OpenID Connect


Du kan konfigurera Tableau Cloud eller Tableau Cloud Manager (TCM) så att OpenID Connect (OIDC) för enkel inloggning (SSO) stöds. OIDC är ett standardautentiseringsprotokoll med vilket användare kan logga in hos en identitetsprovider som Google eller Salesforce. När de har loggat in hos sin identitetsprovider loggas de automatiskt in i Tableau Cloud eller TCM.

OIDC konfigureras i flera steg. Ämnena i det här avsnittet ger allmän information om hur du använder Tableau Cloud eller TCM med OIDC och innehåller steg för hur du konfigurerar identitetsprovidern och Tableau Cloud eller TCM.

Mer information om hur du konfigurerar OIDC med hjälp av Tableau REST API finns i OpenID Connect Methods(Länken öppnas i ett nytt fönster) (på engelska) i Tableau REST API-hjälpen. Obs! Gäller enbart Tableau Cloud.

Autentiseringsöversikt

I det här avsnittet beskrivs OpenID Connect-autentisering (OIDC) med Tableau Cloud eller TCM.

1. En användare försöker logga in i Tableau Cloud eller TCM från en klientdator.

2. Tableau Cloud omdirigerar autentiseringsbegäran till identitetsproviderns gateway.

3. Användaren uppmanas att ange inloggningsuppgifter och autentiseras hos identitetsprovidern. Identitetsprovidern svarar med en omdirigerings-URL tillbaka till Tableau Cloud eller TCM. Omdirigeringsadressen innehåller en auktoriseringskod för användaren.

4. Klienten omdirigeras till Tableau Cloud eller TCM och presenterar auktoriseringskoden.

5. Tableau Cloud eller TCM presenterar klientens behörighetskod för identitetsprovidern tillsammans med sina egna klientinloggningsuppgifter. Tableau Cloud eller TCM är också klient hos identitetsprovidern. Detta steg är avsett att förhindra förfalskning (spoofing) eller man-in-the-middle-attacker.

6. Identitetsprovidern returnerar en åtkomsttoken och en ID-token till Tableau Cloud eller TCM.

  • JSON Web Token-validering (JWT): Som standard utför Tableau en validering av IdP JWT. Under identifieringen hämtar Tableau de offentliga nycklar som specificeras av jwks_uri i IdP-identifieringsdokumentet för konfigurering. Tableau validerar ID-tokens utgångsdatum och verifierar sedan JSON-webbsignaturen (JWS), utfärdaren (IdP) och klient-ID:t. Du kan läsa mer om JWT-processen i OIDC-dokumentationen, 10. Signaturer och kryptering(Länken öppnas i ett nytt fönster), och IETF:s föreslagna standard, JSON Web Token(Länken öppnas i ett nytt fönster). Vi rekommenderar att du lämnar JWT-valideringen aktiverad, om din Idp stöder det.

  • ID-token är en uppsättning attributnyckelpar för användaren. Nyckelparen kallas anspråk. Här är ett exempel på IdP-anspråk för en användare:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7. Tableau Cloud eller TCM identifierar användaren från IdP-anspråken och slutför autentiseringsbegäran från steg 1.Tableau Cloud kan konfigureras för att använda olika anspråk för denna process. Läs mer i Krav.

8. Tableau Cloud eller TCM auktoriserar användaren.

Så här fungerar Tableau med OpenID Connect

OpenID Connect (OIDC) är ett flexibelt protokoll som stöder många alternativ för den information som utbyts mellan en tjänsteleverantör (i detta fall Tableau Cloud eller TCM) och en identitetsprovider. Följande lista innehåller information om implementeringen av OIDC i Tableau Cloud och TCM. Den här information kan hjälpa dig att förstå vilken sorts information som Tableau Cloud eller TCM skickar och förväntar sig samt hur du konfigurerar en identitetsprovider.

  • Tableau Cloud och TCM har bara stöd för det OpenID-auktoriseringskodflöde som beskrivs i den slutliga specifikationen för OpenID Connect(Länken öppnas i ett nytt fönster) i dokumentationen för OpenID Connect.

  • Tableau Cloud och TCM använder identifiering eller en provider-URL för att hämta IdP-metadata.

  • Tableau Cloud och TCM har stöd för klientautentiseringsmetoderna client_secret_basic (standard) och client_secret_post och andra parametrar angivna i OpenID Connect-specifikationen. Dessa kan bara konfigureras med hjälp av Tableau REST API.

Dynamiskt gruppmedlemskap med OIDC-kontroller

Obs! Gäller enbart Tableau Cloud.

Från och med juni 2024 kan du dynamiskt styra gruppmedlemskap genom anpassade anspråk som ingår i JSON-webbtoken (JWT) som skickas av identitetsprovidern, förutsatt att OIDC-autentisering är konfigurerad och funktionsinställningen är aktiverad.

När den är konfigurerad skickar identitetsprovidern OIDC-kontrollen som innehåller två anpassade gruppmedlemskapsanspråk under användarautentiseringen: grupp (https://tableau.com/groups) och gruppnamn (till exempel ”Group1” och ”Group2”) att kontrollera användarens åtkomst till. Tableau validerar kontrollen och möjliggör sedan åtkomst till grupperna och innehållet vars behörigheter är beroende av dessa grupper.

Mer information finns i Dynamiskt gruppmedlemskap med intyg.

Exempel för JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Tillbaka till toppen