Konfigurieren von Tableau Server für OpenID Connect
In diesem Thema wird beschrieben, wie Tableau Server für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Server.
OpenID Connect – Übersicht
Konfigurieren von Tableau Server für OpenID Connect (an dieser Stelle befinden Sie sich gerade)
Hinweise:
- Bevor Sie die hier beschriebenen Schritte ausführen, müssen Sie den OpenID-Identitätsanbieter (Identity Provider, IdP) wie in Konfigurieren des Identitätsanbieters für OpenID Connect beschrieben konfigurieren.
- Die in diesem Artikel beschriebenen Verfahren gelten möglicherweise auch für OIDC-Authentifizierung, die mit Identitätspools konfiguriert ist. Befolgen Sie jedoch zuerst Bereitstellen und Authentifizieren von Benutzern mithilfe von Identitätspools und kehren Sie bei Bedarf zu diesem Artikel zurück.
- OIDC-SSO (Single Sign-On) wird von der REST API und von tabcmd nicht unterstützt. Zum Verwenden von tabcmd oder der REST API(Link wird in neuem Fenster geöffnet) müssen sich Benutzer mithilfe eines TableauID-Kontos bei Tableau Server anmelden.
Öffnen Sie TSM in einem Browser:
https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Wählen Sie auf der Registerkarte KONFIGURATION Benutzeridentität und Zugriff > Authentifizierungsmethode aus.
Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode OpenID Connect aus.
Wählen Sie unter "OpenID Connect" OpenID-Authentifizierung für den Server aktivieren aus.
Geben Sie die OpenID-Konfigurationsinformation für Ihre Organisation ein:

Hinweise:
Für Schritt 3: Wenn Ihr Provider mit einer Konfigurationsdatei auf Ihrem lokalen Computer arbeitet (statt mit einer Datei, die über eine öffentliche URL bereitgestellt wird), können Sie die Datei mit dem Befehl tsm authentication openid <commands> spezifizieren. Eine lokale IdP-Konfigurationsdatei geben Sie mit dem Befehl
--metadata-file <file_path>an.Für Schritt 4: Ab Tableau Server 2025.3 können Sie SLO (Single Logout) aktivieren und eine URL angeben, zu der Benutzer nach der Abmeldung weitergeleitet werden sollen.
Für Schritt 5: Ab Tableau Server 2026.2 können Sie Benutzerattribute und deren Funktionen als Teil des OIDC-Authentifizierungsworkflows aktivieren. Weitere Informationen finden Sie unter Benutzerattribute in OIDC-Claims.
Klicken Sie nach der Eingabe Ihrer Konfigurationsdaten auf Ausstehende Änderungen speichern.
Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

Klicken Sie auf Änderungen anwenden und neu starten.
Das Verfahren in diesem Abschnitt beschreibt, wie Sie die Befehlszeilenschnittstelle von TSM zum Konfigurieren von OpenID Connect verwenden. Sie können auch eine Konfigurationsdatei für die Erstkonfiguration von OpenID Connect verwenden. Siehe openIDSettings-Entität.
Legen Sie mithilfe des Befehls
configurevon tsm authentication openid <commands> die folgenden erforderlichen Optionen fest:--client-id <id>: Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat. Beispiel:“xxxkjwdlnaoiloadjkwha".
--client-secret <secret>: Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden. Beispiel:“xxxhfkjaw72123=".
--config-url <url>oder--metadata-file <file_path>: Gibt den Speicherort der "json"-Anbieterkonfigurationsdatei an. Verwenden Sie--config-url, wenn der Anbieter eine öffentliche "JSON"-Discovery-Datei hostet. Geben Sie ansonsten stattdessen einen Pfad zum lokalen Computer und einen Dateinamen für--metadata-filean.
--return-url <url>:Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B."http://example.tableau.com".
Führen Sie beispielsweise den folgenden Befehl aus:
tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"Hinweis:
Es gibt weitere optionale Konfigurationsmöglichkeiten, die Sie für Open ID Connect mithilfe der openIDSettings-Entität festlegen können. Alternativ können Sie tsm authentication openid <commands> verwenden. Wenn Sie darüber hinaus die Zuordnung von IdP-Claims konfigurieren müssen, lesen Sie die Informationen unter Optionen für "openid map-claims".
Ab Tableau Server 2025.3 können Sie tsm authentication openid <commands> verwenden, um optional Single Logout (SLO) zu aktivieren.
Geben Sie den folgenden Befehl ein, um Open ID Connect zu aktivieren:
tsm authentication openid enableFühren Sie
tsm pending-changes applyaus, um die Änderungen zu übernehmen.Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl
pending-changes applyeine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option--ignore-promptunterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Anpassen und Steuern des Datenzugriffs mithilfe von Benutzerattributen
Bei Benutzerattributen handelt es sich um von Ihrer Organisation definierte Benutzermetadaten. Benutzerattribute können verwendet werden, um den Zugriff in einem typischen attributbasierten Zugriffssteuerungsmodell (Attribute-Based Access Control, ABAC) zu bestimmen. Benutzerattribute können jegliche Aspekte des Benutzerprofils umfassen, einschließlich Aufgabenbereiche, Abteilungszugehörigkeit, Managementebene usw. Sie können aber auch auf Kontextinformationen zur aktuellen Sitzung basieren, wie z. B. von wo aus sich der Benutzer angemeldet oder welche Sprache er eingestellt hat.
Indem Sie Benutzerattribute in Ihren Workflow einbeziehen, können Sie mithilfe des Datenzugriffs und der Personalisierung die Benutzererfahrung steuern und anpassen.
- Datenzugriff: Benutzerattribute können verwendet werden, um Datensicherheitsrichtlinien durchzusetzen. Dadurch wird sichergestellt, dass Benutzer nur die Daten sehen können, zu deren Anzeige sie berechtigt sind.
- Personalisierung: Durch die Übergabe von Benutzerattributen (wie Standort und Rolle) können Ihre Inhalte so angepasst werden, dass nur die Informationen angezeigt werden, die für den jeweiligen Benutzer, der auf den Inhalt zugreift, relevant sind – so kann jeder Benutzer die Informationen leichter finden, die er benötigt.
Zusammenfassung der Schritte zum Übergeben von Benutzerattributen
Der Prozess zur Aktivierung von Benutzerattributen in einem Workflow sieht zusammengefasst so aus:
- Aktivieren Sie die Benutzerattributeinstellung.
- Einbeziehen von Benutzerattributen in die Assertion
- Stellen Sie sicher, dass der Inhaltsautor Benutzerattributfunktionen und entsprechende Filter verwendet
- Überprüfen Sie den Inhalt
Schritt 1: Aktivieren Sie die Benutzerattributeinstellung
Aus Sicherheitsgründen werden Benutzerattribute in einem Authentifizierungsworkflow nur validiert, wenn die Benutzerattributeinstellung von einem
Öffnen Sie TSM in einem Browser:
https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Wählen Sie auf der Registerkarte KONFIGURATION Benutzeridentität und Zugriff (User Identity & Access) > Authentifizierungsmethode.
Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode (Authentication Method) die Option SAML aus.
Aktivieren Sie in Schritt 8 das Kontrollkästchen Erfassung von Benutzerattributen während der SAML-Authentifizierung aktivieren (Enable capture of user attributes during SAML authentication).
Wenn Sie fertig sind, gehen Sie wie folgt vor:
Klicken Sie auf Ausstehende Änderungen speichern (Save Pending Changes).
Klicken Sie oben auf der Seite auf die Schaltfläche Ausstehende Änderungen (Pending Changes).
Klicken Sie auf Änderungen anwenden und neu starten (Apply Changes and Restart).
Schritt 2: Einbeziehen von Benutzerattributen in die Assertion
Stellen Sie sicher, dass die Assertion die Benutzerattribute enthält.
Hinweis: Attribute in der SAML-Antwort unterliegen der Längenbeschränkung von maximal 4.096 Zeichen, mit Ausnahme von scope- oder scp-Attributen. Wenn die Attribute in der Antwort – einschließlich der Benutzerattribute – dieses Limit überschreiten, entfernt Tableau die Attribute und übergibt stattdessen das Attribut ExtraAttributesRemoved. Der Inhaltsautor kann dann eine Berechnung mit dem Attribut ExtraAttributesRemoved erstellen, um zu bestimmen, wie der Inhalt den Benutzern angezeigt werden soll, wenn das Attribut erkannt wurde.
Beispiel
Angenommen, Ihr Mitarbeiter Fred Suzuki ist Manager der Region Süd. Sie möchten sicherstellen, dass Fred bei der Überprüfung von Berichten nur Daten für die Region Süd sehen kann. In solch einem Szenario können Sie das Benutzerattribut „Region“ in die SAML-Antwort einfügen, wie im folgenden Beispiel gezeigt.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Schritt 3: Sicherstellen, dass der Inhaltsautor Attributfunktionen mit einfügt
Stellen Sie sicher, dass der Inhaltsautor die Benutzerattributfunktionen und zugehörige Filter mit einfügt, um zu steuern, welche Daten in seinen Inhalten angezeigt werden können. Um sicherzustellen, dass die Benutzerattribut-Assertionen an Tableau übergeben werden, muss der Inhalt eine der folgenden Benutzerattributfunktionen enthalten:
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
Welche Funktion der Inhaltsautor verwendet, hängt davon ab, ob die Benutzerattribute einen einzelnen Wert oder mehrere Werte zurückgeben sollen. Weitere Informationen zu diesen Funktionen und Beispiele dazu finden Sie unter Benutzerfunktionen(Link wird in neuem Fenster geöffnet) in der Tableau-Hilfe.
Hinweise:
- Eine Vorschau von Inhalten mit diesen Funktionen ist nicht verfügbar, wenn sie in Tableau Desktop oder Tableau Cloud verfasst werden. Die Funktion gibt in diesem Fall NULL oder FALSE zurück. Um sicherzustellen, dass die Benutzerfunktionen wie erwartet funktionieren, empfehlen wir dem Autor, die Funktionen nach Bereitstellung der Inhalte zu überprüfen.
- Um sicherzustellen, dass Inhalte wie erwartet dargestellt werden, kann der Inhaltsautor eine Berechnung einfügen, die das Attribut
ExtraAttributesRemovedverwendet, um 1) zu prüfen, ob dieses Attribut überhaupt vorhanden ist, und 2) zu bestimmen, was in diesem Fall mit dem Inhalt geschehen soll, z. B. eine Meldung anzeigen. Tableau wird das AttributExtraAttributesRemovednur dann hinzufügen und alle anderen Attribute (außerscpoderscope) entfernen, wenn die Attribute in der SAML-XML länger als 4.096 Zeichen sind. Dies dient dazu, eine optimale Leistung zu gewährleisten und Speicherbeschränkungen einzuhalten.
Beispiel
In Fortsetzung des oben in Schritt 2: Einbeziehen von Benutzerattributen in die Assertion aufgeführten Beispiels kann der Autor USERATTRIBUTEINCLUDESeinfügen, um die Benutzerattribut-Assertion „Region“ an eine Arbeitsmappe zu übergeben. Beispiel: USERATTRIBUTEINCLUDES('Region', [Region]), wobei „Region“ das Benutzerattribut und [Region] eine Spalte in den Daten ist. Mithilfe der neuen Berechnung kann der Autor eine Tabelle mit Manager- und Vertriebsdaten erstellen. Wenn die Berechnung hinzugefügt wird, gibt die Arbeitsmappe wie erwartet „False“-Werte zurück.

Um nur die Daten anzuzeigen, die in der eingebetteten Arbeitsmappe der Region Süd zugeordnet sind, kann der Autor einen Filter erstellen und ihn so anpassen, dass Werte angezeigt werden, wenn für die Region Süd „True“ festgelegt ist. Wenn der Filter angewendet wird, bleibt die Arbeitsmappe wie erwartet leer, da die Funktion „False“-Werte zurückgibt und der Filter so eingestellt ist, dass nur „True“-Werte angezeigt werden.

Schritt 4: Überprüfen Sie den Inhalt
Überprüfen und validieren Sie den Inhalt.
Beispiel
Abschluss des obigen Beispiels von Schritt 3: Sicherstellen, dass der Inhaltsautor Attributfunktionen mit einfügt Sie sehen, dass die Umsatzdaten in der Ansicht an Fred Suzuki angepasst wurden, da sein Benutzerkontext die Region Süd ist.

Die Manager für die in der Arbeitsmappe dargestellten Regionen sollten den jeweiligen Wert sehen, der ihrer Region zugeordnet ist. Beispielsweise sieht Sawdie Pawthorne aus der Region West Daten speziell für ihre Region.

Manager, deren Regionen in der Arbeitsmappe nicht repräsentiert sind, sehen eine leere Arbeitsmappe.
Bekannte Probleme und Einschränkungen
Es gibt einige bekannte Probleme und Einschränkungen, die Sie bei der Arbeit mit Benutzerattributfunktionen berücksichtigen sollten.
