OpenID Connect

É possível configurar o Tableau Server para oferecer suporte ao OpenID Connect para Single Sign-on (Logon único, SSO). O OpenID Connect é um protocolo de autenticação padrão que permite aos usuários fazer logon em um provedor de identidade (IdP) como o Google. Após fazerem logon com sucesso no IdP, eles entram automaticamente no Tableau Server.

A configuração do OpenID Connect envolve várias etapas. Os tópicos nesta seção fornecem informações gerais sobre a utilização do Tableau Server com o OpenID Connect e uma sequência para a configuração do IdP e do Tableau Server.

Visão geral da autenticação

Esta seção descreve o processo de autenticação do OpenID Connect com o Tableau Server.

Etapa 1: um usuário solicita um recurso no Tableau Server.

Etapa 2: o Tableau Server redireciona a solicitação para o gateway do IdP para autenticação.

Etapa 3: o usuário é solicitado e faz a autenticação com o IdP com sucesso. O IdP retorna um redirecionamento para o Tableau Server e um código de autorização para o usuário na URL de redirecionamento.

Etapa 4: o usuário passa o código de autorização para o Tableau Server.

Etapa 5: o Tableau Server devolve o código de autorização do usuário ao IdP. Como um cliente IdP, o Tableau Server inclui suas próprias credenciais de cliente para impedir a falsificação.

Etapa 6: o IdP retorna um token de acesso e um token de ID para o Tableau Server.

  • Validação do JSON Web Token (JWT): por padrão, o Tableau Server executa uma validação do IdP JWT. Durante a descoberta, o Tableau Server recupera as chaves públicas especificadas pelo jwks_uri no documento de descoberta da configuração do IdP. O Tableau Server valida o token de ID da expiração e, em seguida, verifica o JWS (JSON Web Signature), o emissor (IdP) e a ID do cliente. Você pode saber mais sobre o processo do JWT na documentação do OpenID, 10. Assinaturas e criptografia e o padrão proposto pela IETF, o JSON Web Token. Recomenda-se deixar a validação do JWT habilitada, a menos que o Idp não ofereça suporte. Use o comando tsm authentication openid configure --ignore-jwk true para desativar a validação.

  • O token da ID é um conjunto de pares de chaves de atributo para o usuário. Os pares de chaves são chamados de reivindicações. Veja um exemplo de reivindicação de IdP para um usuário:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
    "email"                   : "alice@tableau.com",
    "email_verified"          : true,
    "name"                    : "Alice Adams",
    "given_name"              : "Alice",
    "family_name"             : "Adams",
    "phone_number"            : "+359 (99) 100200305",
    "profile"                 : "https://tableau.com/users/alice"			

Etapa 7: o Tableau Server identifica o usuário da declaração de IdP e conclui a solicitação da Etapa 1. O Tableau Server pesquisa os registros da conta de usuário armazenados no repositório. Por padrão, o Tableau Server usará a reivindicação do identificador de assunto, ou sub, para identificar uma conta de usuário. Se nenhum registro de usuário estiver armazenando o valor da reivindicação sub, então o Tableau Server pesquisará pelas correspondências de nome de usuário usando a reivindicação email . Quando uma correspondência de nome de usuário é encontrada, o Tableau Server gravará a reivindicação sub correspondente no registro de usuários do repositório. É possível configurar o Tableau Server para usar reivindicações diferentes para este processo. Consulte Requisitos para usar o OpenID Connect.

Etapa 8: o Tableau Server autoriza o usuário.

Como o Tableau Server funciona com o OpenID Connect

O OpenID Connect é um protocolo flexível, que oferece suporte a muitas opções para as informações que são trocadas entre um provedor de serviços (nesse caso, o Tableau Server) e um IdP. A lista a seguir fornece detalhes sobre a implementação do OpenID no Tableau Server. Estes detalhes podem ajudar a entender quais os tipos de informação o Tableau Server envia e espera, e como configurar um IdP.

  • Tableau Server é compatível somente com o OpenID Authorization Code Flow como descrito na Especificação final do OpenID Connect.

  • O Tableau Server depende do uso de descoberta ou de uma URL do provedor para recuperar os metadados do provedor do OpenID. Como alternativa, você pode hospedar um documento de descoberta estática no Tableau Server. Para obter mais informações, consulte Configurar o Tableau Server para o OpenID Connect.

  • O Tableau Server é compatível apenas com o método de Autenticação do cliente client_secret_jwt definido na especificação do OpenID Connect. Além disso, o Tableau Server é compatível apenas com a Criptografia assimétrica de RSA para lidar com JWT. No entanto, é possível desativar a validação JWT. Consulte tsm authentication openid <commands>.

  • O Tableau Server espera um valor kid no Cabeçalho JOSE do atributo id_token. Este valor é combinado com uma das chaves encontradas no documento JWK Set, cujo URI é especificado pelo valor jwks_uri, no documento de descoberta do OpenID. Um valor kid deve estar presente, mesmo se houver apenas uma chave no documento JWK Set.

  • O Tableau Server oferece suporte ao OpenID para o parâmetro x5c do JWK ou para o uso de certificados X.509.

Outros artigos nesta seção

Obrigado pelo feedback! Ocorreu um erro ao enviar seu feedback. Tente novamente ou envie-nos uma mensagem..