openIDSettings-Entität
Überprüfen Sie vor dem Konfigurieren der OpenID-Authentifizierung Anforderungen für die Verwendung von OpenID Connect.
Verwenden Sie die Konfigurationsdateivorlage unten zum Erstellen einer .json-Datei. Nachdem Sie für die Optionen die entsprechenden Werte eingegeben haben, sollten Sie mithilfe der folgenden Befehle die JSON-Datei weitergeben und die Einstellungen anwenden:
tsm settings import -f path-to-file.json
tsm pending-changes apply
,
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Konfigurationsvorlage
Verwenden Sie diese Vorlage zum Konfigurieren von OpenID-Einstellungen.
Wichtig: Bei allen Entitätsoptionen wird zwischen Groß- und Kleinschreibung unterschieden.
Weitere Einzelheiten zu Konfigurationsdateien, Entitäten und Schlüsseln finden Sie im Abschnitt Beispiel für eine Konfigurationsdatei.
Nachdem Sie die anfängliche Konfiguration von OIDC abgeschlossen haben, legen Sie mit der Unterkategorie tsm authentication openid <commands> weitere Werte fest.
{ "configEntities": { "openIDSettings": { "_type": "openIDSettingsType", "enabled": true, "clientId": "required", "clientSecret": "required", "configURL": "required if staticFile value is not set", "staticFile": "required if configURL value is not set", "externalURL": "required" } } }
Referenz für die Konfigurationsdatei
Die folgende Liste enthält alle Optionen, die einbezogen werden können, mit dem "openIDSettings"
-Entitätssatz.
- _type
Erforderlich.
Nicht ändern.
- enabled
Erforderlich.
Auf
true
festgelegt.
- clientId
Erforderlich.
Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat. Beispiel:
“laakjwdlnaoiloadjkwha"
.
- clientSecret
Erforderlich.
Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden.
Beispiel:
“fwahfkjaw72123="
.
- configURL
Erforderlich.
Gibt die Konfigurations-URL des Anbieters an. Wenn Sie keine Konfigurations-URL angeben, löschen Sie diese Option und geben stattdessen einen Pfad und einen Dateinamen für
staticFile
an.
- staticFile
Erforderlich.
Gibt den lokalen Pfad zum statischen OIDC Discovery JSON-Dokument an. Wenn Sie keine statische Datei angeben, löschen Sie diese Option und geben stattdessen eine URL für
configURL
an.
- externalURL
Erforderlich.
Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B.
http://example.tableau.com
.
- connectionTimeout
Optional.
Gibt die Dauer bis zur Zeitüberschreitung der Verbindung in Sekunden an. Der Standardwert lautet
10
.
- readTimeout
Optional.
Gibt die Dauer bis zur Zeitüberschreitung des Lesevorgangs in Sekunden an. Der Standardwert lautet
30
.
- ignoreDomain
Legen Sie diesen Ausdruck auf
true
fest, wenn Folgendes zutrifft:- Sie verwenden in Tableau Server E-Mail-Adressen als Benutzernamen
- Sie haben Benutzer im IdP mit mehreren Domänennamen bereitgestellt.
- Sie möchten den Teil des Domänennamens des
email
-Claims vom IdP ignorieren.
Bevor Sie den Vorgang fortsetzen, überprüfen Sie die Benutzernamen, die infolge der Festlegung dieser Option auf
true
verwendet werden. Es können Konflikte mit dem Benutzernamen auftreten. Im Falle eines Benutzernamenskonflikts besteht ein hohes Risiko, dass Informationen offengelegt werden. Siehe Anforderungen für die Verwendung von OpenID Connect.
- ignoreJWK
Legen Sie diesen Ausdruck auf
true
fest, wenn Ihr IdP die JWK-Validierung nicht unterstützt. In diesem Fall wird empfohlen, die Kommunikation mit Ihrem IdP durch gegenseitiges TLS oder über ein anderes Sicherheitsprotokoll auf Netzwerkebene zu authentifizieren. Der Standardwert lautetfalse
.
- customScope
Gibt einen benutzerbezogenen Wert für den benutzerdefinierten Bereich an, den Sie zum Abrufen des IdP verwenden können. Siehe Anforderungen für die Verwendung von OpenID Connect.
- idClaim
Ändern Sie diesen Wert, wenn Ihr IdP den Claim
sub
nicht zum eindeutigen Identifizieren von Benutzern im ID-Token verwendet. Der von Ihnen angegebene IdP-Claim sollte eine einzelne, eindeutige Zeichenfolge beinhalten.
- usernameClaim
Ändern Sie diesen Wert in den IdP-Anspruch, den Ihre Organisation zum Abgleichen der Benutzernamen gemäß Speicherung in Tableau Server verwendet.
- clientAuthentication
Legt die benutzerdefinierte Client-Authentifizierungsmethode für OpenID Connect fest.
Um Tableau Server für die Verwendung des Salesforce IdP zu konfigurieren, legen Sie für diesen Wert
client_secret_post
fest.
- iFramedIDPEnabled
Legen Sie für diese Option
true
fest, damit IdP in einem iFrame angezeigt werden kann. Der IdP muss den Clickjack-Schutz deaktivieren, um die iFrame-Darstellung zuzulassen.