Konfigurieren von Tableau Server für OpenID Connect
In diesem Thema wird beschrieben, wie Tableau Server für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Server.
OpenID Connect – Übersicht
Konfigurieren von Tableau Server für OpenID Connect (an dieser Stelle befinden Sie sich gerade)
Hinweise:
- Bevor Sie die hier beschriebenen Schritte ausführen, müssen Sie den OpenID-Identitätsanbieter (Identity Provider, IdP) wie in Konfigurieren des Identitätsanbieters für OpenID Connect beschrieben konfigurieren.
- Die in diesem Thema beschriebenen Verfahren gelten für OIDC-Authentifizierung, die während der Einrichtung von Tableau Server in TSM konfiguriert wird, und nicht für mit Identitätspools konfigurierte OIDC-Authentifizierung. Weitere Informationen zu Identitätspools finden Sie unter Bereitstellen und Authentifizieren von Benutzern mithilfe von Identitätspools.
Öffnen Sie TSM in einem Browser:
https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
Klicken Sie auf der Registerkarte Konfiguration auf Benutzeridentität und Zugriff und dann auf Authentifizierungsmethode.
Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode OpenID Connect aus.
Wählen Sie unter "OpenID Connect" OpenID-Authentifizierung für den Server aktivieren aus.
Geben Sie die OpenID-Konfigurationsinformation für Ihre Organisation ein:
Hinweis: Wenn Ihr Provider mit einer Konfigurationsdatei auf Ihrem lokalen Computer arbeitet (statt mit einer Datei, die über eine öffentliche URL bereitgestellt wird), können Sie die Datei mit dem Befehl tsm authentication openid <commands> angeben. Eine lokale IdP-Konfigurationsdatei geben Sie mit dem Befehl
--metadata-file <file_path>
an.Klicken Sie nach der Eingabe Ihrer Konfigurationsdaten auf Ausstehende Änderungen speichern.
Klicken Sie oben auf der Seite auf Ausstehende Änderungen:
Klicken Sie auf Änderungen anwenden und neu starten.
Das Verfahren in diesem Abschnitt beschreibt, wie Sie die Befehlszeilenschnittstelle von TSM zum Konfigurieren von OpenID Connect verwenden. Sie können auch eine Konfigurationsdatei für die Erstkonfiguration von OpenID Connect verwenden. Siehe openIDSettings-Entität.
Legen Sie mithilfe des Befehls
configure
von tsm authentication openid <commands> die folgenden erforderlichen Optionen fest:--client-id <id>
: Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat. Beispiel:“laakjwdlnaoiloadjkwha"
.--client-secret <secret>
: Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden. Beispiel:“xxxhfkjaw72123="
.--config-url <url>
oder--metadata-file <file_path>
: Gibt den Speicherort der "json"-Anbieterkonfigurationsdatei an. Verwenden Sie--config-url
, wenn der Anbieter eine öffentliche "json"-Discovery-Datei hostet. Geben Sie ansonsten stattdessen einen Pfad zum lokalen Computer und einen Dateinamen für--metadata-file
an.--return-url <url>
:Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B."http://example.tableau.com"
.Führen Sie beispielsweise den folgenden Befehl aus:
tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkxxx" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"
Es gibt weitere optionale Konfigurationsoptionen, die Sie für Open ID Connect mithilfe der openIDSettings-Entität oder von tsm authentication openid <commands> festlegen können. Wenn Sie darüber hinaus die Zuordnung von IdP-Claims konfigurieren müssen, lesen Sie die Informationen unter Optionen für "openid map-claims".
Geben Sie den folgenden Befehl ein, um Open ID Connect zu aktivieren:
tsm authentication openid enable
Führen Sie
tsm pending-changes apply
aus, um die Änderungen zu übernehmen.Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl
pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option--ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.