openIDSettings 实体
在配置 OpenID 身份验证之前,请查看使用 OpenID Connect 的要求。
使用下面的配置文件模板创建一个 json 文件。使用适当的值填充各个选项之后,使用以下命令传递 json 文件并应用设置:
tsm settings import -f path-to-file.json
tsm pending-changes apply
如果待定更改需要重新启动服务器,pending-changes apply 命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt 选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。
配置模板
使用此模板来配置 OpenID 设置。
重要信息:所有实体选项均区分大小写。
有关配置文件、实体和密钥的更多说明,请参见配置文件示例。
完成 OIDC 的初始配置之后,使用 tsm authentication openid <commands> 子类来设置其他值。
{
"configEntities": {
"openIDSettings": {
"_type": "openIDSettingsType",
"enabled": true,
"clientId": "required",
"clientSecret": "required",
"configURL": "required if staticFile value is not set",
"staticFile": "required if configURL value is not set",
"externalURL": "required"
}
}
} 配置文件参考
以下列表包括可随 "openIDSettings" 实体集一起包括的所有选项。
- _type
必需。
请不要更改。
- enabled
必需。
设置为
true。
- clientId
必需。
指定 IdP 已分配给您的应用程序的提供程序客户端 ID。例如,
“laakjwdlnaoiloadjkwha"。
- clientSecret
必需。
指定提供程序客户端密码。这是 Tableau 用于验证来自 IdP 的响应的真实性的令牌。此值是密文,应妥善保管。
例如,
“fwahfkjaw72123="。
- configURL
必需。
指定提供程序配置 URL。如果不指定配置 URL,则删除此选项,并改为指定
staticFile的路径和文件名。
- staticFile
必需。
指定静态 OIDC 发现 JSON 文档的本地路径。如果不指定静态文件,则删除此选项,并改为指定
configURL的 URL。
- externalURL
必需。
服务器的 URL。这通常是您的服务器的公共名称,例如
http://example.tableau.com。
- connectionTimeout
可选。
指定连接超时范围(以秒为单位)。默认值为
10。
- readTimeout
可选。
指定读取超时范围(以秒为单位)。默认值为
30。
- ignoreDomain
如果满足以下条件,请将此项设置为
true:- 您使用电子邮件地址作为 Tableau Server 中的用户名
- 您在 IdP 中配置了具有多个域名的用户
- 您想要从 IdP 中忽略
email声明的域名部分
在继续之前,请检查由于将此选项设置为
true而使用的用户名。可能会发生用户名冲突。如果发生用户名冲突,信息泄露的风险将很高。请参见使用 OpenID Connect 的要求。
- ignoreJWK
如果您的 IdP 不支持 JWK 验证,请将此项设置为
true。在这种情况下,我们建议使用相互 TLS 或另一种网络层安全协议向 IdP 验证通信的身份。默认值为false。
- customScope
指定可用于查询 IdP 的自定义范围用户相关值。请参见使用 OpenID Connect 的要求。
- idClaim
如果您的 IdP 不支持使用
sub声明在 ID 令牌中唯一标识用户,请更改此值。您指定的 IdP 声明应包含单个唯一的字符串。
- usernameClaim
将此值更改为组织将使用的 IdP 声明以与 Tableau Server 中存储的用户名匹配。
- clientAuthentication
指定 OpenID Connect 的自定义客户端身份验证方法。
若要将 Tableau Server 配置为使用 Salesforce IdP,请将此值设置为
client_secret_post。
- iFramedIDPEnabled
设置为
true以允许 IdP 显示在 iFrame 中。IdP 必须禁用单击劫持保护才能允许进行 iFrame 演示。