Tableau Server configureren voor OpenID Connect

In dit onderwerp wordt beschreven hoe u Tableau Server configureert om OpenID Connect (OIDC) te gebruiken voor eenmalige aanmelding (SSO). Dit is één stap in een proces dat uit meerdere stappen bestaat. De volgende onderwerpen bieden informatie over het configureren en gebruiken van OIDC met Tableau Server.

  1. Overzicht van OpenID Connect

  2. De identiteitsprovider voor OpenID Connect configureren

  3. Tableau Server configureren voor OpenID Connect (dit onderwerp)

  4. Aanmelden bij Tableau Server met OpenID Connect

Opmerkingen:

  1. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  2. Selecteer op het tabblad CONFIGURATIE achtereenvolgens Gebruikersidentiteit en -toegang > Verificatiemethode.

  3. Selecteer onder Verificatiemethode de optie OpenID Connect in het vervolgkeuzemenu.

  4. Selecteer onder OpenID Connect de optie OpenID-verificatie inschakelen voor de server.

  5. Voer de OpenID-configuratiegegevens voor uw organisatie in:

    Afbeelding van een OpenID Connect-configuratie in TSM

    Opmerkingen:

    • Voor Stap 3: als uw provider afhankelijk is van een configuratiebestand dat op de lokale computer wordt gehost (in plaats van een bestand dat op een openbare URL wordt gehost), geeft u het bestand op met de tsm authentication openid <commands>. Gebruik de optie --metadata-file <file_path> om een lokaal IdP-configuratiebestand op te geven.

    • Voor Stap 4: met ingang van Tableau Server 2025.3 kunt u eenmalige afmelding inschakelen en een URL opgeven waarnaar uw gebruikers worden doorgestuurd nadat ze zijn afgemeld.

    • Voor stap 5: vanaf Tableau Server 2026.2 kunt u gebruikerskenmerken en de bijbehorende functies inschakelen als onderdeel van de OIDC-verificatieworkflow. Zie Gebruikerskenmerken in OIDC-claims voor meer informatie.

  6. Klik op Lopende wijzigingen opslaan nadat u uw configuratiegegevens hebt ingevoerd.

  7. Klik op Lopende wijzigingen boven aan de pagina:

    De werkbalk van Tableau Server Manager geeft aan dat er wijzigingen in behandeling zijn.

  8. Klik op Wijzigingen toepassen en opnieuw starten.

De procedure in deze sectie legt uit hoe u de TSM-opdrachtregelinterface gebruikt om OpenID Connect te configureren. U kunt ook een configuratiebestand gebruiken voor de initiële configuratie van OpenID Connect. Zie openIDSettings-entiteit.

  1. Gebruik de opdracht configure van tsm authentication openid <commands> om de volgende vereiste opties in te stellen:

    • --client-id <id>: geeft de client-ID aan van de provider die uw IdP aan uw toepassing heeft toegewezen. Bijvoorbeeld “xxxkjwdlnaoiloadjkwha".

    • --client-secret <secret>: geeft het clientgeheim van de provider op. Dit is een token dat door Tableau wordt gebruikt om de authenticiteit van het antwoord van de IdP te verifiëren. Deze waarde is geheim en moet veilig worden bewaard. Bijvoorbeeld “xxxhfkjaw72123=".

    • --config-url <url> of --metadata-file <file_path>: geeft de locatie van het JSON-configuratiebestand van de provider op. Gebruik --config-url als de provider een openbaar JSON-detectiebestand host. Geef anders een pad op de lokale computer en een bestandsnaam op voor --metadata-file.

    • --return-url <url>: de URL van uw server. Dit is doorgaans de openbare naam van uw server, bijvoorbeeld "http://example.tableau.com".

    Voer bijvoorbeeld de volgende opdracht uit:

    tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Opmerking: 

  2. Typ de volgende opdracht om Openen ID Connect in te schakelen:

    tsm authentication openid enable

  3. Voer tsm pending-changes apply uit om de wijzigingen toe te passen.

    Als voor de in behandeling zijnde wijzigingen de server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

De toegang tot data aanpassen en beheren met behulp van gebruikerskenmerken

Gebruikerskenmerken zijn metadata van gebruikers die door uw organisatie zijn gedefinieerd. Met gebruikerskenmerken kunt u de toegang bepalen in een typisch, op kenmerken gebaseerd ABAC-autorisatiemodel (Attribute-Based Access Control). Bij gebruikerskenmerken kan het gaan om elk aspect van het gebruikersprofiel, zoals functierollen, afdelingslidmaatschap, managementniveau, enzovoort. Deze kenmerken kunnen ook worden gekoppeld aan gebruikerscontexten tijdens de runtime, zoals de site waar de gebruiker is aangemeld, of de taalvoorkeur van de gebruiker.

Door gebruikerskenmerken in uw workflow op te nemen, kunt u de gebruikerservaring beheren en aanpassen via datatoegang en personalisatie.

  • Toegang tot data: u kunt gebruikerskenmerken gebruiken om databeveiligingsbeleid af te dwingen. Dit zorgt ervoor dat gebruikers alleen de data kunnen zien waarvoor ze geautoriseerd zijn.
  • Personalisatie: door gebruikerskenmerken zoals locatie en rol door te geven, kunt u uw inhoud aanpassen zodat alleen de informatie wordt weergegeven die relevant is voor de gebruiker die de inhoud opent. Zo wordt het voor hen gemakkelijker om de informatie te vinden die ze nodig hebben.

Samenvatting van de stappen voor het doorgeven van gebruikerskenmerken

Het proces voor het inschakelen van gebruikerskenmerken in een workflow kan worden samengevat in de volgende stappen:

  1. De instelling voor gebruikerskenmerken inschakelen
  2. Gebruikerskenmerken opnemen in de assertie
  3. Ervoor zorgen dat de auteur functies voor gebruikerskenmerken en relevante filters in de inhoud opneemt
  4. De inhoud controleren

Stap 1: schakel de instelling voor gebruikerskenmerken in

Uit veiligheidsoverwegingen worden gebruikerskenmerken alleen gevalideerd in een verificatieworkflow wanneer de instelling voor gebruikerskenmerken is ingeschakeld door een serverbeheerder.

  1. Open TSM in een browser:

    https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.

  2. Selecteer op het tabblad CONFIGURATIE Gebruikersidentiteit en -toegang > Verificatiemethode.

  3. Selecteer onder Verificatiemethode de optie SAML in het vervolgkeuzemenu.

  4. Schakel onder stap 8 het selectievakje Vastleggen van gebruikerskenmerken in verificatieworkflows mogelijk maken in.

  5. Wanneer u klaar bent, doet u het volgende:

    1. Klik op Lopende wijzigingen opslaan.

    2. Klik op de knop Lopende wijzigingen boven aan de pagina.

    3. Klik op Wijzigingen toepassen en opnieuw starten.

Stap 2: neem gebruikerskenmerken op in de assertie

Zorg ervoor dat de assertie de gebruikerskenmerken bevat.

Opmerking: kenmerken in de SAML-respons zijn onderworpen aan een limiet van 4096 tekens, met uitzondering van de kenmerken scope of scp. Als deze limiet wordt overschreden door de kenmerken in de respons (inclusief de gebruikerskenmerken), verwijdert Tableau de kenmerken en wordt in plaats daarvan het kenmerk ExtraAttributesRemoved doorgegeven. De auteur van de inhoud kan vervolgens een berekening maken met het kenmerk ExtraAttributesRemoved om te bepalen hoe de inhoud aan gebruikers wordt weergegeven wanneer het kenmerk is gedetecteerd.

Voorbeeld

Stel dat u een werknemer hebt, Fred Suzuki, die manager is in de regio Zuid. U wilt ervoor zorgen dat Fred bij het beoordelen van rapporten alleen de data voor de regio Zuid ziet. In een dergelijk scenario kunt u het gebruikerskenmerk Regio opnemen in het SAML-antwoord, zoals in het onderstaande voorbeeld.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Stap 3: zorg ervoor dat de auteur van de inhoud kenmerkfuncties opneemt

Let erop dat de auteur van de inhoud de gebruikerskenmerkfuncties en bijbehorende filters opneemt om te bepalen welke data in de inhoud kunnen worden weergegeven. Om te zorgen dat de gebruikerskenmerkasserties aan Tableau worden doorgegeven, moet de inhoud een van de volgende gebruikerskenmerkfuncties bevatten:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Welke functie de auteur van de inhoud gebruikt, hangt ervan af of de gebruikerskenmerken één waarde of meerdere waarden moeten retourneren. Zie Gebruikersfuncties(Link wordt in een nieuw venster geopend) in de Tableau Help voor meer informatie over deze functies en voorbeelden.

Opmerkingen:

  • Wanneer u in Tableau Desktop of Tableau Cloud ontwerpt, is er geen voorbeeld van de inhoud met deze functies beschikbaar. De functie retourneert in dat geval NULL of FALSE. Om er zeker van te zijn dat de gebruikersfuncties werken zoals verwacht, raden we de auteur aan de functies te controleren nadat deze de inhoud beschikbaar heeft gesteld.
  • Om te zorgen dat de inhoud wordt weergegeven zoals verwacht, kan de auteur van de inhoud overwegen een berekening op te nemen waarbij ExtraAttributesRemoved wordt toegepast om 1) te controleren op dit kenmerk en 2) te bepalen wat er met de inhoud moet gebeuren als dit het geval is, zoals bijvoorbeeld een bericht weergeven. Tableau voegt alleen het kenmerk ExtraAttributesRemoved toe. Alle andere kenmerken (behalve scp of scope) worden verwijderd wanneer de kenmerken in de SAML XML langer zijn dan 4096 tekens. Zo worden optimale prestaties gegarandeerd en worden de opslagbeperkingen gerespecteerd.

Voorbeeld

We gaan nu door met het bovenstaande voorbeeld uit Stap 2: neem gebruikerskenmerken op in de assertie. Als de auteur de gebruikerskenmerkassertie 'Regio' wil doorgeven aan een werkmap, kan de auteur het volgende opnemen: USERATTRIBUTEINCLUDES. Bijvoorbeeld USERATTRIBUTEINCLUDES('Region', [Region]), waarbij 'Region' het gebruikerskenmerk is en [Region] een kolom in de data. Met de nieuwe berekening kan de auteur een tabel maken met data voor de manager en voor de verkoop. Wanneer de berekening wordt toegevoegd, retourneert de werkmap zoals verwacht de waarde 'False'.

Om alleen de data weer te geven die zijn gekoppeld aan de regio Zuid in de ingesloten werkmap, kan de auteur een filter maken en dit aanpassen om waarden weer te geven wanneer de regio Zuid op 'True' staat. Wanneer dit filter wordt toegepast, wordt de werkmap zoals verwacht leeg, omdat de functie 'False'-waarden retourneert en het filter is aangepast om alleen 'True'-waarden weer te geven.

Stap 4: controleer de inhoud

Controleer en valideer de inhoud.

Voorbeeld

Laten we nu het voorbeeld van Stap 3: zorg ervoor dat de auteur van de inhoud kenmerkfuncties opneemt afsluiten. Hierboven kunt u zien dat de verkoopdata in de weergave zijn aangepast aan Fred Suzuki omdat zijn gebruikerscontext de regio Zuid is.

Als het goed is, zien managers uit de regio's die in de werkmap voorkomen de waarde die aan hun regio is gekoppeld. Sawdie Pawthorne uit de regio West ziet bijvoorbeeld data die specifiek zijn voor haar regio.

Managers waarvan de regio's niet in de werkmap zijn opgenomen, zien een lege werkmap.

Bekende problemen en beperkingen

Er zijn een aantal bekende problemen en beperkingen waarmee u rekening moet houden als u met functies voor gebruikerskenmerken werkt.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.