Vereisten voor het gebruik van OpenID Connect

In dit onderwerp worden de vereisten beschreven voor het gebruik van OpenID Connect met Tableau Server.

Opmerking: De opdrachten voor de configuratie van TSM-verificatie zijn alleen van toepassing op OIDC-verificatie die tijdens de installatie van Tableau Server in TSM is geconfigureerd. Om wijzigingen aan te brengen in de OIDC-verificatieconfiguratie voor identiteitspools, kunt u het Verificatieconfiguratie bijwerken(Link wordt in een nieuw venster geopend)-eindpunt gebruiken met behulp van Tableau REST OpenAPI.

Samenvatting van de vereisten

  • IdP-account

  • Lokaal identiteitenarchief

  • IdP-claims - gebruikers in kaart brengen

  • Verificatiecontext

IdP-account

U moet toegang hebben tot een identiteitsprovider (IdP) die het OpenID Connect (OIDC)-protocol ondersteunt. U moet ook een account bij de IdP hebben. OpenID Connect wordt door veel identiteitsproviders ondersteund. Het OIDC-protocol is een open en flexibele standaard. Niet alle implementaties van de standaard zijn daarom identiek. Werk altijd samen met uw IdP als u Tableau Server voor OIDC gaat configureren.

De Google IdP-implementatie is uitgebreid getest met Tableau Server en is tevens de model-IdP voor de configuratie die in deze onderwerpen wordt beschreven.

Lokaal identiteitenarchief

Om OpenID Connect te gebruiken op Tableau Server, moet een van de volgende punten gelden:

  • Als u OIDC in TSM configureert tijdens de installatie van Tableau Server, moet Tableau Server worden geconfigureerd om een lokaal identiteitenarchief te gebruiken. De server moet zo worden geconfigureerd dat u expliciet gebruikers op de Tableau Server aanmaakt, in plaats van dat u ze importeert vanuit een externe directory, zoals Active Directory. Het beheer van gebruikers met een extern identiteitenarchief wordt niet ondersteund met OpenID.
  • Als u OIDC configureert met behulp van identiteitspools(Link wordt in een nieuw venster geopend), kan OIDC worden geconfigureerd met 1) een lokaal identiteitenarchief of 2) is AD of LDAP het identiteitenarchief dat in TSM is geconfigureerd tijdens de installatie van Tableau Server.

IdP-claims - gebruikers in kaart brengen

Voor een succesvolle aanmelding bij Tableau Server moet een bepaalde gebruiker worden ingericht in OpenID en vervolgens worden toegewezen aan een gebruikersaccount op Tableau Server. OpenID maakt gebruik van een methode die afhankelijk is van claims om kenmerken van gebruikersaccount te delen met andere toepassingen. Claims omvatten kenmerken van gebruikersaccounts zoals e-mailadres, telefoonnummer, voornaam, enz. Zie OpenID Connect om te begrijpen hoe Tableau Server IdP-claims toewijst aan gebruikersaccounts.

Tableau Server vertrouwt op de IdP-claims om gebruikersaccounts van de IdP toe te wijzen aan accounts die op Tableau Server worden gehost. Standaard verwacht Tableau Server dat de IdP de claim voor e-mail doorgeeft. Afhankelijk van uw IdP moet u mogelijk Tableau Server configureren om een andere IdP-claim te gebruiken.

Als u met Google werkt als IdP, gebruik dan de standaardclaim, email, om IdP-identiteiten toe te wijzen aan Tableau Server-gebruikersaccounts. Als u niet Google gebruikt als IdP, werk dan samen met uw IdP om te bepalen voor welke claim u Tableau Server moet configureren.

Standaard: e-mailclaim gebruiken om gebruikers toe te wijzen

Standaard moet de gebruikersnaam in Tableau Server overeenkomen met de email-claim in het IdP ID-token. Daarom moet u in de standaardconfiguratie dan ook e-mailadressen (ook wel UPN's genoemd) gebruiken als gebruikersnaam in Tableau Server. Als u met Google werkt als IdP, moet de gebruikersnaam in Tableau Server gelijk zijn aan het Gmail-adres van de gebruiker (alice@gmail.com). Door een volledig e-mailadres te gebruiken, wordt de uniciteit van de gebruikersnaam in Tableau Server gegarandeerd, zelfs als twee gebruikers hetzelfde e-mailadres hebben, maar zich op verschillende e-mailhosts bevinden.

Opmerking: Wanneer u een gebruikersidentiteit aanmaakt in Tableau Server, geeft u een gebruikersnaam, wachtwoord en optioneel een e-mailadres op. Voor het gebruik van OpenID Connect in de standaardconfiguratie is de gebruikersnaam (uitgedrukt als e-mailadres) de waarde die moet overeenkomen met de gebruikersnaam in de IdP. Het optionele e-mailadres in de Tableau Server-gebruikersidentiteit wordt niet gebruikt voor OpenID-verificatie.

De domeinnaam negeren

U kunt Tableau configureren om het domeingedeelte van een e-mailadres te negeren bij het matchen van de IdP email-claim op een gebruikersaccount op Tableau Server. In dit scenario zou de email-claim in de IdP alice@example.com kunnen zijn, maar dit komt overeen met een gebruiker met de naam alice in Tableau Server. Het negeren van de domeinnaam kan handig zijn als u al gebruikers hebt gedefinieerd in Tableau Server die overeenkomen met het gedeelte met de gebruikersnamen van de email-claim, maar niet met de domeingedeelten.

Belangrijk: We raden u af om de domeinnaam te negeren zonder dat u eerst voorzorgsmaatregelen neemt. Controleer met name of gebruikersnamen uniek zijn voor de geconfigureerde domeinen die u in uw IdP heeft gemaakt.

Als u Tableau Server zo instelt dat de domeinnaam van de gebruiker wordt genegeerd, kan dit ertoe leiden dat de gebruiker zich onbedoeld aanmeldt. Denk aan het geval waarin uw IdP is geconfigureerd voor meerdere domeinen (example.com en tableau.com). Als uw organisatie twee gebruikers heeft met dezelfde voornaam, maar verschillende gebruikersaccounts (alice@tableau.com en alice@example.com), dan zal de eerste gebruiker die de OpenID-provisioningsequentie voltooit, de sub-toewijzing in de IdP claimen. Als de verkeerde gebruiker is toegewezen, kan de andere gebruiker zich pas weer aanmelden als de betreffende sub-waarde opnieuw wordt ingesteld.

Om Tableau Server te configureren zodat domeinnamen in gebruikersnamen van de IdP worden genegeerd, stelt u tsm authentication openid configure --ignore-domain in op true. Zie tsm authentication openid <commands> voor meer informatie.

Als u de optie --ignore-domain van 'tsm authentication openid configure' wijzigt zodat het domein in gebruikersnamen wordt genegeerd, moeten alle gebruikersnamen in Tableau Server een domeinnaam hebben.

Aangepaste claims gebruiken om gebruikers in kaart te brengen

Zoals vermeld in OpenID Connect, wordt de claim sub vaak opgenomen in IdP-claims. Meestal is de sub-claim is een unieke tekenreeks waarmee een bepaald gebruikersaccount wordt geïdentificeerd. Het voordeel van een sub-claim is dat deze niet verandert, zelfs niet als u of een andere beheerder andere gebruikerskenmerken of IdP-claims (e-mailadres, telefoonnummer, enz.) bijwerkt die aan dat account zijn gekoppeld. Standaard identificeert en verifieert Tableau Server OpenID-gebruikers volgens de sub -claim in het IdP ID-token.

De waarde van de OpenID-claim sub moet worden toegewezen aan de overeenkomstige gebruiker in Tableau Server. Aangezien de sub -claim een willekeurige tekenreeks is, wordt een andere claim gebruikt om accounts te koppelen tijdens de eerste aanmeldsessie. De eerste keer dat een gebruiker zich via OpenID aanmeldt bij Tableau Server zal Tableau het OpenID-gebruikersaccount koppelen aan een overeenkomstig gebruikersaccount in Tableau Server. Standaard gebruikt Tableau de IdP-claim, email om de Tableau-gebruiker te identificeren. Vervolgens zal Tableau de gegevens van die gebruiker bijwerken met de sub-claim van OpenID. Omdat het ID-token altijd de sub-claim opneemt bij met andere claims, zal Tableau bij volgende sessies die gebruiker alleen identificeren met de sub-claim.

Voor sommige organisaties is het koppelen van gebruikersnamen aan e-mailadressen niet betrouwbaar of wordt dit niet ondersteund door de IdP. Vanaf Tableau Server 10.2 kunt u gebruikersaccounts van elke willekeurige IdP-claim toewijzen aan de Tableau Server-gebruikersnaam.

De IdP-claim die u gebruikt, moet exact overeenkomen met een overeenkomstige Tableau Server-gebruikersnaam. In het onderstaande voorbeeld is de gebruikersnaam kwilliams.

Als u de IdP-claim wilt wijzigen waarmee identiteiten in kaart worden gebracht bij Tableau Server, gebruikt u de opdracht tsm authentication openid map-claims --user-name. Zie tsm authentication openid <commands> voor meer informatie.

De sub-claim wijzigen

Zoals hierboven beschreven, is de sub-claim eigenlijk de ID waarmee Tableau Server gebruikers identificeert na hun eerste toewijzingssessie. De sub-claim wordt naar het overeenkomstige gebruikersaccount in Tableau Server geschreven. Als uw IdP geen sub-claim kan aanbieden, kunt u een willekeurige claim opgeven die u in plaats daarvan wilt gebruiken. Net als bij sub moet de claimwaarde die u opgeeft uniek zijn en mag deze niet veranderen wanneer andere gebruikersclaims worden bijgewerkt.

Als u een andere IdP-claim voor de standaard sub-claim wilt opgeven, gebruikt u de opdracht tsm authentication openid map-claims --id. Zie tsm authentication openid <commands> voor meer informatie.

Waarbij arbitraryClaim staat voor de naam van de IdP-claim die u wilt gebruiken als vervanging voor de sub-claim.

Verificatiecontext

Als uw OpenID Connect IdP een specifieke verificatiecontext vereist, kunt u een lijst met essentiële en vrijwillige ACR-waarden opgeven met behulp van de configuratiesleutels vizportal.openid.essential_acr_values en vizportal.openid.voluntary_acr_values. Zie tsm configuration set-opties voor meer informatie.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.