OpenID Connect


您可以設定 Tableau Cloud 為支援為單一登入 (SSO) 使用 OpenID Connect。OIDC 是一種標準驗證通訊協定,它使使用者能夠登入到諸如 Google 等身分識別提供者 (IdP) 或 Salesforce。使用者成功登入到其 IdP 後,將會自動登入 Tableau Cloud

設定 OIDC 的過程包含若干步驟。本節中的主題提供有關將 Tableau Cloud 與 OIDC 一起使用的一般資訊,並提供用於設定 IdP 和 Tableau Cloud 的順序。

要使用 Tableau REST API 設定 OIDC,請參閱 Tableau REST API 說明中的 OpenID 連線驗證方法(連結在新視窗開啟)

驗證概述

本節介紹使用 Tableau Cloud 的 OpenID Connect (OIDC) 驗證流程。

1.使用者嘗試從用戶端電腦登入 Tableau Cloud

2.Tableau Cloud 驗證請求重新導向 IdP 閘道。

3.提示使用者輸入認證,並成功向 IdP 進行驗證。IdP 會以重新導向回 Tableau Cloud 的 URL 回應。重新導向 URL 中包括使用者的授權代碼。

4.將用戶端重新導向至 Tableau Cloud,並顯示授權代碼。

5.Tableau Cloud 會將用戶端的授權代碼及其專屬用戶端認證提供給 IdP。Tableau Cloud 也是 IdP 的用戶端。此步驟旨在防止假冒或中間人攻擊。

6.IdP 將存取權杖和 ID 權杖傳回給 Tableau Cloud

  • JSON Web 權杖 (JWT) 驗證:預設情況下, Tableau Cloud 會對 IdP JWT 執行驗證。在發現過程中, Tableau Cloud 將在 IdP 設定發現文件中檢索 jwks_uri 指定的公開金鑰。Tableau Cloud 將驗證 ID 權杖是否過期,並驗證 JSON Web 簽名 (JWS)、頒發者 (IdP) 和用戶端 ID。您可以在 OIDC 文件 10(連結在新視窗開啟) 中了解更多有關 JWT 過程的資訊。簽名和加密(連結在新視窗開啟)以及 IETF 建議標準 JSON Web 權杖(連結在新視窗開啟)。我們建議一直啟用 JWT 驗證,除非 Idp 不支援。

  • ID 權杖是使用者的一組屬性金鑰對。該金鑰對稱為聲明。下面是使用者的一個範例 IdP 聲明:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7.Tableau Cloud 會識別 IdP 宣告的使用者並完成步驟 1 的驗證要求。Tableau Cloud 設定為此過程使用不同的聲明。查看 需求

8.Tableau Cloud 授權該使用者。

Tableau Cloud 如何與 OpenID Connect 搭配使用

OpenID Connect 是一種靈活的協議,對於服務提供者(本文中為 Tableau Cloud )和 IdP 之間交換的資訊,此協定支援許多選項。以下清單提供了有關 OIDC Tableau Cloud 實作的詳情。這些詳細資料可以說明您瞭解 Tableau Cloud 所傳送和需要的資訊類型,以及如何設定 IdP。

  • Tableau Cloud 僅支援 OpenID 授權代碼流程,如 OpenID Connect 最終規範(連結在新視窗開啟)中所述。

  • Tableau Cloud 依賴使用發現或提供者 URL 擷取 IdP中繼資料。

  • Tableau Cloud 支援 client_secret_basic (預設)client_secret_post 用戶端驗證及其他在 OpenID 連線規格中指定的參數。您可以使用 Tableau REST API 設定這些資訊。

使用 OIDC 聲明的動態群組成員身份

從 2024 年 6 月開始,如果設定了 OIDC 身份驗證並啟用了該功能的設定,即可透過身分識別提供者 (IdP) 傳送的 JSON Web 權杖 (JWT) 中包含的自訂聲明動態控制群組成員身份。

設定後,在使用者驗證期間,IdP 會傳送包含兩個自訂群組成員身分聲明的 OIDC 聲明:群組 (https://tableau.com/groups) 與群組名稱(例如,「Group1」和「Group2」)以聲明使用者。Tableau 會驗證該聲明,然後啟用對群組及其權限依賴這些群組的內容的存取。

有關詳情,請參閱使用聲明的動態群組成員資格

範例 JWK

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
返回頂端
感謝您的意見反應!已成功提交您的意見回饋。謝謝!