Konfigurera Tableau Server för OpenID Connect
I det här avsnittet beskriver vi hur du konfigurerar Tableau Server för OpenID Connect med enkel inloggning (SSO). Detta är ett steg i en flerstegsprocess. Följande ämnen innehåller information om hur du konfigurerar och använder OIDC med Tableau Server.
OpenID Connect Översikt
Konfigurera Tableau Server för OpenID Connect (du är här)
Obs!
- Innan du utför stegen som beskrivs här måste OpenID-identitetsleverantören (IdP) konfigureras såsom beskrivs i Konfigurera identitetsprovider för OpenID Connect.
- Procedurerna som beskrivs i det här avsnittet kan fungera för OIDC-autentisering som konfigurerats med identitetspooler. Följ dock först Provisionera och autentisera användare med hjälp av identitetspooler och återkom till det här avsnittet om det behövs.
- Tableau REST API och tabcmd har inte stöd för enkel OIDC-inloggning. För att använda tabcmd eller REST API(Länken öppnas i ett nytt fönster) måste användarna logga in på Tableau Server med ett TableauID-konto.
Öppna TSM i en webbläsare:
https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.
Välj Användaridentitet och åtkomst > Autentiseringsmetod på fliken Konfiguration.
Välj OpenID Connect i listrutemenyn under Autentiseringsmetod.
Välj Aktivera OpenID-autentisering för servern i OpenID Connect.
Ange OpenID-konfigurationsinformationen för din organisation:

Obs!
För steg 3: Om leverantören kräver en konfigurationsfil som värd på den lokala datorn (i stället för värd på en offentlig URL-adress) anger du filen med tsm authentication openid <kommandon>. Använd alternativet
--metadata-file <file_path>för att ange en lokal IdP-konfigurationsfil.För steg 4: Från och med Tableau Server 2025.3 kan du aktivera enkel utloggning och ange en URL som användarna ska omdirigeras till när de har loggat ut.
För steg 5: Från och med Tableau Server 2026.2 kan du aktivera användarattribut och dess funktioner som en del av OIDC-autentiseringsarbetsflödet. Mer information finns i Användarattribut i OIDC-anspråk.
Klicka på Spara väntande ändringar när du har angett konfigurationsinformationen.
Klicka på Väntande ändringar längst upp på sidan:

Klicka på Tillämpa ändringarna och starta om.
Proceduren i det här avsnittet handlar om användningen av TSM-kommandoradsgränssnitt för att konfigurera OpenID Connect. Det går även att använda konfigurationsfiler för den ursprungliga OpenID Connect-konfigurationen. Läs mer i openIDSettings Entity.
Ställ in följande obligatoriska alternativ med kommandot
configurei tsm authentication openid <kommandon>:--client-id <id>: Anger leverantörens klient-ID som identitetsprovidern (IdP) har tilldelat ditt program. Till exempel“xxxkjwdlnaoiloadjkwha".
--client-secret <secret>: Anger leverantörens klienthemlighet. Detta är en token som används av Tableau för att verifiera äktheten för svaret från identitetsprovidern. Värdet är en hemlighet och måste skyddas. Till exempel“xxxhfkjaw72123=".
--config-url <url>or--metadata-file <file_path>: Anger platsen för json-konfigurationsfilen från leverantören. Om leverantören är värd för en offentlig JSON-förekomstsfil använder du--config-url. Ange annars en sökväg på den lokala datorn och ange filnamn för--metadata-file.
--return-url <url>: URL-adress för servern. Det här är vanligtvis serverns offentliga namn, till exempel"http://example.tableau.com".
Kör till exempel kommandot:
tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"Obs!
Det finns ytterligare valfria konfigurationer som du kan tillämpa på Open ID Connect med hjälp av openIDSettings Entity. Alternativt kan du använda tsm authentication openid <kommandon>. Se Alternativ för openid map-claims om du ska konfigurera IdP-mappningar av anspråk.
Från och med Tableau Server 2025.3 kan du om du vill aktivera enkel utloggning med tsm authentication openid <kommandon>.
Skriv följande kommando för att aktivera Open ID Connect:
tsm authentication openid enableKör
tsm pending-changes applyför att använda ändringarna.Om de väntande ändringarna kräver att servern startas om visar kommandot
pending-changes applyen kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet--ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.
Anpassa och styra dataåtkomst med hjälp av användarattribut
Användarattribut är metadata för användare som definieras av din organisation. Användarattribut kan användas för att bestämma åtkomst i en vanlig auktoriseringsmodell med attributbaserad åtkomstkontroll (ABAC). Alla data i användarprofilen kan användas som användarattribut, inklusive jobbroller, avdelningsmedlemskap, chefsnivå och så vidare. De kan också associeras med användarkontexter vid körning, till exempel varifrån användaren loggat in eller användarens språkinställningar.
Genom att använda användarattribut i arbetsflödet kan du styra och anpassa användarupplevelsen genom dataåtkomst och personanpassning.
- Dataåtkomst: Användarattribut kan användas för att tillämpa datasäkerhetspolicyer. Det säkerställer att användare endast kan se data som de har behörighet att se.
- Personanpassning: Du kan anpassa innehållet utifrån användarattribut som plats och roll så att endast information som är relevant för användaren visas, vilket gör det lättare för användarna att hitta den information de behöver.
Sammanfattning av stegen för att använda användarattribut
Processen för att aktivera användarattribut i ett arbetsflöde kan sammanfattas i följande steg:
- Aktivera inställningen för användarattribut
- Ta med användarattribut i kontrollen
- Se till att innehållsutvecklaren tar med funktioner för användarattribut och relevanta filter
- Granska innehållet
Steg 1: Aktivera inställningen för användarattribut
Av säkerhetsskäl valideras användarattribut endast i ett autentiseringsarbetsflöde när inställningen för användarattribut har aktiverats av en
Öppna TSM i en webbläsare:
https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.
Välj Användaridentitet och åtkomst > Autentiseringsmetod på fliken KONFIGURATION.
Välj SAML i listrutemenyn under Autentiseringsmetod.
I steg 8 markerar du kryssrutan Aktivera insamling av användarattribut under SAML-autentisering.
Gör följande när du är klar:
Klicka på Spara väntande ändringar.
Klicka på knappen Väntande ändringar högst upp på sidan.
Klicka på Tillämpa ändringarna och starta om.
Steg 2: Ta med användarattribut i kontrollen
Se till att kontrollen innehåller användarattributen.
Obs! För attribut i SAML-svar gäller en längdbegränsning på 4096 tecken, med undantag för attributen scope och scp. Om attributen i svaret, inklusive användarattribut, överskrider den här gränsen kommer Tableau ta bort attributen och skicka attributet ExtraAttributesRemoved i stället. Innehållsutvecklaren kan sedan skapa en beräkning med attributet ExtraAttributesRemoved för att avgöra hur innehållet ska visas för användarna när attributet har identifierats.
Exempel
Anta att du har en anställd, Fred Suzuki, som är en chef som arbetar i den södra regionen. Du vill vara säker på att Fred bara får se data för den södra regionen när han granskar rapporter. I ett sådant scenario skulle du kunna ta med användarattributet Region i SAML-svaret, som i exemplet nedan.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner
Se till att innehållsutvecklaren tar med funktioner för användarattribut och tillhörande filter för att styra vilka data som ska visas i innehållet. För att säkerställa att användarattributskontrollerna skickas till Tableau ska innehållet innehålla en av följande funktioner för användarattribut:
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
Vilken av funktionerna innehållsutvecklaren använder beror på om användarattributen väntas returnera ett eller flera värden. Mer information om de här funktionerna och exempel på användning av dem finns i avsnittet Användarfunktioner(Länken öppnas i ett nytt fönster) i Tableau-hjälpen.
Obs!
- Förhandsgranskning av innehållet med de här funktionerna är inte tillgänglig när innehåll skapas i Tableau Desktop eller Tableau Cloud. Funktionen returnerar NULL eller FALSE. För att säkerställa att användarfunktionerna fungerar som förväntat rekommenderar vi att utvecklaren granskar funktionerna när innehållet har gjorts tillgängligt.
- För att säkerställa att innehållet återges som förväntat kan innehållsutvecklaren överväga att ta med en beräkning som 1) söker efter attributet
ExtraAttributesRemoved: och 2) bestämmer vad som ska göras med innehållet om attributet förekommer, till exempel visa ett meddelande. Det är endast när attributen i SAML XML-svaret är längre än 4 096 tecken som Tableau lägger till attributetExtraAttributesRemovedoch tar bort alla andra attribut (förutomscpochscope). Det görs för att säkerställa optimala prestanda och ta hänsyn till begränsningar i lagringsutrymmet.
Exempel
Som fortsättning på exemplet i Steg 2: Ta med användarattribut i kontrollen ovan skulle utvecklaren kunna skicka anspråket för användarattributet ”Region” till en arbetsbok genom att ta med attributet USERATTRIBUTEINCLUDES. Till exempel, USERATTRIBUTEINCLUDES('Region', [Region])där ”Region” är ett användarattribut och [Region] är en datakolumn. Utvecklaren kan använda den nya beräkningen för att skapa en tabell med chefs- och försäljningsdata. När beräkningen läggs till returnerar arbetsboken som förväntat värdet False.

För att endast visa de data som är associerade med den södra regionen i den inbäddade arbetsboken kan utvecklaren skapa ett filter och anpassa det så att det visar värden när den södra regionen har värdet True. När filtret tillämpas blir arbetsboken som förväntat tom, eftersom funktionen returnerar False, och filtret är anpassat för att endast visa värden som är True.

Steg 4: Granska innehållet
Granska och validera innehållet.
Exempel
För att avsluta exemplet från Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner ovan kan du se att försäljningsdata i vyn har anpassats för Fred Suzuki eftersom hans användarkontext är den södra regionen.

Chefer från regioner som ingår i arbetsboken ser värdet som är associerat med deras egen region. Sawdie Pawthorne från den västra regionen skulle till exempel se data som är specifika för hennes region.

Chefer vars regioner inte ingår i arbetsboken skulle se en tom arbetsbok.
Kända problem och begränsningar
Det finns några kända problem och begränsningar som du bör tänka på när du arbetar med funktioner för användarattribut.
