Configurer Tableau Server pour OpenID Connect
Cette rubrique explique comment configurer Tableau Server de manière à ce qu’il utilise OpenID Connect (OIDC) pour l’authentification unique (SSO). Il s’agit d’une étape dans un processus à plusieurs étapes. Les rubriques suivantes expliquent comment configurer et utiliser OIDC avec Tableau Server.
Aperçu OpenID Connect
Configuration Tableau Server pour OpenID Connect (vous êtes ici)
Remarques :
- avant d’effectuer la procédure décrite ici, vous devez configurer le fournisseur d’identité (IdP) OpenID comme décrit dans Configurer le fournisseur d’identité pour OpenID Connect.
- Les procédures décrites dans cette rubrique s’appliquent à l’authentification OIDC configurée dans TSM lors de la configuration de Tableau Server et non à l’authentification OIDC configurée avec des pools d’identités. Pour en savoir plus sur les pools d’identités, consultez la section Provisionner et authentifier les utilisateurs à l’aide de pools d’identités.
Ouvrez TSM dans un navigateur :
https://<tsm-computer-name>:8850. Pour plus d’informations, consultez Se connecter à l’interface utilisateur Web Tableau Services Manager.
Cliquez sur Identité de l’utilisateur et accès dans l’onglet Configuration puis cliquez sur Méthode d’authentification.
Dans Méthode d’authentification, sélectionnez OpenID Connect dans le menu déroulant.
Sous OpenID Connect, sélectionnez Activer l’authentification OpenID pour le serveur.
Entrez les données de configuration OpenID de votre entreprise :
Remarque : si votre fournisseur se fonde sur un fichier de configuration hébergé sur un ordinateur local (plutôt que sur un fichier hébergé sur une URL publique), vous pouvez spécifier le fichier avec tsm authentication openid <commandes>. Utilisez l’option
--metadata-file <file_path>
pour spécifier un fichier de configuration d’IdP local.Cliquez sur Enregistrer les modifications en attente après avoir entré vos données de configuration.
Cliquez sur Modifications en attente en haut de la page :
Cliquez sur Appliquer les modifications et redémarrer.
La procédure de cette section décrit comment utiliser l’interface en ligne de commande TSM pour configurer OpenID Connect. Vous pouvez également utiliser un fichier de configuration pour la configuration initiale d’OpenID Connect. Consultez Entité openIDSettings.
Utilisez la commande
configure
de tsm authentication openid <commandes> pour définir les options requises suivantes :--client-id <id>
: Spécifie l’ID du client du fournisseur que votre IdP a attribué à votre application, Par exemple,“laakjwdlnaoiloadjkwha"
.--client-secret <secret>
: Spécifie le secret du client du fournisseur. Il s’agit d’un jeton utilisé par Tableau pour vérifier l’authenticité de la réponse du fournisseur d’identités. Cette valeur est un secret et doit être protégée. Par exemple,“xxxhfkjaw72123="
.--config-url <url>
ou--metadata-file <file_path>
: Spécifie l’emplacement du fichier de configuration json du fournisseur. Si le fournisseur héberge un fichier de découverte json public, utilisez--config-url
. Sinon, spécifiez un chemin sur l’ordinateur local et un nom de fichier pour--metadata-file
.--return-url <url>
: l’URL de votre serveur. Il s’agit généralement du nom public de votre serveur, par exemple"http://example.tableau.com"
.Par exemple, exécutez la commande :
tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkxxx" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"
Vous pouvez définir des configuration supplémentaires facultatives pour Open ID Connect en utilisant soit Entité openIDSettings, soit tsm authentication openid <commandes>. En outre, si vous avez besoin de configurer le mappage des revendications du fournisseur d’identités, consultez Options pour openid map-claims.
Entrez la commande suivante pour activer Open ID Connect :
tsm authentication openid enable
Exécutez
tsm pending-changes apply
pour appliquer les modifications.Si les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.