Krav för användning av OpenID Connect
I det här avsnittet beskrivs kraven för att använda OpenID Connect med Tableau Server.
Obs! Konfigurationskommandona för TSM-autentisering gäller endast för OIDC-autentisering som har konfigurerats i TSM under installationen av Tableau Server. För att göra konfigurationsändringar i OIDC-autentiseringen för identitetspooler kan slutpunkten Uppdatera autentiseringskonfiguration(Länken öppnas i ett nytt fönster) användas med Tableau REST OpenAPI.
Sammanfattning av krav
IdP-konto
Lokalt identitetsregister
IdP-anspråk – mappa användare
Autentiseringskontext
IdP-konto
Du måste ha åtkomst till en identitetsprovider (IdP) som stöder OIDC-protokollet (OpenID Connect). Du måste också ha ett IdP-konto. OpenID Connect stöds av många identitetsproviders. OIDC-protokollet är en öppen och flexibel standard, och därför är inte alla implementeringar av standarden identiska. Samarbeta med identitetsprovidern när du konfigurerar Tableau Server för OIDC.
Omfattande testning har gjorts med Tableau Server och Google IdP-implementeringen, och konfigurationen som beskrivs i dessa avsnitt baseras på den implementeringen.
Lokalt identitetsregister
För att använda OpenID Connect på Tableau Server måste ett av följande vara sant:
- Om OIDC konfigureras i TSM under installationen av Tableau Server måste Tableau Server konfigureras till att använda ett lokalt identitetsregister. Servern måste vara konfigurerad så att användare uttryckligen skapas i Tableau Server, i stället för att importeras från en extern katalog som Active Directory. Det går inte att hantera användare med ett externt identitetsregister med OpenID.
- Om OIDC konfigureras med identitetspooler(Länken öppnas i ett nytt fönster) kan OIDC konfigureras med 1) ett lokalt identitetsregister eller 2) AD eller LDAP som identitetsregistret som har konfigurerats i TSM under installationen av Tableau Server.
IdP-anspråk – mappa användare
För att kunna logga in på Tableau Server måste användaren provisioneras i OpenID och sedan mappas till ett användarkonto i Tableau Server. OpenID använder en metod som bygger på anspråk för att dela attribut för användarkonton med andra program. Exempel på anspråk är e-post, telefonnummer, namn och andra attribut för användarkonton. Du kan läsa mer om hur Tableau Server mappar IdP-anspråk till användarkonton i OpenID Connect.
Tableau Server använder IdP-anspråk för att mappa användarkonton från identitetsprovidern (IdP) till de som finns i Tableau Server. Som standard förväntar sig Tableau Server att identitetsprovidern ska skicka
Om du använder email för att mappa IdP-identiteter till användarkonton i Tableau Server. Om du inte använder
Mappa användare med email-anspråket (standard)
Som standard måste användarens användarnamn i Tableau Server matcha email-anspråket i identitetsproviderns ID-token. I standardkonfigurationen måste du därför använda e-postadresser (även kallade UPN) som användarnamn i Tableau Server. Om du använder alice@gmail.com)
Obs! När du skapar en användaridentitet i Tableau Server anger du ett användarnamn, ett lösenord och vid behov en e-postadress. När OpenID Connect används i standardkonfigurationen är användarnamnet (i form av en e-postadress) det värde som måste matcha användarens namn i IdP:n. Den valfria e-postadressen för användaridentiteten i Tableau Server används inte för OpenID-autentisering.
Ignorera domännamnet
Du kan konfigurera Tableau så att domändelen av en e-postadress ignoreras när identitetsproviderns email-anspråk matchas med ett användarkonto i Tableau Server. I det här scenariot kan identitetsproviderns email-anspråk vara alice@example.com, som i så fall matchas med en användare med namnet alice i Tableau Server. Det kan vara användbart att ignorera domännamnet om det redan finns definierade användare i Tableau Server som matchar användarnamnsdelen i email-anspråket, men inte domändelen.
Viktigt: Ignorera inte användarens domännamn utan att vidta försiktighetsåtgärder. Mer specifikt bör du kontrollera att användarnamnen är unika i alla konfigurerade domäner som du har skapat i IdP:n.
Om du konfigurerar Tableau Server att ignorera användarens domännamn kan det resultera i oavsiktlig användarinloggning. Anta att identitetsprovidern har konfigurerats för flera domäner (example.com och tableau.com). Om det finns två användare med samma förnamn, men med olika användarkonton (alice@tableau.com och alice@example.com), i din organisation så kommer användaren som först slutför OpenID-provisioneringen att göra anspråk på sub-mappningen i IdP:n. Om fel användare mappas kan den andra användaren inte logga in förrän det associerade sub-värdet har återställts.
Om du vill konfigurera Tableau Server så att domännamn i användarnamn ignoreras i IdP:n använder du tsm authentication openid configure --ignore-domain to true. Mer information finns i tsm authentication openid <kommandon>.
När du ändrar tsm authentication openid till att konfigureras med alternativet --ignore-domain, för att ignorera domänen i användarnamn, måste alla användarnamn i Tableau Server ha ett domännamn.
Använda anpassade anspråk för att mappa användare
Som vi förklarar i OpenID Connect ingår sub-anspråket ofta i IdP-anspråk. sub-anspråket är vanligtvis en unik sträng som identifierar ett visst användarkonto. Fördelen med att använda ett sub-anspråk är att det inte ändras, även om du eller en annan administratör uppdaterar andra användarattribut eller IdP-anspråk (e-post, telefonnummer o.s.v.) som är associerade med det kontot. Som standard identifierar och verifierar Tableau Server OpenID-användare baserat på sub-anspråket i identitetsproviderns ID-token.
Värdet för sub-anspråket i OpenID måste mappas till motsvarande användare i Tableau Server. Eftersom sub-anspråket är en godtycklig sträng används ett annat anspråk för att associera konton under den första inloggningssessionen. Första gången en användare loggar in i Tableau Server med OpenID matchas OpenID-användarkontot med motsvarande användarkonto i Tableau Server. Som standard används IdP-anspråket email för att identifiera Tableau-användaren. Därefter uppdateras användarens post med sub-anspråket från OpenID. Eftersom ID-token alltid innehåller sub-anspråket jämte andra anspråk, identifieras användaren endast med sub-anspråket i efterföljande sessioner.
Att mappa användarnamn med e-postadressen är inte en tillförlitlig metod för vissa organisationer, och kanske inte stöds av IdP:n. Från och med Tableau Server 10.2 kan du mappa användarkonton från valfritt godtyckligt IdP-anspråk till Tableau Server-användarnamnet.
Det IdP-anspråk som du använder måste exakt mappa till motsvarande användarnamn i Tableau Server. I exemplet nedan är användarnamnet kwilliams.
Om du vill ändra IdP-anspråket som används för att mappa identiteter i Tableau Server använder du kommandot tsm authentication openid map-claims --user-name. Mer information finns i tsm authentication openid <kommandon>.
Ändra sub-anspråket
Som vi såg ovan är sub-anspråket den identifierare som Tableau Server använder för att identifiera användare efter den första mappningssessionen. sub-anspråket skrivs till motsvarande användarkonto i Tableau Server. Om du inte kan använda sub-anspråket med din IdP kan du ange ett godtyckligt anspråk och använda det i stället. Precis som med sub måste anspråkets värde vara unikt och får inte ändras när andra användaranspråk uppdateras.
Om du vill använda ett annat IdP-anspråk för sub-standardanspråket kör du kommandot tsm authentication openid map-claims --id. Mer information finns i tsm authentication openid <kommandon>.
Där arbitraryClaim är namnet på det IdP-anspråk som du vill använda i stället för sub-anspråket.
Autentiseringskontext
Om IdP:n för OpenID Connect kräver en specifik autentiseringskontext kan du använda konfigurationsnycklarna vizportal.openid.essential_acr_values och vizportal.openid.voluntary_acr_values för att skapa en lista med obligatoriska och valfria ACR-värden. Mer information finns i Alternativ för tsm configuration set.