Konfigurieren von SAML mit Microsoft Entra ID

Wenn Sie Microsoft Azure Active Directory (Azure AD) als Ihren SAML-Identitätsanbieter (IdP) konfiguriert haben, verwenden Sie die Informationen in diesem Thema zusätzlich zu der Azure AD-Dokumentation, um Tableau Cloud oder Tableau Cloud Manager (TCM) zu Ihren Single Sign-On-Anwendungen hinzuzufügen.

Hinweise:

Diese Schritte beziehen sich auf die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem IdP-Konto angezeigten Bildschirmen übereinstimmen, können Sie die allgemeinen SAML-Konfigurationsschritte in Verbindung mit der IdP-Dokumentation verwenden.
Seit Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau erforderlich.
Die Konfigurationsschritte im IdP erfolgen möglicherweise in einer anderen Reihenfolge als in Tableau.

Voraussetzungen

Bevor Sie Tableau und SAML mit Entra ID konfigurieren können, ist für Ihre Umgebung Folgendes erforderlich:

Die Voraussetzungen erfüllen(Link wird in neuem Fenster geöffnet), die in dem Tutorial „Microsoft Entra SSO-Integration mit Tableau Cloud“ beschrieben sind.

Einen Microsoft Entra-Testbenutzer erstellen(Link wird in neuem Fenster geöffnet), wie in dem Tutorial „Microsoft Entra SSO-Integration mit Tableau Cloud“ beschrieben.

Schritt 1: Erste Schritte

Gehen Sie in Tableau Cloud wie folgt vor:

Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.
Klicken Sie auf der Registerkarte Authentifizierung auf die Schaltfläche Neue Konfiguration, wählen Sie in der Dropdown-Liste „Authentifizierung“ den Eintrag SAML aus und geben Sie dann einen Namen für die Konfiguration ein.
Hinweis: Konfigurationen, die vor November 2024 (Tableau 2024.3) erstellt wurden, können nicht umbenannt werden.

Gehen Sie alternativ in TCM wie folgt vor:

Melden Sie sich in TCM als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung.
Wählen Sie die Aktivieren einer zusätzlichen Authentifizierungsmethode und dann SAML aus der Dropdown-Liste „Authentifizierung“.
Klicken Sie auf den Dropdown-Pfeil Konfiguration (erforderlich).

Führen Sie in Entra Folgendes durch:

Hinweis: Für TCM verwenden Sie die „Tableau Cloud-Anwendung“ im IdP, um die TCM-Authentifizierung zu konfigurieren.

Melden Sie sich im Microsoft Entra Admin Center(Link wird in neuem Fenster geöffnet) als mindestens Cloud-Anwendungsadministrator an.
Navigieren Sie zu Enterprise Applications > New Application (Unternehmensanwendungen > Neue Anwendung).
Geben Sie auf der Seite Browse Microsoft Entra Gallery (Microsoft Entra-Galerie durchsuchen) die Zeichenfolge „Tableau Cloud“ in das Suchfeld ein.
Klicken Sie in den Suchergebnissen auf Tableau Cloud, ändern Sie im rechten Bereich optional den Standardnamen der Anwendungsinstanz, und klicken Sie dann auf Create (Erstellen).
Hinweise:
- Es kann einige Augenblicke dauern, bis die Instanz von Tableau Cloud-Anwendung hinzugefügt ist.
- Wenn eine Instanz der Tableau Cloud-Anwendung über die Galerie erstellt wird, ist SAML der einzige Konfigurationstyp, der für die Integration mit Tableau unterstützt wird.
Navigieren Sie im linken Bereich zu Single Sign-on (Einmaliges Anmelden).
Wählen Sie auf der Seite „Select a single sign-on method“ (Single Sign-On-Methode auswählen) die Option SAML aus.
Klicken Sie auf der Seite „Set up Single Sign-On with SAML“ (Single Sign-On mit SAML einrichten) neben Basic SAML Configuration (SAML-Basiskonfiguration) auf Edit (Bearbeiten), und führen Sie Folgendes durch:
1. Geben Sie in das Textfeld Identifier (Entity ID) (Bezeichner (Entitäts-ID)) die folgende Platzhalter-URL ein, die Sie in Schritt 3.2 noch einmal bearbeiten werden: https://sso.online.tableau.com/public/sp/metadata?alias=<entityid>
2. Geben Sie in das Textfeld Reply URL (Antwort-URL) die folgende Platzhalter-URL ein, die Sie in Schritt 3.2 noch einmal bearbeiten werden: https://sso.online.tableau.com/public/sp/
3. Klicken Sie auf Save (Speichern).
Klicken Sie als nächstes neben SAML Signing Certificate (SAML-Signaturzertifikat) auf Edit (Bearbeiten).
Klicken Sie auf Download (Herunterladen), um die Federation Metadata XML (Verbundmetadaten-XML) herunterzuladen.
Schließlich neben Attributes & Claims (Attribute und Ansprüche) auf Edit (Bearbeiten), um sich auf Schritt 2.2 (weiter unten) vorzubereiten.

Schritt 2: Konfigurieren von SAML in Tableau Cloud oder TCM

Führen Sie das folgende Verfahren aus, nachdem Sie die SAML-Metadatendatei aus Entra gespeichert haben, wie im Abschnitt oben beschrieben.

Für Tableau Cloud

Wieder zurück in Tableau Cloud, klicken Sie auf der Seite „Neue Konfiguration“ unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen, und navigieren Sie zu der SAML-Metadatendatei, die Sie aus Entra gespeichert haben. Dadurch werden automatisch die Werte für „IdP-Entitäts-ID“ und „SSO-Dienst-URL“ aufgefüllt.
Kopieren Sie unter 3. Attribute zuordnen die zugehörigen Attributnamen (Assertions) aus dem Abschnitt Attributes & Claims (Attribute und Ansprüche) von Entra:
1. Geben Sie für das Feld Username (Benutzername) die Zeichenfolge mail oder userprincipalname ein, oder kopieren Sie die URL http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.
2. Kopieren Sie für die verbleibenden optionalen Felder die URL-Anspruchsnamen.
Wählen Sie unter 4. Standardeinstellung für das Einbetten von Ansichten auswählen (optional) die Funktionalität aus, die aktiviert werden soll, wenn Benutzer auf eingebettete Inhalte zugreifen.
Klicken Sie auf die Schaltfläche Speichern und fortfahren.
Machen Sie weiter mit 5. Rufen Sie Tableau Cloud-Metadaten ab, um sich auf Schritt 3.1 vorzubereiten.

Für TCM

Wieder zurück in TCM, klicken Sie auf der Authentifizierungsseite unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen, und navigieren Sie zu der SAML-Metadatendatei, die Sie aus Entra gespeichert haben. Dadurch werden automatisch die Werte für „IdP-Entitäts-ID“ und „SSO-Dienst-URL“ aufgefüllt.
Kopieren Sie unter 3. Attribute zuordnen die zugehörigen Attributnamen (Assertions) aus dem Abschnitt Attributes & Claims (Attribute und Ansprüche) von Entra:
1. Geben Sie für das Feld Username (Benutzername) die Zeichenfolge mail oder userprincipalname ein, oder kopieren Sie die URL http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name.
2. Kopieren Sie für die verbleibenden optionalen Felder die URL-Anspruchsnamen.
Klicken Sie auf die Schaltfläche Speichern und fortfahren.
Gehen Sie zu 4. Rufen Sie Tableau Cloud-Metadaten ab, um sich auf Schritt 3.1 vorzubereiten.

Schritt 3: Konfigurieren der „Tableau Cloud-Anwendung“ in Ihrem IdP

Wieder zurück in Entra, klicken Sie auf der Seite „Set up Single Sign-On with SAML“ (Single Sign-On mit SAML einrichten) neben Basic SAML Configuration (SAML-Basiskonfiguration) auf Edit (Bearbeiten), und führen Sie Folgendes durch:
1. Für Kennung (Entitäts-ID) führen Sie einen der folgenden Schritte aus:
  - Kopieren Sie in Tableau Cloud unter 5. Rufen Sie Tableau Cloud-Metadaten ab die URL mit derTableau Cloud-Entitäts-ID.
  - Kopieren Sie in TCM unter 4. Rufen Sie Tableau Cloud-Metadaten ab die URL mit derTableau Cloud-Entitäts-ID.
2. Für Antwort-URL führen Sie einen der folgenden Schritte aus:
  - Kopieren Sie in Tableau Cloud unter 5. Rufen Sie Tableau Cloud-Metadaten ab die Tableau Cloud-ACS-URL.
  - Kopieren Sie in TCM unter 4. Rufen Sie Tableau Cloud-Metadaten ab die Tableau Cloud-ACS-URL.
3. Klicken Sie auf Save (Speichern).

Schritt 4: Testen der SAML-Konfiguration

Führen Sie in Entra Folgendes durch:

Weisen Sie den Microsoft Entra-Testbenutzer(Link wird in neuem Fenster geöffnet) zu, wie in dem Tutorial „Microsoft Entra SSO-Integration mit Tableau Cloud“ beschrieben.

Führen Sie in Tableau Cloud oder TCM Folgendes durch:

Fügen Sie diesen Entra-Benutzer zu Tableau Cloud bzw. TCM hinzu, um die SAML-Konfiguration zu testen.
- Informationen zum Hinzufügen von Benutzern in Tableau Cloud finden Sie im Abschnitt Hinzufügen von Benutzern zu einer Site.
- Informationen zum Hinzufügen von Benutzern in TCM finden Sie unter dem Thema Verwalten von Benutzern mit Tableau Cloud Manager.
Führen Sie einen der folgenden Schritte aus:
- Klicken Sie in Tableau Cloud auf der Seite „Neue Konfiguration“ unter 7. Konfiguration testen auf die Schaltfläche Konfiguration testen.
- Klicken Sie in TCM auf der Seite „Authentifizierung“ unter 6. Konfiguration testen auf die Schaltfläche Konfiguration testen.

Wir empfehlen Ihnen dringend, die SAML-Konfiguration zu testen, um Sperrszenarien zu vermeiden. Durch das Testen der Konfiguration können Sie sicherstellen, dass Sie SAML korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer auf SAML ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits im IdP bereitgestellt und mit konfiguriertem SAML-Authentifizierungstyp zu Ihrer Tableau Cloud oder TCM hinzugefügt wurde.

Zusätzliche Bemerkungen zur SAML-Unterstützung mit Microsoft Entra ID

Um die Aktivierung von SP-initiiertem Single Logout (SLO) zu vermeiden, stellen Sie sicher, dass die IdP-Metadaten, die in den SAML-Einstellungen von Tableau Cloud oder TCM hochgeladen werden, den SLO-Endpunkt nicht enthalten. Alternativ dazu können Sie auch in den IdP-Metadaten, die Sie in die SAML-Einstellungen von Tableau Cloud oder TCM hochladen, den vorhandenen Wert „SingleLogoutService“ durch „https://sso.online.tableau.com/public/idp/SSO“ ersetzen.
Wenn Sie für Ihre Anwendung vom Identitätsanbieter initiiertes SSO verwenden, geben Sie in der Tableau Cloud- oder TCM-Anwendung aus der Galerie in Entra keinen Wert für „Sign On URL“ (Anmelde-URL) an. Durch Angabe eines Wertes für dieses Feld wird vom Identitätsanbieter initiiertes SSO umgangen.

Zurück zum Anfang

Vielen Dank für Ihr Feedback!

Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.

Tableau Cloud-Hilfe