Configurar o Tableau Server para OpenID Connect

Este tópico descreve como configurar o Tableau Server para usar o OpenID Connect (OIDC) para logon único (SSO, Single Sign-on). Esta é uma etapa contida em um processo de várias etapas. Os tópicos a seguir fornecem informações sobre a configuração e uso de OIDC com Tableau Server.

  1. Visão geral do OpenID Connect

  2. Configurar o provedor de identidades para o OpenID Connect

  3. Configurar Tableau Server para OpenID Connect (você está aqui)

  4. Como fazer logon no Tableau Server usando o OpenID Connect

Observações:

  1. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

  2. Na guia CONFIGURAÇÃO, selecione Identidade e acesso do usuário > Método de autenticação.

  3. Em Método de autenticação, selecione OpenID Connect no menu suspenso.

  4. Em OpenID Connect, selecione Habilitar autenticação do OpenID para o servidor.

  5. Insira as informações de configuração do OpenID da sua empresa:

    Imagem de uma configuração do OpenID Connect no TSM

    Observações:

    • Para a Etapa 3: se seu provedor depender de um arquivo de configuração hospedado no computador local (em vez de um arquivo hospedado em uma URL pública), você poderá especificar o arquivo com o tsm authentication openid <commands>. Use a opção --metadata-file <file_path> para especificar um arquivo de configuração do IdP local.

    • Para a Etapa 4: a partir do Tableau Server 2025.3, você pode habilitar o logout único (SLO) e especificar uma URL para redirecionar seus usuários após serem desconectados.

    • Para a Etapa 5: a partir do Tableau Server 2026.2, você pode habilitar atributos de usuário e suas funções como parte do fluxo de trabalho de autenticação OIDC. Para obter mais informações, consulte Atributos de usuário em declarações OIDC.

  6. Clique em Salvar alterações pendentes após ter inserido as informações de configuração.

  7. Clique em Alterações pendentes na parte superior da página:

    Barra de ferramentas do Tableau Server Manager indicando que há alterações pendentes.

  8. Clique em Aplicar alterações e reiniciar.

O procedimento nesta seção descreve como usar a interface de linha de comando de TSM para configurar o OpenID Connect. Como alternativa, use um arquivo de configuração para a configuração inicial do OpenID Connect. Consulte Entidade openIDSettings.

  1. Use o comando configure de tsm authentication openid <commands> para definir as seguintes opções exigidas:

    • --client-id <id>: especifica a ID do cliente do provedor que a IdP atribuiu ao aplicativo. Por exemplo, “xxxkjwdlnaoiloadjkwha".

    • --client-secret <secret>: especifica o segredo do cliente do provedor. Este é um token usado pelo Tableau para verificar a autenticidade da resposta do IdP. Este valor é um segredo e deve ser mantido em segurança. Por exemplo, “xxxhfkjaw72123=".

    • --config-url <url> ou --metadata-file <file_path>: especifica a localização do arquivo json de configuração do provedor. Se o provedor hospedar um arquivo de descoberta JSON público, use --config-url. Caso contrário, especifique um caminho no computador local e o nome do arquivo para --metadata-file.

    • --return-url <url>: a URL do servidor. É normalmente o nome público do seu servidor, como "http://example.tableau.com".

    Por exemplo, execute o comando:

    tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkwha" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    Observação: 

  2. Digite o seguinte comando para habilitar o Open ID Connect:

    tsm authentication openid enable

  3. Execute tsm pending-changes apply para aplicar as alterações.

    Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Configurar OpenID para trabalhar com um proxy de encaminhamento

Por padrão, o Tableau Server ignora as configurações de proxy e envia todas as solicitações OpenID diretamente para o IdP.

A partir do Tableau Server 2021.2.2 e versões posteriores, se o Tableau estiver configurado para usar um proxy de encaminhamento para se conectar à Internet, você pode configurar o Tableau Server para usar o host proxy e as configurações de porta para entrar em contato com o IdP OpenID.

A forma como você configura o Tableau Server é diferente, dependendo de como você implementou o proxy de encaminhamento em sua organização:

  • O proxy de encaminhamento é configurado no computador Windows em que o Tableau Server está sendo executado.
  • O Tableau Server envia todo o tráfego de saída diretamente para um servidor proxy de encaminhamento em execução em sua organização.

Configuração de proxy do sistema Windows

Se a sua organização configurou o proxy de encaminhamento em cada computador Windows, use este método para usar a configuração do proxy do sistema para OpenID onTableau Server. Execute os seguintes comandos:

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

Servidor proxy de encaminhamento

Use o comando,tsm configuration set, para fazer as alterações.

  • Para hosts proxy HTTPS, use os seguintes pares de chave-valor:

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    Por exemplo, se o seu servidor proxy estiver emhttps://proxy.example.lan:8443, em seguida, execute os seguintes comandos:

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • Para hosts proxy HTTP, use os seguintes pares de chave-valor:

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    Depois de definir essas chaves, executetsm pending-changes apply.

Personalizar e controlar o acesso aos dados usando atributos de usuário

Os atributos de usuário são metadados de usuário definidos pela sua organização. Os atributos de usuário podem ser usados para determinar o acesso em um modelo de autorização típico de controle de acesso baseado em atributos (ABAC). Os atributos de usuário podem ser qualquer aspecto do perfil do usuário, incluindo cargos, associação departamental, nível de gerenciamento etc. Eles também podem estar associados a contextos de usuário de tempo de execução, como onde o usuário está conectado ou sua preferência de idioma.

Ao incluir atributos do usuário em seu fluxo de trabalho, você pode controlar e personalizar a experiência do usuário por meio de acesso e personalização de dados.

  • Acesso aos dados: os atributos do usuário podem ser usados para impor políticas de segurança de dados. Isso garante que os usuários vejam apenas as informações que estão autorizados a ver.
  • Personalização: ao passar atributos de usuário como localização e função, seu conteúdo pode ser personalizado para exibir apenas as informações relevantes para o usuário que o acessa, facilitando a localização das informações de que precisa.

Resumo das etapas para passar atributos de usuário

O processo de habilitar atributos de usuário em um fluxo de trabalho é resumido nas seguintes etapas:

  1. Habilitar a configuração de atributos de usuário
  2. Incluir atributos de usuário na asserção
  3. Verificar se o autor do conteúdo inclui funções de atributo de usuário e filtros relevantes
  4. Revisar o conteúdo

Etapa 1: habilitar a configuração de atributos de usuário

Por motivos de segurança, os atributos de usuário só são validados em um fluxo de trabalho de autenticação quando a configuração de atributo de usuário é habilitada por um administrador de servidor.

  1. Abra o TSM em um navegador:

    https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.

  2. Na guia CONFIGURAÇÃO, selecione Identidade e acesso do usuário > Método de autenticação.

  3. Em Método de autenticação, selecione SAML no menu suspenso.

  4. Sob Etapa 8, marque a caixa de seleção Habilitar captura de atributos do usuário durante autenticação SAML.

  5. Quando terminar, faça o seguinte:

    1. Clique em Salvar alterações pendentes.

    2. Clique no botão Alterações o pendentes na parte superior da página.

    3. Clique em Aplicar alterações e reiniciar.

Etapa 2: incluir o atributo de usuário na asserção

Certifique-se de que a asserção contenha os atributos de usuário.

Observação: os atributos na resposta SAML estão sujeitos ao limite de 4096 caracteres, com exceção dos atributos scope ou scp. Se os atributos na resposta, incluindo os atributos do usuário, excederem esse limite, o Tableau vai remover os atributos e passar o atributo ExtraAttributesRemoved. O autor do conteúdo pode então criar um cálculo com o atributo ExtraAttributesRemoved para determinar como exibir o conteúdo aos usuários quando o atributo for detectado.

Exemplo

Suponha que você tenha um funcionário, Fred Suzuki, que é um gerente localizado na região Sul. Você quer garantir que, quando Fred revisar relatórios, ele só consiga ver os dados da região Sul. Em um cenário como este, você pode incluir o atributo de usuário Region na resposta SAML, como no exemplo abaixo.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Etapa 3: verificar se o autor do conteúdo inclui funções de atributo

Verifique se o autor do conteúdo inclui as funções de atributo do usuário e filtros relacionados para controlar quais dados podem ser exibidos em seu conteúdo. Para garantir que as asserções de atributo do usuário sejam passadas para o Tableau, o conteúdo deve conter uma das seguintes funções de atributo do usuário:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

A função usada pelo autor de conteúdo depende se os atributos do usuário devem retornar um único valor ou vários. Para obter mais informações sobre essas funções e exemplos de cada uma, consulte Funções do usuário(O link abre em nova janela) na Ajuda do Tableau.

Observações:

  • Visualização do conteúdo com essas funções não está disponível durante a criação no Tableau Desktop ou Tableau Cloud. A função retornará NULL ou FALSE. Para garantir que as funções do usuário funcionem conforme o esperado, recomendamos que o autor revise as funções após disponibilizar o conteúdo.
  • Para garantir que o conteúdo seja renderizado conforme o esperado, o autor do conteúdo pode considerar a inclusão de um cálculo que use ExtraAttributesRemoved que 1) verifica esse atributo e 2) determina o que fazer com o conteúdo se ele existir, como exibir uma mensagem. O Tableau só adicionará o atributo ExtraAttributesRemoved e removerá todos os outros atributos (exceto scp ou scope) quando os atributos no SAML XML excederem 4096 caracteres. Isso é para garantir o desempenho ideal e respeitar as limitações de armazenamento.

Exemplo

Continuando o exemplo introduzido na Etapa 2: incluir o atributo de usuário na asserção acima, para passar a asserção de atributo de usuário “Region” para uma pasta de trabalho, o autor pode incluir USERATTRIBUTEINCLUDES. Por exemplo, USERATTRIBUTEINCLUDES('Region', [Region]), onde “Region” é o atributo do usuário e [Region] é uma coluna nos dados. Usando o novo cálculo, o autor pode criar uma tabela com dados de Gerente e Vendas. Quando o cálculo é adicionado, a pasta de trabalho retorna os valores “False” conforme esperado.

Para mostrar apenas os dados associados à região Sul na pasta de trabalho inserida, o autor pode criar um filtro e personalizá-lo para mostrar valores quando a região Sul for “True”. Quando o filtro é aplicado, a pasta de trabalho fica em branco, conforme esperado, porque a função está retornando valores “False” e o filtro é personalizado para mostrar apenas valores “True”.

Etapa 4: revisar o conteúdo

Revise e valide o conteúdo.

Exemplo

Para concluir o exemplo da Etapa 3: verificar se o autor do conteúdo inclui funções de atributo acima, você pode ver que os dados de vendas na exibição são personalizados para Fred Suzuki porque o contexto de usuário dele é a região Sul.

Os gerentes das regiões representadas na pasta de trabalho devem ver o valor associado à sua região. Por exemplo, Sawdie Pawthorne, da região Oeste, vê dados específicos para sua região.

Os gerentes cujas regiões não estão representadas na pasta de trabalho verão uma pasta de trabalho em branco.

Problemas conhecidos e limitações

Existem alguns problemas conhecidos e limitações que você deve considerar ao trabalhar com funções de atributo do usuário.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!