OpenID Connect

Sie können Tableau Server so konfigurieren, dass die Anwendung OpenID Connect für Single Sign-on (SSO, einmalige Anmeldung) unterstützt. OpenID Connect ist ein Standard-Authentifizierungsprotokoll, über das sich Benutzer bei einem Identitätsanbieter (Identity Provider, IdP) wie Google anmelden können. Nach der erfolgreichen Anmeldung bei ihrem IdP sind sie automatisch bei Tableau Server angemeldet.

Die Konfiguration von OpenID Connect umfasst mehrere Schritte. Die Themen in diesem Abschnitt enthalten allgemeine Informationen zur Verwendung von Tableau Server mit OpenID Connect und eine Abfolge zur Konfiguration von IdP und Tableau Server.

Hinweis: Sofern nicht anders angegeben, gelten Informationen über die OIDC-Authentifizierung sowohl für die OIDC-Authentifizierung, die während der Einrichtung von Tableau Server in TSM konfiguriert wird, als auch für die OIDC-Authentifizierung, die mit Identitätspools(Link wird in neuem Fenster geöffnet) konfiguriert wird.

Authentifizierungsübersicht

In diesem Abschnitt wird der OpenID Connect-Authentifizierungsprozess mit Tableau Server beschrieben.

Schritt 1: Ein Benutzer versucht, sich von einem Client-Computer aus bei Tableau Server anzumelden.

Schritt 2: Tableau Server leitet die Anforderung zur Authentifizierung an das IdP-Gateway weiter.

Schritt 3: Der Benutzer wird zur Eingabe der Anmeldeinformationen aufgefordert und authentifiziert sich erfolgreich beim Identitätsanbieter. Das IdP antwortet mit einer Redirect-URL zurück zum Tableau Server. Die Umleitungs-URL enthält einen Autorisierungsscode für den Benutzer.

Schritt 4: Der Client wird auf Tableau Server umgeleitet und zeigt den Autorisierungscode.

Schritt 5: Tableau Server präsentiert den Autorisierungscode des Clients für das IdP zusammen mit seinen eigenen Client-Anmeldeinformationen. Tableau Server ist auch Client des IdP. Dieser Schritt soll Spoofing oder Man-in-the-Middle-Angriffe verhindern.

Schritt 6: Der Identitätsanbieter gibt ein Zugriffstoken und ein ID-Token an Tableau Server zurück.

  • JSON-Webtokenvalidierung (JWT): Tableau Server führt standardmäßig eine JWT-Validierung für den Identitätsanbieter durch. Während der Erkennung ruft Tableau Server die öffentlichen Schlüssel ab, die durch jwks_uri im Discovery-Dokument der Identitätsanbieter-Konfiguration angegeben sind. Tableau Server validiert das ID-Token bezüglich des Ablaufs und überprüft anschließend die JSON-Websignatur (JWS), den Herausgeber (Identitätsanbieter) und die Client-ID. Weitere Informationen zum JWT-Prozess finden Sie in der OpenID-Dokumentation, 10. Signaturen und Verschlüsselung(Link wird in neuem Fenster geöffnet), und im von der IETF vorgeschlagenen Standard JSON-Webtoken(Link wird in neuem Fenster geöffnet). Es wird empfohlen, die JWT-Validierung aktiviert zu lassen, es sei denn, sie wird von Ihrem Internetdienstanbieter nicht unterstützt.

  • Das ID-Token ist ein Satz an Attribut-Schlüssel-Paaren für den Benutzer. Die Schlüssel-Paare werden als Ansprüche bezeichnet. Im Folgenden finden Sie einen Identitätsanbieteranspruch für einen Benutzer:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@tableau.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

Schritt 7: Tableau Server identifiziert den Benutzer anhand des IdP-Claim und schließt die Authentifizierungs-Anforderung von Schritt 1 ab. Tableau Server sucht nach dem im Repository gespeicherten Kontoeintrag des Benutzers, indem er mit dem „Sub“ (Betreffkennung) übereinstimmt, um das richtige Benutzerkonto zu identifizieren. Wenn kein Benutzerkonto mit dem Sub-Anspruchswert gespeichert ist, sucht Tableau Server im Repository nach einem Benutzernamen, der dem „E-Mail“-Anspruch des IdP entspricht. Wenn ein übereinstimmender Benutzername gefunden wird, speichert Tableau Server den entsprechenden Sub-Anspruch in den Benutzerdatensatz im Repository. Tableau Server kann konfiguriert werden, um verschiedene Ansprüche für diesen Prozess zu verwenden. Siehe Anforderungen für die Verwendung von OpenID Connect.

Schritt 8:Tableau Server autorisiert den Benutzer.

Funktionsweise von Tableau Server mit OpenID Connect

OpenID Connect ist ein flexibles Protokoll, das zahlreiche Optionen für den Informationsaustausch zwischen einem Internetdienstanbieter (hier Tableau Server) und einem Identitätsanbieter unterstützt. Die folgende Liste enthält Details zur Tableau Server-Implementierung von OpenID Connect. Mithilfe dieser Details erhalten Sie ein besseres Verständnis dafür, welche Art von Informationen von Tableau Server gesendet und erwartet werden und wie Sie einen IdP konfigurieren.

  • Tableau Server unterstützt nur den OpenID Authorization Code Flow, der in der finalen Spezifikation zu OpenID Connect(Link wird in neuem Fenster geöffnet) beschrieben ist.

  • Tableau Server verwendet eine Discovery- oder Provider-URL, um die OpenID-Provider-Metadaten abzurufen. Alternativ können Sie ein statisches Discovery-Dokument auf Tableau Server hosten. Weitere Informationen finden Sie unter Konfigurieren von Tableau Server für OpenID Connect.

  • Tableau Server unterstützt die in der OpenID Connect-Spezifikation angegebenen Clientauthentifizierungsmethoden client_secret_basic und client_secret_post.

  • Tableau Server erwartet einen kid-Wert im JOSE-Header des id_token-Attributs. Dieser Wert wird mit einem der Schlüssel im JWK-Satz-Dokument abgeglichen, dessen URI durch den jwks_uri-Wert im OpenID Discovery-Dokument angegeben wird. Ein kid-Wert muss vorhanden sein, auch wenn das JWK-Satz-Dokument nur einen Schlüssel enthält.

  • Tableau Server Bietet keine OpenID-Unterstützung für den JWK x5c-Parameter oder die Verwendung von X.509-Zertifikaten

  • Standardmäßig ignoriert Tableau Server die Proxy-Einstellungen und sendet alle OpenID-Anfragen direkt an den IdP.

    Wenn Tableau Server für die Verwendung eines Forward-Proxys für die Verbindung mit dem Internet konfiguriert ist, müssen Sie zusätzliche Änderungen vornehmen, wie unter Konfigurieren von Tableau Server für OpenID Connect beschrieben.

Vielen Dank für Ihr Feedback!