Konfigurieren von Tableau Server für OpenID Connect

In diesem Thema wird beschrieben, wie Tableau Server für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Server.

  1. OpenID Connect – Übersicht

  2. Konfigurieren des Identitätsanbieters für OpenID Connect

  3. Konfigurieren von Tableau Server für OpenID Connect (an dieser Stelle befinden Sie sich gerade)

  4. Anmelden bei Tableau Server mit OpenID Connect

Hinweise:

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Klicken Sie auf der Registerkarte Konfiguration auf Benutzeridentität und Zugriff und dann auf Authentifizierungsmethode.

  3. Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode OpenID Connect aus.

  4. Wählen Sie unter "OpenID Connect" OpenID-Authentifizierung für den Server aktivieren aus.

  5. Geben Sie die OpenID-Konfigurationsinformation für Ihre Organisation ein:

    Screenshot "Konfigurieren von OpenID"

    Hinweis: Wenn Ihr Provider mit einer Konfigurationsdatei auf Ihrem lokalen Computer arbeitet (statt mit einer Datei, die über eine öffentliche URL bereitgestellt wird), können Sie die Datei mit dem Befehl tsm authentication openid <commands> angeben. Eine lokale IdP-Konfigurationsdatei geben Sie mit dem Befehl --metadata-file <file_path> an.

  6. Klicken Sie nach der Eingabe Ihrer Konfigurationsdaten auf Ausstehende Änderungen speichern.

  7. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

  8. Klicken Sie auf Änderungen anwenden und neu starten.

Das Verfahren in diesem Abschnitt beschreibt, wie Sie die Befehlszeilenschnittstelle von TSM zum Konfigurieren von OpenID Connect verwenden. Sie können auch eine Konfigurationsdatei für die Erstkonfiguration von OpenID Connect verwenden. Siehe openIDSettings-Entität.

  1. Legen Sie mithilfe des Befehls configure von tsm authentication openid <commands> die folgenden erforderlichen Optionen fest:

    --client-id <id>: Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat. Beispiel: “laakjwdlnaoiloadjkwha".

    --client-secret <secret>: Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden. Beispiel: “fwahfkjaw72123=".

    --config-url <url> oder --metadata-file <file_path>: Gibt den Speicherort der "json"-Anbieterkonfigurationsdatei an. Verwenden Sie --config-url, wenn der Anbieter eine öffentliche "json"-Discovery-Datei hostet. Geben Sie ansonsten stattdessen einen Pfad zum lokalen Computer und einen Dateinamen für --metadata-file an.

    --return-url <url>:Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B. "http://example.tableau.com".

    Führen Sie beispielsweise den folgenden Befehl aus:

    tsm authentication openid configure --client-id “laakjwdlnaoiloadjkwha" --client-secret “fwahfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Es gibt weitere optionale Konfigurationsoptionen, die Sie für Open ID Connect mithilfe der openIDSettings-Entität oder von tsm authentication openid <commands> festlegen können. Wenn Sie darüber hinaus die Zuordnung von IdP-Claims konfigurieren müssen, lesen Sie die Informationen unter Optionen für "openid map-claims".

  2. Geben Sie den folgenden Befehl ein, um Open ID Connect zu aktivieren:

    tsm authentication openid enable

  3. Führen Sie tsm pending-changes apply aus, um die Änderungen zu übernehmen.

    Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Konfigurieren von OpenID für die Verwendung eines Forward-Proxys

Standardmäßig ignoriert Tableau Server die Proxy-Einstellungen und sendet alle OpenID-Anfragen direkt an den IdP.

Ab Tableau Server 2021.2.2 und höher können Sie Tableau Server so konfigurieren, dass der Proxy-Host und die Port-Einstellungen verwendet werden, um den OpenID-IdP zu kontaktieren, wenn Tableau so konfiguriert ist, dass ein Forward-Proxy für die Verbindung zum Internet verwendet wird.

Wie Sie Tableau Server konfigurieren, hängt davon ab, wie Sie den Forward-Proxy in Ihrer Organisation implementiert haben:

  • Der Forward-Proxy wird auf dem Windows-Computer konfiguriert, auf dem Tableau Server ausgeführt wird.
  • Tableau Server sendet den gesamten ausgehenden Datenverkehr direkt an einen Forward-Proxy-Server, der in Ihrer Organisation betrieben wird.

Proxy-Konfiguration des Windows-Systems

Wenn Ihre Organisation einen Forward-Proxy auf jedem Windows-Computer konfiguriert hat, verwenden Sie diese Methode, um die System-Proxy-Konfiguration für OpenID auf Tableau Server zu verwenden. Führen Sie die folgenden Befehle aus:

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

Forward-Proxyserver

Verwenden Sie den Befehl tsm configuration set, um die Änderungen vorzunehmen.

  • Verwenden Sie für HTTPS-Proxy-Hosts die folgenden Schlüssel-Wert-Paare:

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    Wenn sich Ihr Proxyserver beispielsweise unter https://proxy.example.lan:8443 befindet, führen Sie die folgenden Befehle aus:

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • Verwenden Sie für HTTP-Proxy-Hosts die folgenden Schlüssel-Wert-Paare:

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    Nachdem Sie diese Schlüssel festgelegt haben, führen Sie tsm pending-changes apply aus.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.