Résoudre les problèmes liés à OpenID Connect
Utilisez les rubriques suivantes pour résoudre les problèmes que vous rencontrez avec OpenID Connect (OIDC) dans Tableau Server.
Le protocole OIDC est pris en charge par de nombreux fournisseurs d’identité. Le protocole OIDC est un norme ouverte et flexible, et de ce fait, les implémentations de la norme ne sont pas toutes identiques. La plupart des erreurs que les administrateurs rencontrent lors de la configuration de Tableau Server pour OIDC proviennent des différences d’implémentation d’OIDC selon les fournisseurs d’identité. Si vous rencontrez des erreurs lorsque vous configurez OIDC avec Tableau Server, nous vous recommandons de faire appel à votre IdP pour les résoudre.
Activation de la journalisation OpenID améliorée
Pour résoudre efficacement les problèmes d’OpenID Connect dans Tableau Server, activez la journalisation améliorée en définissant le niveau de journalisation sur débogage, et la journalisation complète pour OpenID à l’aide de la clé de configuration vizportal.openid.full_server_request_logging_enabled
définir sur true
à l’aide de ces commandes TSM :
tsm configuration set -k vizportal.log.level -v debug
tsm configuration set -k vizportal.openid.full_server_request_logging_enabled -v true
tsm pending-changes apply
Après avoir terminé votre dépannage, nous vous recommandons de rétablir les valeurs par défaut des deux clés de configuration afin de limiter les informations collectées dans les journaux et de réduire la taille des fichiers journaux. Pour savoir comment réinitialiser les clés de configuration aux valeurs par défaut, voir Réinitialisation d’une clé de configuration aux valeurs par défaut.
Remarque : la journalisation améliorée pour les pools d’identités(Le lien s’ouvre dans une nouvelle fenêtre) n’est pas prise en charge. Par contre, la journalisation vizportal.log.level debug
est prise en charge.
Connexion à partir de la ligne de commande
Même si Tableau Server est configuré de manière à utiliser OpenID, l’authentification OIDC n’est pas utilisée lorsque vous vous connectez à Tableau Server à l’aide de la commande tabcmd, de l’API REST de Tableau(Le lien s’ouvre dans une nouvelle fenêtre) ou de l’utilitaire de ligne de commande Tableau Data Extract(Le lien s’ouvre dans une nouvelle fenêtre) (fourni avec Tableau Desktop).
Échec de la connexion
La connexion peut échouer avec le message suivant :
Login failure: Identity Provider authentication unsuccessful for user <username from IdP>. Failed to find the user in Tableau Cloud.
Cette erreur signifie généralement qu’un nom d’utilisateur stocké sur Tableau Server ne correspond pas à celui fourni par l’IdP. Pour corriger cette erreur, assurez-vous qu’ils correspondent. Par exemple, si le nom d’utilisateur de Jeanne Dupont est stocké dans votre IdP sous la forme , il doit également l’être dans Tableau Server sous la forme
.
Erreur 69 : "Impossible de se connecter"
Une erreur 69 peut s’afficher si vous tentez de vous connecter à Tableau Server avec un navigateur Web et que vous recevez le message d’erreur suivant : « Impossible de se connecter. Échec de la connexion. Contactez votre administrateur Tableau Server ». L’URL qui retourne ce message est https://example.com/#/error/signin/69?redirectPath=%2
.
Si vous voyez s’afficher cette erreur, adressez-vous à votre fournisseur IdP pour vérifier que l’IdP attend client_secret_post
au lieu de client_secret_basic
(paramètre par défaut Tableau).
Si l’IdP attend client_secret_post
, vous devez configurer le paramètre vizportal.openid.client_authentication
sur client_secret_post
.
Par exemple, si vous rencontrez cette erreur et que vous avez configuré OIDC pour l’IdP Salesforce, vous devez définir le paramètre vizportal.openid.client_authentication
.
Consultez Options tsm configuration set pour plus d’informations.
Journal des erreurs d’OpenID
L’authentification OpenID intervient hors de Tableau Server, ce qui peut rendre la résolution des problèmes d’authentification difficile. Toutefois, les tentatives de connexion sont enregistrées par Tableau Server. Vous pouvez créer un instantané des fichiers journaux et les utiliser pour dépanner les problèmes. Pour plus d’informations, consultez Journaux et emplacement des fichiers journaux Tableau Server.
Remarque : pour journaliser des événements liés à OpenID, vizportal.log.level
doit être défini sur debug
avec Options tsm configuration set.
Vérifiez les erreurs OpenID dans les fichiers suivants situés dans l’instantané du fichier journal décompressé :
\vizportal\vizportal-<n>.log
Utilisateur introuvable
Une erreur « user not found » (utilisateur introuvable) peut être renvoyée si les revendications « sub » ont changé après la connexion initiale des utilisateurs. Vous pouvez vérifier ce problème si ce message s’affiche dans les journaux Vizportal : Possible conflicting or stale account: <username> A different user already owns this account
.
Si vous continuez à rencontrer ce problème, réinitialisez les revendications « sub » pour cet utilisateur ou pour tous les utilisateurs sur Tableau Server. Pour plus d’informations, consultez Réinitialiser les identifiants des utilisateurs.