openIDSettings-entiteit
Controleer Vereisten voor het gebruik van OpenID Connect voordat u OpenID-verificatie configureert.
Gebruik de onderstaande configuratiebestandsjabloon om een json-bestand te maken. Nadat u de opties met de juiste waarden hebt ingevuld, geeft u het json-bestand door en past u de instellingen toe met de volgende opdrachten:
tsm settings import -f path-to-file.json
tsm pending-changes apply
Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply
een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt
, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.
Configuratiesjabloon
Gebruik deze sjabloon om OpenID-instellingen te configureren.
Belangrijk: Alle entiteitsopties zijn hoofdlettergevoelig.
Zie Voorbeeld van configuratiebestand voor meer uitleg over configuratiebestanden, entiteiten en sleutels.
Nadat u klaar bent met de eerste configuratie van OIDC, gebruikt u de subcategorie tsm authentication openid <commands> om extra waarden in te stellen.
{ "configEntities": { "openIDSettings": { "_type": "openIDSettingsType", "enabled": true, "clientId": "required", "clientSecret": "required", "configURL": "required if staticFile value is not set", "staticFile": "required if configURL value is not set", "externalURL": "required" } } }
Referentie configuratiebestand
De volgende lijst bevat alle opties die kunnen worden opgenomen in de entiteitsset "openIDSettings"
.
- _type
Vereist.
Niet wijzigen.
- enabled
Vereist.
Stel in op
true
.
- clientId
Vereist.
Geeft de client-ID aan van de provider die uw IdP aan uw toepassing heeft toegewezen. Bijvoorbeeld,
“laakjwdlnaoiloadjkwha"
.
- clientSecret
Vereist.
Geeft het clientgeheim van de provider op. Dit is een token dat door Tableau wordt gebruikt om de authenticiteit van het antwoord van de IdP te verifiëren. Deze waarde is geheim en moet veilig worden bewaard.
Bijvoorbeeld,
“fwahfkjaw72123="
.
- configURL
Vereist.
Specificeert de URL voor providerconfiguratie. Als u geen configuratie-URL opgeeft, verwijdert u deze optie en geeft u in plaats daarvan een pad en bestandsnaam op voor
staticFile
.
- staticFile
Vereist.
Geeft het lokale pad aan naar het statische JSON-document voor OIDC-detectie. Als u geen statisch bestand opgeeft, verwijdert u deze optie en geeft u in plaats daarvan een URL op voor
configURL
.
- externalURL
Vereist.
De URL van uw server. Dit is doorgaans de openbare naam van uw server, bijvoorbeeld
http://example.tableau.com
.
- connectionTimeout
Optioneel.
Specificeert de time-outperiode voor de verbinding in seconden. Standaard is
10
.
- readTimeout
Optioneel.
Specificeert de time-outtijd voor het lezen in seconden. Standaard is
30
.
- ignoreDomain
Stel dit in op
true
als de volgende “waar” zijn:- U gebruikt e-mailadressen als gebruikersnamen in Tableau Server
- U hebt in de IdP gebruikers met meerdere domeinnamen ingericht
- U wilt het deel domeinnaam negeren van de claim
email
van de IdP
Voordat u verdergaat, controleert u de gebruikersnamen die zullen worden gebruikt als u deze optie instelt op
true
. Er kunnen conflicten met gebruikersnamen voorkomen. In het geval van een conflict met gebruikersnamen is het risico op openbaarmaking van informatie groot. Zie Vereisten voor het gebruik van OpenID Connect.
- ignoreJWK
Stel dit in op
true
als uw IdP JWK-validatie niet ondersteunt. In dit geval raden we u aan de communicatie met uw IdP te verifiëren met wederzijdse TLS of een ander beveiligingsprotocol op de netwerklaag. Standaard isfalse
.
- customScope
Geeft een aan gebruikers gerelateerde waarde aan voor het aangepaste bereik. U kunt dit gebruiken om query's uit te voeren op de IdP. Zie Vereisten voor het gebruik van OpenID Connect.
- idClaim
Wijzig deze waarde als uw IdP de claim
sub
niet gebruikt om gebruikers uniek te identificeren in het ID-token. De IdP-claim die u opgeeft, moet één unieke tekenreeks bevatten.
- usernameClaim
Wijzig deze waarde in de IdP-claim die uw organisatie gaat gebruiken om gebruikersnamen af te stemmen zoals opgeslagen in Tableau Server.
- clientAuthentication
Geeft aangepaste clientverificatiemethode aan voor OpenID Connect.
Als u Tableau Server wilt configureren om de Salesforce IdP te gebruiken, stelt u deze waarde in op
client_secret_post
.
- iFramedIDPEnabled
Ingesteld op
true
om het weergeven van IdP in een iFrame toe te staan. De IdP moet bescherming tegen clickjacking uitschakelen om iFrame-presentatie mogelijk te maken.