Anforderungen für die Verwendung von OpenID Connect

In diesem Thema werden die Anforderungen für die Verwendung von OpenID Connect mit Tableau Server beschrieben.

Hinweis: Die TSM-Befehle für die Authentifizierungskonfiguration gelten nur für OIDC-Authentifizierung, die während der Einrichtung von Tableau Server in TSM konfiguriert wurde. Um Änderungen an der OIDC-Authentifizierungskonfiguration für Identitätspools vorzunehmen, können Sie den Endpunkt Authentifizierungskonfiguration aktualisieren(Link wird in neuem Fenster geöffnet) mithilfe der Tableau REST OpenAPI verwenden.

Identitätsanbieter-Konto

Sie müssen über Zugriff auf einen Identitätsanbieter (IdP) verfügen, der das OpenID Connect-Protokoll unterstützt. Sie benötigen zudem ein Konto beim IdP. OpenID Connect wird von vielen Identitätsanbietern unterstützt. Bei dem OIDC-Protokoll handelt es sich um einen offenen und flexiblen Standard. Nicht alle Implementierungen des Standards sind identisch. Arbeiten Sie beim Konfigurieren von Tableau Server für OIDC mit Ihrem IdP zusammen.

Die Google IdP-Implementierung wurde ausgiebig mit Tableau Server getestet. Dabei handelt es sich um den Modell-IdP für die in diesen Themen dokumentierte Konfiguration.

Lokaler Identitätsspeicher

Um OpenID Connect in Tableau Server verwenden zu können, muss eine der folgenden Bedingungen erfüllt sein:

• Wenn OIDC in TSM während der Einrichtung von Tableau Server konfiguriert wird, muss Tableau Server für die Verwendung eines lokalen Identitätsspeichers konfiguriert sein. Der Server muss so konfiguriert werden, dass Sie explizit Benutzer auf Tableau Server erstellen können, anstatt sie aus einem externen Verzeichnis wie Active Directory zu importieren. Das Verwalten von Benutzern mit einem externen Identitätsspeicher wird von OpenID nicht unterstützt.
• Bei der Konfiguration von OIDC mit Identitätspools(Link wird in neuem Fenster geöffnet) kann OIDC mit 1.) einem lokalen Identitätsspeicher konfiguriert werden, oder 2.) AD oder LDAP ist der Identitätsspeicher, der während der Einrichtung von Tableau Server in TSM konfiguriert wird.

Identitätsprovider-Ansprüche: Zuordnen von Benutzern

Für die erfolgreiche Anmeldung bei Tableau Server muss der jeweilige Benutzer in OpenID angegeben und dann einem Benutzerkonto auf Tableau Server zugeordnet werden. OpenID verwendet eine Methode, die auf Ansprüchen basiert, um Benutzerkontoattribute für andere Anwendungen freizugeben. Ansprüche umfassen Benutzerkontoattribute. Dazu zählen beispielsweise die E-Mail-Adresse, Telefonnummer und der angegebene Name. Informationen zum Zuordnen von IdP-Ansprüchen zu Benutzerkonten durch Tableau Server finden Sie in der Authentifizierungsübersicht.

Tableau Server basiert auf den IdP-Ansprüchen zum Zuordnen von Benutzerkonten vom IdP zu den auf Tableau Server gehosteten. Tableau Server erwartet standardmäßig, dass der IdP den E-Mail-Anspruch weitergibt. In Abhängigkeit Ihres IdPs müssen Sie Tableau Server ggf. so konfigurieren, dass ein anderer IdP-Anspruch verwendet wird.

Wenn Sie Google als einen IdP verwenden, müssen Sie den standardmäßigen email-Anspruch verwenden, um IdP-Identitäten Tableau Server-Benutzerkonten zuzuordnen. Wenn Sie nicht Google als einen IdP verwenden, sollten Sie sich an Ihren IdP wenden, um den Anspruch zu bestimmen, für den Sie Tableau Server konfigurieren sollten.

Standard: Verwenden des "email"-Anspruchs zum Zuordnen von Benutzern

Standardmäßig muss der Benutzername des Benutzers in Tableau Server mit dem email-Anspruch im ID-Token des IdPs übereinstimmen. Daher müssen Sie E-Mail-Adressen (werden auch als UPN bezeichnet) in der Standardkonfiguration als den Benutzernamen in Tableau Server verwenden. Wenn Sie Google als den IdP verwenden, muss der Benutzername in Tableau Server der Gmail-Adresse (alice@gmail.com) des Benutzers entsprechen. Die Verwendung der vollständigen E-Mail-Adresse stellt sicher, dass der Benutzername in Tableau Server eindeutig ist, selbst wenn zwei Benutzer dieselbe E-Mail-Adresse verwenden, aber verschiedene E-Mail-Hosts haben.

Hinweis:Wenn Sie eine Benutzeridentität in Tableau Server erstellen, legen Sie einen Benutzernamen, ein Kennwort und wahlweise eine E-Mail-Adresse fest. Wenn Sie OpenID Connect in der Standardkonfiguration verwenden, ist der Benutzername (wird als eine E-Mail-Adresse ausgedrückt) der Wert, der mit dem Namen beim Identitätsanbieter übereinstimmen muss. Die optionale E-Mail-Adresse in der Tableau Server-Benutzeridentität wird nicht für die OpenID-Authentifizierung verwendet.

Ignorieren des Domänennamens

Sie können Tableau so konfigurieren, dass der Domänenteil einer E-Mail-Adresse beim Abgleichen des email-Anspruchs des IdPs mit einem Benutzerkonto auf Tableau Server ignoriert wird. In diesem Szenario lautet der email-Anspruch im IdP möglicherweise alice@example.com, dieser stimmt jedoch mit einem Benutzer namens alice in Tableau Server überein. Das Ignorieren des Domänennamens ist möglicherweise hilfreich, wenn Sie bereits Benutzer in Tableau Server definiert haben, die mit dem Benutzernamenteil des email-Anspruchs übereinstimmen, nicht aber mit den Domänenteilen.

Wichtig: Sie sollten den Benutzerdomänennamen nicht ignorieren, ohne Vorsichtsmaßnahmen zu ergreifen! Überprüfen Sie insbesondere, ob die Benutzernamen über die konfigurierten Domänen, die Sie in Ihrem Identitätsanbieter erstellt haben, hinweg eindeutig sind.

Wenn festgelegt wird, dass Tableau Server den Benutzerdomänennamen ignoriert, kann dies potenziell zu einer unerwünschten Benutzeranmeldung führen. Angenommen, Ihr Identitätsanbieter wurde für mehrere Domänen (example.com und tableau.com) konfiguriert. Wenn sich zwei Benutzer mit demselben Vornamen, aber unterschiedlichen Benutzerkonten (alice@tableau.com und alice@example.com) in Ihrer Organisation befinden, wird der erste, der die OpenID-Bereitstellungssequenz abschließt, die sub-Zuordnung im Identitätsanbieter beanspruchen. Wenn der falsche Benutzer zugeordnet ist, kann sich der andere nicht anmelden, bis der zugehörige sub-Wert zurückgesetzt wird.

Verwenden von benutzerdefinierten Ansprüchen zum Zuordnen von Benutzern

Wie in der Authentifizierungsübersicht erläutert, ist der sub-Anspruch oftmals in IdP-Ansprüchen enthalten. Der sub-Anspruch ist für gewöhnlich eine eindeutige Zeichenfolge, die ein bestimmtes Benutzerkonto identifiziert. Der Vorteil in der Verwendung eines sub-Anspruchs besteht darin, dass er sich nicht ändert, selbst wenn Sie oder ein anderer Administrator andere Benutzerattribute oder IdP-Ansprüche (E-Mail-Adresse, Telefonnummer usw.) aktualisieren, die mit diesem Konto verknüpft sind. Standardmäßig identifiziert und überprüft Tableau Server OpenID-Benutzer entsprechend dem sub -Anspruch im IdP-ID-Token.

Der OpenID-sub -Anspruchswert muss dem entsprechenden Benutzer in Tableau Server zugeordnet werden. Da es sich beim sub -Anspruch um eine beliebige Zeichenfolge handelt, wird während der ersten Anmeldesitzung ein anderer Anspruch zum Verknüpfen von Konten verwendet. Wenn sich ein Benutzer erstmals mit OpenID bei Tableau Server anmeldet, gleicht Tableau das OpenID-Benutzerkonto mit einem entsprechenden Benutzerkonto in Tableau ab. Tableau verwendet standardmäßig den IdP-Anspruch email zum Identifizieren des Tableau-Benutzers. Tableau aktualisiert dann den Datensatz des entsprechenden Benutzers mit dem sub-Anspruch aus Open-ID. Da im sub-Anspruch bei nachfolgenden Sitzungen immer das ID-Token zusammen mit anderen Ansprüchen enthalten ist, ermittelt Tableau den entsprechenden Benutzer nur anhand des sub-Anspruchs.

Für einige Organisationen ist das Zuordnen von Benutzernamen mit E-Mail-Adressen nicht zuverlässig oder wird durch den IdP nicht unterstützt. Ab Tableau Server 10.2 können Sie Benutzerkonten von jedem beliebigen IdP-Anspruch zu einem Tableau Server-Benutzernamen zuordnen.

Der von Ihnen verwendete IdP-Anspruch muss dem entsprechenden Tableau Server-Benutzernamen genau entsprechen. Im folgenden Beispiel lautet der Benutzername kwilliams.

Um den IdP-Anspruch zu ändern, der zur Zuordnung von Identität auf Tableau Server verwendet wird, geben Sie den Befehl tsm authentication openid map-claims --user-name ein. Weitere Informationen finden Sie unter tsm authentication openid <commands>.

Ändern des sub-Anspruchs

Wie oben beschrieben, handelt es sich beim sub-Anspruch um den von Tableau Server zum Identifizieren von Benutzern nach der initialen Zuordnungssitzung verwendeten Bezeichner. Der sub-Anspruch wird in das entsprechende Benutzerkonto in Tableau Server geschrieben. Wenn Ihr IdP keinen sub-Anspruch bereitstellt, können Sie stattdessen einen beliebigen zu verwendenden Anspruch angeben. Analog zu sub muss der von Ihnen angegebene Anspruchswert eindeutig sein und sollte nicht geändert werden, wenn andere Benutzeransprüche aktualisiert werden.

Um einen anderen IdP-Anspruch für den Standard-Unteranspruch anzugeben, verwenden Sie den Befehl tsm authentication openid map-claims --id. Weitere Informationen finden Sie unter tsm authentication openid <commands>.

Hierbei ist arbitraryClaim der Name des IdP-Anspruchs, den Sie als Ersatz für den sub-Anspruch verwenden möchten.

Authentifizierungskontext

Wenn Ihr OpenID Connect IdP einen bestimmten Authentifizierungskontext erfordert, können Sie eine Liste der wesentlichen und freiwilligen ACR-Werte mit den Konfigurationswerten vizportal.openid.essential_acr_values und vizportal.openid.voluntary_acr_values angeben. Weitere Informationen finden Sie unter tsm configuration set-Optionen.