Registrera extern auktoriseringsserver för att aktivera enkel inloggning för inbäddat innehåll
Som en Tableau Server-administratör kan du registrera en extern auktoriseringsserver (EAS) för att etablera en förtroenderelation mellan Tableau Server och EAS med hjälp av standardprotokollet OAuth 2.0. Genom att etablera en förtroenderelation kan du:
- Ge dina användare en enkel inloggningsupplevelse (SSO) till Tableau-innehåll som är inbäddat i dina externa program via identitetsprovidern (IdP) som du redan har konfigurerat för Tableau Server
- Auktorisera åtkomst till Tableau REST API (och metadata-API:et från och med Tableau Server oktober 2023) programmatiskt för användarnas räkning med en JSON-webbtoken (JWT)
När inbäddat Tableau-innehåll laddas i ditt externa program används ett OAuth-standardflöde. När användarna har loggat in till sin identitetsprovider loggas de automatiskt in på Tableau Server. Följ stegen nedan för att registrera din EAS med Tableau Server.
Viktigt:
- Vissa av procedurerna i detta ämne kräver konfiguration med programvara och tjänster från tredje part. Vi har gjort vårt bästa för att verifiera procedurerna för att aktivera EAS-funktionen på Tableau Server. Programvara och tjänster från tredje part kan emellertid ändras eller så kan din organisation vara annorlunda. Om det uppstår problem kan du hänvisa till din dokumentation från tredje part för auktoritativ konfigurationsinformation och support.
- För att aktivera inbäddning via EAS måste Tableau Server konfigureras till att använda SSL för HTTP-trafik.
- För att sessionstoken ska vara giltig måste klockorna för det externa programmet och servern, som är värd för det externa programmet, ställas in till Koordinerad universell tid (UTC). Om någon av klockorna använder en annan standard kommer det anslutna programmet inte att vara betrott.
Steg 1: Innan du börjar
För att registrera en EAS med Tableau Server måste du redan ha en EAS konfigurerat. Dessutom måste EAS skicka en giltig JSON-webbtoken (JWT) med registrerade anspråk och rubriker som anges i tabellen nedan.
| Anspråk | Namn | Beskrivning eller obligatoriskt värde |
”kid” | Nyckel-ID | Obligatoriskt (i rubriken). En unik nyckelidentifierare från identitetsprovidern. |
”iss” | Utgivare | Obligatoriskt (i sidhuvudet eller som ett anspråk). Unik utfärdar-URIsom identifierar det betrodda anslutna programmet och dess signeringsnyckel. |
”alg” | Algoritm | Obligatoriskt (i rubriken). JWT-signeringsalgoritm. Namn på algoritmer som stöds finns på sidan Klass JWSAlgorithm(Länken öppnas i ett nytt fönster) i javadoc.io-dokumentation. |
”sub” | Ämne | Användarnamnet för den autentiserade Tableau Server-användaren. |
”aud” | Målgrupp | Värdet måste vara: ” |
”exp” | Utgångstid | |
”jti” | JWT-ID | Genom ID-anspråket får JWT en skiftlägeskänslig, unik identifierare. |
”scp” | Omfattning | För inbäddning av arbetsflöden inkluderar de värden som stöds: ” Obs!
För REST API-auktoriseringsarbetsflöden läser du REST API-metoder som stöder JWT-auktorisering. För de av metadata-API:ets arbetsflöden som använder REST API för autentisering är den enda omfattning som stöds |
Obs! JWT-anspråken som nämns ovan finns i avsnittet Registrerade anspråksnamn(Länken öppnas i ett nytt fönster) i den dokumentation som distribueras av organisationen Internet Engineering Task Force (IETF).
Steg 2: Registrera din EAS hos Tableau Server
Genom att registrera din EAS hos Tableau Server etablerar du en förtroenderelation mellan EAS och Tableau Server . Detta innebär att när användare får tillgång till Tableau-innehåll som är inbäddat i ditt externa program omdirigeras de för att autentisera med IdP. EAS genererar autentiseringstoken som skickas till Tableau Server för verifiering. Efter att den betrodda relationen har verifierats beviljas användarna åtkomst till det inbäddade innehållet.
Efter registreringen av EAS gäller den etablerade betrodda relationen för alla platser på Tableau Server.
Obs! Vissa EAS stöder alternativet att visa en dialogruta som samtycke som frågar efter användarnas godkännande så att programmet får tillgång till Tableau-innehåll. För att säkerställa att dina användare får bästa möjliga upplevelse rekommenderar vi att du konfigurerar din EAS så att den automatiskt samtycker till det externa programmets begäran för användarnas räkning.
Som Tableau Server-administratör loggar du in på webbgränssnittet för Tableau Services Manager (TSM). Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.
- Navigera till Användaridentitet och åtkomst > Auktoriseringsserver och gör följande:
Markera kryssrutan Aktivera OAuth-åtkomst för inbäddat innehåll.
I textrutan Utgivar-URL klistrar du in utgivar-URL för EAS.
Klicka på knappen Spara väntande ändringar.
- Gör följande när du är klar:
Klicka på knappen Väntande ändringar längst upp till höger på sidan.
Längst ned på sidans högra hörn klickar du på knappen Tillämpa ändringar och starta om för att stoppa och starta om Tableau Server.
- Öppna en kommandotolk som administratör på den första noden (där TSM är installerat) i klustret.
Kör följande kommandon:
tsm configuration set -k vizportal.oauth.external_authorization.enabled -v true tsm configuration set -k vizportal.oauth.external_authorization_server.issuer -v "<issuer_url_of_EAS>" tsm restart
Steg 3: Nästa steg
För inbäddningsarbetsflöden
När du har konfigurerat Tableau Server- för att använda din EAS måste du lägga till inbäddningskod till ditt externa program. Se till att du inkluderar den giltiga JWT som genereras av din EAS enligt beskrivningen i steg 1 i den webbkomponent som det externa programmet anropar.
Mer information om hur du bäddar in Tableau-innehåll finns i följande avsnitt:
- Bädda in mätvärden – se ämnet Bädda in mätvärden på webbsidor(Länken öppnas i ett nytt fönster) i Tableau-hjälpen. (I
- Bädda in Tableau-vyer och -mätvärden med Tableaus inbäddnings-API v3(Länken öppnas i ett nytt fönster).
Obs! För att användarna ska kunna autentiseras när de öppnar inbäddat innehåll måste webbläsarna vara konfigurerade att tillåta kakor från tredje part.
Reglera var innehåll kan bäddas in med hjälp av listan över tillåtna domäner för inbäddning
Från och med
Som standard är platsinställningen för inbäddning unrestrictedEmbedding satt till true för att tillåta obegränsad inbäddning. Alternativt kan du och användare sätta inställningen till false och ange de domäner där Tableau-innehåll i externa program kan bäddas in med hjälp av parametern allowList.
Se en eller båda av följande för mer information:
- Uppdatera inbäddningsinställningar för platsen(Länken öppnas i ett nytt fönster) i hjälpen för Tableau REST API:et
- Tableau-platsinställningar för inbäddning(Länken öppnas i ett nytt fönster) (på engelska) i hjälpen för Tableaus inbäddnings-API v3.
För REST API-auktoriseringsarbetsflöden
När JSON-webbtoken har konfigurerats måste du lägga till den giltiga JSON-webbtoken i REST API-inloggningsbegäran för auktoriserad åtkomst. Mer information finns i Åtkomstomfång för anslutna program.
För metadata-API:ets arbetsflöden
När JSON-webbtoken har konfigurerats måste du lägga till den giltiga JSON-webbtoken i REST API-inloggningsbegäran. Mer information finns i Åtkomstomfång för anslutna program.
Kända problem (endast inbäddningsarbetsflöden)
Det finns ett par kända problem när man använder anslutna appar som kommer att åtgärdas i en framtida version.
Funktioner i verktygsfältet: När inbäddat innehåll har parametern för verktygsfältet definierad, fungerar inte alla funktioner i verktygsfältet. För att kringgå det här problemet rekommenderar vi att du döljer verktygsfältsparametern såsom i exemplet nedan.
<tableau-viz id='tab-viz' src='https://<your_server>/t/<your_site>/...' toolbar='hidden'> </tableau-viz>
- Publicerade datakällor: Publicerade datakällor som är inställda på Fråga användare om inloggningsuppgifter för databasen, visas inte. För att kringgå det här problemet rekommenderar vi, om möjligt, att datakällans ägare istället bäddar in inloggningsuppgifterna för databasen.
Felsöka
När det inbäddade innehållet inte visas i ditt externa program eller när Tableau REST API-auktorisering misslyckas, kan du använda en webbläsares utvecklarverktyg för att kontrollera och identifiera felkoder som kan vara relaterade till den EAS-funktion som är aktiverad på Tableau Server-.
Tabellen nedan innehåller en beskrivning av felkoden och en möjlig lösning.
| Felkod | Sammanfattning | Beskrivning | Möjlig lösning eller beskrivning |
| 5 | SYSTEM_USER_NOT_FOUND | Det gick inte att hitta Tableau-användaren | sub' (Ämne) i JWT är "username" för den auktoriserade Tableau Server. Det här värdet är skiftlägeskänsligt. |
| 16 | LOGIN_FAILED | Inloggningen misslyckades | Det här felet beror vanligtvis på något av följande problem med anspråk i JWT:
|
| 67 | FEATURE_NOT_ENABLED | Åtkomst på begäran stöds inte | Åtkomst på begäran är bara tillgängligt via licensierade Tableau Cloud-platser. |
| 10081 | COULD_NOT_RETRIEVE_IDP_METADATA | Slutpunkt för saknade EAS-metadata | Du kan lösa det här problemet genom att kontrollera att rätt utfärdare för den externa auktoriseringsserverns anropas. |
| 10082 | AUTHORIZATION_SERVER_ISSUER_NOT_SPECIFIED | Saknad utfärdare | Du kan ofta lösa det här problemet genom att kontrollera att rätt utfärdare anropas. |
| 10083 | BAD_JWT | JWT-sidhuvudet innehåller problem | Anspråken 'kid' (hemligt ID) eller 'clientId' (utfärdare) saknas i JWT-rubriken. Kontrollera att den här informationen finns med och se om det löser problemet. |
| 10084 | JWT_PARSE_ERROR | JWT innehåller problem | Kontrollera följande och se om det löser problemet:
|
| 10085 | COULD_NOT_FETCH_JWT_KEYS | JWT kunde inte hitta nycklarna | Det gick inte att hitta hemligheten. Du kan ofta lösa det här problemet genom att kontrollera att rätt utfärdare anropas. |
| 10087 | BLOCKLISTED_JWS_ALGORITHM_USED_TO_SIGN | Utfärda med JWT-signeringsalgoritmen | Du kan ofta lösa det här problemet genom att ta bort signeringsalgoritmen. |
| 10088 | RSA_KEY_SIZE_INVALID | Utfärda med JWT-signeringskrav | För att lösa detta problem verifierar du med EAS eller IdP att JWT undertecknas med en RSA-nyckelstorlek på 2048. |
| 10091 | JTI_ALREADY_USED | JWT måste vara unik | JWT har redan använts i autentiseringsprocessen. För att lösa detta problem måste EAS eller IdP generera en ny JWT. |
| 10092 | NOT_IN_DOMAIN_ALLOW_LIST | Domänen för det inbäddade innehållet har inte specificerats | För att lösa det här problemet ska du se till att inställningen unrestrictedEmbedding är satt till true eller att parametern domainAllowlist inkluderar de domäner där Tableau-innehåll är inbäddat, med hjälp av metoden Uppdatera inbäddningsinställningarna för platsen(Länken öppnas i ett nytt fönster) i Tableau REST API:et. |
| 10094 | MISSING_REQUIRED_JTI | JWT-ID saknas | Kontrollera att 'jti' (JWT-ID) ingår i JWT för att lösa problemet. |
| 10096 | JWT_EXPIRATION_EXCEEDS_CONFIGURED_EXPIRATION_PERIOD | exp' (förfallotid) överskrider den standardiserade längsta giltighetstiden. Du kan ofta lösa det här problemet genom att kontrollera vilka registrerade anspråk(Länken öppnas i ett nytt fönster) som krävs för en giltig JWT och bekräfta att rätt värde används. Om du vill ändra den längsta giltighetstiden kan du använda kommandot vizportal.oauth.external_authorization_server.max_expiration_period_in_minutes. | |
| 10097 | SCOPES_MALFORMED | Problem med omfattningsanspråk | Det här felet kan uppstå när anspråket 'scp' (Omfattning) antingen saknas i JWT eller inte har godkänts som en listtyp. Det här problemet kan lösas genom att verifiera att 'scp ' ingår i JWT och skickas som en listtyp. Se Debugger(Länken öppnas i ett nytt fönster) på auth0-webbplatsen för felsökningshjälp med en JWT. |
| 10098 | JWT_UNSIGNED_OR_ENCRYPTED | JWT är osignerad eller krypterad | Tableau har inte stöd för osignerade eller krypterade JWT:er. |
| 10099 | SCOPES_MISSING_IN_JWT | Anspråk om saknade omfattningar | JWT saknar anspråket 'scp' (Omfattning) som krävs. Kontrollera att 'scp' (JWT-ID) ingår i JWT för att lösa problemet. Se Debugger(Länken öppnas i ett nytt fönster) på auth0-webbplatsen för felsökningshjälp med en JWT. |
| 10100 | JTI_PERSISTENCE_FAILED | Oväntat JWT ID-fel | Det inträffade ett oväntat fel med 'jti' (JWT ID). En ny JWT med en ny 'jti' måste genereras för att lösa det här problemet. |
| 10103 | JWT_MAX_SIZE_EXCEEDED | JWT överskrider maximal storlek | Det här felet kan uppstå när JWT-storleken överstiger 8 000 byte. Du löser det här problemet genom att se till att bara de nödvändiga anspråken skickas till Tableau Server. |