Parametri di richiesta di autenticazione OpenID Connect

La richiesta di autenticazione OpenID inviata da Tableau Server passa le informazioni utilizzando un insieme limitato di parametri, come indicato in questo argomento. Se l’IdP OpenID richiede parametri non inclusi nell’elenco seguente, non è compatibile con Tableau Server.

  • scope. Questo valore specifica un profilo che indica all’IdP quali informazioni utente dichiara di restituire. Questo valore può essere configurato da un amministratore di Tableau Server. Il valore predefinito è "openid email profile". Per maggiori informazioni, consulta Configurare il valore di ambito nelle sezioni successive del presente documento.

  • response_type. OpenID Connect supporta diversi flussi. Questo valore indica l’IdP che prevede il flusso previsto da Tableau Server. Tableau supporta solo il flusso del codice di autorizzazione e il valore è sempre impostato su "code".

  • client_id. Questo valore specifica l’ID del server (ID client del provider nella finestra di dialogo Configurazione di Tableau Server) che consente all’IdP di sapere da dove proviene la richiesta. Viene fornita dall’IdP quando il servizio viene registrato. Il valore è configurabile da un amministratore Tableau Server.

  • redirect_uri. Questo valore specifica l’URL a cui reindirizza l’IdP dopo l’autenticazione dell’utente tramite OpenID Connect. L’URL deve includere l’host e il protocollo (ad esempio, http://example.tableau.com), ma Tableau fornisce l’endpoint dell’URL.

  • nonce. Tableau Server genera un valore nonce per verificare che il client al quale ha reindirizzato corrisponda all’entità restituita dall’IdP.

Configurare il valore di ambito

Il valore scope indica all’IdP le informazioni che Tableau Server richiede in merito all’utente. Per impostazione predefinita, Tableau Server invia il valore "openid profile email". Ciò indica che Tableau utilizza OpenID per l’autenticazione (questa parte del valore dell’attributo scope deve sempre essere inclusa) e che Tableau Server richiede il profilo utente e le informazioni e-mail durante lo scambio del codice di autorizzazione dell’utente.

Se questo ambito predefinito non è appropriato per lo scenario, è possibile che Tableau Server richieda informazioni personalizzate sull’utente. A tale scopo, devi configurare IdP con un profilo personalizzato (ad esempio qualcosa di simile a "tableau-scope"). Puoi quindi configurare Tableau Server per inviare la richiesta di ambito utilizzando il nome del profilo personalizzato.

Per modificare il valore di ambito richiesto da Tableau Server, utilizza il seguente comando CLI di TSM:

tsm authentication openid configure --custom-scope-name custom-scope-name

Note:

  • Tableau Server include sempre "openid" come parte del valore di ambito, anche se non è incluso nell’impostazione custom_scope.
  • I comandi di configurazione dell’autenticazione TSM si applicano solo all’autenticazione OIDC configurata in TSM durante l’installazione di Tableau Server. Per apportare modifiche alla configurazione dell’autenticazione OIDC per i pool di identità, puoi utilizzare l’endpoint Update Authentication Configuration(Il collegamento viene aperto in una nuova finestra) utilizzando l’OpenAPI REST di Tableau.