Konfigurieren von Tableau Server für OpenID Connect

In diesem Thema wird beschrieben, wie Tableau Server für die Verwendung von OpenID Connect (OICD) für SSO (Single Sign-on) konfiguriert wird. Dies ist ein Schritt in einem mehrere Schritte umfassenden Prozess. Die folgenden Themen enthalten Informationen zur Konfiguration und Verwendung von OIDC mit Tableau Server.

  1. OpenID Connect – Übersicht

  2. Konfigurieren des Identitätsanbieters für OpenID Connect

  3. Konfigurieren von Tableau Server für OpenID Connect (an dieser Stelle befinden Sie sich gerade)

  4. Anmelden bei Tableau Server mit OpenID Connect

Hinweise:

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Wählen Sie auf der Registerkarte KONFIGURATION Benutzeridentität und Zugriff > Authentifizierungsmethode aus.

  3. Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode OpenID Connect aus.

  4. Wählen Sie unter "OpenID Connect" OpenID-Authentifizierung für den Server aktivieren aus.

  5. Geben Sie die OpenID-Konfigurationsinformation für Ihre Organisation ein:

    Bild einer OpenID Connect-Konfiguration in TSM

    Hinweise:

    • Für Schritt 3: Wenn Ihr Provider mit einer Konfigurationsdatei auf Ihrem lokalen Computer arbeitet (statt mit einer Datei, die über eine öffentliche URL bereitgestellt wird), können Sie die Datei mit dem Befehl tsm authentication openid <commands> spezifizieren. Eine lokale IdP-Konfigurationsdatei geben Sie mit dem Befehl --metadata-file <file_path> an.

    • Für Schritt 4: Ab Tableau Server 2025.3 können Sie SLO (Single Logout) aktivieren und eine URL angeben, zu der Benutzer nach der Abmeldung weitergeleitet werden sollen.

    • Für Schritt 5: Ab Tableau Server 2026.2 können Sie Benutzerattribute und deren Funktionen als Teil des OIDC-Authentifizierungsworkflows aktivieren. Weitere Informationen finden Sie unter Benutzerattribute in OIDC-Claims.

  6. Klicken Sie nach der Eingabe Ihrer Konfigurationsdaten auf Ausstehende Änderungen speichern.

  7. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

    Die Symbolleiste von Tableau Server Manager, in der angezeigt wird, dass es ausstehende Änderungen gibt.

  8. Klicken Sie auf Änderungen anwenden und neu starten.

Das Verfahren in diesem Abschnitt beschreibt, wie Sie die Befehlszeilenschnittstelle von TSM zum Konfigurieren von OpenID Connect verwenden. Sie können auch eine Konfigurationsdatei für die Erstkonfiguration von OpenID Connect verwenden. Siehe openIDSettings-Entität.

  1. Legen Sie mithilfe des Befehls configure von tsm authentication openid <commands> die folgenden erforderlichen Optionen fest:

    • --client-id <id>: Gibt die Client-ID des Anbieters an, die Ihr IdP Ihrer Anwendung zugewiesen hat. Beispiel: “xxxkjwdlnaoiloadjkwha".

    • --client-secret <secret>: Gibt den geheimen Client-Schlüssel für den Anbieter an. Dies ist ein Token, das von Tableau zur Verifizierung der Authentizität der Antwort vom Identitätsanbieter verwendet wird. Dieser Wert ist ein geheimer Schlüssel und sollte sicher aufbewahrt werden. Beispiel: “xxxhfkjaw72123=".

    • --config-url <url> oder --metadata-file <file_path>: Gibt den Speicherort der "json"-Anbieterkonfigurationsdatei an. Verwenden Sie --config-url, wenn der Anbieter eine öffentliche "JSON"-Discovery-Datei hostet. Geben Sie ansonsten stattdessen einen Pfad zum lokalen Computer und einen Dateinamen für --metadata-file an.

    • --return-url <url>:Die URL Ihres Servers. Dies ist normalerweise der öffentliche Name Ihres Servers, wie z. B. "http://example.tableau.com".

    Führen Sie beispielsweise den folgenden Befehl aus:

    tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Hinweis: 

  2. Geben Sie den folgenden Befehl ein, um Open ID Connect zu aktivieren:

    tsm authentication openid enable

  3. Führen Sie tsm pending-changes apply aus, um die Änderungen zu übernehmen.

    Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Konfigurieren von OpenID für die Verwendung eines Forward-Proxys

Standardmäßig ignoriert Tableau Server die Proxy-Einstellungen und sendet alle OpenID-Anfragen direkt an den IdP.

Ab Tableau Server 2021.2.2 und höher können Sie Tableau Server so konfigurieren, dass der Proxy-Host und die Port-Einstellungen verwendet werden, um den OpenID-IdP zu kontaktieren, wenn Tableau so konfiguriert ist, dass ein Forward-Proxy für die Verbindung zum Internet verwendet wird.

Wie Sie Tableau Server konfigurieren, hängt davon ab, wie Sie den Forward-Proxy in Ihrer Organisation implementiert haben:

  • Der Forward-Proxy wird auf dem Windows-Computer konfiguriert, auf dem Tableau Server ausgeführt wird.
  • Tableau Server sendet den gesamten ausgehenden Datenverkehr direkt an einen Forward-Proxy-Server, der in Ihrer Organisation betrieben wird.

Proxy-Konfiguration des Windows-Systems

Wenn Ihre Organisation einen Forward-Proxy auf jedem Windows-Computer konfiguriert hat, verwenden Sie diese Methode, um die System-Proxy-Konfiguration für OpenID auf Tableau Server zu verwenden. Führen Sie die folgenden Befehle aus:

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

Forward-Proxyserver

Verwenden Sie den Befehl tsm configuration set, um die Änderungen vorzunehmen.

  • Verwenden Sie für HTTPS-Proxy-Hosts die folgenden Schlüssel-Wert-Paare:

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    Wenn sich Ihr Proxyserver beispielsweise unter https://proxy.example.lan:8443 befindet, führen Sie die folgenden Befehle aus:

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • Verwenden Sie für HTTP-Proxy-Hosts die folgenden Schlüssel-Wert-Paare:

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    Nachdem Sie diese Schlüssel festgelegt haben, führen Sie tsm pending-changes apply aus.

Anpassen und Steuern des Datenzugriffs mithilfe von Benutzerattributen

Bei Benutzerattributen handelt es sich um von Ihrer Organisation definierte Benutzermetadaten. Benutzerattribute können verwendet werden, um den Zugriff in einem typischen attributbasierten Zugriffssteuerungsmodell (Attribute-Based Access Control, ABAC) zu bestimmen. Benutzerattribute können jegliche Aspekte des Benutzerprofils umfassen, einschließlich Aufgabenbereiche, Abteilungszugehörigkeit, Managementebene usw. Sie können aber auch auf Kontextinformationen zur aktuellen Sitzung basieren, wie z. B. von wo aus sich der Benutzer angemeldet oder welche Sprache er eingestellt hat.

Indem Sie Benutzerattribute in Ihren Workflow einbeziehen, können Sie mithilfe des Datenzugriffs und der Personalisierung die Benutzererfahrung steuern und anpassen.

  • Datenzugriff: Benutzerattribute können verwendet werden, um Datensicherheitsrichtlinien durchzusetzen. Dadurch wird sichergestellt, dass Benutzer nur die Daten sehen können, zu deren Anzeige sie berechtigt sind.
  • Personalisierung: Durch die Übergabe von Benutzerattributen (wie Standort und Rolle) können Ihre Inhalte so angepasst werden, dass nur die Informationen angezeigt werden, die für den jeweiligen Benutzer, der auf den Inhalt zugreift, relevant sind – so kann jeder Benutzer die Informationen leichter finden, die er benötigt.

Zusammenfassung der Schritte zum Übergeben von Benutzerattributen

Der Prozess zur Aktivierung von Benutzerattributen in einem Workflow sieht zusammengefasst so aus:

  1. Aktivieren Sie die Benutzerattributeinstellung.
  2. Einbeziehen von Benutzerattributen in die Assertion
  3. Stellen Sie sicher, dass der Inhaltsautor Benutzerattributfunktionen und entsprechende Filter verwendet
  4. Überprüfen Sie den Inhalt

Schritt 1: Aktivieren Sie die Benutzerattributeinstellung

Aus Sicherheitsgründen werden Benutzerattribute in einem Authentifizierungsworkflow nur validiert, wenn die Benutzerattributeinstellung von einem Server-Administrator aktiviert wurde.

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Wählen Sie auf der Registerkarte KONFIGURATION Benutzeridentität und Zugriff (User Identity & Access) > Authentifizierungsmethode.

  3. Wählen Sie im Dropdown-Menü unter Authentifizierungsmethode (Authentication Method) die Option SAML aus.

  4. Aktivieren Sie in Schritt 8 das Kontrollkästchen Erfassung von Benutzerattributen während der SAML-Authentifizierung aktivieren (Enable capture of user attributes during SAML authentication).

  5. Wenn Sie fertig sind, gehen Sie wie folgt vor:

    1. Klicken Sie auf Ausstehende Änderungen speichern (Save Pending Changes).

    2. Klicken Sie oben auf der Seite auf die Schaltfläche Ausstehende Änderungen (Pending Changes).

    3. Klicken Sie auf Änderungen anwenden und neu starten (Apply Changes and Restart).

Schritt 2: Einbeziehen von Benutzerattributen in die Assertion

Stellen Sie sicher, dass die Assertion die Benutzerattribute enthält.

Hinweis: Attribute in der SAML-Antwort unterliegen der Längenbeschränkung von maximal 4.096 Zeichen, mit Ausnahme von scope- oder scp-Attributen. Wenn die Attribute in der Antwort – einschließlich der Benutzerattribute – dieses Limit überschreiten, entfernt Tableau die Attribute und übergibt stattdessen das Attribut ExtraAttributesRemoved. Der Inhaltsautor kann dann eine Berechnung mit dem Attribut ExtraAttributesRemoved erstellen, um zu bestimmen, wie der Inhalt den Benutzern angezeigt werden soll, wenn das Attribut erkannt wurde.

Beispiel

Angenommen, Ihr Mitarbeiter Fred Suzuki ist Manager der Region Süd. Sie möchten sicherstellen, dass Fred bei der Überprüfung von Berichten nur Daten für die Region Süd sehen kann. In solch einem Szenario können Sie das Benutzerattribut „Region“ in die SAML-Antwort einfügen, wie im folgenden Beispiel gezeigt.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Schritt 3: Sicherstellen, dass der Inhaltsautor Attributfunktionen mit einfügt

Stellen Sie sicher, dass der Inhaltsautor die Benutzerattributfunktionen und zugehörige Filter mit einfügt, um zu steuern, welche Daten in seinen Inhalten angezeigt werden können. Um sicherzustellen, dass die Benutzerattribut-Assertionen an Tableau übergeben werden, muss der Inhalt eine der folgenden Benutzerattributfunktionen enthalten:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Welche Funktion der Inhaltsautor verwendet, hängt davon ab, ob die Benutzerattribute einen einzelnen Wert oder mehrere Werte zurückgeben sollen. Weitere Informationen zu diesen Funktionen und Beispiele dazu finden Sie unter Benutzerfunktionen(Link wird in neuem Fenster geöffnet) in der Tableau-Hilfe.

Hinweise:

  • Eine Vorschau von Inhalten mit diesen Funktionen ist nicht verfügbar, wenn sie in Tableau Desktop oder Tableau Cloud verfasst werden. Die Funktion gibt in diesem Fall NULL oder FALSE zurück. Um sicherzustellen, dass die Benutzerfunktionen wie erwartet funktionieren, empfehlen wir dem Autor, die Funktionen nach Bereitstellung der Inhalte zu überprüfen.
  • Um sicherzustellen, dass Inhalte wie erwartet dargestellt werden, kann der Inhaltsautor eine Berechnung einfügen, die das Attribut ExtraAttributesRemoved verwendet, um 1) zu prüfen, ob dieses Attribut überhaupt vorhanden ist, und 2) zu bestimmen, was in diesem Fall mit dem Inhalt geschehen soll, z. B. eine Meldung anzeigen. Tableau wird das Attribut ExtraAttributesRemoved nur dann hinzufügen und alle anderen Attribute (außer scp oder scope) entfernen, wenn die Attribute in der SAML-XML länger als 4.096 Zeichen sind. Dies dient dazu, eine optimale Leistung zu gewährleisten und Speicherbeschränkungen einzuhalten.

Beispiel

In Fortsetzung des oben in Schritt 2: Einbeziehen von Benutzerattributen in die Assertion aufgeführten Beispiels kann der Autor USERATTRIBUTEINCLUDESeinfügen, um die Benutzerattribut-Assertion „Region“ an eine Arbeitsmappe zu übergeben. Beispiel: USERATTRIBUTEINCLUDES('Region', [Region]), wobei „Region“ das Benutzerattribut und [Region] eine Spalte in den Daten ist. Mithilfe der neuen Berechnung kann der Autor eine Tabelle mit Manager- und Vertriebsdaten erstellen. Wenn die Berechnung hinzugefügt wird, gibt die Arbeitsmappe wie erwartet „False“-Werte zurück.

Um nur die Daten anzuzeigen, die in der eingebetteten Arbeitsmappe der Region Süd zugeordnet sind, kann der Autor einen Filter erstellen und ihn so anpassen, dass Werte angezeigt werden, wenn für die Region Süd „True“ festgelegt ist. Wenn der Filter angewendet wird, bleibt die Arbeitsmappe wie erwartet leer, da die Funktion „False“-Werte zurückgibt und der Filter so eingestellt ist, dass nur „True“-Werte angezeigt werden.

Schritt 4: Überprüfen Sie den Inhalt

Überprüfen und validieren Sie den Inhalt.

Beispiel

Abschluss des obigen Beispiels von Schritt 3: Sicherstellen, dass der Inhaltsautor Attributfunktionen mit einfügt Sie sehen, dass die Umsatzdaten in der Ansicht an Fred Suzuki angepasst wurden, da sein Benutzerkontext die Region Süd ist.

Die Manager für die in der Arbeitsmappe dargestellten Regionen sollten den jeweiligen Wert sehen, der ihrer Region zugeordnet ist. Beispielsweise sieht Sawdie Pawthorne aus der Region West Daten speziell für ihre Region.

Manager, deren Regionen in der Arbeitsmappe nicht repräsentiert sind, sehen eine leere Arbeitsmappe.

Bekannte Probleme und Einschränkungen

Es gibt einige bekannte Probleme und Einschränkungen, die Sie bei der Arbeit mit Benutzerattributfunktionen berücksichtigen sollten.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.