Entité openIDSettings

Avant de configurer l’authentification OpenID, consultez Configuration requise pour utiliser OpenID Connect.

Utilisez le modèle du fichier de configuration ci-dessous pour créer un fichier json. Après avoir rempli les options avec les valeurs appropriées, transmettez le fichier json et appliquez les paramètres avec les commandes suivantes :

tsm settings import -f path-to-file.json

tsm pending-changes apply

Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.

Modèle de configuration

Utilisez ce modèle pour configurer les paramètres OpenID.

Important : toutes les options d’entité sont sensibles à la casse.

Pour plus d’explications sur les fichiers de configuration, les entités et les clés, consultez Exemple de fichier de configuration.

Après avoir terminé la configuration initiale d’OIDC, utilisez la sous-catégorie tsm authentication openid <commandes> pour définir des valeurs supplémentaires.

{
	"configEntities": {
	    "openIDSettings": {
		"_type": "openIDSettingsType",
		"enabled": true,
		"clientId": "required",
		"clientSecret": "required",
		"configURL": "required if staticFile value is not set",
		"staticFile": "required if configURL value is not set",
		"externalURL": "required"
		}
	  }
}		

Référence du fichier de configuration

La liste suivante indique toutes les options pouvant être incluses avec l’ensemble d’entité "openIDSettings".

_type

Obligatoire.

Ne pas modifier.

enabled

Obligatoire.

Définissez sur true.

clientId

Obligatoire.

Spécifie l’identificateur du client du fournisseur que l’IDP a affecté à votre application. Par exemple, “laakjwdlnaoiloadjkwha".

clientSecret

Obligatoire.

Spécifie le secret du client du fournisseur. Il s’agit d’un jeton utilisé par Tableau pour vérifier l’authenticité de la réponse de l’IdP. Cette valeur est un secret et doit être protégée.

Par exemple, “fwahfkjaw72123=".

configURL

Obligatoire.

Spécifie l’URL de configuration du fournisseur. Si vous ne spécifiez pas une URL de configuration, supprimez cette option et spécifiez un chemin d’accès et un nom de fichier pour staticFile à la place.

staticFile

Obligatoire.

Spécifie le chemin d’accès local au document JSON de découverte OIDC statique. Si vous ne spécifiez pas un fichier statique, supprimez cette option et spécifiez une URL pour configURL à la place.

externalURL

Obligatoire.

URL de votre serveur. Il s’agit généralement du nom public de votre serveur, par exemple http://example.tableau.com.

connectionTimeout

Facultatif.

Spécifie le délai d’expiration de la connexion en secondes. La valeur par défaut est 10.

readTimeout

Facultatif.

Spécifie le délai d’expiration de la lecture en secondes. La valeur par défaut est 30.

ignoreDomain

Définissez cette valeur sur true si les conditions suivantes sont remplies :

  • Vous utilisez des adresses e-mail comme noms d’utilisateur dans Tableau Server
  • Vous avez configuré des utilisateurs dans l’IdP avec plusieurs noms de domaine
  • Vous souhaitez ignorer la partie nom de domaine de la revendication email de l’IdP

Avant de poursuivre, examinez les noms d’utilisateurs qui seront utilisés en définissant cette option sur true. Des conflits de nom d’utilisateur peuvent se produire. Dans de tels cas, le risque de divulgation d’informations est élevé. Voir Configuration requise pour utiliser OpenID Connect.

ignoreJWK

Définissez cette valeur sur true si votre IdP ne prend pas en charge la validation JWK. Dans ce cas, nous vous recommandons d’authentifier la communication avec votre IdP en utilisant TLS mutuel ou un autre protocole de sécurité de couche réseau. La valeur par défaut est false.

customScope

Spécifie une valeur d’étendue personnalisée liée à l’utilisateur que vous pouvez utiliser pour interroger l’IdP. Voir Configuration requise pour utiliser OpenID Connect.

idClaim

Modifiez cette valeur si votre IdP n’utilise pas la revendication sub pour identifier de manière unique les utilisateurs dans le jeton d’ID. La revendication de l’IdP que vous spécifiez doit contenir une seule chaîne unique.

usernameClaim

Redéfinissez cette valeur sur la revendication de l’IdP que votre organisation utilisera pour mapper les noms d’utilisateur stockés dans Tableau Server.

clientAuthentication

Spécifie la méthode d’authentification clients personnalisée pour OpenID Connect.

Pour configurer Tableau Server de manière à utiliser l’IdP Salesforce, définissez cette valeur sur client_secret_post.

iFramedIDPEnabled

Définissez sur true pour autoriser l’affichage de l’IdP dans un iFrame. L’IdP doit désactiver la protection contre les détournements de clics pour autoriser la présentation iFrame.