针对 OpenID Connect 配置 Tableau Server

本主题描述如何将 Tableau Server 配置为使用 OpenID Connect (OIDC) 进行单点登录 (SSO)。这是由多个步骤组成的过程中的一步。以下主题提供有关配置以及将 OIDC 与 Tableau Server 一起使用的信息。

  1. OpenID Connect 概述

  2. 针对 OpenID Connect 配置身份提供程序

  3. 针对 OpenID Connect 配置 Tableau Server(此部分)

  4. 使用 OpenID Connect 登录到 Tableau Server

注意:

  1. 在浏览器中打开 TSM:

    https://<tsm-computer-name>:8850。有关详细信息,请参见登录到 Tableau 服务管理器 Web UI

  2. “配置”选项卡上单击“用户身份和访问”,然后单击“身份验证方法”

  3. “身份验证方法”下的下拉菜单中选择“OpenID Connect”

  4. 在“OpenID Connect”下,选择“为服务器启用 OpenID 身份验证”

  5. 输入组织的 OpenID 配置信息:

    配置 OpenID 屏幕截图

    注意:如果提供程序依赖于本地计算机上托管的配置文件(而不是在公共 URL 处托管的文件),您可以使用 tsm authentication openid <commands> 指定文件。使用 --metadata-file <file_path> 选项指定本地 IdP 配置文件。

  6. 输入配置信息后,单击“保存待处理的更改”

  7. 单击页面顶部的“待定更改”

  8. 单击“应用更改并重新启动”

此部分中的过程描述如何使用 TSM 命令行接口来配置 OpenID Connect。您也可以使用配置文件来进行 OpenID Connect 的初始配置。请参见openIDSettings 实体

  1. 使用tsm authentication openid <commands>configure 命令设置以下必需选项:

    --client-id <id>:指定 IdP 已分配给您的应用程序的提供程序客户端 ID。例如,“laakjwdlnaoiloadjkwha"

    --client-secret <secret>:指定提供程序客户端密文。这是 Tableau 用于验证来自 IdP 的响应的真实性的令牌。此值是密文,应妥善保管。例如,“xxxhfkjaw72123="

    --config-url <url>--metadata-file <file_path>:指定提供程序配置 json 文件的位置。如果提供程序承载公共 json 发现文件,则使用 --config-url。否则,请改为指定本地计算机上的一个路径,并为 --metadata-file 指定文件名。

    --return-url <url>:服务器的 URL。这通常是您的服务器的公共名称,例如 "http://example.tableau.com"

    例如,运行以下命令:

    tsm authentication openid configure --client-id “xxxkjwdlnaoiloadjkxxx" --client-secret “xxxhfkjaw72123=" --config-url "https://example.com/openid-configuration" --return-url "http://tableau.example.com"

    还有一些您可使用 openIDSettings 实体tsm authentication openid <commands> 为 Open ID Connect 设置的可选配置。此外,如果需要配置 IdP 声明映射,请参见openid map-claims 选项

  2. 键入以下命令以启用 Open ID Connect:

    tsm authentication openid enable

  3. 运行 tsm pending-changes apply 以应用更改。

    如果待定更改需要重新启动服务器,pending-changes apply 命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt 选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply

配置 OpenID 以使用转发代理

默认情况下,Tableau Server 会忽略代理设置并将所有 OpenID 请求直接发送到 IdP。

从 Tableau Server 2021.2.2 及更高版本开始,如果 Tableau 配置为使用转发代理连接到 Internet,则您可以将 Tableau Server 配置为使用代理主机和端口设置来联系 OpenID IdP。

您配置 Tableau Server 的方式因您在组织中实施转发代理的方式而异:

  • 在运行 Tableau Server 的 Windows 计算机上配置转发代理。
  • Tableau Server 将所有出站流量直接发送到组织中运行的转发代理服务器。

Windows系统代理配置

如果您的组织已在每台 Windows 计算机上配置转发代理,请使用此方法为 Tableau Server 上的 OpenID 使用系统代理配置。运行以下命令:

tsm configuration set -k tomcat.useSystemProxies -v true
tsm pending-changes apply

转发代理服务器

使用命令 tsm configuration set 进行更改。

  • 对于 HTTPS 代理主机,请使用以下键值对:

    -k tomcat.https.proxyHost -v host.domain

    -k tomcat.https.proxyPort -v port_number

    例如,如果您的代理服务器位于 https://proxy.example.lan:8443,则运行以下命令:

    tsm configuration set -k tomcat.https.proxyHost -v proxy.example.lan
    tsm configuration set -k tomcat.https.proxyPort -v 8443
    tsm pending-changes apply
  • 对于 HTTP 代理主机,请使用以下键值对:

    -k tomcat.http.proxyHost -v host.domain

    -k tomcat.http.proxyPort -v port_number

    设置这些键后,运行 tsm pending-changes apply

感谢您的反馈!您的反馈已成功提交。谢谢!