Configurare Tableau Server per OpenID Connect

Questo argomento descrive come configurare Tableau Server per utilizzare OpenID Connect (OIDC) per l’accesso Single Sign-On (SSO). Questo è un passaggio in un processo a più fasi. I seguenti argomenti forniscono informazioni sulla configurazione e l’utilizzo di OIDC con Tableau Server.

  1. OpenID Connect Panoramica

  2. Configurare il provider di identità per OpenID Connect

  3. Configurare Tableau Server per OpenID Connect (ti trovi qui)

  4. Accedere a Tableau Server tramite OpenID Connect

Note:

  1. Apri TSM in un browser:

    https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.

  2. Fai clic su Identità e accesso utente nella scheda Configurazione, quindi fai clic su Metodo di autenticazione.

  3. In Metodo di autenticazione, seleziona OpenID Connect nel menu a discesa.

  4. In OpenID Connect seleziona Abilita autenticazione OpenID per il server.

  5. Immetti le informazioni di configurazione OpenID per l’organizzazione:

    Screenshot della configurazione di OpenID

    Nota: se il provider utilizza un file di configurazione ospitato nel computer locale (anziché un file ospitato in un URL pubblico) puoi specificare il file con tsm authentication openid <comandi>. Utilizza l’opzione --metadata-file <file_path> per specificare un file di configurazione locale IdP.

  6. Dopo aver immesso le informazioni di configurazione, fai clic su Salva modifiche in sospeso.

  7. Fai clic su Modifiche in sospeso nella parte superiore della pagina:

  8. Fai clic su Applica modifiche e riavvia.

La procedura descritta in questa sezione illustra come utilizzare l’interfaccia a riga di comando TSM per configurare OpenID Connect. Puoi inoltre utilizzare un file di configurazione per la configurazione iniziale di OpenID Connect. Consulta Entità openIDSettings.

  1. Utilizza il comando configure di tsm authentication openid <comandi> per impostare le seguenti opzioni obbligatorie:

    --client-id <id>: specifica l’ID client del provider che l’IdP ha assegnato alla tua applicazione. Ad esempio, “laakjwdlnaoiloadjkwha".

    --client-secret <secret>: specifica il segreto client del provider. È un token utilizzato da Tableau per verificare l’autenticità della risposta dell’IdP. Questo valore è segreto e deve essere tenuto al sicuro. Ad esempio, “fwahfkjaw72123=".

    --config-url <url> o --metadata-file <file_path>: specifica il percorso del file json della configurazione del provider. Se il provider ospita un file di individuazione json pubblico, utilizza --config-url. In caso contrario, specifica un percorso nel computer locale e nel nome file per --metadata-file.

    --return-url <url>: l’URL del tuo server. È tipicamente il nome pubblico del server, come "http://example.tableau.com".

    Ad esempio, esegui il comando:

    tsm authentication openid configure --client-id “laakjwdlnaoiloadjkwha" --client-secret “fwahfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Esistono ulteriori configurazioni opzionali che puoi impostare per Open ID Connect utilizzando l’Entità openIDSettings o tsm authentication openid <comandi>. Inoltre, se hai necessità di configurare il mapping delle attestazioni IdP, consulta Opzioni per openid map-claims.

  2. Digita il comando seguente per abilitare Open ID Connect:

    tsm authentication openid enable

  3. Esegui tsm pending-changes apply per applicare le modifiche.

    Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Configurare OpenID per il funzionamento con un proxy di inoltro

Per impostazione predefinita, Tableau Server ignora le impostazioni proxy e invia tutte le richieste OpenID direttamente all’IdP.

A partire da Tableau Server 2021.2.2 e versioni successive, se Tableau è configurato per utilizzare un proxy di inoltro per connettersi a Internet, puoi configurare Tableau Server per utilizzare l’host proxy e le impostazioni della porta per contattare l’IdP OpenID.

Il modo in cui deve essere configurato Tableau Server è diverso a seconda di come hai implementato il proxy di inoltro nella tua organizzazione:

  • Il proxy di inoltro è configurato nel computer Windows in cui è in esecuzione Tableau Server.
  • Tableau Server invia tutto il traffico in uscita direttamente a un server proxy di inoltro in esecuzione nella tua organizzazione.

Configurazione del proxy di sistema di Windows

Se la tua organizzazione ha configurato il proxy di inoltro in ciascun computer Windows, utilizza questo metodo per utilizzare la configurazione del proxy di sistema per OpenID su Tableau Server. Esegui questi comandi:

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

Server proxy di inoltro

Utilizza il comando tsm configuration set per apportare le modifiche.

  • Per gli host proxy HTTPS, utilizza le seguenti coppie chiave-valore:

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    Ad esempio, se il server proxy è all’indirizzo https://proxy.example.lan:8443, esegui questi comandi:

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • Per gli host proxy HTTP, utilizza le seguenti coppie chiave-valore:

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    Dopo aver impostato queste chiavi, esegui tsm pending-changes apply.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!