Prima di configurare l'autenticazione OpenID, esamina i Requisiti per l'utilizzo di OpenID Connect.

Usa il modello del file di configurazione qui sotto per creare un file json. Dopo aver compilato le opzioni con i valori appropriati, passa il file json e applica le impostazioni con i comandi seguenti:

tsm settings import -f path-to-file.json

tsm pending-changes apply

Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l'opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Modello di configurazione

Utilizza questo modello per configurare le impostazioni di OpenID.

Importante: per tutte le opzioni di entità viene applicata la distinzione tra maiuscole e minuscole.

Per ulteriori spiegazioni sui file di configurazione, le entità e le chiavi, consulta Esempio di file di configurazione.

Una volta completata la configurazione iniziale di OIDC, utilizza la sottocategoria tsm authentication openid <comandi> per impostare valori aggiuntivi.

{
	"configEntities": {
	    "openIDSettings": {
		"_type": "openIDSettingsType",
		"enabled": true,
		"clientId": "required",
		"clientSecret": "required",
		"configURL": "required if staticFile value is not set",
		"staticFile": "required if configURL value is not set",
		"externalURL": "required"
		}
	  }
}		

Riferimento del file di configurazione

L'elenco seguente comprende tutte le opzioni che possono essere incluse nell'insieme di entità "openIDSettings".

_type

Obbligatorio.

Non modificare.

enabled

Obbligatorio.

Imposta su true.

clientId

Obbligatorio.

Specifica l'ID client del provider che l'IdP ha assegnato alla tua applicazione. Ad esempio, “laakjwdlnaoiloadjkwha".

clientSecret

Obbligatorio.

Specifica il client segreto del provider. È un token utilizzato da Tableau per verificare l'autenticità della risposta dell'IdP. Questo valore è segreto e deve essere tenuto al sicuro.

Ad esempio, “fwahfkjaw72123=".

configURL

Obbligatorio.

Specifica l'URL di configurazione del provider. Se non specifichi un URL di configurazione, elimina questa opzione e indica invece un percorso e un nome di file per staticFile.

staticFile

Obbligatorio.

Specifica il percorso locale al documento statico OIDC discovery JSON. Se non specifichi un file statico, elimina questa opzione e indica invece un URL per configURL.

externalURL

Obbligatorio.

L'URL del tuo server. È tipicamente il nome pubblico del server, come http://example.tableau.com.

connectionTimeout

Facoltativo.

Specifica l'intervallo di timeout della connessione in secondi. L'impostazione predefinita è 10.

readTimeout

Facoltativo.

Specifica l'intervallo di timeout di lettura in secondi. L'impostazione predefinita è 30.

ignoreDomain

Imposta su true se sono vere le condizioni seguenti:

  • Stai usando gli indirizzi e-mail come nomi utente in Tableau Server
  • Hai messo a disposizione degli utenti dell'IdP più nomi di dominio
  • Vuoi ignorare la porzione del nome di dominio dell'attestazione email dall'IdP

Prima di procedere, riesamina i nomi utente che verranno utilizzati a seguito dell'impostazione di questa opzione su true. Possono verificarsi conflitti di nome utente. In caso di conflitto di nome utente, il rischio di divulgazione delle informazioni è elevato. Consulta Requisiti per l'utilizzo di OpenID Connect.

ignoreJWK

Impostalo su true se il tuo IdP non supporta la validazione JWK. In questo caso, consigliamo di autenticare la comunicazione con il tuo IdP utilizzando mutual TLS o un altro protocollo di sicurezza a livello di rete. L'impostazione predefinita è false.

customScope

Specifica un valore personalizzato relativo all'utente dell'ambito che è possibile utilizzare per eseguire una query dell'IdP. Consulta Requisiti per l'utilizzo di OpenID Connect.

idClaim

Modifica questo valore se l'IdP non utilizza l'attestazione sub per identificare in modo univoco gli utenti nel token ID. L'attestazione IdP che specifichi dovrebbe contenere una singola stringa univoca.

usernameClaim

Modifica questo valore nell'attestazione IdP che l'organizzazione utilizzerà per far corrispondere i nomi utente memorizzati in Tableau Server.

clientAuthentication

Specifica il metodo di autenticazione del client personalizzato per OpenID Connect.

Per configurare Tableau Server in modo da utilizzare l'IdP Salesforce, imposta questo valore su client_secret_post.

iFramedIDPEnabled

Imposta su true per consentire la visualizzazione dell'IdP in iFrame. L'IdP deve disabilitare la protezione clickjack per consentire la presentazione iFrame.

Grazie per il tuo feedback.