OpenID Connect

É possível configurar o Tableau Server para oferecer suporte ao OpenID Connect (OIDC) para Single Sign-on (Logon único, SSO). O OIDC é um protocolo de autenticação padrão que permite aos usuários fazer logon em um provedor de identidade (IdP) como o Google ou Salesforce. Após fazerem logon com sucesso no IdP, eles entram automaticamente no Tableau Server.

A configuração do OIDC envolve várias etapas. Os tópicos nesta seção fornecem informações gerais sobre a utilização do Tableau Server com o OIDC e uma sequência para a configuração do IdP e do Tableau Server.

Para configurar o OIDC usando a API REST do Tableau, consulte Métodos do OpenID Connect(O link abre em nova janela).

Observação: salvo indicação em contrário, as informações sobre a autenticação OIDC se aplicam à autenticação OIDC configurada no TSM durante a configuração do Tableau Server ou à autenticação OIDC configurada com pools de identidade(O link abre em nova janela).

Visão geral da autenticação

Esta seção descreve o processo de autenticação do OpenID Connect (OIDC) com Tableau Server.

1. Um usuário tenta entrar no Tableau Server em um computador cliente.

2. Tableau Server redireciona a solicitação de autenticação ao gateway IdP.

3. O usuário é solicitado a fornecer credenciais e faz a autenticação com o IdP com sucesso. O IdP responde com uma URL de redirecionamento de volta ao Tableau Server. A URL de redirecionamento inclui um código de autorização para o usuário.

4. O cliente é redirecionado para o Tableau Server e apresenta o código de autorização.

5. O Tableau Server apresenta o código de autorização do cliente ao IdP, juntamente com suas próprias credenciais de cliente. O Tableau Server também é cliente do IdP. Esta etapa destina-se a evitar ataques de spoofing ou “man-in-the-middle”.

6. O IdP retorna um token de acesso e um token de ID para o Tableau Server.

  • Validação do JSON Web Token (JWT): por padrão, o Tableau Server executa uma validação do IdP JWT. Durante a descoberta, o Tableau Server recupera as chaves públicas especificadas pelo jwks_uri no documento de descoberta da configuração do IdP. O Tableau Server valida o token de ID da expiração e, em seguida, verifica o JWS (JSON Web Signature), o emissor (IdP) e a ID do cliente. Você pode saber mais sobre o processo do JWT na documentação do OpenID 10. Assinaturas e criptografia(O link abre em nova janela) e o padrão proposto pela IETF, o JSON Web Token(O link abre em nova janela). Recomenda-se deixar a validação do JWT habilitada, a menos que o Idp não ofereça suporte.

  • O token da ID é um conjunto de pares de chaves de atributo para o usuário. Os pares de chaves são chamados de reivindicações. Veja um exemplo de reivindicação de IdP para um usuário:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@example.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

7. O Tableau Server identifica o usuário nas reivindicações de IdP e conclui a solicitação de autenticação da Etapa 1. O Tableau Server procura o registro de conta do usuário armazenado no repositório correspondente ao "sub" (identificador de assunto) para identificar a conta de usuário correta. Se nenhuma conta de usuário for armazenada com o valor de reivindicação “sub”, o Tableau Server procurará um nome de usuário no repositório que corresponda à reivindicação "email" do IdP. Quando uma correspondência de nome de usuário for bem-sucedida, o Tableau Server armazenará a sub-afirmação correspondente no registro do usuário no repositório.O Tableau Server pode ser configurado para usar declarações diferentes para esse processo. Consulte Requisitos para usar o OpenID Connect.

8. O Tableau Server autoriza o usuário.

Como o Tableau Server funciona com OpenID Connect

O OpenID Connect (OIDC) é um protocolo flexível, compatível com muitas opções de informações, que são trocadas entre um provedor de serviços (nesse caso, o Tableau Server) e um IdP. A lista a seguir fornece detalhes sobre a implementação do OpenID no Tableau Server. Estes detalhes podem ajudar a entender quais tipos de informação o Tableau Server envia e espera, e como configurar um IdP.

  • O Tableau Server é compatível somente com o OpenID Authorization Code Flow como descrito na Especificação final do OpenID Connect(O link abre em nova janela) na documentação do OpenID Connect.

  • O Tableau Server depende do uso de descoberta ou de uma URL de provedor para recuperar os metadados do provedor OpenID.Como alternativa, você pode hospedar um documento de descoberta estático no Tableau Server. Para obter mais informações, consulte Configurar o Tableau Server para OpenID Connect.

  • O Tableau Server é compatível com os métodos de autenticação do cliente client_secret_basic e client_secret_post especificados na especificação OpenID Connect.

  • O Tableau Server espera um valor kid no Cabeçalho JOSE do atributo id_token. Este valor é combinado com uma das chaves encontradas no documento JWK Set, cujo URI é especificado pelo valor jwks_uri, no documento de descoberta do OpenID. Um valor kid deve estar presente, mesmo se houver apenas uma chave no documento JWK Set.

  • O Tableau Server oferece suporte ao OpenID para o parâmetro x5c do JWK ou para o uso de certificados X.509.

  • Por padrão, o Tableau Server ignora as configurações de proxy e envia todas as solicitações OpenID diretamente para o IdP.

    Se o Tableau Server estiver configurado para usar um proxy de encaminhamento para se conectar à Internet, você deve fazer alterações adicionais conforme descrito em Configurar o Tableau Server para OpenID Connect.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!