openIDSettings-Entität

Überprüfen Sie vor dem Konfigurieren der OpenID-Authentifizierung Anforderungen für die Verwendung von OpenID Connect.

Verwenden Sie die Konfigurationsdateivorlage unten zum Erstellen einer .json-Datei. Nachdem Sie für die Optionen die entsprechenden Werte eingegeben haben, sollten Sie mithilfe der folgenden Befehle die JSON-Datei weitergeben und die Einstellungen anwenden:

tsm settings import -f path-to-file.json

tsm pending-changes apply,

Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Konfigurationsvorlage

Verwenden Sie diese Vorlage zum Konfigurieren von OpenID-Einstellungen.

Wichtig: Bei allen Entitätsoptionen wird zwischen Groß- und Kleinschreibung unterschieden.

Weitere Einzelheiten zu Konfigurationsdateien, Entitäten und Schlüsseln finden Sie im Abschnitt Beispiel für eine Konfigurationsdatei.

Nachdem Sie die anfängliche Konfiguration von OIDC abgeschlossen haben, legen Sie mit der Unterkategorie tsm authentication openid <commands> weitere Werte fest.

{
	"configEntities": {
	    "openIDSettings": {
		"_type": "openIDSettingsType",
		"enabled": true,
		"clientId": "required",
		"clientSecret": "required",
		"configURL": "required if staticFile value is not set",
		"staticFile": "required if configURL value is not set",
		"externalURL": "required"
		}
	  }
}		

Referenz für die Konfigurationsdatei

Die folgende Liste enthält alle Optionen, die einbezogen werden können, mit dem "openIDSettings"-Entitätssatz.

_type

Erforderlich.

Nicht ändern.

enabled

Erforderlich.

Auf true festgelegt.

clientId

Erforderlich.

Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat. Beispiel: “laakjwdlnaoiloadjkwha".

clientSecret

Erforderlich.

Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden.

Beispiel: “fwahfkjaw72123=".

configURL

Erforderlich.

Gibt die Konfigurations-URL des Anbieters an. Wenn Sie keine Konfigurations-URL angeben, löschen Sie diese Option und geben stattdessen einen Pfad und einen Dateinamen für staticFile an.

staticFile

Erforderlich.

Gibt den lokalen Pfad zum statischen OIDC Discovery JSON-Dokument an. Wenn Sie keine statische Datei angeben, löschen Sie diese Option und geben stattdessen eine URL für configURL an.

externalURL

Erforderlich.

Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B. http://example.tableau.com.

connectionTimeout

Optional.

Gibt die Dauer bis zur Zeitüberschreitung der Verbindung in Sekunden an. Der Standardwert lautet 10.

readTimeout

Optional.

Gibt die Dauer bis zur Zeitüberschreitung des Lesevorgangs in Sekunden an. Der Standardwert lautet 30.

ignoreDomain

Legen Sie diesen Ausdruck auf true fest, wenn Folgendes zutrifft:

  • Sie verwenden in Tableau Server E-Mail-Adressen als Benutzernamen
  • Sie haben Benutzer im IdP mit mehreren Domänennamen bereitgestellt.
  • Sie möchten den Teil des Domänennamens des email-Claims vom IdP ignorieren.

Bevor Sie den Vorgang fortsetzen, überprüfen Sie die Benutzernamen, die infolge der Festlegung dieser Option auf true verwendet werden. Es können Konflikte mit dem Benutzernamen auftreten. Im Falle eines Benutzernamenskonflikts besteht ein hohes Risiko, dass Informationen offengelegt werden. Siehe Anforderungen für die Verwendung von OpenID Connect.

ignoreJWK

Legen Sie diesen Ausdruck auf true fest, wenn Ihr IdP die JWK-Validierung nicht unterstützt. In diesem Fall wird empfohlen, die Kommunikation mit Ihrem IdP durch gegenseitiges TLS oder über ein anderes Sicherheitsprotokoll auf Netzwerkebene zu authentifizieren. Der Standardwert lautet false.

customScope

Gibt einen benutzerbezogenen Wert für den benutzerdefinierten Bereich an, den Sie zum Abrufen des IdP verwenden können. Siehe Anforderungen für die Verwendung von OpenID Connect.

idClaim

Ändern Sie diesen Wert, wenn Ihr IdP den Claim sub nicht zum eindeutigen Identifizieren von Benutzern im ID-Token verwendet. Der von Ihnen angegebene IdP-Claim sollte eine einzelne, eindeutige Zeichenfolge beinhalten.

usernameClaim

Ändern Sie diesen Wert in den IdP-Anspruch, den Ihre Organisation zum Abgleichen der Benutzernamen gemäß Speicherung in Tableau Server verwendet.

clientAuthentication

Legt die benutzerdefinierte Client-Authentifizierungsmethode für OpenID Connect fest.

Um Tableau Server für die Verwendung des Salesforce IdP zu konfigurieren, legen Sie für diesen Wert client_secret_post fest.

iFramedIDPEnabled

Legen Sie für diese Option true fest, damit IdP in einem iFrame angezeigt werden kann. Der IdP muss den Clickjack-Schutz deaktivieren, um die iFrame-Darstellung zuzulassen.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.