Konfigurera Tableau Server för OpenID Connect

I det här avsnittet beskriver vi hur du konfigurerar Tableau Server för OpenID Connect med enkel inloggning (SSO). Detta är ett steg i en flerstegsprocess. Följande ämnen innehåller information om hur du konfigurerar och använder OIDC med Tableau Server.

  1. OpenID Connect Översikt

  2. Konfigurera identitetsprovider för OpenID Connect

  3. Konfigurera Tableau Server för OpenID Connect (du är här)

  4. Logga in i Tableau Server med hjälp av OpenID Connect

Obs!

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. Välj Användaridentitet och åtkomst > Autentiseringsmetod på fliken Konfiguration.

  3. Välj OpenID Connect i listrutemenyn under Autentiseringsmetod.

  4. Välj Aktivera OpenID-autentisering för servern i OpenID Connect.

  5. Ange OpenID-konfigurationsinformationen för din organisation:

    Bild på en OpenID Connect-konfiguration i TSM

    Obs!

    • För steg 3: Om leverantören kräver en konfigurationsfil som värd på den lokala datorn (i stället för värd på en offentlig URL-adress) anger du filen med tsm authentication openid <kommandon>. Använd alternativet --metadata-file <file_path> för att ange en lokal IdP-konfigurationsfil.

    • För steg 4: Från och med Tableau Server 2025.3 kan du aktivera enkel utloggning och ange en URL som användarna ska omdirigeras till när de har loggat ut.

    • För steg 5: Från och med Tableau Server 2026.2 kan du aktivera användarattribut och dess funktioner som en del av OIDC-autentiseringsarbetsflödet. Mer information finns i Användarattribut i OIDC-anspråk.

  6. Klicka på Spara väntande ändringar när du har angett konfigurationsinformationen.

  7. Klicka på Väntande ändringar längst upp på sidan:

    Ett Tableau Server Manager-verktygsfält som indikerar att det finns väntande ändringar.

  8. Klicka på Tillämpa ändringarna och starta om.

Proceduren i det här avsnittet handlar om användningen av TSM-kommandoradsgränssnitt för att konfigurera OpenID Connect. Det går även att använda konfigurationsfiler för den ursprungliga OpenID Connect-konfigurationen. Läs mer i openIDSettings Entity.

  1. Ställ in följande obligatoriska alternativ med kommandot configure i tsm authentication openid <kommandon>:

    • --client-id <id>: Anger leverantörens klient-ID som identitetsprovidern (IdP) har tilldelat ditt program. Till exempel “xxxkjwdlnaoiloadjkwha".

    • --client-secret <secret>: Anger leverantörens klienthemlighet. Detta är en token som används av Tableau för att verifiera äktheten för svaret från identitetsprovidern. Värdet är en hemlighet och måste skyddas. Till exempel “xxxhfkjaw72123=".

    • --config-url <url> or --metadata-file <file_path>: Anger platsen för json-konfigurationsfilen från leverantören. Om leverantören är värd för en offentlig JSON-förekomstsfil använder du --config-url. Ange annars en sökväg på den lokala datorn och ange filnamn för --metadata-file.

    • --return-url <url>: URL-adress för servern. Det här är vanligtvis serverns offentliga namn, till exempel "http://example.tableau.com".

    Kör till exempel kommandot:

    tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Obs! 

  2. Skriv följande kommando för att aktivera Open ID Connect:

    tsm authentication openid enable

  3. Kör tsm pending-changes apply för att använda ändringarna.

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Anpassa och styra dataåtkomst med hjälp av användarattribut

Användarattribut är metadata för användare som definieras av din organisation. Användarattribut kan användas för att bestämma åtkomst i en vanlig auktoriseringsmodell med attributbaserad åtkomstkontroll (ABAC). Alla data i användarprofilen kan användas som användarattribut, inklusive jobbroller, avdelningsmedlemskap, chefsnivå och så vidare. De kan också associeras med användarkontexter vid körning, till exempel varifrån användaren loggat in eller användarens språkinställningar.

Genom att använda användarattribut i arbetsflödet kan du styra och anpassa användarupplevelsen genom dataåtkomst och personanpassning.

  • Dataåtkomst: Användarattribut kan användas för att tillämpa datasäkerhetspolicyer. Det säkerställer att användare endast kan se data som de har behörighet att se.
  • Personanpassning: Du kan anpassa innehållet utifrån användarattribut som plats och roll så att endast information som är relevant för användaren visas, vilket gör det lättare för användarna att hitta den information de behöver.

Sammanfattning av stegen för att använda användarattribut

Processen för att aktivera användarattribut i ett arbetsflöde kan sammanfattas i följande steg:

  1. Aktivera inställningen för användarattribut
  2. Ta med användarattribut i kontrollen
  3. Se till att innehållsutvecklaren tar med funktioner för användarattribut och relevanta filter
  4. Granska innehållet

Steg 1: Aktivera inställningen för användarattribut

Av säkerhetsskäl valideras användarattribut endast i ett autentiseringsarbetsflöde när inställningen för användarattribut har aktiverats av en serveradministratör.

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. Välj Användaridentitet och åtkomst > Autentiseringsmetod på fliken KONFIGURATION.

  3. Välj SAML i listrutemenyn under Autentiseringsmetod.

  4. I steg 8 markerar du kryssrutan Aktivera insamling av användarattribut under SAML-autentisering.

  5. Gör följande när du är klar:

    1. Klicka på Spara väntande ändringar.

    2. Klicka på knappen Väntande ändringar högst upp på sidan.

    3. Klicka på Tillämpa ändringarna och starta om.

Steg 2: Ta med användarattribut i kontrollen

Se till att kontrollen innehåller användarattributen.

Obs! För attribut i SAML-svar gäller en längdbegränsning på 4096 tecken, med undantag för attributen scope och scp. Om attributen i svaret, inklusive användarattribut, överskrider den här gränsen kommer Tableau ta bort attributen och skicka attributet ExtraAttributesRemoved i stället. Innehållsutvecklaren kan sedan skapa en beräkning med attributet ExtraAttributesRemoved för att avgöra hur innehållet ska visas för användarna när attributet har identifierats.

Exempel

Anta att du har en anställd, Fred Suzuki, som är en chef som arbetar i den södra regionen. Du vill vara säker på att Fred bara får se data för den södra regionen när han granskar rapporter. I ett sådant scenario skulle du kunna ta med användarattributet Region i SAML-svaret, som i exemplet nedan.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner

Se till att innehållsutvecklaren tar med funktioner för användarattribut och tillhörande filter för att styra vilka data som ska visas i innehållet. För att säkerställa att användarattributskontrollerna skickas till Tableau ska innehållet innehålla en av följande funktioner för användarattribut:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Vilken av funktionerna innehållsutvecklaren använder beror på om användarattributen väntas returnera ett eller flera värden. Mer information om de här funktionerna och exempel på användning av dem finns i avsnittet Användarfunktioner(Länken öppnas i ett nytt fönster) i Tableau-hjälpen.

Obs!

  • Förhandsgranskning av innehållet med de här funktionerna är inte tillgänglig när innehåll skapas i Tableau Desktop eller Tableau Cloud. Funktionen returnerar NULL eller FALSE. För att säkerställa att användarfunktionerna fungerar som förväntat rekommenderar vi att utvecklaren granskar funktionerna när innehållet har gjorts tillgängligt.
  • För att säkerställa att innehållet återges som förväntat kan innehållsutvecklaren överväga att ta med en beräkning som 1) söker efter attributet ExtraAttributesRemoved: och 2) bestämmer vad som ska göras med innehållet om attributet förekommer, till exempel visa ett meddelande. Det är endast när attributen i SAML XML-svaret är längre än 4 096 tecken som Tableau lägger till attributet ExtraAttributesRemoved och tar bort alla andra attribut (förutom scp och scope). Det görs för att säkerställa optimala prestanda och ta hänsyn till begränsningar i lagringsutrymmet.

Exempel

Som fortsättning på exemplet i Steg 2: Ta med användarattribut i kontrollen ovan skulle utvecklaren kunna skicka anspråket för användarattributet ”Region” till en arbetsbok genom att ta med attributet USERATTRIBUTEINCLUDES. Till exempel, USERATTRIBUTEINCLUDES('Region', [Region])där ”Region” är ett användarattribut och [Region] är en datakolumn. Utvecklaren kan använda den nya beräkningen för att skapa en tabell med chefs- och försäljningsdata. När beräkningen läggs till returnerar arbetsboken som förväntat värdet False.

För att endast visa de data som är associerade med den södra regionen i den inbäddade arbetsboken kan utvecklaren skapa ett filter och anpassa det så att det visar värden när den södra regionen har värdet True. När filtret tillämpas blir arbetsboken som förväntat tom, eftersom funktionen returnerar False, och filtret är anpassat för att endast visa värden som är True.

Steg 4: Granska innehållet

Granska och validera innehållet.

Exempel

För att avsluta exemplet från Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner ovan kan du se att försäljningsdata i vyn har anpassats för Fred Suzuki eftersom hans användarkontext är den södra regionen.

Chefer från regioner som ingår i arbetsboken ser värdet som är associerat med deras egen region. Sawdie Pawthorne från den västra regionen skulle till exempel se data som är specifika för hennes region.

Chefer vars regioner inte ingår i arbetsboken skulle se en tom arbetsbok.

Kända problem och begränsningar

Det finns några kända problem och begränsningar som du bör tänka på när du arbetar med funktioner för användarattribut.

Tack för din feedback!Din feedback har skickats in. Tack!