OpenID 接続認証要求パラメーター
Tableau Server から送信された OpenID 認証要求は、このトピックに記載されている限られたパラメーターのセットを使用して情報を渡します。OpenID IdP が以下のリストに記載されていないパラメーターを要求する場合は、Tableau Server での使用と互換性がありません。
scope。この値は、IdP に対し、返すよう要求するユーザー情報を伝えるプロファイルを指定します。この値は、Tableau Server 管理者が設定できます。既定値は "openid email profile" です。詳細については、本書の後半に記載されている「範囲の値を設定する」を参照してください。response_type。OpenID Connect は複数のフローをサポートします。この値は IdP に対し、Tableau Server が期待するフローを伝えます。Tableau では、認可コード フローのみをサポートし、値は常に "code" に設定されます。client_id。この値は、IdP に要求の発信元を知らせるサーバーの ID ([Tableau Server の構成] ダイアログ ボックスの [プロバイダー クライアント ID]) を指定します。サービスの登録時、IdP によって提供されます。値は Tableau Server 管理者が設定できます。redirect_uri。この値は、OpenID Connect を使用してユーザーが認証された後に IdP がリダイレクトする URL を指定します。URL にはホストとプロトコルを含める必要がありますが (たとえば、http://example.tableau.com)、Tableau は URL エンドポイントを提供します。nonce. Tableau Server は、IdP リダイレクト先のクライアントが、IdP から戻されたエンティティと一致していることを検証する nonce 値を生成します。
scope 値の構成
scope 値は、Tableau Server がユーザーに関して要求する情報を IdP に示します。既定では、Tableau Server は値 "openid profile email" を送信します。これは、Tableau が OpenID を使用して認証し (scope 属性値のこの部分を常に含める必要があります)、Tableau Server がユーザー認可コードの交換中にユーザー プロフィールとメール情報を要求していることを示します。
この既定の範囲が適切でないシナリオでは、Tableau Server にユーザーに関するカスタムの情報を要求させることができます。これを行うには、IdP にカスタムのプロファイル (例: "tableau-scope"など) を設定します。次に、カスタム プロファイルの名前を使用して範囲要求を送信するよう Tableau Server を設定できます。
Tableau Server が要求する範囲の値を変更するには、次の TSM CLI コマンドを使用します。
tsm authentication openid configure --custom-scope-name custom-scope-name
注:
- Tableau Server は常に "openid" を範囲の値の一部として含めます (
custom_scope設定に含まれていない場合であっても含めます)。 - TSM 認証構成コマンドは、Tableau Server のセットアップ中に TSM で構成された OIDC 認証にのみ適用されます。アイデンティティ プールの OIDC 認証構成を変更するには、Tableau REST OpenAPI を使用する認証構成の更新(新しいウィンドウでリンクが開く)エンドポイントを使用します。