OpenID Connect

U kunt Tableau Server configureren om OpenID Connect (OIDC) voor de SSO-functie voor eenmalige aanmelding te ondersteunen. OIDC is een standaard verificatieprotocol waarmee gebruikers zich kunnen aanmelden bij een identiteitsprovider (IdP) zoals Google of Salesforce. Nadat gebruikers zich hebben aangemeld bij hun IdP, worden ze automatisch aangemeld bij Tableau Server.

De configuratie van OIDC bestaat uit meerdere stappen. De onderwerpen in deze sectie bieden algemene informatie over het gebruik van Tableau Server met OIDC, en over de volgorde waarin de IdP en Tableau Server moeten worden geconfigureerd.

Opmerking: Tenzij anders vermeld, geldt de informatie over OIDC-verificatie zowel voor de OIDC-verificatie die in TSM wordt geconfigureerd tijdens de installatie van Tableau Server als voor de OIDC-verificatie die wordt geconfigureerd met behulp van identiteitspools(Link wordt in een nieuw venster geopend).

Verificatieoverzicht

In dit gedeelte wordt het OpenID Connect (OIDC)-verificatieproces met Tableau Server beschreven.

1. Een gebruiker probeert vanaf een clientcomputer in te loggen bij Tableau Server.

2. Tableau Server stuurt de aanvraag voor verificatie door naar de IdP-gateway.

3. De gebruiker wordt gevraagd om hun referenties in te voeren en meldt zich succesvol aan bij de IdP. De IdP reageert door een omleiding-URL terug te sturen naar Tableau Server. De omleiding-URL bevat een autorisatiecode voor de gebruiker.

4. De client wordt omgeleid naar Tableau Server en toont de autorisatiecode.

5. Tableau Server presenteert de autorisatiecode van de client aan de IdP, samen met zijn eigen clientreferenties. Tableau Server is ook een client van de IdP. Deze stap is bedoeld om 'spoofing' of 'man-in-the-middle'-aanvallen te voorkomen.

6. De IdP retourneert een toegangstoken en een ID-token naar Tableau Server.

  • JSON Web Token (JWT)-validatie: Standaard voert Tableau Server een validatie uit van de IdP JWT. Tijdens de detectiefase haalt Tableau Server de openbare sleutels op die zijn opgegeven door de jwks_uri in het detectiedocument voor de IdP-configuratie. Tableau Server valideert dat de ID-token niet zijn vervallen en verifieert vervolgens de JSON-webhandtekening (JWS), de uitgever (IdP) en de client-ID. Meer informatie over het JWT-proces vindt u in de OpenID-documentatie, 10. Handtekeningen en encryptie(Link wordt in een nieuw venster geopend) en de standaard die door IETF wordt voorgesteld, JSON-webtoken(Link wordt in een nieuw venster geopend). Wij raden u aan om JWT-validatie ingeschakeld te laten, tenzij uw IdP dit niet ondersteunt.

  • Het ID-token is een set van sleutelparen met kenmerken voor de gebruiker. De sleutelparen worden claims genoemd. Hier is een voorbeeld van een IdP-claim voor een gebruiker:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"		

7. Tableau Server identificeert de gebruiker op basis van de IdP-claims en voltooit het verificatieaanvraag vanaf stap 1. Tableau Server zoekt naar de accountgegevens van de gebruiker in de opslagplaats, en vergelijkt de 'sub' (de onderwerp-ID) om het juiste gebruikersaccount te identificeren. Als er geen gebruikersaccount is opgeslagen met de subclaimwaarde, dan zoekt Tableau Server naar een gebruikersnaam in de opslagplaats die overeenkomt met de 'email'-claim van de IdP. Wanneer een overeenkomst met de gebruikersnaam wordt gevonden, slaat Tableau Server de desbetreffende sub-claim op in de record van de gebruiker in de opslagplaats.Tableau Server kan worden geconfigureerd om verschillende claims voor dit proces te gebruiken. Zie Vereisten voor het gebruik van OpenID Connect.

8. Tableau Server autoriseert de gebruiker.

Hoe werkt Tableau Server met OpenID Connect?

OpenID Connect (OIDC) is een flexibel protocol dat allerlei opties ondersteunt voor de informatie die wordt uitgewisseld tussen een serviceprovider (hier is dat Tableau Server) en een IdP. De volgende lijst bevat details over de Tableau Server-implementatie van OIDC. Hiermee kunt u zien welke soorten informatie wordt verzonden en verwacht door Tableau Server, en hoe u een IdP configureert.

  • Tableau Server ondersteunt alleen de flow voor de OpenID-authorizatiecode zoals beschreven in de Uiteindelijke specificatie voor OpenID Connect(Link wordt in een nieuw venster geopend) in de OpenID Connect-documentatie.

  • Tableau Server is afhankelijk van een detectiefunctie of een provider-URL om de metadata van de OpenID-provider op te halen.U kunt er ook voor kiezen om een statisch detectiedocument op Tableau Server te hosten. Zie Tableau Server configureren voor OpenID Connect voor meer informatie.

  • Tableau Server ondersteunt de client_secret_basic- en de client_secret_post-client-verificatie.

  • Tableau Server verwacht een waarde voor kid in de id_token van de JOSE-koptekst van het kenmerk. Deze waarde komt overeen met een van de sleutels die in het JWK Set-document zijn gevonden, waarvan de URI wordt gespecificeerd door de waarde jwks_uri in het OpenID-detectiedocument. Er moet een waarde voor kid aanwezig zijn, zelfs als er maar één sleutel in het JWK Set-document staat.

  • Tableau Server bevat OpenID-ondersteuning voor de JWK x5c-parameter of voor het gebruik van X.509-certificaten.

  • Standaard,negeert Tableau Server proxy-instellingen en worden alle OpenID-aanvragen rechtstreeks naar de IdP gestuurd.

    Als Tableau Server is geconfigureerd om een forward-proxy te gebruiken om verbinding te maken met internet, dan moet u aanvullende wijzigingen aanbrengen zoals beschreven in Tableau Server configureren voor OpenID Connect.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.