Entité openIDSettings
Avant de configurer l’authentification OpenID, consultez Configuration requise pour utiliser OpenID Connect.
Utilisez le modèle du fichier de configuration ci-dessous pour créer un fichier json. Après avoir rempli les options avec les valeurs appropriées, transmettez le fichier json et appliquez les paramètres avec les commandes suivantes :
tsm settings import -f path-to-file.json
tsm pending-changes apply
Si les modifications en attente nécessitent un redémarrage du serveur, la commande pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option --ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.
Modèle de configuration
Utilisez ce modèle pour configurer les paramètres OpenID.
Important : toutes les options d’entité sont sensibles à la casse.
Pour plus d’explications sur les fichiers de configuration, les entités et les clés, consultez Exemple de fichier de configuration.
Après avoir terminé la configuration initiale d’OIDC, utilisez la sous-catégorie tsm authentication openid <commandes> pour définir des valeurs supplémentaires.
{ "configEntities": { "openIDSettings": { "_type": "openIDSettingsType", "enabled": true, "clientId": "required", "clientSecret": "required", "configURL": "required if staticFile value is not set", "staticFile": "required if configURL value is not set", "externalURL": "required" } } }
Référence du fichier de configuration
La liste suivante indique toutes les options pouvant être incluses avec l’ensemble d’entité "openIDSettings"
.
- _type
Obligatoire.
Ne pas modifier.
- enabled
Obligatoire.
Définissez sur
true
.
- clientId
Obligatoire.
Spécifie l’identificateur du client du fournisseur que l’IDP a affecté à votre application. Par exemple,
“laakjwdlnaoiloadjkwha"
.
- clientSecret
Obligatoire.
Spécifie le secret du client du fournisseur. Il s’agit d’un jeton utilisé par Tableau pour vérifier l’authenticité de la réponse de l’IdP. Cette valeur est un secret et doit être protégée.
Par exemple,
“fwahfkjaw72123="
.
- configURL
Obligatoire.
Spécifie l’URL de configuration du fournisseur. Si vous ne spécifiez pas une URL de configuration, supprimez cette option et spécifiez un chemin d’accès et un nom de fichier pour
staticFile
à la place.
- staticFile
Obligatoire.
Spécifie le chemin d’accès local au document JSON de découverte OIDC statique. Si vous ne spécifiez pas un fichier statique, supprimez cette option et spécifiez une URL pour
configURL
à la place.
- externalURL
Obligatoire.
URL de votre serveur. Il s’agit généralement du nom public de votre serveur, par exemple
http://example.tableau.com
.
- connectionTimeout
Facultatif.
Spécifie le délai d’expiration de la connexion en secondes. La valeur par défaut est
10
.
- readTimeout
Facultatif.
Spécifie le délai d’expiration de la lecture en secondes. La valeur par défaut est
30
.
- ignoreDomain
Définissez cette valeur sur
true
si les conditions suivantes sont remplies :- Vous utilisez des adresses e-mail comme noms d’utilisateur dans Tableau Server
- Vous avez configuré des utilisateurs dans l’IdP avec plusieurs noms de domaine
- Vous souhaitez ignorer la partie nom de domaine de la revendication
email
de l’IdP
Avant de poursuivre, examinez les noms d’utilisateurs qui seront utilisés en définissant cette option sur
true
. Des conflits de nom d’utilisateur peuvent se produire. Dans de tels cas, le risque de divulgation d’informations est élevé. Voir Configuration requise pour utiliser OpenID Connect.
- ignoreJWK
Définissez cette valeur sur
true
si votre IdP ne prend pas en charge la validation JWK. Dans ce cas, nous vous recommandons d’authentifier la communication avec votre IdP en utilisant TLS mutuel ou un autre protocole de sécurité de couche réseau. La valeur par défaut estfalse
.
- customScope
Spécifie une valeur d’étendue personnalisée liée à l’utilisateur que vous pouvez utiliser pour interroger l’IdP. Voir Configuration requise pour utiliser OpenID Connect.
- idClaim
Modifiez cette valeur si votre IdP n’utilise pas la revendication
sub
pour identifier de manière unique les utilisateurs dans le jeton d’ID. La revendication de l’IdP que vous spécifiez doit contenir une seule chaîne unique.
- usernameClaim
Redéfinissez cette valeur sur la revendication de l’IdP que votre organisation utilisera pour mapper les noms d’utilisateur stockés dans Tableau Server.
- clientAuthentication
Spécifie la méthode d’authentification clients personnalisée pour OpenID Connect.
Pour configurer Tableau Server de manière à utiliser l’IdP Salesforce, définissez cette valeur sur
client_secret_post
.
- iFramedIDPEnabled
Définissez sur
true
pour autoriser l’affichage de l’IdP dans un iFrame. L’IdP doit désactiver la protection contre les détournements de clics pour autoriser la présentation iFrame.