為 OpenID Connect 設定 Tableau Cloud
本主題描述如何將 Tableau Cloud 設定為使用 OpenID Connect 進行單一登入 (SSO)。這是多個步驟過程中的一步。以下主題提供有關將 OIDC 與 Tableau Cloud 設定並一起使用的資訊。
為 OpenID Connect 設定 Tableau Cloud(您在此)
附註:
- 在執行此處介紹的步驟之前,您必須設定 OpenID 身分提供者 (IdP),如 針對 OpenID Connect 設定身分識別提供者 中所述。
- 或者,可以使用使用 OpenID Connect 方法(連結在新視窗開啟) 的Tableau REST API 為 Tableau Cloud 設定 OIDC 驗證。
- Tableau REST API 和 tabcmd 不支援 OIDC 單一登入 (SSO)。Tabcmd 和 REST API:若要使用 tabcmd 或 REST API(連結在新視窗開啟),使用者必須使用 TableauID 帳戶登入到 Tableau Cloud。
需求
參數
用戶端識別碼: 該值由 IdP 簽發,並指定已註冊 Tableau Cloud 的識別碼。這使得 IdP 能夠知道驗證請求來自何處。
用戶端密碼:這是 Tableau 用於驗證來自 IdP 的回應真實性的權杖。此值應妥善保管。
設定網址:該值指定使用者經過驗證後 IdP 重新導向到的 URL。URL 必須包括主機與協定(例如,
https://admin.okta.com/oauth2/default/.well-known/openid-configuration),但 Tableau 會提供 URL 端點。指定包含 OpenID 提供者中繼資料的提供者設定發現文件的位置。附註:如果 IdP 未提供設定 URL,則以
.well-known/openid-configuration結尾的 URL,須考慮使用在 Tableau REST API 中的 OpenID Connect 驗證方法(連結在新視窗開啟)設定 OIDC。
可選參數
以下可選參數可以使用 Tableau REST API 中的 OpenID Connect 驗證方法(連結在新視窗開啟)進行設定。
提示: 提示使用者重新驗證並同意。預設情況下,使用者同意處於開啟狀態。
自訂範圍:用於查詢 IdP 的自訂範圍使用者相關值。
用戶端驗證:權杖端點驗證方法。預設值為
'client_secret_basic'。支援'client_secret_post'的值。基本 ACR 值:用於驗證的基本驗證內容參考類別值的清單。
自願 ACR 值:用於驗證的自願驗證內容參考類別值的清單。
宣告
若要成功登入 Tableau Cloud,必須在 OpenID Connect (OIDC) IdP 中設定給定使用者,然後將其對應到 Tableau Cloud 上的使用者帳戶。OIDC 依賴於宣告的方法與其他應用程式共用使用者帳戶屬性。Tableau Cloud 依賴於 IdP 宣告將 IdP 中的使用者帳戶對應到 Tableau Cloud 上託管的使用者帳戶。宣告包括使用者帳戶屬性,例如電子郵件、名字等。若要了解 Tableau Cloud 如何將 IdP 宣告對應到使用者帳戶,請參閱 驗證概述。
附註:宣告區分大小寫。
使用者名稱:預設情況下,Tableau Cloud 預期 IdP 會傳遞使用者名稱宣告。根據您的 IdP,您可能需要將 Tableau Cloud 設定為使用其他 IdP 聲宣告。
附註:Tableau Cloud 中的使用者名稱是不可變的,無法隨時更新。
名稱宣告:可以指定名稱或既定名稱和姓氏來檢索使用者的 DisplayName。
步驟 1:設定 OpenID Connect
以站台管理員身分登入到 Tableau Cloud 並選取「設定」>「驗證」。
在「驗證」標籤上,按一下「新增設定」按鈕,選取「OpenID Connect (OIDC)」,然後輸入設定名稱。
請依照下列步驟設定 Tableau Cloud 以進行 OIDC 驗證:
在步驟 1 中,輸入 IdP 提供的所需資訊,包括用戶端 ID、用戶端密碼和設定 URL。
在步驟 2 中,複製將貼上到 IdP 入口網站中的 Tableau Cloud 重新導向 URL,以在使用者進行驗證後重新導向使用者。
在步驟 3 中,輸入宣告以確保使用者使用者名稱和顯示名稱的正確對應。
在步驟 4 中,如果您的 IdP 支援,可以選擇啟用單一登出 (SLO)。
在步驟 5 中,可以選擇使用者在存取內嵌檢視時進行驗證的方式:在單獨的彈出視窗中或使用內嵌 iFrame。
附註:可以在「驗證」頁面的「嵌入視圖的預設驗證類型」區段下選取內嵌檢視的驗證類型(位於 OIDC 設定步驟下方)。
完成後,按一下「儲存變更」按鈕。
附註: 編輯 OIDC 設定時,用戶端密碼是隱藏的,需要重新輸入才能儲存任何變更。
步驟 2:測試設定
我們強烈建議測試設定以避免任何遭受封鎖的情境。測試設定有助於確保在將使用者的驗證類型變更為 OIDC 之前已正確設定 OIDC。若要成功測試設定,請確保至少有一名已在 IdP 中佈建並新增至已設定 OIDC 驗證類型的 Tableau Cloud 的使用者登入。
附註: 如果不確定宣告是什麼,請完成設定並測試設定。測試設定將產生一個新窗格,其中包含宣告對應詳情,包括使用者名稱和顯示名稱宣告。某些 IdP 可能會將電子郵件地址對應到 Tableau 使用者名稱。
在選取 OpenID Connect (OIDC) 的「驗證」索引標籤上,在步驟 6 下按一下「測試設定」按鈕。一個新窗格將會顯示,其中包含有關設定的詳情。
完成後,請按照以下步驟將使用者新增至站台,從而完成 OIDC 設定。
步驟 3:將使用者新增至啟用 OpenID Connect 的 Tableau 站台
本節所述的步驟在 Tableau Cloud 的使用者頁面上執行。
完成上述步驟後,傳回 Tableau Cloud 站台。
從左側窗格中,選取「使用者」頁面。
請遵循向網站新增使用者主題中所述的程序。
疑難排解
使用以下主題在 Tableau Cloud 疑難排解 OpenID Connect (OIDC) 問題。
許多身分提供程式支援 OIDC 通訊協定。OIDC 通訊協定是一個開放和靈活的標準,因此,並非所有標準實現都是相同的。管理員在為 OIDC 設定 Tableau Cloud 時遇到的大多數問題是不同身分提供程式實作 OIDC 的結果。如果在 Tableau Cloud 設定 OIDC 時遇到錯誤,我們建議您使用 IdP 來解決它們。
使用命令列登入
即使 Tableau Cloud 設定為使用 OIDC,當您使用 tabcmd、Tableau REST API(連結在新視窗開啟) 或 Tableau 資料擷取命令列公用程式(連結在新視窗開啟)(由 Tableau Desktop 提供)登入 Tableau Cloud 時,也不會使用 OIDC 驗證。
登入失敗
在某些情況下,登入 Tableau Cloud 可能會失敗並顯示以下訊息:
登入失敗:使用者 <username_from_IdP> 的身分提供程式驗證失敗。無法在 Tableau Cloud 中找到使用者。
此錯誤通常表示 Tableau Cloud 中存放的使用者名稱與 IdP 提供的使用者名稱不相符。若要解決此問題,請確保使用者名稱值相符。例如,如果林怡君的使用者名稱在 IdP 中存放為「contact@dsh.com」,那麼它在 Tableau Cloud 也必須存放為「contact@dsh.com」。