Registrieren eines EAS, um SSO für eingebettete Inhalte zu ermöglichen
Als Tableau Server-Administrator können Sie einen externen Autorisierungsserver (External Authorization Server, EAS) registrieren, um mithilfe des OAuth 2.0-Standardprotokolls eine Vertrauensbeziehung zwischen Ihrem Tableau Server und dem EAS herzustellen. Der Aufbau einer Vertrauensbeziehung ermöglicht Ihnen Folgendes:
- Sie können Ihren Benutzern die Möglichkeit geben, über den Identitätsanbieter (Identity Provider, IdP), den Sie bereits für Tableau Server konfiguriert haben, mittels einmaliger Anmeldung (Single Sign-On, SSO) auf Tableau-Inhalte zuzugreifen, die in Ihren externen Anwendungen eingebettet sind.
- Sie können den Zugriff auf die Tableau-REST-API (und die Metadaten-API ab Tableau Server Oktober 2023) im Namen der Benutzer programmgesteuert mithilfe eines JSON-Web-Tokens (JWT) autorisieren.
Wenn eingebettete Tableau-Inhalte in Ihre externe Anwendung geladen werden, wird ein standardmäßiges OAuth-Schema verwendet. Nach der erfolgreichen Anmeldung beim IdP sind Benutzer automatisch bei Tableau Server angemeldet. Führen Sie die unten aufgeführten Schritte durch, um Ihren EAS bei Tableau Server zu registrieren.
Wichtig:
- Einige der in diesem Thema beschrieben Verfahren erfordern eine Konfiguration mit Software und Diensten von Drittanbietern. Wir haben uns nach Kräften bemüht, die Verfahren zur Aktivierung der EAS-Funktion in Tableau Server zu verifizieren. Software und Dienste von Drittanbietern können sich jedoch ändern oder in Ihrer Organisation anders ausfallen. Sollten Probleme auftreten, entnehmen Sie offizielle Konfigurationsdetails und Supportinformationen bitte der Dokumentation Ihrer Drittanbieter.
- Um das Einbetten über EAS zu ermöglichen, muss Tableau Server für die Verwendung von SSL für HTTP-Datenverkehr konfiguriert werden.
- Damit das Sitzungs-Token gültig ist, müssen die Uhren der externen Anwendung und des Servers, der die externe Anwendung hostet, auf koordinierte Weltzeit (UTC) eingestellt sein. Wenn eine der Uhren einen anderen Standard verwendet, wird der verbundenen App nicht vertraut.
Schritt 1: Bevor Sie beginnen
Um einen EAS bei Tableau Server- zu registrieren, müssen Sie über einen EAS verfügen, der bereits konfiguriert ist. Außerdem muss der EAS ein gültiges JSON-Webtoken (JSON Web Token, JWT) senden, das die in der folgenden Tabelle aufgeführten registrierten Ansprüche und Header enthält.
| Anspruch | Name | Beschreibung oder erforderlicher Wert |
"kid" | Schlüssel-ID | Erforderlich (im Header). Eine eindeutige Schlüsselkennung des Identitätsanbieters. |
"iss" | Aussteller (Issuer) | Erforderlich (im Header oder als Anspruch). Eindeutiger Aussteller-URI, der die vertrauenswürdige verbundene App und ihren Signaturschlüssel identifiziert. |
"alg" | Algorithmus (Algorithm) | Erforderlich (im Header). JWT-Signaturalgorithmus. Unterstützte Algorithmusnamen sind in der javadoc.io-Dokumentation auf der Seite Class JWSAlgorithm(Link wird in neuem Fenster geöffnet) aufgeführt. |
"sub" | Antragsteller (Subject) | Benutzername des authentifizierten Tableau Server-Benutzers. |
"aud" | Zielgruppe (Audience) | Der Wert muss sein: " |
"exp" | Ablaufzeit (Expiration Time) | |
"jti" | JWT-ID (JWT ID) | Der JWT-ID-Anspruch stellt einen eindeutigen Bezeichner für das JWT bereit und unterscheidet zwischen Groß- und Kleinschreibung. |
"scp" | Bereich | Zu den unterstützten Werten für Einbettungs-Workflows gehören: " Hinweise:
Informationen zu REST API-Autorisierungs-Workflows finden Sie unter REST API-Methoden, die JWT-Autorisierung unterstützen. Für Metadaten-API-Workflows, die die REST-API zur Authentifizierung verwenden, ist der einzige unterstützte Bereich |
Hinweis: Die oben aufgeführten JWT-Ansprüche sind im Abschnitt Registered Claim Names(Link wird in neuem Fenster geöffnet) (Namen registrierter Ansprüche) in der von der IETF (Internet Engineering Task Force) vertriebenen Dokumentation dokumentiert.
Schritt 2: Registrieren Ihres EAS bei Tableau Server
Durch die Registrierung Ihres EAS bei Tableau Server stellen Sie eine Vertrauensbeziehung zwischen dem EAS und Tableau Server- her. Das bedeutet, wenn Benutzer auf Tableau-Inhalte zugreifen, die in Ihre externe Anwendung eingebettet sind, werden sie umgeleitet, um sich beim IdP zu authentifizieren. Der EAS generiert das Authentifizierungstoken, das zur Überprüfung an Tableau Server übergeben wird. Nachdem die Vertrauensstellung überprüft wurde, wird Benutzern der Zugriff auf den eingebetteten Inhalt gewährt.
Nach der Registrierung des EAS gilt die hergestellte Vertrauensstellung für alle Sites auf Tableau Server.
Hinweis: Einige EAS unterstützen die Option zum Anzeigen eines Dialogfelds, in dem die Benutzer um die Zustimmung gebeten werden, dass die Anwendung auf Tableau-Inhalte zugreifen darf. Um die beste Erfahrung für Ihre Benutzer zu gewährleisten, empfehlen wir Ihnen, Ihren EAS so zu konfigurieren, dass er auf die Anfrage der externen Anwendung automatisch im Namen der Benutzer die Zustimmung erteilt.
Melden Sie sich als Tableau Server-Administrator bei der Weboberfläche von TSM (Tableau Services Manager) an. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.
- Navigieren Sie zu "Benutzeridentität und Zugriff" > "Autorisierungsserver" und gehen Sie wie folgt vor:
Aktivieren Sie das Kontrollkästchen OAuth-Zugriff für eingebettete Inhalte aktivieren.
Fügen Sie im Textfeld Aussteller-URL die Aussteller-URL des EAS ein.
Klicken Sie auf die Schaltfläche Ausstehende Änderungen speichern.
- Wenn Sie fertig sind, gehen Sie wie folgt vor:
Klicken Sie rechts oben auf der Seite auf die Schaltfläche Ausstehende Änderungen.
Klicken Sie rechts unten auf der Seite auf die Schaltfläche Änderungen übernehmen und neu starten, um Tableau Server zu beenden und neu zu starten.
- Öffnen Sie als Administrator eine Eingabeaufforderung auf dem Ausgangsknoten (auf dem TSM installiert ist) in dem Cluster.
Führen Sie die folgenden Befehle aus:
tsm configuration set -k vizportal.oauth.external_authorization.enabled -v true tsm configuration set -k vizportal.oauth.external_authorization_server.issuer -v "<issuer_url_of_EAS>" tsm restart
Schritt 3: Nächste Schritte
Für Einbettungs-Workflows
Nachdem Sie Tableau Server- für die Verwendung Ihres EAS konfiguriert haben, müssen Sie Ihrer externen Anwendung Einbettungscode hinzufügen. Stellen Sie sicher, dass Sie das gültige JWT, das von Ihrem EAS generiert wurde (wie in Schritt 1 beschrieben), in die Webkomponente einschließen, die Ihre externe Anwendung aufruft.
Weitere Informationen zum Einbetten von Tableau-Inhalten finden Sie in einem oder beiden der folgenden Abschnitte:
- Informationen zum Einbetten von Metriken finden Sie unter dem Thema Einbetten von Metriken in Webseiten(Link wird in neuem Fenster geöffnet) in der Tableau-Hilfe. (In
- Betten Sie Tableau-Ansichten und -Metriken mithilfe der Tableau Embedding-API v3(Link wird in neuem Fenster geöffnet) ein.
Hinweis: Damit Benutzer beim Zugriff auf eingebettete Inhalte erfolgreich authentifiziert werden, müssen Browser so konfiguriert sein, dass sie Cookies von Drittanbietern zulassen.
Steuern, wo Inhalte eingebettet werden können, indem Sie die Domänen-Zulassungsliste zum Einbetten verwenden
Ab
Standardmäßig ist die Site-Einstellung unrestrictedEmbedding für die Einbettung auf true festgelegt, um ein uneingeschränktes Einbetten zu ermöglichen. Alternativ können Sie und Ihre Benutzer die Einstellung auf false festlegen und mithilfe des Parameters allowList die Domänen angeben, in denen Tableau-Inhalte in externen Anwendungen eingebettet werden können.
Weitere Informationen finden Sie unter einem der beiden folgenden Themen:
- Einbettungseinstellungen für die Website aktualisieren(Link wird in neuem Fenster geöffnet) in der Tableau REST API-Hilfe
- Tableau-Site-Einstellung zum Einbetten(Link wird in neuem Fenster geöffnet) in der Tableau Embedding API v3-Hilfe.
Für REST API-Autorisierungs-Workflows
Nachdem das JWT konfiguriert wurde, müssen Sie das gültige JWT der REST API-Anmeldeanforderung für autorisierten Zugriff hinzufügen. Weitere Informationen finden Sie unter Zugriffsbereiche für verbundene Apps.
Für Metadaten-API-Workflows
Nachdem das JWT konfiguriert wurde, müssen Sie das gültige JWT der REST API-Anmeldeanforderung hinzufügen. Weitere Informationen finden Sie unter Zugriffsbereiche für verbundene Apps.
Bekannte Probleme (nur Einbettungs-Workflows)
Bei der Verwendung von verbundenen Apps gibt es einige bekannte Probleme, die in einer zukünftigen Version behoben werden.
Symbolleistenfeatures: Wenn für eingebettete Inhalte der Symbolleistenparameter definiert ist, funktionieren manche Symbolleistenfeatures nicht. Um dieses Problem zu umgehen, empfehlen wir Ihnen, den Symbolleistenparameter (wie im folgenden Beispiel gezeigt) auszublenden.
<tableau-viz id='tab-viz' src='https://<your_server>/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
- Veröffentlichte Datenquellen: Veröffentlichte Datenquellen, für die festgelegt ist, dass Benutzer Datenbankanmeldeinformationen eingeben müssen, werden nicht angezeigt. Um dieses Problem zu umgehen, empfehlen wir, dass Datenquellenbesitzer stattdessen ihre eigenen Datenbankanmeldeinformationen einbetten (sofern möglich).
Problembehebung
Wenn eingebettete Inhalte in Ihrer externen Anwendung nicht angezeigt werden oder wenn die Tableau-REST API-Autorisierung fehlschlägt, können Sie die Entwicklertools eines Browsers verwenden, um Fehlercodes zu überprüfen und zu identifizieren, die möglicherweise mit dem in Tableau Server aktivierten EAS-Feature im Zusammenhang stehen.
In der folgenden Tabelle finden Sie die Beschreibungen der Fehlercodes und der möglichen Lösung.
| Fehlercode | Zusammenfassung | Beschreibung | Mögliche Lösung oder Erklärung |
| 5 | SYSTEM_USER_NOT_FOUND | Tableau-Benutzer konnte nicht gefunden werden | sub" (Subjekt) im JWT der "username" (Benutzername) für den authentifizierten Tableau Server ist. Bei dem Wert wird die Groß-/Kleinschreibung berücksichtigt. |
| 16 | LOGIN_FAILED | Fehler beim Anmelden | Dieser Fehler wird meist durch eines der folgenden Anspruchsprobleme im JWT verursacht:
|
| 67 | FEATURE_NOT_ENABLED | Der On-Demand-Zugriff wird nicht unterstützt | Der On-Demand-Zugriff ist nur über lizenzierte Tableau Cloud-Sites verfügbar. |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | EAS-Metadaten-Endpunkt fehlt | Um dieses Problem zu beheben, überprüfen Sie, ob der EAS richtig konfiguriert ist und der richtige Aussteller aufgerufen wird. |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | Fehlender Aussteller | Um dieses Problem zu beheben, überprüfen Sie, ob der richtige Aussteller aufgerufen wird. |
| 10083 | BAD_JWT | Der JWT-Header enthält Probleme. | Im JWT-Header fehlen die Ansprüche "kid" (Secret ID, geheime ID) oder "clientId" (Issuer, Aussteller). Um dieses Problem zu beheben, stellen Sie sicher, dass diese Informationen enthalten sind. |
| 10084 | JWT_PARSE_ERROR | JWT enthält Probleme | Überprüfen Sie Folgendes, um dieses Problem zu beheben:
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | JWT konnte Schlüssel nicht finden | Das Geheimnis konnte nicht gefunden werden. Um dieses Problem zu beheben, überprüfen Sie, ob der richtige Aussteller aufgerufen wird. |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | Es gibt ein Problem mit dem JWT-Signaturalgorithmus. | Um das Problem zu beheben, können Sie den Signaturalgorithmus entfernen. |
| 10088 | RSA_KEY_SIZE_INVALID | Ein Problem mit JWT-Signaturanforderungen liegt vor. | Um dieses Problem zu beheben, überprüfen Sie mit dem EAS oder IdP, dass das JWT mit einer RSA-Schlüsselgröße von 2.048 signiert ist. |
| 10091 | JTI_ALREADY_USED | Eindeutiges JWT erforderlich | Das JWT wurde bereits im Authentifizierungsprozess verwendet. Um dieses Problem zu beheben, muss der EAS oder IdP ein neues JWT generieren. |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | Die Domäne des eingebetteten Inhalts ist nicht angegeben. | Um dieses Problem zu beheben, stellen Sie sicher, dass die Einstellung unrestrictedEmbedding auf true festgelegt ist oder der Parameter domainAllowlist die Domänen enthält, in die Tableau-Inhalte mithilfe der Methode Einbettungseinstellungen für die Site aktualisieren(Link wird in neuem Fenster geöffnet) in der Tableau-REST API eingebettet werden. |
| 10094 | MISSING_REQUIRED_JTI | Fehlende JWT-ID | Um dieses Problem zu beheben, stellen Sie sicher, dass die "jti" (JWT-ID) im JWT enthalten ist. |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp" (Expiration Time) überschreitet die standardmäßig maximale Gültigkeitsdauer. Um dieses Problem zu beheben, überprüfen Sie registrierte Ansprüche(Link wird in neuem Fenster geöffnet), die für ein gültiges JWT erforderlich sind, und stellen Sie sicher, dass der richtige Wert verwendet wird. Um die maximale Gültigkeitsdauer zu ändern, können Sie den Befehl vizportal.oauth.external_authorization_server.max_expiration_period_in_minutes verwenden. | |
| 10097 | SCOPES_MALFORMED | Probleme mit Geltungsbereichsansprüchen | Dieser Fehler kann auftreten, wenn der Anspruch "scp" (Scope) entweder im JWT fehlt oder nicht als Listentyp übergeben wird. Um dieses Problem zu beheben, überprüfen Sie, ob "scp" im JWT enthalten ist und als Listentyp übergeben wird. Hilfe zur Fehlerbehebung bei einem JWT finden Sie unter Debugger(Link wird in neuem Fenster geöffnet) auf der auth0-Site. |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | Das JWT ist unsigniert oder verschlüsselt | Tableau unterstützt keine unsignierten oder verschlüsselten JWT. |
| 10099 | SCOPES_MISSING_IN_JWT | Anspruch für Bereiche fehlt | Dem JWT fehlt der erforderliche Anspruch "scp" (Geltungsbereich). Um dieses Problem zu beheben, stellen Sie sicher, dass "scp" im JWT enthalten ist. Hilfe zur Fehlerbehebung bei einem JWT finden Sie unter Debugger(Link wird in neuem Fenster geöffnet) auf der auth0-Site. |
| 10100 | JTI_PERSISTENCE_FAILED | Unerwarteter JWT-ID-Fehler | Es ist ein unerwarteter Fehler mit der "jti" (JWT-ID) aufgetreten. Um dieses Problem zu beheben, muss ein neues JWT mit einem neuen "jti" generiert werden. |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT überschreitet die maximale Größe | Dieser Fehler kann auftreten, wenn die JWT-Größe 8000 Byte überschreitet. Um dieses Problem zu beheben, stellen Sie sicher, dass nur die erforderlichen Ansprüche an Tableau Server übergeben werden. |