Paramètres de demande d’authentification d’OpenID Connect
La demande d’authentification d’OpenID envoyée depuis Tableau Server transmet les informations en utilisant un ensemble limité de paramètres, énumérés dans cette rubrique. Si votre IdP OpenID exige des paramètres qui ne figurent pas dans la liste suivante, il n’est pas compatible avec Tableau Server.
scope
. Cette valeur spécifie un profil qui indique à l’IdP quelles informations sur l’utilisateur doivent être renvoyées. Cette valeur peut être configurée par un administrateur Tableau Server. La valeur par défaut est « openid email profile ». Pour plus d’informations, consultez Configurer la valeur scope plus loin dans ce document.response_type
. OpenID Connect prend en charge plusieurs flux. Cette valeur indique à l’IdP quel flux Tableau Server attend. Tableau prend uniquement en charge le flux de code d’autorisation, et la valeur est toujours définie sur « code ».client_id
. Cette valeur spécifie l’ID du serveur (ID client du fournisseur dans la boîte de dialogue Configuration de Tableau Server), qui permet à l’IdP de savoir d’où provient la demande. Cette information est fournie par l’IdP lors de l’enregistrement du service. Cette valeur peut être configurée par un administrateur Tableau Server.redirect_uri
. Cette valeur spécifie l’URL vers laquelle l’IdP redirige l’utilisateur une fois qu’il s’est authentifié avec OpenID Connect. L’URL doit inclure l’hôte et le protocole (par exemple,http://example.tableau.com
), mais Tableau fournit le point de terminaison de l’URL.nonce
. Tableau Server génère une valeur nonce pour vérifier que le client vers lequel il a redirigé l’utilisateur correspond à l’entité qui revient de l’IdP.
Configurer la valeur scope
La valeur scope
indique à l’IdP les informations qu’exige Tableau Server concernant l’utilisateur. Par défaut, Tableau Server envoie la valeur « openid profile email ». Cela indique que Tableau utilise OpenID pour l’authentification (cette partie de la valeur d’attribut scope
doit toujours être incluse) et que Tableau Server demande le profil utilisateur et les informations de messagerie électronique lors de l’échange du code d’autorisation de l’utilisateur.
Si l’étendue par défaut ne convient pas pour votre scénario, vous pouvez configurer Tableau Server pour qu’il demande des informations personnalisées sur l’utilisateur. Pour cela, vous configurez l’IdP avec un profil personnalisé (par exemple, « tableau-étendue »). Vous pouvez ensuite configurer Tableau Server pour qu’il envoie la demande d’étendue en utilisant le nom du profil personnalisé.
Pour modifier la valeur d’étendue demandée par Tableau Server, utilisez la commande d’interface en ligne de commande TSM suivante :
tsm authentication openid configure --custom-scope-name custom-scope-name
Remarques :
- Tableau Server inclut toujours « openid » comme partie de la valeur de portée (même si vous ne l’incluez pas dans le paramètre
custom_scope
). - Les commandes de configuration de l’authentification TSM s’appliquent uniquement à l’authentification OIDC configurée dans TSM lors de la configuration de Tableau Server. Pour apporter des modifications à la configuration de l’authentification OIDC pour les pools d’identités, vous pouvez utiliser le point de terminaison Mettre à jour la configuration de l’authentification(Le lien s’ouvre dans une nouvelle fenêtre) à l’aide de l’OpenAPI REST de Tableau.