Configurare Tableau Server per OpenID Connect
Questo argomento descrive come configurare Tableau Server per utilizzare OpenID Connect (OIDC) per l’accesso Single Sign-On (SSO). Questo è un passaggio in un processo a più fasi. I seguenti argomenti forniscono informazioni sulla configurazione e l’utilizzo di OIDC con Tableau Server.
OpenID Connect Panoramica
Configurare Tableau Server per OpenID Connect (ti trovi qui)
Note:
- prima di eseguire i passaggi qui descritti, devi configurare il provider di identità OpenID (IdP) come descritto in Configurare il provider di identità per OpenID Connect.
- Le procedure descritte in questo argomento potrebbero essere applicabili all'autenticazione OIDC configurata con pool di identità. Tuttavia, prima segui Provisioning e autenticazione degli utenti tramite pool di identità e fai riferimento a questo argomento, se necessario.
- L’API REST di Tableau e tabcmd non supportano l’autenticazione OIDC SSO (Single Sign-On). Per utilizzare tabcmd o l’API REST(Il collegamento viene aperto in una nuova finestra), gli utenti devono accedere a Tableau Server utilizzando un account TableauID.
Apri TSM in un browser:
https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.
Nella scheda CONFIGURAZIONE seleziona Identità e accesso utente > Metodo di autenticazione.
In Metodo di autenticazione, seleziona OpenID Connect nel menu a discesa.
In OpenID Connect seleziona Abilita autenticazione OpenID per il server.
Immetti le informazioni di configurazione OpenID per l’organizzazione:

Note:
Per la fase 3: se il provider utilizza un file di configurazione ospitato nel computer locale (anziché un file accessibile tramite un URL pubblico) puoi specificare il file con tsm authentication openid <comandi>. Utilizza l’opzione
--metadata-file <file_path>per specificare un file di configurazione locale IdP.Per la fase 4: a partire da Tableau Server 2025.3, puoi abilitare il single logout (SLO) e specificare un URL a cui reindirizzare gli utenti dopo la disconnessione.
Per la fase 5: a partire da Tableau Server 2026.2, puoi abilitare gli attributi utente e le relative funzioni come parte del workflow di autenticazione OIDC. Per maggiori informazioni, consulta Attributi utente in attestazioni OIDC.
Dopo aver immesso le informazioni di configurazione, fai clic su Salva modifiche in sospeso.
Fai clic su Modifiche in sospeso nella parte superiore della pagina:

Fai clic su Applica modifiche e riavvia.
La procedura descritta in questa sezione illustra come utilizzare l’interfaccia a riga di comando TSM per configurare OpenID Connect. Puoi inoltre utilizzare un file di configurazione per la configurazione iniziale di OpenID Connect. Consulta Entità openIDSettings.
Utilizza il comando
configuredi tsm authentication openid <comandi> per impostare le seguenti opzioni obbligatorie:--client-id <id>: specifica l’ID client del provider che l’IdP ha assegnato alla tua applicazione. Ad esempio,“xxxkjwdlnaoiloadjkwha".
--client-secret <secret>: specifica il segreto client del provider. È un token utilizzato da Tableau per verificare l’autenticità della risposta dell’IdP. Questo valore è segreto e deve essere tenuto al sicuro. Ad esempio,“xxxhfkjaw72123=".
--config-url <url>o--metadata-file <file_path>: specifica il percorso del file json della configurazione del provider. Se il provider ospita un file di individuazione JSON pubblico, utilizza--config-url. In caso contrario, specifica un percorso nel computer locale e nel nome file per--metadata-file.
--return-url <url>: l’URL del tuo server. È tipicamente il nome pubblico del server, ad esempio"http://example.tableau.com".
Ad esempio, esegui il comando:
tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"Nota:
Esistono ulteriori configurazioni facoltative che puoi impostare per Open ID Connect utilizzando l’Entità openIDSettings. In alternativa, puoi utilizzare tsm authentication openid <comandi>. Inoltre, se hai necessità di configurare il mapping delle attestazioni IdP, consulta Opzioni per openid map-claims.
A partire da Tableau Server 2025.3, puoi utilizzare tsm authentication openid <comandi> per abilitare facoltativamente il single logout (SLO).
Digita il comando seguente per abilitare Open ID Connect:
tsm authentication openid enableEsegui
tsm pending-changes applyper applicare le modifiche.Se le modifiche in sospeso richiedono il riavvio del server, il comando
pending-changes applyvisualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione--ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.
Personalizzare e controllare l’accesso ai dati con gli attributi utente
Gli attributi utente sono metadati utente definiti dall’organizzazione. Gli attributi utente possono essere utilizzati per determinare l’accesso in un tipico modello di autorizzazione di controllo degli accessi basato su attributi (ABAC, Attribute-Based Access Control). Gli attributi utente possono riferirsi a qualsiasi aspetto del profilo utente, ad esempio ruoli lavorativi, appartenenza al reparto, livello di gestione e così via. Potrebbero anche essere associati a contesti utente in fase di esecuzione, ad esempio la località da cui l’utente ha eseguito l’accesso o la sua lingua preferita.
Includendo gli attributi utente nel flusso di lavoro, puoi controllare e personalizzare l’esperienza utente tramite l’accesso ai dati e la personalizzazione.
- Accesso ai dati: gli attributi utente possono essere utilizzati per applicare criteri di sicurezza dei dati. In questo modo si garantisce che gli utenti visualizzino solo i dati per cui sono autorizzati.
- Personalizzazione: trasmettendo attributi utente, quali la posizione e il ruolo, è possibile personalizzare i tuoi contenuti in modo da mostrare solo le informazioni pertinenti per l’utente che vi accede e facilitando il reperimento delle informazioni necessarie.
Riepilogo della procedura per la trasmissione degli attributi utente
Il processo di abilitazione degli attributi utente in un flusso di lavoro è riepilogato nelle fasi seguenti:
- Abilitare l’impostazione degli attributi utente
- Includere gli attributi utente nell’asserzione
- Verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti
- Esaminare i contenuti
Fase 1: abilitare l’impostazione degli attributi utente
Per motivi di sicurezza, gli attributi utente vengono convalidati in un flusso di lavoro di autenticazione solo quando l’impostazione degli attributi utente è abilitata da un
Apri TSM in un browser:
https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.
Nella scheda CONFIGURAZIONE seleziona Identità e accesso utente > Metodo di autenticazione.
In Metodo di autenticazione seleziona SAML nel menu a discesa.
Nella Fase 8 seleziona la casella di controllo Abilita l’acquisizione di attributi utente durante l’autenticazione SAML.
Al termine, effettua le seguenti operazioni:
Fai clic su Salva modifiche in sospeso.
Fai clic sul pulsante Modifiche in sospeso nella parte superiore della pagina.
Fai clic su Applica modifiche e riavvia.
Fase 2: includere gli attributi utente nell’asserzione
Assicurati che l'asserzione contenga gli attributi utente.
Nota: gli attributi nella risposta SAML sono soggetti al limite di 4096 caratteri, ad eccezione degli attributi scope o scp. Se gli attributi nella risposta, inclusi gli attributi utente, superano questo limite, Tableau rimuove gli attributi e passa invece l'attributo ExtraAttributesRemoved. L’autore di contenuti può quindi creare un calcolo con l’attributo ExtraAttributesRemoved per determinare come visualizzare i contenuti agli utenti quando l’attributo è stato rilevato.
Esempio
Supponiamo di avere un dipendente, Fred Suzuki, un manager che opera nella regione South. Desideri assicurarti che, quando Fred esamina i report, possa visualizzare solo i dati relativi alla regione di competenza. In uno scenario di questo tipo, potresti includere l'attributo utente Region nella risposta SAML come nell'esempio seguente.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti
Verifica che l’autore dei contenuti includa le funzioni degli attributi utente e i relativi filtri per controllare i dati visualizzabili nei suoi contenuti. Per garantire che le asserzioni degli attributi utente vengano passate a Tableau, il contenuto deve contenere una delle seguenti funzioni per gli attributi utente:
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
La funzione utilizzata dall’autore dei contenuti varia a seconda che gli attributi utente restituiscano un singolo valore o più valori. Per maggiori informazioni su queste funzioni ed esempi di ciascuna, consulta Funzioni utente(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau.
Note:
- L’anteprima dei contenuti con queste funzioni non è disponibile durante l’authoring in Tableau Desktop o Tableau Cloud. La funzione restituirà NULL o FALSE. Per essere certi che le funzioni utente funzionino come previsto, consigliamo all’autore di esaminare le funzioni dopo aver reso disponibili i contenuti.
- Per essere certo che i contenuti vengano visualizzati come previsto, l’autore dei contenuti può provare a includere un calcolo che utilizza l’attributo
ExtraAttributesRemovedche 1) verifica la presenza di tale attributo e 2) se presente, determina cosa fare con i contenuti, ad esempio mostrare un messaggio. Tableau aggiungerà l'attributoExtraAttributesRemovede rimuoverà tutti gli altri attributi (ad eccezione discposcope) solo quando gli attributi nel codice XML SAML superano i 4096 caratteri. Questo per garantire prestazioni ottimali e rispettare le limitazioni di archiviazione.
Esempio
Riprendendo l’esempio introdotto nella Fase 2: includere gli attributi utente nell’asserzione riportata in precedenza, per passare l’asserzione dell’attributo utente “Region” a una cartella di lavoro, l’autore può includere USERATTRIBUTEINCLUDES. Ad esempio, USERATTRIBUTEINCLUDES('Region', [Region]), dove 'Region' è l’attributo utente e [Region] è una colonna nei dati. Utilizzando il nuovo calcolo, l’autore può creare una tabella con i dati relativi a Manager e Sales. Dopo l’aggiunta del calcolo, la cartella di lavoro restituisce i valori “False” come previsto.

Per visualizzare solo i dati associati alla regione South nella cartella di lavoro incorporata, l’autore può creare un filtro e personalizzarlo per mostrare i valori quando la regione South è “True”. Quando viene applicato il filtro, la cartella di lavoro diventa vuota come previsto perché la funzione restituisce valori “False” e il filtro è personalizzato per mostrare solo i valori “True”.

Fase 4: esaminare i contenuti
Esamina e convalida i contenuti.
Esempio
Per concludere l’esempio della Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti precedente, puoi notare che i dati di Sales nella vista sono personalizzati per Fred Suzuki perché il suo contesto utente è la regione South.

I manager delle regioni rappresentate nella cartella di lavoro dovrebbero vedere il valore associato alla propria regione. Ad esempio, Sawdie Pawthorne della regione West visualizza i dati specifici della propria regione.

I manager le cui regioni non sono rappresentate nella cartella di lavoro visualizzano una cartella di lavoro vuota.
Problemi noti e limitazioni
Esistono alcuni problemi noti e limitazioni da considerare quando utilizzi le funzioni degli attributi utente.
