Anforderungen für die Verwendung von OpenID Connect
In diesem Thema werden die Anforderungen für die Verwendung von OpenID Connect mit Tableau Server beschrieben.
Hinweis: Die TSM-Befehle für die Authentifizierungskonfiguration gelten nur für OIDC-Authentifizierung, die während der Einrichtung von Tableau Server in TSM konfiguriert wurde. Um Änderungen an der OIDC-Authentifizierungskonfiguration für Identitätspools vorzunehmen, können Sie den Endpunkt Authentifizierungskonfiguration aktualisieren(Link wird in neuem Fenster geöffnet) mithilfe der Tableau REST OpenAPI verwenden.
Zusammenfassung der Anforderungen
Identitätsanbieter-Konto
Lokaler Identitätsspeicher
Identitätsprovider-Ansprüche: Zuordnen von Benutzern
Authentifizierungskontext
Identitätsanbieter-Konto
Sie müssen über Zugriff auf einen Identitätsanbieter (IdP) verfügen, der das OpenID Connect-Protokoll unterstützt. Sie benötigen zudem ein Konto beim IdP. OpenID Connect wird von vielen Identitätsanbietern unterstützt. Bei dem OIDC-Protokoll handelt es sich um einen offenen und flexiblen Standard. Nicht alle Implementierungen des Standards sind identisch. Arbeiten Sie beim Konfigurieren von Tableau Server für OIDC mit Ihrem IdP zusammen.
Die Google IdP-Implementierung wurde ausgiebig mit Tableau Server getestet. Dabei handelt es sich um den Modell-IdP für die in diesen Themen dokumentierte Konfiguration.
Lokaler Identitätsspeicher
Um OpenID Connect in Tableau Server verwenden zu können, muss eine der folgenden Bedingungen erfüllt sein:
- Wenn OIDC in TSM während der Einrichtung von Tableau Server konfiguriert wird, muss Tableau Server für die Verwendung eines lokalen Identitätsspeichers konfiguriert sein. Der Server muss so konfiguriert werden, dass Sie explizit Benutzer auf Tableau Server erstellen können, anstatt sie aus einem externen Verzeichnis wie Active Directory zu importieren. Das Verwalten von Benutzern mit einem externen Identitätsspeicher wird von OpenID nicht unterstützt.
- Bei der Konfiguration von OIDC mit Identitätspools(Link wird in neuem Fenster geöffnet) kann OIDC mit 1.) einem lokalen Identitätsspeicher konfiguriert werden, oder 2.) AD oder LDAP ist der Identitätsspeicher, der während der Einrichtung von Tableau Server in TSM konfiguriert wird.
Identitätsprovider-Ansprüche: Zuordnen von Benutzern
Für die erfolgreiche Anmeldung bei Tableau Server muss der jeweilige Benutzer in OpenID bereitgestellt und dann einem Benutzerkonto in Tableau Server zugeordnet werden. OpenID verwendet eine Methode, die auf Ansprüchen basiert, um Benutzerkontoattribute für andere Anwendungen freizugeben. Ansprüche umfassen Benutzerkontoattribute. Zu Ansprüchen gehören Benutzerkontoattribute wie E-Mail-Adresse, Telefonnummer und der angegebene Name. Wie das Zuordnen von IdP-Ansprüchen zu Benutzerkonten in Tableau Server erfolgt, erfahren Sie im Abschnitt OpenID Connect.
Tableau Server nutzt die IdP-Ansprüche, um Benutzerkonten vom IdP denen zuzuordnen, die in Tableau Server gehostet sind. In der Standardeinstellung geht Tableau Server davon aus, dass der IdP den Anspruch
Wenn Sie email
, um IdP-Identitäten zu Tableau Server-Benutzerkonten zuzuordnen. Wenn Sie einen anderen IdP als
Standard: Verwenden des "email"-Anspruchs zum Zuordnen von Benutzern
Standardmäßig muss der Benutzername des Benutzers in Tableau Server mit dem email
-Anspruch in dem ID-Token des IdPs übereinstimmen. Daher müssen Sie in der Standardkonfiguration E-Mail-Adressen (die auch als UPN bezeichnet werden) als den Benutzernamen in Tableau Server verwenden. Wenn Sie alice@gmail.com
)
Hinweis: Beim Erstellen einer Benutzeridentität in Tableau Server geben Sie einen Benutzernamen, ein Kennwort und optional eine E-Mail-Adresse an. Wenn Sie OpenID Connect in der Standardkonfiguration verwenden, ist der Benutzername (wird als eine E-Mail-Adresse ausgedrückt) der Wert, der mit dem Namen beim Identitätsanbieter übereinstimmen muss. Die optionale E-Mail-Adresse in der Tableau Server-Benutzeridentität wird nicht für die OpenID-Authentifizierung verwendet.
Ignorieren des Domänennamens
Sie können Tableau so konfigurieren, dass der Domänenteil einer E-Mail-Adresse beim Abgleichen des email
-Anspruchs des IdPs mit einem Benutzerkonto in Tableau Server ignoriert wird. In diesem Szenario könnte der email
-Anspruch im IdP alice@example.com
lauten, was jedoch mit einem Benutzer namens alice
in Tableau Server übereinstimmen würde. Das Ignorieren des Domänennamens kann hilfreich sein, wenn Sie in Tableau Server bereits Benutzer definiert haben, die mit dem Benutzernamenteil des email
-Anspruchs übereinstimmen, nicht jedoch mit den Domänenteilen.
Wichtig: Sie sollten den Benutzerdomänennamen nicht ignorieren, ohne Vorsichtsmaßnahmen zu ergreifen! Überprüfen Sie insbesondere, ob die Benutzernamen über die konfigurierten Domänen hinweg, die Sie in Ihrem Identitätsanbieter erstellt haben, eindeutig sind.
Wenn festgelegt wird, dass Tableau Server den Benutzerdomänennamen ignoriert, kann dies potenziell zu einer unerwünschten Benutzeranmeldung führen. Angenommen, Ihr Identitätsanbieter wurde für mehrere Domänen (example.com
und tableau.com
) konfiguriert. Wenn sich zwei Benutzer mit demselben Vornamen, aber unterschiedlichen Benutzerkonten (alice@tableau.com
und alice@example.com
) in Ihrer Organisation befinden, wird der erste, der die OpenID-Bereitstellungssequenz abschließt, die sub
-Zuordnung im Identitätsanbieter beanspruchen. Wenn der falsche Benutzer zugeordnet ist, kann sich der andere nicht anmelden, bis der zugehörige sub
-Wert zurückgesetzt wird.
Um Tableau Server so zu konfigurieren, dass Domänennamen in Benutzernamen des IdP ignoriert werden, legen Sie für tsm authentication openid configure --ignore-domain
die Option true
fest. Weitere Informationen finden Sie unter tsm authentication openid <commands>.
Wenn Sie die Option "tsm authentication openid configure --ignore-domain
" ändern, sodass die Domäne in Benutzernamen ignoriert wird, müssen alle Benutzernamen in Tableau Server über einen Domänennamen verfügen.
Verwenden von benutzerdefinierten Ansprüchen zum Zuordnen von Benutzern
Wie in der OpenID Connect erläutert, ist der sub
-Anspruch oftmals in IdP-Ansprüchen enthalten. Der sub
-Anspruch ist für gewöhnlich eine eindeutige Zeichenfolge, die ein bestimmtes Benutzerkonto identifiziert. Der Vorteil in der Verwendung eines sub
-Anspruchs besteht darin, dass er sich nicht ändert, selbst wenn Sie oder ein anderer Administrator andere Benutzerattribute oder IdP-Ansprüche (E-Mail-Adresse, Telefonnummer usw.) aktualisieren, die mit diesem Konto verknüpft sind. In der Standardeinstellung identifiziert und überprüft Tableau Server OpenID-Benutzer anhand des sub
-Anspruchs im IdP-ID-Token.
Der Wert aus dem OpenID-sub
-Anspruch muss dem zugehörigen Benutzer in Tableau Server zugeordnet werden. Da es sich beim sub
-Anspruch um eine beliebige Zeichenfolge handelt, wird während der ersten Anmeldesitzung ein anderer Anspruch zum Verknüpfen von Konten verwendet. Wenn sich ein Benutzer erstmals mit OpenID bei Tableau Server anmeldet, gleicht Tableau das OpenID-Benutzerkonto mit einem zugehörigen Benutzerkonto in Tableau Server ab. Tableau verwendet standardmäßig den IdP-Anspruch email
zum Identifizieren des Tableau-Benutzers. Tableau aktualisiert dann den Datensatz des entsprechenden Benutzers mit dem sub
-Anspruch aus Open-ID. Da im sub
-Anspruch bei nachfolgenden Sitzungen immer das ID-Token zusammen mit anderen Ansprüchen enthalten ist, ermittelt Tableau den entsprechenden Benutzer nur anhand des sub
-Anspruchs.
Für einige Organisationen ist das Zuordnen von Benutzernamen mit E-Mail-Adressen nicht zuverlässig oder wird durch den IdP nicht unterstützt. Ab Tableau Server 10.2 können Sie Benutzerkonten von jedem beliebigen IdP-Anspruch zu einem Tableau Server-Benutzernamen zuordnen.
Der von Ihnen verwendete IdP-Anspruch muss exakt zu dem zugehörigen Tableau Server-Benutzernamen passen. Im folgenden Beispiel lautet der Benutzername kwilliams
.
Um den IdP-Anspruch zu ändern, der zum Zuordnen der Identität in Tableau Server verwendet wird, geben Sie den Befehl tsm authentication openid map-claims --user-name
ein. Weitere Informationen finden Sie unter tsm authentication openid <commands>.
Ändern des sub
-Anspruchs
Wie oben beschrieben, ist der sub
-Anspruch der Bezeichner, der von Tableau Server verwendet wird, um Benutzer nach der erstmaligen Zuordnungssitzung zu identifizieren. Der sub
-Anspruch wird in das zugehörige Benutzerkonto in Tableau Server geschrieben. Wenn Ihr IdP keinen sub
-Anspruch bereitstellt, können Sie stattdessen einen beliebigen zu verwendenden Anspruch angeben. Analog zu sub
muss der von Ihnen angegebene Anspruchswert eindeutig sein und sollte nicht geändert werden, wenn andere Benutzeransprüche aktualisiert werden.
Um einen anderen IdP-Anspruch für den Standard-Unteranspruch anzugeben, verwenden Sie den Befehl tsm authentication openid map-claims --id
. Weitere Informationen finden Sie unter tsm authentication openid <commands>.
Hierbei ist arbitraryClaim
der Name des IdP-Anspruchs, den Sie als Ersatz für den sub
-Anspruch verwenden möchten.
Authentifizierungskontext
Wenn Ihr OpenID Connect IdP einen bestimmten Authentifizierungskontext erfordert, können Sie eine Liste der wesentlichen und freiwilligen ACR-Werte mit den Konfigurationswerten vizportal.openid.essential_acr_values
und vizportal.openid.voluntary_acr_values
angeben. Weitere Informationen finden Sie unter tsm configuration set-Optionen.