Vereisten voor het gebruik van OpenID Connect
In dit onderwerp worden de vereisten beschreven voor het gebruik van OpenID Connect met Tableau Server.
Opmerking: De opdrachten voor de configuratie van TSM-verificatie zijn alleen van toepassing op OIDC-verificatie die tijdens de installatie van Tableau Server in TSM is geconfigureerd. Om wijzigingen aan te brengen in de OIDC-verificatieconfiguratie voor identiteitspools, kunt u het Verificatieconfiguratie bijwerken(Link wordt in een nieuw venster geopend)-eindpunt gebruiken met behulp van Tableau REST OpenAPI.
Samenvatting van de vereisten
IdP-account
Lokaal identiteitenarchief
IdP-claims - gebruikers in kaart brengen
Verificatiecontext
IdP-account
U moet toegang hebben tot een identiteitsprovider (IdP) die het OpenID Connect (OIDC)-protocol ondersteunt. U moet ook een account bij de IdP hebben. OpenID Connect wordt door veel identiteitsproviders ondersteund. Het OIDC-protocol is een open en flexibele standaard. Niet alle implementaties van de standaard zijn daarom identiek. Werk altijd samen met uw IdP als u Tableau Server voor OIDC gaat configureren.
De Google IdP-implementatie is uitgebreid getest met Tableau Server en is tevens de model-IdP voor de configuratie die in deze onderwerpen wordt beschreven.
Lokaal identiteitenarchief
Om OpenID Connect te gebruiken op Tableau Server, moet een van de volgende punten gelden:
- Als u OIDC in TSM configureert tijdens de installatie van Tableau Server, moet Tableau Server worden geconfigureerd om een lokaal identiteitenarchief te gebruiken. De server moet zo worden geconfigureerd dat u expliciet gebruikers op de Tableau Server aanmaakt, in plaats van dat u ze importeert vanuit een externe directory, zoals Active Directory. Het beheer van gebruikers met een extern identiteitenarchief wordt niet ondersteund met OpenID.
- Als u OIDC configureert met behulp van identiteitspools(Link wordt in een nieuw venster geopend), kan OIDC worden geconfigureerd met 1) een lokaal identiteitenarchief of 2) is AD of LDAP het identiteitenarchief dat in TSM is geconfigureerd tijdens de installatie van Tableau Server.
IdP-claims - gebruikers in kaart brengen
Voor een succesvolle aanmelding bij Tableau Server moet een bepaalde gebruiker worden ingericht in OpenID en vervolgens worden toegewezen aan een gebruikersaccount op Tableau Server. OpenID maakt gebruik van een methode die afhankelijk is van claims om kenmerken van gebruikersaccount te delen met andere toepassingen. Claims omvatten kenmerken van gebruikersaccounts zoals e-mailadres, telefoonnummer, voornaam, enz. Zie OpenID Connect om te begrijpen hoe Tableau Server IdP-claims toewijst aan gebruikersaccounts.
Tableau Server vertrouwt op de IdP-claims om gebruikersaccounts van de IdP toe te wijzen aan accounts die op Tableau Server worden gehost. Standaard verwacht Tableau Server dat de IdP de claim voor
Als u met email
, om IdP-identiteiten toe te wijzen aan Tableau Server-gebruikersaccounts. Als u niet
Standaard: e-mailclaim gebruiken om gebruikers toe te wijzen
Standaard moet de gebruikersnaam in Tableau Server overeenkomen met de email
-claim in het IdP ID-token. Daarom moet u in de standaardconfiguratie dan ook e-mailadressen (ook wel UPN's genoemd) gebruiken als gebruikersnaam in Tableau Server. Als u met alice@gmail.com
)
Opmerking: Wanneer u een gebruikersidentiteit aanmaakt in Tableau Server, geeft u een gebruikersnaam, wachtwoord en optioneel een e-mailadres op. Voor het gebruik van OpenID Connect in de standaardconfiguratie is de gebruikersnaam (uitgedrukt als e-mailadres) de waarde die moet overeenkomen met de gebruikersnaam in de IdP. Het optionele e-mailadres in de Tableau Server-gebruikersidentiteit wordt niet gebruikt voor OpenID-verificatie.
De domeinnaam negeren
U kunt Tableau configureren om het domeingedeelte van een e-mailadres te negeren bij het matchen van de IdP email
-claim op een gebruikersaccount op Tableau Server. In dit scenario zou de email
-claim in de IdP alice@example.com
kunnen zijn, maar dit komt overeen met een gebruiker met de naam alice
in Tableau Server. Het negeren van de domeinnaam kan handig zijn als u al gebruikers hebt gedefinieerd in Tableau Server die overeenkomen met het gedeelte met de gebruikersnamen van de email
-claim, maar niet met de domeingedeelten.
Belangrijk: We raden u af om de domeinnaam te negeren zonder dat u eerst voorzorgsmaatregelen neemt. Controleer met name of gebruikersnamen uniek zijn voor de geconfigureerde domeinen die u in uw IdP heeft gemaakt.
Als u Tableau Server zo instelt dat de domeinnaam van de gebruiker wordt genegeerd, kan dit ertoe leiden dat de gebruiker zich onbedoeld aanmeldt. Denk aan het geval waarin uw IdP is geconfigureerd voor meerdere domeinen (example.com
en tableau.com
). Als uw organisatie twee gebruikers heeft met dezelfde voornaam, maar verschillende gebruikersaccounts (alice@tableau.com
en alice@example.com
), dan zal de eerste gebruiker die de OpenID-provisioningsequentie voltooit, de sub
-toewijzing in de IdP claimen. Als de verkeerde gebruiker is toegewezen, kan de andere gebruiker zich pas weer aanmelden als de betreffende sub
-waarde opnieuw wordt ingesteld.
Om Tableau Server te configureren zodat domeinnamen in gebruikersnamen van de IdP worden genegeerd, stelt u tsm authentication openid configure --ignore-domain
in op true
. Zie tsm authentication openid <commands> voor meer informatie.
Als u de optie --ignore-domain
van 'tsm authentication openid configure' wijzigt zodat het domein in gebruikersnamen wordt genegeerd, moeten alle gebruikersnamen in Tableau Server een domeinnaam hebben.
Aangepaste claims gebruiken om gebruikers in kaart te brengen
Zoals vermeld in OpenID Connect, wordt de claim sub
vaak opgenomen in IdP-claims. Meestal is de sub
-claim is een unieke tekenreeks waarmee een bepaald gebruikersaccount wordt geïdentificeerd. Het voordeel van een sub
-claim is dat deze niet verandert, zelfs niet als u of een andere beheerder andere gebruikerskenmerken of IdP-claims (e-mailadres, telefoonnummer, enz.) bijwerkt die aan dat account zijn gekoppeld. Standaard identificeert en verifieert Tableau Server OpenID-gebruikers volgens de sub
-claim in het IdP ID-token.
De waarde van de OpenID-claim sub
moet worden toegewezen aan de overeenkomstige gebruiker in Tableau Server. Aangezien de sub
-claim een willekeurige tekenreeks is, wordt een andere claim gebruikt om accounts te koppelen tijdens de eerste aanmeldsessie. De eerste keer dat een gebruiker zich via OpenID aanmeldt bij Tableau Server zal Tableau het OpenID-gebruikersaccount koppelen aan een overeenkomstig gebruikersaccount in Tableau Server. Standaard gebruikt Tableau de IdP-claim, email
om de Tableau-gebruiker te identificeren. Vervolgens zal Tableau de gegevens van die gebruiker bijwerken met de sub
-claim van OpenID. Omdat het ID-token altijd de sub
-claim opneemt bij met andere claims, zal Tableau bij volgende sessies die gebruiker alleen identificeren met de sub
-claim.
Voor sommige organisaties is het koppelen van gebruikersnamen aan e-mailadressen niet betrouwbaar of wordt dit niet ondersteund door de IdP. Vanaf Tableau Server 10.2 kunt u gebruikersaccounts van elke willekeurige IdP-claim toewijzen aan de Tableau Server-gebruikersnaam.
De IdP-claim die u gebruikt, moet exact overeenkomen met een overeenkomstige Tableau Server-gebruikersnaam. In het onderstaande voorbeeld is de gebruikersnaam kwilliams
.
Als u de IdP-claim wilt wijzigen waarmee identiteiten in kaart worden gebracht bij Tableau Server, gebruikt u de opdracht tsm authentication openid map-claims --user-name
. Zie tsm authentication openid <commands> voor meer informatie.
De sub
-claim wijzigen
Zoals hierboven beschreven, is de sub
-claim eigenlijk de ID waarmee Tableau Server gebruikers identificeert na hun eerste toewijzingssessie. De sub
-claim wordt naar het overeenkomstige gebruikersaccount in Tableau Server geschreven. Als uw IdP geen sub
-claim kan aanbieden, kunt u een willekeurige claim opgeven die u in plaats daarvan wilt gebruiken. Net als bij sub
moet de claimwaarde die u opgeeft uniek zijn en mag deze niet veranderen wanneer andere gebruikersclaims worden bijgewerkt.
Als u een andere IdP-claim voor de standaard sub-claim wilt opgeven, gebruikt u de opdracht tsm authentication openid map-claims --id
. Zie tsm authentication openid <commands> voor meer informatie.
Waarbij arbitraryClaim
staat voor de naam van de IdP-claim die u wilt gebruiken als vervanging voor de sub
-claim.
Verificatiecontext
Als uw OpenID Connect IdP een specifieke verificatiecontext vereist, kunt u een lijst met essentiële en vrijwillige ACR-waarden opgeven met behulp van de configuratiesleutels vizportal.openid.essential_acr_values
en vizportal.openid.voluntary_acr_values
. Zie tsm configuration set-opties voor meer informatie.