Parameter für die OpenID Connect-Authentifizierunganforderung
In der von Tableau Server gesendeten OpenID-Authentifizierungsanforderung werden Informationen mit einem begrenzten Satz an Parametern übergeben, die in diesem Thema aufgeführt werden. Wenn Ihr OpenID-IdP Parameter erfordert, die nicht in der folgenden Liste enthalten sind, ist er nicht mit Tableau Server kompatibel.
scope
. Dieser Wert gibt ein Profil an, das dem IdP die zurückzugebenden Benutzerinformationsanforderungen mitteilt. Dieser Wert kann durch einen Tableau Server-Administrator konfiguriert werden. Der Standardwert lautet "openid email profile". Weitere Informationen finden Sie weiter unten in diesem Dokument unter Konfigurieren des Scope-Werts.response_type
. OpenID Connect unterstützt zahlreiche Abläufe. Dieser Wert teilt dem IdP mit, welcher Ablauf von Tableau Server erwartet wird. Tableau unterstützt nur den Autorisierungscode-Ablauf und der Wert ist immer festgelegt auf "code".client_id
. Dieser Wert gibt die ID des Servers an (Anbieter-Client-ID im Dialogfeld "Tableau Server-Konfiguration"), an der der IdP erkennt, woher die Anforderung stammt. Sie wird durch den IdP bereitgestellt, wenn der Dienst registriert wird. Der Wert kann durch einen Tableau Server-Administrator konfiguriert werden.redirect_uri
. Dieser Wert gibt die URL an, die der IdP an den Benutzer weiterleitet, nachdem er mit OpenID Connect authentifiziert wurde. Die URL muss den Host und das Protokoll enthalten (beispielsweisehttp://example.tableau.com
), wobei Tableau jedoch den Endpunkt der URL bereitstellt.nonce
. Tableau Server generiert eine vorläufige Zeichenfolge, um zu überprüfen, ob der Client, zu dem die Weiterleitung erfolgt ist, der Einheit entspricht, die vom IdP zurückgegeben wird.
Konfigurieren des scope-Werts
Am scope
-Wert erkennt der IdP, welche Informationen Tableau Server über den Benutzer anfordert. Standardmäßig sendet Tableau Server den Wert "openid profile email". Dies gibt an, dass Tableau OpenID zur Authentifizierung verwendet (dieser Teil des scope
-Attributwerts muss immer enthalten sein) und dass Tableau Server das Benutzerprofil sowie die E-Mail-Informationen beim Austausch des Benutzerautorisierungscodes anfordert.
Wenn dieser standardmäßige Geltungsbereich in Ihrem Fall nicht angemessen ist, können Sie Tableau Server veranlassen, andere von Ihnen definierte Informationen zum Benutzer anzufordern. Dazu konfigurieren Sie den IdP mit einem benutzerdefinierten Profil (beispielsweise "tableau-scope"). Sie können Tableau Server so konfigurieren, dass die Scope-Anforderung unter Verwendung des benutzerdefinierten Profilnamens gesendet wird.
Um den scope-Wert zu ändern, den Tableau Server anfordert, verwenden Sie den folgenden TSM CLI-Befehl:
tsm authentication openid configure --custom-scope-name custom-scope-name
Hinweise:
- Tableau Server schließt immer "openid" als Teil des "scope"-Werts ein (auch wenn Sie dies in der Einstellung
custom_scope
nicht mit angeben). - Die TSM-Befehle für die Authentifizierungskonfiguration gelten nur für OIDC-Authentifizierung, die während der Einrichtung von Tableau Server in TSM konfiguriert wurde. Um Änderungen an der OIDC-Authentifizierungskonfiguration für Identitätspools vorzunehmen, können Sie den Endpunkt Authentifizierungskonfiguration aktualisieren(Link wird in neuem Fenster geöffnet) mithilfe der Tableau REST OpenAPI verwenden.