OpenID Connect

Du kan konfigurera Tableau Cloud så att OpenID Connect (OIDC) för enkel inloggning (SSO) stöds. OIDC är ett standardautentiseringsprotokoll med vilket användare kan logga in hos en identitetsprovider som Google eller Salesforce. När de har loggat in hos sin identitetsprovider loggas de automatiskt in på Tableau Cloud.

OIDC konfigureras i flera steg. Ämnena i det här avsnittet ger allmän information om hur du använder Tableau Cloud med OIDC och innehåller steg för hur du konfigurerar identitetsprovidern och Tableau Cloud.

Om du vill konfigurera OIDC med hjälp av Tableau REST API läser du OpenID Connect-autentiseringsmetoder(Länken öppnas i ett nytt fönster) i Tableau REST API-hjälpen.

Autentiseringsöversikt

I det här avsnittet beskrivs OpenID Connect-autentisering (OIDC) med Tableau Cloud.

1. En användare försöker logga in på Tableau Cloud från en klientdator.

2. Tableau Cloud omdirigerar autentiseringsbegäran till identitetsproviderns gateway.

3. Användaren uppmanas att ange inloggningsuppgifter och autentiseras hos identitetsprovidern. Identitetsprovidern svarar med en omdirigerings-URL tillbaka till Tableau Cloud. Omdirigeringsadressen innehåller en auktoriseringskod för användaren.

4. Klienten omdirigeras till Tableau Cloud och presenterar auktoriseringskoden.

5. Tableau Cloud presenterar klientens behörighetskod för identitetsprovidern tillsammans med sina egna klientinloggningsuppgifter. Tableau Cloud är också klient hos identitetsprovidern. Detta steg är avsett att förhindra förfalskning (spoofing) eller man-in-the-middle-attacker.

6. Identitetsprovidern returnerar en åtkomsttoken och en ID-token till Tableau Cloud.

  • JWT-validering (JSON-webbtoken): Som standard utför Tableau Cloud en validering av identitetsproviderns JWT. Under identifieringen hämtar Tableau Cloud de offentliga nycklar som anges av jwks_uri i identitetsproviderns konfigurationsdokument. Tableau Cloud validerar ID-tokens utgångsdatum och verifierar sedan JSON-webbsignaturen (JWS), utfärdaren (identitetsprovidern) och klient-ID:t. Du kan läsa mer om JWT-processen i OIDC-dokumentationen, 10. Signaturer och kryptering(Länken öppnas i ett nytt fönster), och IETF:s föreslagna standard, JSON Web Token(Länken öppnas i ett nytt fönster). Vi rekommenderar att du lämnar JWT-valideringen aktiverad, om din Idp stöder det.

  • ID-token är en uppsättning attributnyckelpar för användaren. Nyckelparen kallas anspråk. Här är ett exempel på IdP-anspråk för en användare:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud identifierar användaren från IdP-anspråken och slutför autentiseringsbegäran från steg 1.Tableau Cloud kan konfigureras för att använda olika anspråk för denna process. Läs mer i Krav.

8. Tableau Cloud auktoriserar användaren.

Så här fungerar Tableau Cloud med OpenID Connect

OpenID Connect (OIDC) är ett flexibelt protokoll som stöder många alternativ för den information som utbyts mellan en tjänsteleverantör (i detta fall Tableau Cloud) och en identitetsprovider. Följande lista innehåller information om implementeringen av OIDC i Tableau Cloud. Den här information kan hjälpa dig att förstå vilken sorts information som Tableau Cloud skickar och förväntar sig samt hur du konfigurerar en identitetsprovider (IdP).

  • Tableau Cloud har bara stöd för det OpenID-auktoriseringskodflöde som beskrivs i den slutliga specifikationen för OpenID Connect(Länken öppnas i ett nytt fönster) i dokumentationen för OpenID Connect.

  • Tableau Cloud använder identifiering eller en provider-URL för att hämta IdP-metadata.

  • Tableau Cloud har stöd för klientautentiseringsmetoderna client_secret_basic (standard) och client_secret_post och andra parametrar angivna i OpenID Connect-specifikationen. Dessa kan bara konfigureras med hjälp av Tableau REST API.

Dynamiskt gruppmedlemskap med OIDC-kontroller

Från och med juni 2024 kan du dynamiskt styra gruppmedlemskap genom anpassade anspråk som ingår i JSON-webbtoken (JWT) som skickas av identitetsprovidern, förutsatt att OIDC-autentisering är konfigurerad och funktionsinställningen är aktiverad.

När den är konfigurerad skickar identitetsprovidern OIDC-kontrollen som innehåller två anpassade gruppmedlemskapsanspråk under användarautentiseringen: grupp (https://tableau.com/groups) och gruppnamn (till exempel ”Group1” och ”Group2”) att kontrollera användarens åtkomst till. Tableau validerar kontrollen och möjliggör sedan åtkomst till grupperna och innehållet vars behörigheter är beroende av dessa grupper.

Mer information finns i Dynamiskt gruppmedlemskap med intyg.

Exempel för JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Tack för din feedback!Din feedback har skickats in. Tack!