Puoi configurare Tableau Server per supportare OpenID Connect per l'accesso singolo (SSO). OpenID Connect è un protocollo di autenticazione standard che consente agli utenti di accedere a un provider di identità (IdP) come Google. Dopo aver effettuato correttamente l'accesso al tuo IdP, l'accesso a Tableau Server è automatico.

La configurazione di OpenID Connect prevede diversi passaggi. Gli argomenti di questa sezione forniscono informazioni generali sull'utilizzo di Tableau Server con OpenID Connect e forniscono una sequenza per la configurazione dell'IdP e di Tableau Server.

Panoramica sull'autenticazione

Questa sezione descrive il processo di autenticazione OpenID Connect con Tableau Server.

Fase 1. Un utente tenta di accedere a Tableau Server da un computer client.

Fase 2. Tableau Server reindirizza la richiesta di autenticazione al gateway IdP.

Fase 3. All'utente vengono richieste le credenziali e riesce ad autenticarsi all'IdP. L'IdP risponde con un URL di reindirizzamento a Tableau Server. L'URL di reindirizzamento include un codice di autorizzazione per l'utente.

Fase 4. Il client viene reindirizzato a Tableau Server e presenta il codice di autorizzazione.

Fase 5. Tableau Server presenta il codice di autorizzazione del client all'IdP insieme alle proprie credenziali client. Tableau Server è anche client dell'IdP. Questo passaggio ha lo scopo di prevenire spoofing o attacchi di tipo man-in-the-middle.

Fase 6. L'IdP restituisce un token di accesso e un token ID a Tableau Server.

  • Convalida JSON Web Token (JWT): per impostazione predefinita, Tableau Server esegue una convalida del JWT dell'IdP. Durante l'individuazione, Tableau Server recupera le chiavi pubbliche specificate da jwks_uri nel documento di individuazione della configurazione dell'IdP. Tableau Server convalida il token ID per la scadenza e quindi verifica la firma Web JSON (JWS), l'emittente (IdP) e l'ID client. Per ulteriori informazioni sul processo JWT, consulta 10. Firme e crittografia(Il collegamento viene aperto in una nuova finestra) e lo standard proposto dall'IETF, JSON Web Token(Il collegamento viene aperto in una nuova finestra). Consigliamo di lasciare abilitata la convalida JWT, a meno che il tuo Idp non lo supporti.

  • L'ID token è un insieme di coppie di chiave di attributi per l'utente. Le coppie di chiavi si chiamano attestazioni. Ecco un esempio di attestazione IdP per un utente:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@tableau.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

Fase 7. Tableau Server identifica l'utente dall'attestazione IdP e completa la richiesta dalla fase 1. Tableau Server cerca il record dell'account utente memorizzato nel repository confrontando il "sub" (identificatore del soggetto) per identificare l'account utente corretto. Se nessun account utente è memorizzato con il valore dell'attestazione secondaria, Tableau Server cerca un nome utente nel repository che corrisponde all'attestazione "e-mail" dell'IdP. Quando viene rilevata una corrispondenza, Tableau Server memorizzerà l'attestazione secondaria corrispondente sul record utente nel repository. È possibile configurare Tableau Server in modo che utilizzi diverse attestazioni per questo processo. Consulta Requisiti per l'utilizzo di OpenID Connect.

Fase 8. Tableau Server autorizza l'utente.

Funzionamento di Tableau Server con OpenID Connect

OpenID Connect è un protocollo flessibile che supporta molte opzioni per le informazioni scambiate tra un provider di servizi (qui, Tableau Server) e un IdP. Il seguente elenco fornisce dettagli sull'implementazione Tableau Server di OpenID Connect. Questi dettagli possono aiutare a capire quali tipi di informazioni vengono inviate e attese da Tableau Server e come configurare un IdP.

  • Tableau Server supporta solo l'OpenID Authorization Code Flow come descritto nella specifica finale di OpenID Connect(Il collegamento viene aperto in una nuova finestra).

  • Tableau Server si basa sull'utilizzo dell'individuazione o di un URL del provider per recuperare i metadati del fornitore OpenID. In alternativa, puoi ospitare un documento di individuazione statica in Tableau Server. Per ulteriori informazioni, consulta Configurare Tableau Server per OpenID Connect.

  • Tableau Server supporta solo il metodo di autenticazione client client_secret_jwt indicato nella specifica OpenID Connect. Inoltre, Tableau Server supporta solo la crittografia asimmetrica RSA per la gestione del JWT. È tuttavia possibile disattivare la convalida JWT. Consulta tsm authentication openid <comandi>.

  • Tableau Server prevede un valore kid nell'intestazione JOSE dell'attributo id_token. Questo valore è abbinato a una delle chiavi trovate nel documento di impostazione JWK, il cui URI è specificato dal valore jwks_uri nel documento di identificazione di OpenID. Un valore kid deve essere presente anche se esiste un solo tasto nel documento di impostazione JWK.

  • Tableau Server include il supporto OpenID support per il parametro x5c JWK oppure per utilizzare i certificati X.509.

  • Per impostazione predefinita, Tableau Server ignora le impostazioni proxy e invia tutte le richieste OpenID direttamente all'IdP.

    Se Tableau Server è configurato per utilizzare un proxy di inoltro per la connessione a Internet, devi apportare ulteriori modifiche come descritto in Configurare Tableau Server per OpenID Connect.

Grazie per il tuo feedback.