OpenID Connect

Sie können Tableau Server so konfigurieren, dass die Anwendung OpenID Connect für Single Sign-on (SSO, einmalige Anmeldung) unterstützt. OpenID Connect ist ein Standard-Authentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie Google anmelden können. Nach der erfolgreichen Anmeldung bei ihrem IdP sind sie automatisch bei Tableau Server angemeldet.

Die Konfiguration von OpenID Connect umfasst mehrere Schritte. Die Themen in diesem Abschnitt enthalten allgemeine Informationen zur Verwendung von Tableau Server mit OpenID Connect und eine Abfolge zur Konfiguration von IdP und Tableau Server.

Authentifizierungsübersicht

In diesem Abschnitt wird der OpenID Connect-Authentifizierungsprozess mit Tableau Server beschrieben.

Schritt 1: Ein Benutzer versucht, sich von einem Client-Computer aus bei Tableau Server anzumelden.

Schritt 2: Tableau Server leitet die Anforderung zur Authentifizierung an das IdP-Gateway weiter.

Schritt 3: Der Benutzer wird zur Eingabe der Anmeldeinformationen aufgefordert und authentifiziert sich erfolgreich beim Identitätsanbieter. Das IdP antwortet mit einer Redirect-URL zurück zum Tableau Server. Die Umleitungs-URL enthält einen Autorisierungsscode für den Benutzer.

Schritt 4: Der Client wird auf Tableau Server umgeleitet und zeigt den Autorisierungscode.

Schritt 5: Tableau Server präsentiert den Autorisierungscode des Clients für das IdP zusammen mit seinen eigenen Client-Anmeldeinformationen. Tableau Server ist auch Client des IdP. Dieser Schritt soll Spoofing oder Man-in-the-Middle-Angriffe verhindern.

Schritt 6: Der Identitätsanbieter gibt ein Zugriffstoken und ein ID-Token an Tableau Server zurück.

  • JSON-Webtokenvalidierung (JWT): Tableau Server führt standardmäßig eine JWT-Validierung für den Identitätsanbieter durch. Während der Erkennung ruft Tableau Server die öffentlichen Schlüssel ab, die durch jwks_uri im Discovery-Dokument der Identitätsanbieter-Konfiguration angegeben sind. Tableau Server validiert das ID-Token bezüglich des Ablaufs und überprüft anschließend die JSON-Websignatur (JWS), den Herausgeber (Identitätsanbieter) und die Client-ID. Weitere Informationen zum JWT-Prozess finden Sie in der OpenID-Dokumentation, 10. Signaturen und Verschlüsselung, und im von der IETF vorgeschlagenen Standard JSON-Webtoken. Es wird empfohlen, die JWT-Validierung aktiviert zu lassen, es sei denn, sie wird von Ihrem Internetdienstanbieter nicht unterstützt.

  • Das ID-Token ist ein Satz an Attribut-Schlüssel-Paaren für den Benutzer. Die Schlüssel-Paare werden als Ansprüche bezeichnet. Im Folgenden finden Sie einen Identitätsanbieteranspruch für einen Benutzer:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@tableau.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

Schritt 7: Tableau Server identifiziert den Benutzer anhand des IdP-Claim und schließt die Authentifizierungs-Anforderung von Schritt 1 ab. Tableau Server sucht nach dem im Repository gespeicherten Kontoeintrag des Benutzers, indem er mit dem „Sub“ (Betreffkennung) übereinstimmt, um das richtige Benutzerkonto zu identifizieren. Wenn kein Benutzerkonto mit dem Sub-Anspruchswert gespeichert ist, sucht Tableau Server im Repository nach einem Benutzernamen, der dem „E-Mail“-Anspruch des IdP entspricht. Wenn ein übereinstimmender Benutzername gefunden wird, speichert Tableau Server den entsprechenden Sub-Anspruch in den Benutzerdatensatz im Repository. Tableau Server kann konfiguriert werden, um verschiedene Ansprüche für diesen Prozess zu verwenden. Siehe Anforderungen für die Verwendung von OpenID Connect.

Schritt 8:Tableau Server autorisiert den Benutzer.

Funktionsweise von Tableau Server mit OpenID Connect

OpenID Connect ist ein flexibles Protokoll, das zahlreiche Optionen für den Informationsaustausch zwischen einem Internetdienstanbieter (hier Tableau Server) und einem Identitätsanbieter unterstützt. Die folgende Liste enthält Details zur Tableau Server-Implementierung von OpenID Connect. Mithilfe dieser Details erhalten Sie ein besseres Verständnis dafür, welche Art von Informationen von Tableau Server gesendet und erwartet werden und wie Sie einen IdP konfigurieren.

  • Tableau Server unterstützt nur den OpenID Authorization Code Flow, der in der finalen Spezifikation zu OpenID Connect beschrieben ist.

  • Tableau Server verwendet eine Discovery- oder Provider-URL, um die OpenID-Provider-Metadaten abzurufen. Alternativ können Sie ein statisches Discovery-Dokument auf Tableau Server hosten. Weitere Informationen finden Sie unter Konfigurieren von Tableau Server für OpenID Connect.

  • Tableau Server unterstützt nur die Client-Authentifizierungsmethode client_secret_jwt, die in der OpenID Connect-Spezifikation angegeben ist. Zusätzlich unterstützt Tableau Server nur die asymmetrische RSA-Verschlüsselung für die Verarbeitung des JWT. Sie können jedoch die JWT-Validierung deaktivieren. Siehe tsm authentication openid <commands>.

  • Tableau Server erwartet einen kid-Wert im JOSE-Header des id_token-Attributs. Dieser Wert wird mit einem der Schlüssel im JWK-Satz-Dokument abgeglichen, dessen URI durch den jwks_uri-Wert im OpenID Discovery-Dokument angegeben wird. Ein kid-Wert muss vorhanden sein, auch wenn das JWK-Satz-Dokument nur einen Schlüssel enthält.

  • Tableau Server Bietet keine OpenID-Unterstützung für den JWK x5c-Parameter oder die Verwendung von X.509-Zertifikaten

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.