Konfigurieren von SAML für Tableau Viz Lightning Web Component

Tableau stellt eine Lightning Web Component (LWC) zum Einbetten einer Tableau-Visualisierung in eine Salesforce Lightning-Seite bereit.

In diesem Abschnitt wird beschrieben, wie Sie eine SSO-Erfahrung für eingebettete Tableau-Visualisierungen auf einer Salesforce Lightning-Seite aktivieren. SSO für das Tableau Viz LWC-Szenario erfordert eine SAML-Konfiguration. Der für die Tableau-Authentifizierung verwendete SAML-IdP muss entweder der Salesforce-IdP oder derselbe IdP sein, der für Ihre Salesforce-Instance verwendet wird.

In diesem Szenario können Salesforce-Administratoren Tableau Viz LWC in die Lightning-Seite ziehen, um eine Visualisierung einzubetten. Jede Ansicht, die in Tableau Online zur Verfügung steht, kann im Dashboard angezeigt werden, indem die eingebettete URL in die Ansicht eingegeben wird.

Wenn Single Sign-On (SSO) für Tableau Viz LWC auf Tableau Cloud konfiguriert ist, dann ist die Benutzererfahrung nahtlos: Nachdem sich der Benutzer bei Salesforce angemeldet hat, funktionieren eingebettete Tableau-Ansichten ohne weitere Authentifizierung bei Tableau Cloud Online.

Wenn SSO nicht konfiguriert ist, müssen sich Benutzer erneut bei dem Tableau Online authentifizieren, um eingebettete Visualisierungen von Tableau Cloud aufzurufen.

Hinweis: Mit Salesforce-Authentifizierung konfigurierte Benutzer müssen sich erneut bei Tableau Cloud authentifizieren, um eingebettete Visualisierungen in Tableau Cloud anzuzeigen.

Anforderungen

Konfigurieren des Authentifizierungsworkflows

Möglicherweise müssen Sie zusätzliche Konfigurationen vornehmen, um die Anmeldeerfahrung für Benutzer beim Zugriff auf Lightning mit eingebetteten Tableau-Ansichten zu optimieren.

Wenn eine nahtlose Authentifizierungserfahrung wichtig ist, müssen Sie einige zusätzliche Konfigurationen vornehmen. In diesem Zusammenhang bedeutet "nahtlos", dass Benutzer, die auf die Salesforce Lightning-Seite zugreifen, auf der Tableau Viz LWC SSO aktiviert wurde, keine Aktion ausführen müssen, um die eingebettete Tableau-Ansicht anzuzeigen. Wenn der Benutzer im nahtlosen Szenario bei Salesforce angemeldet ist, werden eingebettete Tableau-Ansichten ohne zusätzliche Benutzeraktion angezeigt. Dieses Szenario wird durch die Inframe-Authentifizierung ermöglicht.

Für eine nahtlose Benutzererfahrung müssen Sie die Inframe-Authentifizierung in Tableau Cloud und in Ihrem IdP aktivieren. In den folgenden Abschnitten wird beschrieben, wie die Inframe-Authentifizierung konfiguriert wird.

Andererseits gibt es auch Szenarien, in denen Benutzer mit einer Lightning-Seite interagieren und auf eine Schaltfläche zum Anmelden klicken müssen, um die eingebettete Tableau-Ansicht anzuzeigen. Dieses Szenario, in dem ein Benutzer eine andere Aktion zum Anzeigen der eingebetteten Tableau-Ansicht durchführen muss, wird als "Popup-Authentifizierung" bezeichnet.

Die Popup-Authentifizierung ist die Standardbenutzererfahrung, wenn Sie die Inframe-Authentifizierung nicht aktivieren.

Aktivieren der Inframe-Authentifizierung in Tableau Cloud

Bevor Sie die Inframe-Authentifizierung in Tableau Cloud aktivieren, müssen Sie SAML bereits konfiguriert und aktiviert haben.

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.

  2. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Zusätzliche Authentifizierungsmethode aktivieren, wählen Sie SAML und klicken Sie anschließend auf den Dropdown-Pfeil Konfiguration (erforderlich).

  3. Navigieren Sie nach unten zu den Einbettungsoptionen und wählen Sie das Optionsfeld Über Inline-Frame authentifizieren aus.

Vorsicht: Inline-Frames weisen Schwachpunkte gegenüber Clickjacking-Angriffen auf. Clickjacking ist eine Art von Angriff auf Webseiten. Dabei versucht der Angreifer, die Benutzer dazu zu bringen, auf Inhalte zu klicken bzw. Inhalte einzugeben, indem er die angegriffene Seite als transparente Ebene über einer davon unabhängigen Seite anzeigt. Im Kontext von Tableau Cloud bedeutet dies, dass ein Angreifer unter Umständen versucht, über einen Clickjacking-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erlangen und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

Aktivieren der Inframe-Authentifizierung mit Ihrem SAML-IdP

Wie oben beschrieben erfordert eine nahtlose Authentifizierungsbenutzererfahrung mit Salesforce Mobile IdP-Unterstützung für die Inframe-Authentifizierung. Diese Funktionalität kann bei IdPs auch als "iframe-Einbettung" oder "Framing-Schutz" bezeichnet werden.

Salesforce-Safelist-Domänen

In einigen Fällen erlauben IdPs nur das Aktivieren der Inframe-Authentifizierung nach Domäne. Legen Sie in diesen Fällen die folgenden Salesforce-Platzhalterdomänen fest, wenn Sie die Inframe-Authentifizierung aktivieren:

*.force

*.visualforce

Salesforce-IdP

Der Salesforce-IdP unterstützt standardmäßig die Inframe-Authentifizierung. Sie müssen die Inframe-Authentifizierung in der Salesforce-Konfiguration nicht aktivieren oder konfigurieren. Sie müssen jedoch Tableau Cloud wie oben beschrieben für die Inframe-Authentifizierung konfigurieren.

Okta-IdP

Weitere Informationen finden Sie unter Einbetten von Okta in einen iframe im Okta Help Center bei Allgemeine Anpassungsoptionen(Link wird in neuem Fenster geöffnet).

Ping-IdP

Lesen Sie dazu das Ping-Hilfethema Wie man den Header "X-Frame-Options=SAMEORIGIN" in PingFederate deaktiviert(Link wird in neuem Fenster geöffnet).

OneLogin-IdP

Siehe Framing-Schutz im OneLogin Knowledge Base Artikel Kontoeinstellungen für Kontobesitzer(Link wird in neuem Fenster geöffnet).

ADFS und EntraID-IdP

Microsoft hat die gesamte Inframe-Authentifizierung blockiert, und diese kann nicht aktiviert werden. Stattdessen unterstützt Microsoft nur die Popup-Authentifizierung in einem zweiten Fenster. Zusammenfassend kann das Popup-Verhalten von einigen Browsern blockiert werden; die Benutzer müssen Popups für die Sites force.com und visualforce.com akzeptieren.

Mobile Salesforce-Anwendung

Wenn Ihre Benutzer in erster Linie mit Lightning in der mobilen Salesforce-Anwendung interagieren, sollten Sie die folgenden Szenarien kennen:

  • In der mobilen Salesforce-Anwendung müssen Sie SSO/SAML konfigurieren, um eingebettete Tableau-Daten anzeigen zu können.
  • In der mobilen Salesforce-Anwendung ist eine Inframe-Authentifizierung erforderlich. Die Popup-Authentifizierung funktioniert nicht. Stattdessen sehen Benutzer in der mobilen Salesforce-Anwendung die Tableau-Anmeldeschaltfläche, können sich jedoch nicht bei Tableau anmelden.
  • Die mobile Anwendung funktioniert nicht mit einem ADFS- und Azure AD-IdP.
  • Benutzer mit Android-Geräten müssen sich anmelden, wenn sie eine eingebettete Tableau-Visualisierung zum ersten Mal anzeigen. Danach funktioniert SSO wie erwartet.
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.