Configurare Tableau Server per OpenID Connect

Questo argomento descrive come configurare Tableau Server per utilizzare OpenID Connect (OIDC) per l’accesso Single Sign-On (SSO). Questo è un passaggio in un processo a più fasi. I seguenti argomenti forniscono informazioni sulla configurazione e l’utilizzo di OIDC con Tableau Server.

  1. OpenID Connect Panoramica

  2. Configurare il provider di identità per OpenID Connect

  3. Configurare Tableau Server per OpenID Connect (ti trovi qui)

  4. Accedere a Tableau Server tramite OpenID Connect

Note:

  1. Apri TSM in un browser:

    https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.

  2. Nella scheda CONFIGURAZIONE seleziona Identità e accesso utente > Metodo di autenticazione.

  3. In Metodo di autenticazione, seleziona OpenID Connect nel menu a discesa.

  4. In OpenID Connect seleziona Abilita autenticazione OpenID per il server.

  5. Immetti le informazioni di configurazione OpenID per l’organizzazione:

    Immagine di una configurazione OpenID Connect in TSM

    Note:

    • Per la fase 3: se il provider utilizza un file di configurazione ospitato nel computer locale (anziché un file accessibile tramite un URL pubblico) puoi specificare il file con tsm authentication openid <comandi>. Utilizza l’opzione --metadata-file <file_path> per specificare un file di configurazione locale IdP.

    • Per la fase 4: a partire da Tableau Server 2025.3, puoi abilitare il single logout (SLO) e specificare un URL a cui reindirizzare gli utenti dopo la disconnessione.

    • Per la fase 5: a partire da Tableau Server 2026.2, puoi abilitare gli attributi utente e le relative funzioni come parte del workflow di autenticazione OIDC. Per maggiori informazioni, consulta Attributi utente in attestazioni OIDC.

  6. Dopo aver immesso le informazioni di configurazione, fai clic su Salva modifiche in sospeso.

  7. Fai clic su Modifiche in sospeso nella parte superiore della pagina:

    Barra degli strumenti di Tableau Server Manager che indica la presenza di modifiche in sospeso.

  8. Fai clic su Applica modifiche e riavvia.

La procedura descritta in questa sezione illustra come utilizzare l’interfaccia a riga di comando TSM per configurare OpenID Connect. Puoi inoltre utilizzare un file di configurazione per la configurazione iniziale di OpenID Connect. Consulta Entità openIDSettings.

  1. Utilizza il comando configure di tsm authentication openid <comandi> per impostare le seguenti opzioni obbligatorie:

    • --client-id <id>: specifica l’ID client del provider che l’IdP ha assegnato alla tua applicazione. Ad esempio, “xxxkjwdlnaoiloadjkwha".

    • --client-secret <secret>: specifica il segreto client del provider. È un token utilizzato da Tableau per verificare l’autenticità della risposta dell’IdP. Questo valore è segreto e deve essere tenuto al sicuro. Ad esempio, “xxxhfkjaw72123=".

    • --config-url <url> o --metadata-file <file_path>: specifica il percorso del file json della configurazione del provider. Se il provider ospita un file di individuazione JSON pubblico, utilizza --config-url. In caso contrario, specifica un percorso nel computer locale e nel nome file per --metadata-file.

    • --return-url <url>: l’URL del tuo server. È tipicamente il nome pubblico del server, ad esempio "http://example.tableau.com".

    Ad esempio, esegui il comando:

    tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Nota: 

  2. Digita il comando seguente per abilitare Open ID Connect:

    tsm authentication openid enable

  3. Esegui tsm pending-changes apply per applicare le modifiche.

    Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Configurare OpenID per il funzionamento con un proxy di inoltro

Per impostazione predefinita, Tableau Server ignora le impostazioni proxy e invia tutte le richieste OpenID direttamente all’IdP.

A partire da Tableau Server 2021.2.2 e versioni successive, se Tableau è configurato per utilizzare un proxy di inoltro per connettersi a Internet, puoi configurare Tableau Server per utilizzare l’host proxy e le impostazioni della porta per contattare l’IdP OpenID.

Il modo in cui deve essere configurato Tableau Server è diverso a seconda di come hai implementato il proxy di inoltro nella tua organizzazione:

  • Il proxy di inoltro è configurato nel computer Windows in cui è in esecuzione Tableau Server.
  • Tableau Server invia tutto il traffico in uscita direttamente a un server proxy di inoltro in esecuzione nella tua organizzazione.

Configurazione del proxy di sistema di Windows

Se la tua organizzazione ha configurato il proxy di inoltro in ciascun computer Windows, utilizza questo metodo per utilizzare la configurazione del proxy di sistema per OpenID su Tableau Server. Esegui questi comandi:

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

Server proxy di inoltro

Utilizza il comando tsm configuration set per apportare le modifiche.

  • Per gli host proxy HTTPS, utilizza le seguenti coppie chiave-valore:

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    Ad esempio, se il server proxy è all’indirizzo https://proxy.example.lan:8443, esegui questi comandi:

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • Per gli host proxy HTTP, utilizza le seguenti coppie chiave-valore:

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    Dopo aver impostato queste chiavi, esegui tsm pending-changes apply.

Personalizzare e controllare l’accesso ai dati con gli attributi utente

Gli attributi utente sono metadati utente definiti dall’organizzazione. Gli attributi utente possono essere utilizzati per determinare l’accesso in un tipico modello di autorizzazione di controllo degli accessi basato su attributi (ABAC, Attribute-Based Access Control). Gli attributi utente possono riferirsi a qualsiasi aspetto del profilo utente, ad esempio ruoli lavorativi, appartenenza al reparto, livello di gestione e così via. Potrebbero anche essere associati a contesti utente in fase di esecuzione, ad esempio la località da cui l’utente ha eseguito l’accesso o la sua lingua preferita.

Includendo gli attributi utente nel flusso di lavoro, puoi controllare e personalizzare l’esperienza utente tramite l’accesso ai dati e la personalizzazione.

  • Accesso ai dati: gli attributi utente possono essere utilizzati per applicare criteri di sicurezza dei dati. In questo modo si garantisce che gli utenti visualizzino solo i dati per cui sono autorizzati.
  • Personalizzazione: trasmettendo attributi utente, quali la posizione e il ruolo, è possibile personalizzare i tuoi contenuti in modo da mostrare solo le informazioni pertinenti per l’utente che vi accede e facilitando il reperimento delle informazioni necessarie.

Riepilogo della procedura per la trasmissione degli attributi utente

Il processo di abilitazione degli attributi utente in un flusso di lavoro è riepilogato nelle fasi seguenti:

  1. Abilitare l’impostazione degli attributi utente
  2. Includere gli attributi utente nell’asserzione
  3. Verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti
  4. Esaminare i contenuti

Fase 1: abilitare l’impostazione degli attributi utente

Per motivi di sicurezza, gli attributi utente vengono convalidati in un flusso di lavoro di autenticazione solo quando l’impostazione degli attributi utente è abilitata da un amministratore del server.

  1. Apri TSM in un browser:

    https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.

  2. Nella scheda CONFIGURAZIONE seleziona Identità e accesso utente > Metodo di autenticazione.

  3. In Metodo di autenticazione seleziona SAML nel menu a discesa.

  4. Nella Fase 8 seleziona la casella di controllo Abilita l’acquisizione di attributi utente durante l’autenticazione SAML.

  5. Al termine, effettua le seguenti operazioni:

    1. Fai clic su Salva modifiche in sospeso.

    2. Fai clic sul pulsante Modifiche in sospeso nella parte superiore della pagina.

    3. Fai clic su Applica modifiche e riavvia.

Fase 2: includere gli attributi utente nell’asserzione

Assicurati che l'asserzione contenga gli attributi utente.

Nota: gli attributi nella risposta SAML sono soggetti al limite di 4096 caratteri, ad eccezione degli attributi scope o scp. Se gli attributi nella risposta, inclusi gli attributi utente, superano questo limite, Tableau rimuove gli attributi e passa invece l'attributo ExtraAttributesRemoved. L’autore di contenuti può quindi creare un calcolo con l’attributo ExtraAttributesRemoved per determinare come visualizzare i contenuti agli utenti quando l’attributo è stato rilevato.

Esempio

Supponiamo di avere un dipendente, Fred Suzuki, un manager che opera nella regione South. Desideri assicurarti che, quando Fred esamina i report, possa visualizzare solo i dati relativi alla regione di competenza. In uno scenario di questo tipo, potresti includere l'attributo utente Region nella risposta SAML come nell'esempio seguente.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti

Verifica che l’autore dei contenuti includa le funzioni degli attributi utente e i relativi filtri per controllare i dati visualizzabili nei suoi contenuti. Per garantire che le asserzioni degli attributi utente vengano passate a Tableau, il contenuto deve contenere una delle seguenti funzioni per gli attributi utente:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

La funzione utilizzata dall’autore dei contenuti varia a seconda che gli attributi utente restituiscano un singolo valore o più valori. Per maggiori informazioni su queste funzioni ed esempi di ciascuna, consulta Funzioni utente(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau.

Note:

  • L’anteprima dei contenuti con queste funzioni non è disponibile durante l’authoring in Tableau Desktop o Tableau Cloud. La funzione restituirà NULL o FALSE. Per essere certi che le funzioni utente funzionino come previsto, consigliamo all’autore di esaminare le funzioni dopo aver reso disponibili i contenuti.
  • Per essere certo che i contenuti vengano visualizzati come previsto, l’autore dei contenuti può provare a includere un calcolo che utilizza l’attributo ExtraAttributesRemoved che 1) verifica la presenza di tale attributo e 2) se presente, determina cosa fare con i contenuti, ad esempio mostrare un messaggio. Tableau aggiungerà l'attributo ExtraAttributesRemoved e rimuoverà tutti gli altri attributi (ad eccezione di scp o scope) solo quando gli attributi nel codice XML SAML superano i 4096 caratteri. Questo per garantire prestazioni ottimali e rispettare le limitazioni di archiviazione.

Esempio

Riprendendo l’esempio introdotto nella Fase 2: includere gli attributi utente nell’asserzione riportata in precedenza, per passare l’asserzione dell’attributo utente “Region” a una cartella di lavoro, l’autore può includere USERATTRIBUTEINCLUDES. Ad esempio, USERATTRIBUTEINCLUDES('Region', [Region]), dove 'Region' è l’attributo utente e [Region] è una colonna nei dati. Utilizzando il nuovo calcolo, l’autore può creare una tabella con i dati relativi a Manager e Sales. Dopo l’aggiunta del calcolo, la cartella di lavoro restituisce i valori “False” come previsto.

Per visualizzare solo i dati associati alla regione South nella cartella di lavoro incorporata, l’autore può creare un filtro e personalizzarlo per mostrare i valori quando la regione South è “True”. Quando viene applicato il filtro, la cartella di lavoro diventa vuota come previsto perché la funzione restituisce valori “False” e il filtro è personalizzato per mostrare solo i valori “True”.

Fase 4: esaminare i contenuti

Esamina e convalida i contenuti.

Esempio

Per concludere l’esempio della Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti precedente, puoi notare che i dati di Sales nella vista sono personalizzati per Fred Suzuki perché il suo contesto utente è la regione South.

I manager delle regioni rappresentate nella cartella di lavoro dovrebbero vedere il valore associato alla propria regione. Ad esempio, Sawdie Pawthorne della regione West visualizza i dati specifici della propria regione.

I manager le cui regioni non sono rappresentate nella cartella di lavoro visualizzano una cartella di lavoro vuota.

Problemi noti e limitazioni

Esistono alcuni problemi noti e limitazioni da considerare quando utilizzi le funzioni degli attributi utente.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!