OpenID Connect

Du kan konfigurera Tableau Server så att OpenID Connect (OIDC) för enkel inloggning (SSO) stöds. OIDC är ett standardautentiseringsprotokoll med vilket användare kan logga in hos en identitetsprovider som Google eller Salesforce. När de har loggat in hos sin identitetsprovider loggas de automatiskt in på Tableau Server.

OIDC konfigureras i flera steg. Ämnena i det här avsnittet ger allmän information om hur du använder Tableau Server med OIDC och innehåller steg för hur du konfigurerar identitetsprovidern och Tableau Server.

Obs! Om inget annat anges gäller information om OIDC-autentisering både för OIDC-autentisering konfigurerad i TSM under Tableau Server-installationen eller OIDC-autentisering konfigurerad med identitetspooler(Länken öppnas i ett nytt fönster).

Autentiseringsöversikt

I det här avsnittet beskrivs OpenID Connect-autentisering (OIDC) med Tableau Server.

1. En användare försöker logga in på Tableau Server från en klientdator.

2. Tableau Server omdirigerar autentiseringsbegäran till identitetsproviderns gateway.

3. Användaren uppmanas att ange inloggningsuppgifter och autentiseras hos identitetsprovidern. Identitetsprovidern svarar med en omdirigerings-URL tillbaka till Tableau Server. Omdirigeringsadressen innehåller en auktoriseringskod för användaren.

4. Klienten omdirigeras till Tableau Server och presenterar auktoriseringskoden.

5. Tableau Server presenterar klientens behörighetskod för identitetsprovidern tillsammans med sina egna klientinloggningsuppgifter. Tableau Server är också klient hos identitetsprovidern. Detta steg är avsett att förhindra förfalskning (spoofing) eller man-in-the-middle-attacker.

6. Identitetsprovidern returnerar en åtkomsttoken och en ID-token till Tableau Server.

  • JWT-validering (JSON-webbtoken): Som standard utför Tableau Server en validering av identitetsproviderns JWT. Under identifieringen hämtar Tableau Server de offentliga nycklar som anges av jwks_uri i identitetsproviderns konfigurationsdokument. Tableau Server validerar ID-tokens utgångsdatum och verifierar sedan JSON-webbsignaturen (JWS), utfärdaren (identitetsprovidern) och klient-ID:t. Du kan läsa mer om JWT-processen i OpenID-dokumentationen, 10. Signaturer och kryptering(Länken öppnas i ett nytt fönster), och IETF:s föreslagna standard, JSON Web Token(Länken öppnas i ett nytt fönster). Vi rekommenderar att du lämnar JWT-valideringen aktiverad, om din Idp stöder det.

  • ID-token är en uppsättning attributnyckelpar för användaren. Nyckelparen kallas anspråk. Här är ett exempel på IdP-anspråk för en användare:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"		

7. Tableau Server identifierar användaren från IdP-anspråken och slutför autentiseringsbegäran från steg 1. Tableau Server söker efter användarens kontopost som lagras på lagringsplatsen genom att matcha ”sub” (ämnesidentifierare) och identifiera rätt användarkonto. Om inget användarkonto lagras med ”sub”-anspråket söker Tableau Server efter ett användarnamn på lagringsplatsen som matchar ”email”-anspråket från identitetsprovidern. När en användarnamnsmatchning lyckas lagrar Tableau Server motsvarande ”sub”-anspråk i användarens post på lagringsplatsen.Tableau Server kan konfigureras för att använda olika anspråk för denna process. Läs mer i Krav för användning av OpenID Connect.

8. Tableau Server auktoriserar användaren.

Så här fungerar Tableau Server med OpenID Connect

OpenID Connect (OIDC) är ett flexibelt protokoll som stöder många alternativ för den information som utbyts mellan en tjänsteleverantör (i detta fall Tableau Server) och en identitetsprovider. Följande lista innehåller information om implementeringen av OIDC i Tableau Server. Den här information kan hjälpa dig att förstå vilken sorts information som Tableau Server skickar och förväntar sig samt hur du konfigurerar en identitetsprovider (IdP).

  • Tableau Server har bara stöd för det OpenID-auktoriseringskodflöde som beskrivs i den slutliga specifikationen för OpenID Connect(Länken öppnas i ett nytt fönster) i dokumentationen för OpenID Connect.

  • Tableau Server använder identifiering eller en provider-URL för att hämta OpenID-providerns -metadata.Du kan också lagra ett statiskt identifieringsdokument på Tableau Server. Läs mer i Konfigurera Tableau Server för OpenID Connect.

  • Tableau Server har stöd för klientautentiseringsmetoderna client_secret_basic och client_secret_post.

  • Tableau Server förväntar sig ett kid-värde i id_token attributets JOSE-rubrik. Det här värdet matchas med en av nycklarna i JWK-installationsdokumentet, vars URI anges av värdet jwks_uri i OpenID-identifieringsdokumentet. Ett kid-värde måste finnas även om det bara finns en nyckel i JWK-installationsdokumentet.

  • Tableau Server inkluderar OpenID-stöd för JWK-parametern x5c eller för användning av X.509-certifikat.

  • Som standard ignorerar Tableau Server proxyinställningar och skickar alla OpenID-förfrågningar direkt till identitetsprovidern.

    Om Tableau Server har konfigurerats att använda en proxy för vidarebefordrande för att ansluta till internet måste du göra ytterligare ändringar enligt beskrivningen i Konfigurera Tableau Server för OpenID Connect.

Tack för din feedback!Din feedback har skickats in. Tack!