针对 OpenID Connect 配置 Tableau Server
本主题描述如何将 Tableau Server 配置为使用 OpenID Connect (OIDC) 进行单点登录 (SSO)。这是由多个步骤组成的过程中的一步。以下主题提供有关配置以及将 OIDC 与 Tableau Server 一起使用的信息。
针对 OpenID Connect 配置 Tableau Server(此部分)
注意:
- 在执行此处介绍的步骤之前,您必须配置 OpenID 身份提供程序 (IdP),如 针对 OpenID Connect 配置身份提供程序 中所述。
- 本主题中描述的过程适用于 Tableau Server 设置期间在 TSM 中配置的 OIDC 身份验证,而不适用于使用身份池配置的 OIDC 身份验证。有关身份池的详细信息,请参见使用身份池预置和验证用户。
在浏览器中打开 TSM:
https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI。
在“配置”选项卡上单击“用户身份和访问”,然后单击“身份验证方法”。
在“身份验证方法”下的下拉菜单中选择“OpenID Connect”。
在“OpenID Connect”下,选择“为服务器启用 OpenID 身份验证”。
输入组织的 OpenID 配置信息:
注意:如果提供程序依赖于本地计算机上托管的配置文件(而不是在公共 URL 处托管的文件),您可以使用 tsm authentication openid <commands> 指定文件。使用
--metadata-file <file_path>选项指定本地 IdP 配置文件。输入配置信息后,单击“保存待处理的更改”。
单击页面顶部的“待定更改”:
单击“应用更改并重新启动”。
此部分中的过程描述如何使用 TSM 命令行接口来配置 OpenID Connect。您也可以使用配置文件来进行 OpenID Connect 的初始配置。请参见openIDSettings 实体。
使用tsm authentication openid <commands> 的
configure命令设置以下必需选项:--client-id <id>:指定 IdP 已分配给您的应用程序的提供程序客户端 ID。例如,“laakjwdlnaoiloadjkwha"。--client-secret <secret>:指定提供程序客户端密文。这是 Tableau 用于验证来自 IdP 的响应的真实性的令牌。此值是密文,应妥善保管。例如,“fwahfkjaw72123="。--config-url <url>或--metadata-file <file_path>:指定提供程序配置 json 文件的位置。如果提供程序承载公共 json 发现文件,则使用--config-url。否则,请改为指定本地计算机上的一个路径,并为--metadata-file指定文件名。--return-url <url>:服务器的 URL。这通常是您的服务器的公共名称,例如"http://example.tableau.com"。例如,运行以下命令:
tsm authentication openid configure --client-id “laakjwdlnaoiloadjkwha" --client-secret “fwahfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"还有一些您可使用 openIDSettings 实体 或 tsm authentication openid <commands> 为 Open ID Connect 设置的可选配置。此外,如果需要配置 IdP 声明映射,请参见openid map-claims 选项。
键入以下命令以启用 Open ID Connect:
tsm authentication openid enable运行
tsm pending-changes apply以应用更改。如果待定更改需要重新启动服务器,
pending-changes apply命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用--ignore-prompt选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。