OpenID Connect

Puoi configurare Tableau Server per supportare OpenID Connect (OIDC) per il Single Sign-On (SSO). OIDC è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google o Salesforce. Dopo aver effettuato correttamente l’accesso al tuo IdP, l’accesso a Tableau Server è automatico.

La configurazione di OIDC prevede diversi passaggi. Gli argomenti di questa sezione forniscono informazioni generali sull’utilizzo di Tableau Server con OIDC e forniscono una sequenza per la configurazione dell’IdP e di Tableau Server.

Nota: se non diversamente indicato, le informazioni sull’autenticazione OIDC si applicano sia all’autenticazione OIDC configurata in TSM durante la configurazione di Tableau Server sia all’autenticazione OIDC configurata con i pool di identità(Il collegamento viene aperto in una nuova finestra).

Panoramica sull’autenticazione

Questa sezione descrive il processo di autenticazione di OpenID Connect (OIDC) con Tableau Server.

1. Un utente tenta di accedere a Tableau Server da un computer client.

2. Tableau Server reindirizza la richiesta di autenticazione al gateway IdP.

3. All’utente vengono richieste le credenziali e riesce ad autenticarsi all’IdP. L’IdP risponde con un URL di reindirizzamento a Tableau Server. L’URL di reindirizzamento include un codice di autorizzazione per l’utente.

4. Il client viene reindirizzato a Tableau Server e presenta il codice di autorizzazione.

5. Tableau Server presenta il codice di autorizzazione del client all’IdP insieme alle proprie credenziali client. Tableau Server è anche un client dell’IdP. Questo passaggio ha lo scopo di prevenire spoofing o attacchi di tipo man-in-the-middle.

6. L’IdP restituisce un token di accesso e un token ID a Tableau Server.

  • Convalida del token Web JSON (JWT): per impostazione predefinita, Tableau Server esegue una convalida del JWT dell’IdP. Durante l’individuazione, Tableau Server recupera le chiavi pubbliche specificate da jwks_uri nel documento di individuazione della configurazione dell’IdP. Tableau Server convalida il token ID per la scadenza e quindi verifica la firma Web JSON (JWS), l’emittente (IdP) e l’ID client. Per ulteriori informazioni sul processo JWT, consulta la documentazione di OpenID, 10. Firme e crittografia(Il collegamento viene aperto in una nuova finestra) e lo standard proposto dall’IETF, JSON Web Token(Il collegamento viene aperto in una nuova finestra). Consigliamo di lasciare abilitata la convalida JWT, a meno che il tuo Idp non lo supporti.

  • L’ID token è un insieme di coppie di chiave di attributi per l’utente. Le coppie di chiavi si chiamano attestazioni. Ecco un esempio di attestazione IdP per un utente:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"		

7. Tableau Server identifica l’utente dall’attestazione IdP e completa la richiesta dalla fase 1. Tableau Server cerca il record dell’account utente memorizzato nel repository confrontando il “sub” (identificatore del soggetto) per identificare l’account utente corretto. Se nessun account utente è memorizzato con il valore dell’attestazione secondaria, Tableau Server cerca un nome utente nel repository che corrisponde all’attestazione “e-mail” dell’IdP. Quando viene rilevata una corrispondenza, Tableau Server memorizzerà l’attestazione secondaria corrispondente sul record utente nel repository.È possibile configurare Tableau Server in modo che utilizzi diverse attestazioni per questo processo. Consulta Requisiti per l’utilizzo di OpenID Connect.

8. Tableau Server autorizza l’utente.

Come funziona Tableau Server con OpenID Connect

OpenID Connect (OIDC) è un protocollo flessibile che supporta molte opzioni per le informazioni scambiate tra un provider di servizi (qui, Tableau Server) e un IdP. Il seguente elenco fornisce dettagli sull’implementazione Tableau Server di OIDC. Questi dettagli possono aiutare a capire quali tipi di informazioni vengono inviate e attese da Tableau Server e come configurare un IdP.

  • Tableau Server supporta solo l’OpenID Authorization Code Flow come descritto nella specifica finale di OpenID Connect(Il collegamento viene aperto in una nuova finestra) nella documentazione di OpenID Connect.

  • Tableau Server si basa sull’utilizzo dell’individuazione o di un URL del provider per recuperare i metadati del provider OpenID.In alternativa, puoi ospitare un documento di individuazione statica in Tableau Server. Per ulteriori informazioni, consulta Configurare Tableau Server per OpenID Connect.

  • Tableau Server supporta i parametri di autenticazione client client_secret_basic e client_secret_post.

  • Tableau Server prevede un valore kid nell’intestazione JOSE dell’attributo id_token. Questo valore è abbinato a una delle chiavi trovate nel documento di impostazione JWK, il cui URI è specificato dal valore jwks_uri nel documento di identificazione di OpenID. Un valore kid deve essere presente anche se esiste un solo tasto nel documento di impostazione JWK.

  • Tableau Server include il supporto OpenID support per il parametro x5c JWK oppure per utilizzare i certificati X.509.

  • Per impostazione predefinita, Tableau Server ignora le impostazioni proxy e invia tutte le richieste OpenID direttamente all’IdP.

    Se Tableau Server è configurato per utilizzare un proxy di inoltro per la connessione a Internet, devi apportare ulteriori modifiche come descritto in Configurare Tableau Server per OpenID Connect.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!