

För inbäddningsarbetsflöden

När du har konfigurerat din Tableau Cloud-plats för att använda din EAS måste du lägga till inbäddningskod till ditt externa program. Se till att du inkluderar den giltiga JWT som genereras av din EAS enligt beskrivningen i steg 1 i den webbkomponent som det externa programmet anropar.

Mer information om hur du bäddar in Tableau-innehåll finns i följande avsnitt:

Bädda in Tableau-innehåll med Tableaus inbäddnings-API (v3)(Länken öppnas i ett nytt fönster).
Användarattribut för attributbaserad åtkomstkontroll (ABAC), åtkomst på begäran och dynamiskt gruppmedlemskap finns i Anpassa och kontrollera dataåtkomst(Länken öppnas i ett nytt fönster) i Tableaus inbäddnings-API (v3).
Bädda in mätvärden – se ämnet Bädda in mätvärden på webbsidor(Länken öppnas i ett nytt fönster) i Tableau-hjälpen. (I oktober 2023 (Tableau 2023.3) fasade Tableau ut möjligheten att bädda in mätvärden.)

Obs! För att användarna ska kunna autentiseras när de öppnar inbäddat innehåll måste webbläsarna vara konfigurerade att tillåta kakor från tredje part.

Reglera var innehåll kan bäddas in med hjälp av listan över tillåtna domäner för inbäddning

Från och med juni 2023 (Tableau 2023.2) kan du och användarna styra över huruvida Tableau-innehåll kan bäddas in utan några begränsningar eller om det ska begränsas till vissa domäner, med metoden Uppdatera inbäddningsinställningar för platser i Tableau REST API:et.

Som standard är platsinställningen för inbäddning unrestrictedEmbedding satt till true för att tillåta obegränsad inbäddning. Alternativt kan du och användare sätta inställningen till false och ange de domäner där Tableau-innehåll i externa program kan bäddas in med hjälp av parametern allowList.

Se en eller båda av följande för mer information:

Uppdatera inbäddningsinställningar för platsen(Länken öppnas i ett nytt fönster) i hjälpen för Tableau REST API:et
Tableau-platsinställningar för inbäddning(Länken öppnas i ett nytt fönster) (på engelska) i hjälpen för Tableaus inbäddnings-API v3.

För REST API-auktoriseringsarbetsflöden

När JSON-webbtoken har konfigurerats måste du lägga till den giltiga JSON-webbtoken i REST API-inloggningsbegäran för auktoriserad åtkomst. Mer information finns i Åtkomstomfång för anslutna program.

För metadata-API:ets arbetsflöden

När JSON-webbtoken har konfigurerats måste du lägga till den giltiga JSON-webbtoken i REST API-inloggningsbegäran. Mer information finns i Åtkomstomfång för anslutna program.

För externa token för SCIM-arbetsflöden

När JSON-webbtoken har konfigurerats måste SAML-autentisering vara konfigurerat och SCIM-funktionen aktiverad. Mer information finns i Konfigurera anslutna program med OAuth 2.0-förtroende.

Kända problem (endast inbäddningsarbetsflöden)

Det finns ett par kända problem när man använder anslutna appar som kommer att åtgärdas i en framtida version.

Funktioner i verktygsfältet: När inbäddat innehåll har parametern för verktygsfältet definierad, fungerar inte alla funktioner i verktygsfältet. För att kringgå det här problemet rekommenderar vi att du döljer verktygsfältsparametern såsom i exemplet nedan.
```
<tableau-viz id='tab-viz' src='https://online.tableau.com/t/<your_site>/...'
	toolbar='hidden'>
</tableau-viz>
```

Publicerade datakällor: Publicerade datakällor som är inställda på Fråga användare om inloggningsuppgifter för databasen, visas inte. För att kringgå det här problemet rekommenderar vi, om möjligt, att datakällans ägare istället bäddar in inloggningsuppgifterna för databasen.

Felsöka

När det inbäddade innehållet inte visas i det externa programmet eller när Tableau REST API-auktoriseringen misslyckas, kan du använda en webbläsares utvecklarverktyg för att kontrollera och identifiera felkoder som kan vara kopplade till den EAS-funktion som är aktiverad på Tableau Cloud-platsen.

Tabellen nedan innehåller en beskrivning av felkoden och en möjlig lösning.

Felkod	Sammanfattning	Beskrivning	Möjlig lösning eller beskrivning
5	SYSTEM_USER_NOT_FOUND	Det gick inte att hitta Tableau-användaren	Det här problemet kan ofta lösas genom att kontrollera att anspråksvärdet '`sub`' (Ämne) i JWT är användarnamnet (e-postadressen) för den autentiserade Tableau Cloud-användaren. Det här värdet är skiftlägeskänsligt.
16	LOGIN_FAILED	Inloggningen misslyckades	Det här felet beror vanligtvis på något av följande problem med anspråk i JWT: '`exp`' (förfallotid) överskrider den standardiserade längsta giltighetstiden. Lös det här problemet genom att granska registrerade anspråk(Länken öppnas i ett nytt fönster) som krävs för en giltig JWT och se till att det korrekta värdet inte överstiger 10 minuter. '`sub`' (ämne) anropar en okänd användare. Det här problemet kan lösas genom att kontrollera att värdet på '`sub`' är användarnamnet (e-postadressen) för den autentiserade Tableau Cloud-användaren.
67	FEATURE_NOT_ENABLED	Åtkomst på begäran stöds inte	Åtkomst på begäran är bara tillgängligt via licensierade Tableau Cloud-platser.
142	EXTERNAL_AUTHORIZATION_SERVER_NOT_FOUND	EAS hittades inte	Du kan ofta lösa det här problemet genom att kontrollera att rätt utfärdare anropas.
143	EXTERNAL_AUTHORIZATION_SERVER_LIMIT_EXCEEDED	EAS-gränsen har överskridits	Platsen har nått det högsta tillåtna antalet (1) registrerade externa auktoriseringsservrar (EAS).
144	INVALID_ISSUER_URL	Ogiltig utfärdar-URL	Utfärdarens URL är inte giltig eller så saknas attributet '`iss`' (utfärdare) från JWT.
149	EAS_INVALID_JWKS_URI	JWKS-URI saknas	JWKS URI finns inte i IdP-metadata eller JWKS URI har inte konfigurerats i Tableau. Lös det här problemet genom att konfigurera en giltig JWKS URI.
150	EAS_RETRIEVE_JWK_SOURCE_FAILED	Det gick inte att hämta keysource	Lös det här problemet genom att kontrollera att JWKS URI har konfigurerats korrekt.
151	EAS_RETRIEVE_METADATA_FAILED	Det gick inte att hämta metadata från issuerUrl	Lös det här problemet genom att kontrollera att JWKS URI har konfigurerats korrekt.
10081	COULD_NOT_RETRIEVE_IDP_METADATA	Slutpunkt för saknade EAS-metadata	Du kan lösa det här problemet genom att kontrollera att rätt utfärdare för den externa auktoriseringsserverns anropas.
10082	AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED	Saknad utfärdare	Du kan ofta lösa det här problemet genom att kontrollera att rätt utfärdare anropas.
10083	BAD_JWT	JWT-sidhuvudet innehåller problem	Anspråken '`kid`' (hemligt ID) eller '`clientId`' (utfärdare) saknas i JWT-rubriken. Kontrollera att den här informationen finns med och se om det löser problemet.
10084	JWT_PARSE_ERROR	JWT innehåller problem	Kontrollera följande och se om det löser problemet: Värdet '`aud`' (målgrupp) som refereras till i JWT använder värdet "tableau". Det här värdet är skiftlägeskänsligt. '`aud`' (målgrupp) och '`sub`' (ämne) ingår i JWT.
10085	COULD_NOT_FETCH_JWT_KEYS	JWT kunde inte hitta nycklarna	Det gick inte att hitta hemligheten. Du kan ofta lösa det här problemet genom att kontrollera att rätt utfärdare anropas.
10087	BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN	Utfärda med JWT-signeringsalgoritmen	Du kan ofta lösa det här problemet genom att ta bort signeringsalgoritmen.
10088	RSA_KEY_SIZE_INVALID	Utfärda med JWT-signeringskrav	För att lösa detta problem verifierar du med EAS eller IdP att JWT undertecknas med en RSA-nyckelstorlek på 2048.
10091	JTI_ALREADY_USED	JWT måste vara unik	JWT har redan använts i autentiseringsprocessen. För att lösa detta problem måste EAS eller IdP generera en ny JWT.
10092	NOT_IN_DOMAIN_ALLOW_LIST	Domänen för det inbäddade innehållet har inte specificerats	För att lösa det här problemet ska du se till att inställningen `unrestrictedEmbedding` är satt till `true` eller att parametern `domainAllowlist` inkluderar de domäner där Tableau-innehåll är inbäddat, med hjälp av metoden Uppdatera inbäddningsinställningarna för platsen(Länken öppnas i ett nytt fönster) i Tableau REST API:et.
10094	MISSING_REQUIRED_JTI	JWT-ID saknas	Kontrollera att '`jti`' (JWT-ID) ingår i JWT för att lösa problemet.
10095	EXTERNAL_AUTHZ_SERVER_DISABLED	EAS inaktiverad	Det anslutna programmet för den externa auktoriseringsserver som är registrerad på platsen är inaktiverad.
10096	JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD		'`exp`' (förfallotid) överskrider den standardiserade längsta giltighetstiden. Lös det här problemet genom att granska registrerade anspråk(Länken öppnas i ett nytt fönster) som krävs för en giltig JWT och se till att det korrekta värdet inte överstiger 10 minuter.
10097	SCOPES_MALFORMED	Problem med omfattningsanspråk	Det här felet kan uppstå när anspråket '`scp`' (Omfattning) antingen saknas i JWT eller inte har godkänts som en listtyp. Det här problemet kan lösas genom att verifiera att '`scp` ' ingår i JWT och skickas som en listtyp. Se Debugger(Länken öppnas i ett nytt fönster) på auth0-platsen för felsökningshjälp med en JWT.
10098	JWT_UNSIGNED_OR_ENCRYPTED	JWT är osignerad eller krypterad	Tableau har inte stöd för osignerade eller krypterade JWT:er.
10099	SCOPES_MISSING_IN_JWT	Anspråk om saknade omfattningar	JWT saknar anspråket '`scp`' (Omfattning) som krävs. Kontrollera att '`scp`' (JWT-ID) ingår i JWT för att lösa problemet. Se Debugger(Länken öppnas i ett nytt fönster) på auth0-platsen för felsökningshjälp med en JWT.
10100	JTI_PERSISTENCE_FAILED	Oväntat JWT ID-fel	Det inträffade ett oväntat fel med '`jti`' (JWT ID). En ny JWT med en ny '`jti`' måste genereras för att lösa det här problemet.
10101	EPHEMERAL_USER_LOGIN_FAILED_SITE_NOT_UBP_ENABLED	Åtkomst på begäran stöds inte	Platsen är inte licensierad med den användningsbaserade modell för inbäddad analys som krävs för att aktivera åtkomst på begäran. Mer information finns i Förstå licensmodeller.
10102	EPHEMERAL_USER_NOT_SUPPORTED	Åtkomst på begäran stöds inte när iframe-auth-attributet är aktiverat	Det här felet kan uppstå när iframe-auth-attributet är aktiverat. Du löser det här problemet genom att kontrollera att du använder Tableaus inbäddnings-API version 3.6 eller senare.
10103	JWT_MAX_SIZE_EXCEEDED	JWT överskrider maximal storlek	Det här felet kan uppstå när JWT-storleken överstiger 8 000 byte. Du löser det här problemet genom att se till att bara de nödvändiga anspråken skickas till Tableau Cloud.

Tillbaka till toppen

Tack för din feedback!

Din feedback har skickats in. Tack!

Tableau Cloud-hjälp