Konfigurera Tableau Cloud och TCM för OpenID Connect


I det här avsnittet beskriver vi hur du konfigurerar Tableau Cloud eller Tableau Cloud Manager (TCM) för OpenID Connect med enkel inloggning (SSO). Detta är ett steg i en flerstegsprocess. Följande ämnen innehåller information om hur du konfigurerar och använder OIDC med Tableau Cloud eller TCM.

  1. OpenID Connect Översikt

  2. Konfigurera identitetsprovider för OpenID Connect

  3. Konfigurera Tableau Cloud eller TCM för OpenID Connect (du är här)

Obs!

Krav

Parametrar

  • Klient-ID: Det här värdet utfärdas av identitetsprovidern och anger en identifierare för det registrerade Tableau Cloud eller TCM. På så sätt vet identitetsprovidern varifrån autentiseringsbegäran kommer.

  • Klienthemlighet: Det här är en token som används av Tableau Cloud eller TCM för att kontrollera äktheten på svaret från identitetsprovidern. Det här värdet bör skyddas.

  • Konfigurations-URL: Det här värdet anger den URL som identitetsprovidern omdirigerar till efter att användaren har autentiserats. Denna URL måste inkludera värden och protokollet (till exempel https://admin.okta.com/oauth2/default/.well-known/openid-configuration), men Tableau tillhandahåller URL-slutpunkten. Den här URL:en anger platsen för identitetsproviderns konfigurationsdokument som innehåller OpenID-leverantörens metadata.

    Obs! Om identitetsprovidern inte tillhandahåller en konfigurations-URL kan du använda en URL som slutar med .well-known/openid-configuration. För Tableau Cloud bör du överväga att använda OpenID Connect-autentiseringsmetoder(Länken öppnas i ett nytt fönster) i Tableau REST API för att konfigurera OIDC.

Valfria parametrar

Obs! Gäller enbart Tableau Cloud.

Följande valfria parametrar kan konfigureras med hjälp av OpenID Connect-autentiseringsmetoder(Länken öppnas i ett nytt fönster) i Tableau REST API.

  • Fråga: Frågar användaren om återautentisering och samtycke. Som standard är användarens samtycke aktiverat.

  • Anpassad omfattning: Användarrelaterat värde för anpassad omfattning för fråga till IdP.

  • Klientautentisering: Autentiseringsmetod med tokenslutpunkt. Standardvärdet är 'client_secret_basic'. Värdet 'client_secret_post' stöds.

  • Viktiga ACR-värden: Lista över viktiga ACR-värden (Authentication Context Class Reference) som används för autentisering.

  • Valfria ACR-värden: Lista över valfria ACR-värden (Authentication Context Class Reference) som används för autentisering.

Anspråk

För att kunna logga in på Tableau Cloud eller TCM måste användaren provisioneras i OpenID Connect (OIDC) och sedan mappas till ett användarkonto i Tableau Cloud eller TCM. OIDC använder en metod som bygger på anspråk för att dela attribut för användarkonton med andra program. Tableau Cloud eller TCM använder IdP-anspråk för att mappa användarkonton från identitetsprovidern (IdP) till de som finns i Tableau Cloud eller TCM. Exempel på anspråk är e-post, namn och andra attribut för användarkonton. Du kan läsa mer om hur Tableau Cloud eller TCM mappar IdP-anspråk till användarkonton i Autentiseringsöversikt.

Obs! Anspråk är skiftlägeskänsliga.

  • Användarnamn: Tableau förväntar sig som standard att identitetsprovidern skickar användarnamnsanspråket. Beroende på identitetsprovidern kan du behöva konfigurera Tableau Cloud att använda ett annat IdP-anspråk. Obs! Användarnamnet i Tableau är oföränderligt och kan aldrig uppdateras.

  • Namnanspråk: Du kan ange namn, förnamn eller efternamn för att hämta visningsnamnet för användaren.

  • E-postanspråk: Från och med juli 2025 kan du ange en e-postadress som skiljer sig från användarnamnet (valfritt). E-postanspråket används endast i meddelandesyfte och inte för inloggning.

Aktivera OIDC för enkel inloggning

Steg 1: Konfigurera OpenID Connect

För Tableau Cloud

  1. Logga in på Tableau Cloud som platsadministratör och välj Inställningar > Autentisering.

  2. Klicka på knappen Ny konfiguration på fliken Autentisering, välj OpenID Connect (OIDC) och ange ett namn för konfigurationen.

  3. Följ de här stegen för att konfigurera Tableau Cloud för OIDC-autentisering:

    1. I steg 1 anger du nödvändig information från identitetsprovidern, inklusive klient-ID, klienthemlighet och konfigurations-URL.

    2. I steg 2 kopierar du omdirigerings-URL:en för Tableau Cloud, som du kommer att klistra in i identitetsproviderns portal för att omdirigera användare efter att de har autentiserats.

    3. I steg 3 anger du anspråken för att se till att användarnas användarnamn och visningsnamn mappas korrekt.

    4. I steg 4 kan du välja att aktivera enkel utloggning om identitetsprovidern har stöd för det.

    5. I steg 5 kan du välja hur användare autentiseras när de öppnar den inbäddade vyn: i ett separat popup-fönster eller med en inbyggd ram (iFrame).

      Obs! Du kan välja autentiseringstyp för inbäddade vyer i delen Standardautentiseringstyp för integrerade vyer på sidan Autentisering (under OIDC-konfigurationsstegen).

  4. När du är klar klickar du på knappen Spara ändringar.

Obs! När du redigerar OIDC-konfigurationen döljs klienthemligheten och du måste ange den igen innan du kan spara några ändringar.

För TCM

  1. Logga in på TCM som molnadministratör och välj Inställningar > Autentisering.

  2. På fliken Autentisering markerar du kryssrutan Aktivera ytterligare en autentiseringsmetod.

  3. Välj OpenID Connect (OIDC) i listrutan och klicka på listrutan Konfiguration (obligatoriskt).

  4. Följ de här stegen för att konfigurera TCM för OIDC-autentisering:

    1. I steg 1 anger du nödvändig information från identitetsprovidern, inklusive klient-ID, klienthemlighet och konfigurations-URL.

    2. I steg 2 kopierar du omdirigerings-URL:en för TCM, som du kommer att klistra in i identitetsproviderns portal för att omdirigera användare efter att de har autentiserats.

    3. I steg 3 anger du anspråken för att se till att användarnas användarnamn och visningsnamn mappas korrekt.

    4. I steg 4 kan du välja att aktivera enkel utloggning om identitetsprovidern har stöd för det.

  5. När du är klar klickar du på knappen Spara ändringar.

Obs! När du redigerar OIDC-konfigurationen döljs klienthemligheten och du måste ange den igen innan du kan spara några ändringar.

Steg 2: Testa konfigurationen

Vi vill understryka vikten av att du testar konfigurationen för att undvika eventuella utelåsningsscenarier. Genom att testa anslutningen kan du försäkra dig om att du har konfigurerat OIDC korrekt innan du ändrar autentiseringstypen för användarna till OIDC. För att kunna testa konfigurationen måste det finnas minst en användare som du kan logga in som, som redan har provisionerats hos identitetsprovidern och lagts till i Tableau Cloud eller TCM med OIDC som autentiseringstyp.

Obs! Om du inte är säker på vilka anspråken är slutför du konfigurationen och testar den. När du testar konfigurationen skapas ett nytt fönster med information om anspråksmappningarna, inklusive användarnamns- och visningsnamnsanspråk. Vissa identitetsprovider mappar e-postadressen till Tableau-användarnamnet.

För Tableau Cloud

  1. Klicka på knappen Testa konfiguration i steg 6 på fliken Autentisering när OpenID Connect (OIDC) är valt. Det visas ett nytt fönster med information om konfigurationen.

  2. När du är klar slutför du OIDC-konfigurationen genom att lägga till användare på platsen med hjälp av steget nedan.

För TCM

  1. Klicka på knappen Testa konfiguration i steg 5 på fliken Autentisering när OpenID Connect (OIDC) är valt. Det visas ett nytt fönster med information om konfigurationen.

  2. När du är klar slutför du OIDC-konfigurationen genom att lägga till användare på klienten med hjälp av steget nedan.

Steg 3: Lägg till användare på den OpenID Connect-aktiverade Tableau-platsen eller TCM

Stegen som beskrivs i det här avsnittet utförs på Tableau Clouds eller TCM:s sida Användare.

  1. När du har slutfört stegen ovan går du tillbaka till Tableau Cloud-platsen eller TCM.

  2. Välj sidan Användare i den vänstra rutan.

  3. Följ proceduren som beskrivs i något av följande ämnen:

Felsöka

Ta hjälp av följande avsnitt för att felsöka OpenID Connect-problem (OIDC) i Tableau Cloud eller TCM.

OIDC-protokollet stöds av många identitetsprovider. OIDC-protokollet är en öppen och flexibel standard, och därför är inte alla implementeringar av standarden identiska. De flesta problem som administratörer stöter på vid OIDC-konfiguration i Tableau Cloud eller TCM beror på att olika identitetsprovider implementerar OIDC på olika sätt. Om du stöter på problem vid OIDC-konfigurering i Tableau rekommenderar vi att du samarbetar med din identitetsprovider för att lösa dem.

Logga in från kommandoraden

För Tableau Cloud

Även om Tableau Cloud har konfigurerats för användning med OIDC används det inte när du loggar in på Tableau Cloud med tabcmd, Tableau REST API(Länken öppnas i ett nytt fönster) eller Tableau Data Extract Command-Line Utility(Länken öppnas i ett nytt fönster) (medföljer Tableau Desktop).

För TCM

På samma sätt används OIDC-autentisering inte när du loggar in på Tableau Cloud Manager REST API(Länken öppnas i ett nytt fönster), även om TCM har konfigurerats för användning med OIDC.

Inloggningen misslyckades

I vissa fall kan inloggningen på Tableau Cloud eller TCM misslyckas med följande meddelande:

Inloggningsfel: Identitetsproviderns autentisering misslyckades för användaren <användarnamn_från_identitetsprovider>. Det gick inte att hitta användaren i Tableau Cloud.

Det här felet innebär vanligtvis att användarnamnet som lagrats i Tableau inte överensstämmer med det som tillhandahålls av identitetsprovidern. Du löser detta genom att försäkra dig om att användarnamnsvärdena matchar. Om till exempel Lena Larssons användarnamn lagras hos identitetsprovidern som ”llarsson@exempel.se” måste det även lagras som ”llarsson@exempel.se” i Tableau Cloud eller TCM.

Anpassa och styra dataåtkomst med hjälp av användarattribut

Användarattribut är metadata för användare som definieras av din organisation. Användarattribut kan användas för att bestämma åtkomst i en vanlig auktoriseringsmodell med attributbaserad åtkomstkontroll (ABAC). Alla data i användarprofilen kan användas som användarattribut, inklusive jobbroller, avdelningsmedlemskap, chefsnivå och så vidare. De kan också associeras med användarkontexter vid körning, till exempel varifrån användaren loggat in eller användarens språkinställningar.

Genom att använda användarattribut i arbetsflödet kan du styra och anpassa användarupplevelsen genom dataåtkomst och personanpassning.

  • Dataåtkomst: Användarattribut kan användas för att tillämpa datasäkerhetspolicyer. Det säkerställer att användare endast kan se data som de har behörighet att se.
  • Personanpassning: Du kan anpassa innehållet utifrån användarattribut som plats och roll så att endast information som är relevant för användaren visas, vilket gör det lättare för användarna att hitta den information de behöver.

Sammanfattning av stegen för att använda användarattribut

Processen för att aktivera användarattribut i ett arbetsflöde kan sammanfattas i följande steg:

  1. Aktivera inställningen för användarattribut
  2. Ta med användarattribut i JSON-webbtoken
  3. Se till att innehållsutvecklaren tar med funktioner för användarattribut och relevanta filter
  4. Granska innehållet

Steg 1: Aktivera inställningen för användarattribut

Av säkerhetsskäl valideras användarattribut endast i ett autentiseringsarbetsflöde när inställningen för användarattribut har aktiverats av en platsadministratör.

  1. Logga in på Tableau Cloud och klicka på Inställningar > Autentisering.

  2. Under rubriken Kontrollera användaråtkomst i autentiseringsarbetsflöden markerar du kryssrutan Aktivera insamling av användarattribut i autentiseringsarbetsflöden.

Mer information om platsinställningar finns i Kontrollera användaråtkomst i autentiseringsarbetsflöden.

Steg 2: Ta med användarattribut i JSON-webbtoken

Kontrollera att JSON-webbtoken innehåller användarattributen.

Obs! För attribut i JSON-webbtoken gäller en längdbegränsning på 4096 tecken, med undantag för attributen scope och scp. Om attributen i JSON-webbtoken, inklusive användarattribut, överskrider den här gränsen kommer Tableau ta bort attributen och skicka attributet ExtraAttributesRemoved i stället. Innehållsutvecklaren kan sedan skapa en beräkning med attributet ExtraAttributesRemoved för att avgöra hur innehållet ska visas för användarna när attributet har identifierats.

Exempel

Anta att du har en anställd, Fred Suzuki, som är en chef som arbetar i den södra regionen. Du vill vara säker på att Fred bara får se data för den södra regionen när han granskar rapporter. I ett sådant scenario skulle du kunna ta med användarattributet Region i JSON-webbtoken, som i exemplet nedan.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner

Se till att innehållsutvecklaren tar med funktioner för användarattribut och tillhörande filter för att styra vilka data som ska visas i innehållet. För att säkerställa att användarattributsanspråken skickas till Tableau ska innehållet innehålla en av följande funktioner för användarattribut:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Vilken av funktionerna innehållsutvecklaren använder beror på om användarattributen väntas returnera ett eller flera värden. Mer information om de här funktionerna och exempel på användning av dem finns i avsnittet Användarfunktioner(Länken öppnas i ett nytt fönster) i Tableau-hjälpen.

Obs!

  • Förhandsgranskning av innehållet med de här funktionerna är inte tillgänglig när innehåll skapas i Tableau Desktop eller Tableau Cloud. Funktionen returnerar NULL eller FALSE. För att säkerställa att användarfunktionerna fungerar som förväntat rekommenderar vi att utvecklaren granskar funktionerna när innehållet har gjorts tillgängligt.
  • För att säkerställa att innehållet återges som förväntat kan innehållsutvecklaren överväga att ta med en beräkning som 1) söker efter attributet ExtraAttributesRemoved: och 2) bestämmer vad som ska göras med innehållet om attributet förekommer, till exempel visa ett meddelande. Det är endast när attributen i JSON-webbtoken är längre än 4 096 tecken som Tableau lägger till attributet ExtraAttributesRemoved och tar bort alla andra attribut (förutom scp och scope). Det görs för att säkerställa optimala prestanda och ta hänsyn till begränsningar i lagringsutrymmet.

Exempel

Som fortsättning på exemplet i Steg 2: Ta med användarattribut i JSON-webbtoken ovan skulle utvecklaren kunna skicka anspråket för användarattributet "Region" till en arbetsbok genom att ta med attributet USERATTRIBUTEINCLUDES. Till exempel, USERATTRIBUTEINCLUDES('Region', [Region])där ”Region” är ett användarattribut och [Region] är en datakolumn. Utvecklaren kan använda den nya beräkningen för att skapa en tabell med chefs- och försäljningsdata. När beräkningen läggs till returnerar arbetsboken som förväntat värdet False.

För att endast visa de data som är associerade med den södra regionen i den inbäddade arbetsboken kan utvecklaren skapa ett filter och anpassa det så att det visar värden när den södra regionen har värdet True. När filtret tillämpas blir arbetsboken som förväntat tom, eftersom funktionen returnerar False, och filtret är anpassat för att endast visa värden som är True.

Steg 4: Granska innehållet

Granska och validera innehållet.

Exempel

För att avsluta exemplet från Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner ovan kan du se att försäljningsdata i vyn har anpassats för Fred Suzuki eftersom hans användarkontext är den södra regionen.

Chefer från regioner som ingår i arbetsboken ser värdet som är associerat med deras egen region. Sawdie Pawthorne från den västra regionen skulle till exempel se data som är specifika för hennes region.

Chefer vars regioner inte ingår i arbetsboken skulle se en tom arbetsbok.

Kända problem och begränsningar

Det finns några kända problem och begränsningar som du bör tänka på när du arbetar med funktioner för användarattribut.

Tomma bilder vid användning av Tableau REST API

Tableau REST API-anropen Query Preview Image(Länken öppnas i ett nytt fönster), Query Workbook Image(Länken öppnas i ett nytt fönster) och Get Custom View Image(Länken öppnas i ett nytt fönster) returnerar tomma bilder.

Begränsningar

  • Funktioner för användarattribut i publicerade datakällor (.pds) stöds inte.
  • Funktioner för användarattribut i Tableau Bridge-arbetsflöden stöds inte.
Tillbaka till toppen
Tack för din feedback!Din feedback har skickats in. Tack!