OpenID Connect


คุณสามารถกำหนดค่า Tableau Cloud หรือ Tableau Cloud Manager (TCM) ให้รองรับ OpenID Connect (OIDC) สำหรับการลงชื่อเพียงครั้งเดียว (SSO) ได้ OIDC เป็นโปรโตคอลการตรวจสอบสิทธิ์มาตรฐานที่ช่วยให้ผู้ใช้เข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัว (IdP) เช่น Google หรือ Salesforce หลังจากที่ผู้ใช้เข้าสู่ระบบ IdP ของตนเรียบร้อยแล้ว ผู้ใช้จะเข้าสู่ระบบ Tableau Cloud หรือ TCM โดยอัตโนมัติ

การกำหนดค่า OIDC ต้องดำเนินการหลายขั้นตอน หัวข้อในส่วนนี้จะให้ข้อมูลทั่วไปเกี่ยวกับการใช้ Tableau Cloud หรือ TCM ร่วมกับ OIDC และให้ข้อมูลลำดับการกำหนดค่า IdP และ Tableau Cloud หรือ TCM

หากต้องการกำหนดค่า OIDC โดยใช้ REST API ของ Tableau โปรดดูวิธีการตรวจสอบสิทธิ์ OpenID Connect(ลิงก์จะเปิดในหน้าต่างใหม่) ในความช่วยเหลือของ REST API ของ Tableau หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น

ภาพรวมของการตรวจสอบสิทธิ์

ส่วนนี้จะอธิบายกระบวนการตรวจสอบสิทธิ์ของ OpenID Connect (OIDC) ร่วมกับ Tableau Cloud หรือ TCM

1. ผู้ใช้พยายามเข้าสู่ระบบ Tableau Cloud หรือ TCM จากคอมพิวเตอร์ไคลเอ็นต์

2. Tableau Cloud จะเปลี่ยนเส้นทางคำขอสำหรับการตรวจสอบสิทธิ์ไปยังเกตเวย์ IdP

3. ผู้ใช้จะได้รับแจ้งให้ป้อนข้อมูลเข้าสู่ระบบและตรวจสอบสิทธิ์กับ IdP สำเร็จ IdP จะตอบสนองด้วย URL เปลี่ยนเส้นทางกลับไปที่ Tableau Cloud หรือ TCM URL เปลี่ยนเส้นทางมีรหัสการให้สิทธิ์แก่ผู้ใช้

4. ระบบจะเปลี่ยนเส้นทางไคลเอ็นต์ไปที่ Tableau Cloud หรือ TCM และแสดงรหัสการให้สิทธิ์

5. Tableau Cloud หรือ TCM จะแสดงรหัสการให้สิทธิ์ของไคลเอ็นต์แก่ IdP พร้อมกับข้อมูลเข้าสู่ระบบไคลเอ็นต์ Tableau Cloud หรือ TCM ยังเป็นไคลเอ็นต์ของ IdP อีกด้วย ขั้นตอนนี้มีวัตถุประสงค์เพื่อป้องกันการปลอมแปลงหรือการโจมตีโดยคนกลาง

6. IdP จะส่งคืนโทเค็นการเข้าถึงและโทเค็น ID ไปที่ Tableau Cloud หรือ TCM

  • การตรวจสอบโทเค็นเว็บ JSON (JWT): ตามค่าเริ่มต้น Tableau จะทำการตรวจสอบ IdP JWT ระหว่างการสำรวจ Tableau จะเรียกคีย์สาธารณะที่ jwks_uri ระบุในเอกสารสำรวจการกำหนดค่า IdP Tableau จะตรวจสอบโทเค็น ID เพื่อดูวันหมดอายุแล้วจึงยืนยันลายเซ็นเว็บ JSON (JWS), ผู้ออกใบรับรอง (IdP) และ ID ของไคลเอ็นต์ คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับกระบวนการ JWT ได้ในเอกสาร OIDC, 10 ลายเซ็นและการเข้ารหัส(ลิงก์จะเปิดในหน้าต่างใหม่) และมาตรฐานที่เสนอของ IETF, โทเค็นเว็บ JSON(ลิงก์จะเปิดในหน้าต่างใหม่) เราขอแนะนำให้เปิดใช้งานการตรวจสอบ JWT เอาไว้ นอกจากว่า IdP ของคุณจะไม่รองรับ

  • โทเค็น ID คือชุดของคู่คีย์แอตทริบิวต์สำหรับผู้ใช้ คู่คีย์จะเรียกว่าการอ้างสิทธิ์ นี่คือตัวอย่างของการอ้างสิทธิ์ IdP สำหรับผู้ใช้

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7. Tableau Cloud หรือ TCM จะระบุผู้ใช้จากการอ้างสิทธิ์ IdP และดำเนินการตามคำขอการตรวจสอบสิทธิ์จากขั้นตอนที่ 1Tableau Cloud ให้ใช้การอ้างสิทธิ์ที่แตกต่างกันสำหรับกระบวนการนี้ได้ ดูข้อกำหนด

8. Tableau Cloud หรือ TCMอนุญาตให้สิทธิ์ผู้ใช้

วิธีที่ Tableau ทำงานกับ OpenID Connect

OpenID Connect (OIDC) คือโปรโตคอลที่ยืดหยุ่นซึ่งรองรับตัวเลือกมากมายสำหรับข้อมูลที่แลกเปลี่ยนระหว่างผู้ให้บริการ (ในที่นี้คือ Tableau Cloud หรือ TCM) และ IdP รายการต่อไปนี้ให้รายละเอียดเกี่ยวกับการใช้ Tableau Cloud และ TCM ของ OIDC รายละเอียดเหล่านี้สามารถช่วยให้คุณเข้าใจประเภทของข้อมูลที่ Tableau Cloud หรือ TCM ส่งและคาดหวัง รวมถึงวิธีกำหนดค่า IdP

  • Tableau Cloud และ TCM รองรับเฉพาะโฟลว์รหัสการให้สิทธิ์ OpenID ตามที่อธิบายไว้ในข้อมูลจำเพาะสุดท้ายของ OpenID Connect(ลิงก์จะเปิดในหน้าต่างใหม่)

  • Tableau Cloud และ TCM ใช้การสำรวจหรือ URL ของผู้ให้บริการเพื่อดึงเมตาดาต้าของผู้ให้บริการ IdP

  • Tableau Cloud และ TCM รองรับการตรวจสอบสิทธิ์ไคลเอ็นต์ client_secret_basic (ค่าเริ่มต้น) และ client_secret_post และพารามิเตอร์อื่นๆ ที่ระบุในข้อกำหนด OpenID Connect ซึ่งสามารถกำหนดค่าได้โดยใช้ REST API ของ Tableau

การเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน OIDC

หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น

ตั้งแต่เดือนมิถุนายน 2024 เป็นต้นไป หากมีการกำหนดค่าการตรวจสอบสิทธิ์ OIDC และเปิดใช้การตั้งค่าความสามารถ คุณจะควบคุมการเป็นสมาชิกกลุ่มแบบไดนามิกผ่านการอ้างสิทธิ์ที่กำหนดเอง ซึ่งรวมอยู่ในโทเค็นเว็บ JSON (JWT) ที่ส่งโดยผู้ให้บริการข้อมูลประจำตัว (IdP)

เมื่อกำหนดค่า ในระหว่างการตรวจสอบสิทธิ์ของผู้ใช้ IdP จะส่งการยืนยัน OIDC ที่มีการอ้างสิทธิ์การเป็นสมาชิกกลุ่มที่กำหนดเองสองรายการ ได้แก่ กลุ่ม (https://tableau.com/groups) และชื่อกลุ่ม (เช่น “Group1” และ “Group2”) ที่จะยืนยันข้อมูลผู้ใช้ Tableau ตรวจสอบการยืนยันแล้วเปิดใช้งานสิทธิ์เข้าถึงกลุ่มและเนื้อหาที่สิทธิ์ขึ้นอยู่กับกลุ่มเหล่านั้น

หากต้องการข้อมูลเพิ่มเติม โปรดดูการเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน

ตัวอย่าง JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
ย้อนกลับไปด้านบน