OpenID Connect 身份验证请求参数

Tableau Server 发送的 OpenID 身份验证请求使用本主题中列出的有限参数集传递信息。如果您的 OpenID IdP 需要不在以下列表中的参数,则它不兼容,因此无法与 Tableau Server 配合使用。

  • scope。此值指定一个配置文件,该配置文件告诉 IdP 需要返回的用户信息。此值可由 Tableau Server 管理员配置。默认值为“openid 电子邮件配置文件”。有关详细信息,请参见本文档后面的配置范围值

  • response_type。OpenID Connect 支持多个流程。此值告诉 IdP Tableau Server 所需要的流程。Tableau 仅支持授权代码流程,并且值始终设置为“代码”。

  • client_id。此值指定服务器的 ID(“Tableau Server 配置”对话框中的提供程序客户端 ID),这使 IdP 能够知道请求来自哪里。注册服务时,它由 IdP 提供。此值可由 Tableau Server 管理员配置。

  • redirect_uri。此值指定使用 OpenID Connect 对用户进行身份验证后 IdP 重定向到的 URL。URL 必须包括主机和协议(例如,http://example.tableau.com),但 Tableau 会提供 URL 端点。

  • nonceTableau Server 生成一个 nonce 值来验证它所重定向到的客户端是否与从 IdP 中返回的实体匹配。

配置 scope 值

scope 值向 IdP 指明 Tableau Server 所请求的有关用户的信息。默认情况下,Tableau Server 会发送值“openid 电子邮件配置文件”。这表明,Tableau 使用 OpenID 进行身份验证(必须始终包括这部分 scope 属性值),并且 Tableau Server 会在用户授权码交换期间请求用户配置文件和电子邮件信息。

如果此默认范围并不适合您的方案,您可以让 Tableau Server 请求有关用户的自定义信息。为此,您可以使用自定义配置文件配置 IdP(例如,像 "tableau-scope" 这样的内容)。然后,您可以使用自定义配置文件将 Tableau Server 配置为发送请求。

若要更改 Tableau Server 请求的 scope 值,请使用以下 TSM CLI 命令:

tsm authentication openid configure --custom-scope-name custom-scope-name

注意:

  • Tableau Server 会始终在范围值中包括 "openid"(即使您未在 custom_scope 设置中包括它也不例外)。
  • TSM 身份验证配置命令仅适用于 Tableau Server 设置期间在 TSM 中配置的 OIDC 身份验证。若要更改身份池的 OIDC 身份验证配置,您可以通过 Tableau REST OpenAPI 使用更新身份验证配置(链接在新窗口中打开)端点。
感谢您的反馈!您的反馈已成功提交。谢谢!