OpenID Connect

คุณสามารถกำหนดค่า Tableau Cloud ให้รองรับ OpenID Connect (OIDC) สำหรับการลงชื่อเพียงครั้งเดียว (SSO) ได้ OIDC เป็นโปรโตคอลการตรวจสอบสิทธิ์มาตรฐานที่ช่วยให้ผู้ใช้เข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัว (IdP) เช่น Google หรือ Salesforce หลังจากที่ผู้ใช้เข้าสู่ระบบ IdP ของตนเรียบร้อยแล้ว ผู้ใช้จะเข้าสู่ระบบ Tableau Cloud โดยอัตโนมัติ

การกำหนดค่า OIDC ต้องดำเนินการหลายขั้นตอน หัวข้อในส่วนนี้จะให้ข้อมูลทั่วไปเกี่ยวกับการใช้ Tableau Cloud ร่วมกับ OIDC และให้ข้อมูลลำดับการกำหนดค่า IdP และ Tableau Cloud

หากต้องการกำหนดค่า OIDC โดยใช้ REST API ของ Tableau โปรดดูวิธีการตรวจสอบสิทธิ์ OpenID Connect(ลิงก์จะเปิดในหน้าต่างใหม่)

ภาพรวมของการตรวจสอบสิทธิ์

ส่วนนี้จะอธิบายกระบวนการตรวจสอบสิทธิ์ของ OpenID Connect (OIDC) ร่วมกับ Tableau Cloud

1. ผู้ใช้พยายามเข้าสู่ระบบ Tableau Cloud จากคอมพิวเตอร์ไคลเอ็นต์

2. Tableau Cloud จะเปลี่ยนเส้นทางคำขอสำหรับการตรวจสอบสิทธิ์ไปยังเกตเวย์ IdP

3. ผู้ใช้จะได้รับแจ้งให้ป้อนข้อมูลเข้าสู่ระบบและตรวจสอบสิทธิ์กับ IdP สำเร็จ IdP จะตอบสนองด้วย URL เปลี่ยนเส้นทางกลับไปที่ Tableau Cloud URL เปลี่ยนเส้นทางมีรหัสการให้สิทธิ์แก่ผู้ใช้

4. ระบบจะเปลี่ยนเส้นทางไคลเอ็นต์ไปที่ Tableau Cloud และแสดงรหัสการให้สิทธิ์

5. Tableau Cloud จะแสดงรหัสการให้สิทธิ์ของไคลเอ็นต์แก่ IdP พร้อมกับข้อมูลเข้าสู่ระบบไคลเอ็นต์ Tableau Cloud ยังเป็นไคลเอ็นต์ของ IdP อีกด้วย ขั้นตอนนี้มีวัตถุประสงค์เพื่อป้องกันการปลอมแปลงหรือการโจมตีโดยคนกลาง

6. IdP จะส่งคืนโทเค็นการเข้าถึงและโทเค็น ID ไปที่ Tableau Cloud

  • การตรวจสอบโทเค็นเว็บ JSON (JWT): ตามค่าเริ่มต้น Tableau Cloud จะทำการตรวจสอบ IdP JWT ระหว่างการสำรวจ Tableau Cloud จะเรียกคีย์สาธารณะที่ jwks_uri ระบุไว้ในเอกสารสำรวจการกำหนดค่า IdP Tableau Cloud จะตรวจสอบโทเค็น ID เพื่อดูวันหมดอายุแล้วจึงยืนยันลายเซ็นเว็บ JSON (JWS), ผู้ออกใบรับรอง (IdP) และ ID ของไคลเอ็นต์ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับกระบวนการ JWT ได้ในเอกสาร OIDC, 10 ลายเซ็นและการเข้ารหัส(ลิงก์จะเปิดในหน้าต่างใหม่) และมาตรฐานที่เสนอของ IETF, โทเค็นเว็บ JSON(ลิงก์จะเปิดในหน้าต่างใหม่) เราขอแนะนำให้เปิดใช้งานการตรวจสอบ JWT เอาไว้ นอกจากว่า IdP ของคุณจะไม่รองรับ

  • โทเค็น ID คือชุดของคู่คีย์แอตทริบิวต์สำหรับผู้ใช้ คู่คีย์จะเรียกว่าการอ้างสิทธิ์ นี่คือตัวอย่างของการอ้างสิทธิ์ IdP สำหรับผู้ใช้

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",		

7. Tableau Cloud จะระบุผู้ใช้จากการอ้างสิทธิ์ IdP และดำเนินการตามคำขอการตรวจสอบสิทธิ์จากขั้นตอนที่ 1Tableau Cloud ให้ใช้การอ้างสิทธิ์ที่แตกต่างกันสำหรับกระบวนการนี้ได้ ดูข้อกำหนด

8. Tableau Cloud ให้สิทธิ์ผู้ใช้

วิธีการทำงานของ Tableau Cloud ร่วมกับ OpenID Connect

OpenID Connect (OIDC) คือโปรโตคอลที่ยืดหยุ่นซึ่งรองรับตัวเลือกมากมายสำหรับข้อมูลที่แลกเปลี่ยนระหว่างผู้ให้บริการ (ในที่นี้คือ Tableau Cloud) และ IdP รายการต่อไปนี้ให้รายละเอียดเกี่ยวกับการใช้ Tableau Cloud ของ OIDC รายละเอียดเหล่านี้สามารถช่วยให้คุณเข้าใจประเภทของข้อมูลที่ Tableau Cloud ส่งและคาดหวัง รวมถึงวิธีกำหนดค่า IdP

  • Tableau Cloud รองรับเฉพาะโฟลว์รหัสการให้สิทธิ์ OpenID ตามที่อธิบายไว้ในข้อมูลจำเพาะสุดท้ายของ OpenID Connect(ลิงก์จะเปิดในหน้าต่างใหม่)

  • Tableau Cloud ใช้การสำรวจหรือ URL ของผู้ให้บริการเพื่อดึงเมตาดาต้าของผู้ให้บริการ IdP

  • Tableau Cloud รองรับการตรวจสอบสิทธิ์ไคลเอ็นต์ client_secret_basic (ค่าเริ่มต้น) และ client_secret_post และพารามิเตอร์อื่นๆ ที่ระบุในข้อกำหนด OpenID Connect ซึ่งสามารถกำหนดค่าได้โดยใช้ REST API ของ Tableau

การเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน OIDC

ตั้งแต่เดือนมิถุนายน 2024 เป็นต้นไป หากมีการกำหนดค่าการตรวจสอบสิทธิ์ OIDC และเปิดใช้การตั้งค่าความสามารถ คุณจะควบคุมการเป็นสมาชิกกลุ่มแบบไดนามิกผ่านการอ้างสิทธิ์ที่กำหนดเอง ซึ่งรวมอยู่ในโทเค็นเว็บ JSON (JWT) ที่ส่งโดยผู้ให้บริการข้อมูลประจำตัว (IdP)

เมื่อกำหนดค่า ในระหว่างการตรวจสอบสิทธิ์ของผู้ใช้ IdP จะส่งการยืนยัน OIDC ที่มีการอ้างสิทธิ์การเป็นสมาชิกกลุ่มที่กำหนดเองสองรายการ ได้แก่ กลุ่ม (https://tableau.com/groups) และชื่อกลุ่ม (เช่น “Group1” และ “Group2”) ที่จะยืนยันข้อมูลผู้ใช้ Tableau ตรวจสอบการยืนยันแล้วเปิดใช้งานสิทธิ์เข้าถึงกลุ่มและเนื้อหาที่สิทธิ์ขึ้นอยู่กับกลุ่มเหล่านั้น

หากต้องการข้อมูลเพิ่มเติม โปรดดูการเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน

ตัวอย่าง JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ