Konfigurieren von SAML mit Okta


Mit den Anweisungen in diesem Thema können Sie die SAML-Authentifizierung für Tableau Cloud oder Tableau Cloud Manager (TCM) einrichten, wenn Sie den SAML-Identätsanbieter (IdP) Okta nutzen. Sie können auch das Thema So konfigurieren Sie SAML 2.0 für Tableau Cloud(Link wird in neuem Fenster geöffnet) in der Okta-Dokumentation verwenden.

Die SAML-Integration von Tableau Cloud mit Okta unterstützt vom Dienstanbieter (SP) initiiertes SSO, vom Identitätsanbieter (IdP) initiiertes SSO und Single Logout (SLO).

Hinweise: 

  • Diese Schritte beziehen sich auf die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem IdP-Konto angezeigten Bildschirmen übereinstimmen, können Sie die allgemeinen SAML-Konfigurationsschritte in Verbindung mit der IdP-Dokumentation verwenden.
  • Seit Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau erforderlich.
  • Die Konfigurationsschritte im IdP erfolgen möglicherweise in einer anderen Reihenfolge als in Tableau.

Schritt 1: Erste Schritte

Gehen Sie in Tableau Cloud wie folgt vor:

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.

  2. Klicken Sie auf der Registerkarte Authentifizierung auf die Schaltfläche Neue Konfiguration, wählen Sie in der Dropdown-Liste „Authentifizierung“ den Eintrag SAML aus und geben Sie dann einen Namen für die Konfiguration ein.

    Screenshot der Seite „Neue Konfiguration“ aus den Authentifizierungseinstellungen einer Tableau Cloud-Site

    Hinweis: Konfigurationen, die vor November 2024 (Tableau 2024.3) erstellt wurden, können nicht umbenannt werden.

Gehen Sie alternativ in TCM wie folgt vor:

  1. Melden Sie sich in TCM als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung.

  2. Wählen Sie die Aktivieren einer zusätzlichen Authentifizierungsmethode und dann SAML aus der Dropdown-Liste „Authentifizierung“.

  3. Klicken Sie auf den Dropdown-Pfeil Konfiguration (erforderlich).

Führen Sie in der Okta-Administratorkonsole die folgenden Schritte aus: 

Hinweis: Für TCM verwenden Sie die „Tableau Cloud-Anwendung“ im IdP, um die TCM-Authentifizierung zu konfigurieren.

  1. Öffnen Sie ein neues Browserfenster oder eine neue Registerkarte im Browser und melden Sie sich bei der Okta-Administratorkonsole an.

  2. Wählen Sie im linken Bereich Anwendungen > Anwendungen aus und klicken Sie auf die Schaltfläche App-Katalog durchsuchen.

  3. Suchen Sie nach "Tableau Cloud", klicken Sie darauf und klicken Sie dann auf die Schaltfläche Integration hinzufügen. Dadurch wird die Registerkarte Allgemeine Einstellungen geöffnet.

  4. (Optional) Wenn Sie mehrere Tableau Cloud-Sites besitzen, schließen Sie den Site-Namen im Feld Anwendungsbeschriftung ein, sodass für die Benutzer ersichtlich ist, welche Site sie beim Anmelden auswählen sollten.

  5. Navigieren Sie zur Registerkarte Anmelden, klicken Sie auf Bearbeiten und gehen Sie danach wie folgt vor:

    1. Kopieren Sie unter Metadatendetails die Metadaten-URL.

    2. Fügen Sie die URL in ein neues Browserfenster ein und speichern Sie die Ergebnisse als Datei mit dem Standardnamen "metadata.xml".

Schritt 2: Konfigurieren von SAML in Tableau Cloud oder TCM

Führen Sie die folgenden Schritte aus, nachdem Sie die SAML-Metadatendatei aus Okta gespeichert haben, wie im Abschnitt oben beschrieben.

Für Tableau Cloud

  1. Wieder zurück in Tableau Cloud, klicken Sie auf der Seite „Neue Konfiguration“ unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen und navigieren Sie zu der SAML-Metadatendatei, die Sie aus Okta gespeichert haben. Dadurch werden automatisch die Werte für „IdP-Entitäts-ID“ und „SSO-Dienst-URL“ aufgefüllt.

  2. Ordnen Sie die Attributnamen (Assertionen) unter 3. Zuordnungsattribute den entsprechenden Attributnamen (Assertionen) auf der Seite Tableau Cloud-Benutzerprofilzuordnungen der Okta-Administratorkonsole zu.

  3. Wählen Sie unter 4. Auswahl eines Standardwerts für das Einbetten von Ansichten (optional) die Erfahrung aus, die aktiviert werden soll, wenn Benutzer auf eingebettete Inhalte zugreifen. Weitere Informationen finden Sie weiter unten im Abschnitt Aktivieren der iFrame-Einbettung.

  4. Klicken Sie auf die Schaltfläche Speichern und fortfahren.

Für TCM

  1. Wieder zurück in TCM, klicken Sie auf der Authentifizierungsseite unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen und navigieren Sie zu der SAML-Metadatendatei, die Sie aus Okta gespeichert haben. Dadurch werden automatisch die Werte für „IdP-Entitäts-ID“ und „SSO-Dienst-URL“ aufgefüllt.

  2. Ordnen Sie die Attributnamen (Assertionen) unter 3. Zuordnungsattribute den entsprechenden Attributnamen (Assertionen) auf der Seite Tableau Cloud-Benutzerprofilzuordnungen der Okta-Administratorkonsole zu.

  3. Klicken Sie auf die Schaltfläche Speichern und fortfahren.

Schritt 3. Konfigurieren der „Tableau Cloud-Anwendung“ in Ihrem IdP

Für Tableau Cloud verwenden die Schritte in diesem Abschnitt die Informationen von 5. Abrufen von Tableau Cloud-Metadaten unter Methode 2: Metadaten kopieren und Zertifikat herunterladen auf der Seite Neue Konfiguration in Tableau Cloud. Für TCM verwenden die Schritte in diesem Abschnitt die Informationen von 4. Abrufen von Tableau Cloud-Metadaten unter Methode 2: Metadaten kopieren und Zertifikat herunterladen auf der Seite Authentifizierung in TCM.

Hinweis: Für TCM verwenden Sie die „Tableau Cloud-Anwendung“ im IdP, um die TCM-Authentifizierung zu konfigurieren.

  1. Klicken Sie in der Okta-Administratorkonsole auf die Registerkarte Zuordnungen, um Ihre Benutzer oder Gruppen hinzuzufügen.

  2. Klicken Sie auf Fertig, wenn Sie fertig sind.

  3. Klicken Sie auf die Registerkarte Anmelden und klicken Sie im Abschnitt "Einstellungen" auf Bearbeiten.

  4. (Optional) Wenn Sie Single Logout (SLO) aktivieren möchten, gehen Sie wie folgt vor:

    1. Aktivieren Sie das Kontrollkästchen Single Logout aktivieren.

    2. Kopieren Sie den Wert "Single Logout URL" aus der Tableau Cloud-Metadatendatei. Beispiel: <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Weitere Informationen finden Sie in der Tableau-Knowledgebase unter Konfigurieren von Single Logout unter Verwendung von SAML mit Okta.(Link wird in neuem Fenster geöffnet).

    3. Geben Sie im Textfeld Erweiterte Anmeldeeinstellungen den Wert ein, den Sie in Schritt b kopiert haben.

    4. Klicken Sie neben Signaturzertifikat auf die Schaltfläche Durchsuchen und navigieren Sie zu der Zertifikatsdatei, die Sie im Abschnitt oben heruntergeladen haben.

    5. Wählen Sie die Datei aus und klicken Sie auf die Schaltfläche Hochladen.

    6. Wenn Sie fertig sind, klicken Sie auf Speichern.

  5. Wählen Sie Anwendungen > Anwendungen aus, klicken Sie auf die Tableau Cloud-Anwendung, wählen Sie die Registerkarte Anmelden aus und tun Sie Folgendes:

    1. Klicken Sie auf Bearbeiten.

    2. Fügen Sie unter „Erweiterte Anmeldeeinstellungen“ für das Textfeld Tableau Cloud-Entitäts-ID in der Okta-Administratorkonsole, den Wert der Tableau Cloud-Entitäts-ID aus Tableau Cloud oder TCM ein.

    3. Fügen Sie für das Textfeld Tableau Cloud ACS-URL in der Okta-Administratorkonsole den Wert der Tableau Cloud ACS-URL aus Tableau Cloud oder TCM ein.

    Hinweis: Die Tableau Cloud- und TCM-SAML-Konfigurationseinstellungen werden in einer anderen Reihenfolge als auf der Seite der Okta-Einstellungen angezeigt. Um SAML-Authentifizierungsprobleme zu vermeiden, stellen Sie sicher, dass die Entitäts-ID für Tableau Cloud und die ACS-URL für Tableau Cloud in die richtigen Felder in Okta eingegeben werden.

  6. Wenn Sie fertig sind, klicken Sie auf Speichern.

Schritt 4: Testen der SAML-Konfiguration

Gehen Sie in Okta wie folgt vor:

  • Fügen Sie Okta einen Beispielbenutzer hinzu, und weisen Sie ihn der „Tableau Cloud-Anwendung“ zu.

Führen Sie in Tableau Cloud oder TCM Folgendes durch:

  1. Fügen Sie diesen Okta-Benutzer zu Tableau Cloud hinzu, um die SAML-Konfiguration mit ihm zu testen.

  2. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie in Tableau Cloud auf der Seite „Neue Konfiguration“ unter 7. Konfiguration testen auf die Schaltfläche Konfiguration testen.

    • Klicken Sie in TCM auf der Seite „Authentifizierung“ unter 6. Konfiguration testen auf die Schaltfläche Konfiguration testen.

Wir empfehlen Ihnen dringend, die SAML-Konfiguration zu testen, um Sperrszenarien zu vermeiden. Durch das Testen der Konfiguration können Sie sicherstellen, dass Sie SAML korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer auf SAML ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits im IdP bereitgestellt und mit konfiguriertem SAML-Authentifizierungstyp zu Ihrer Tableau Cloud oder TCM hinzugefügt wurde.

Hinweis: Wenn die Verbindung fehlschlägt, sollten Sie erwägen, das Attribut NameID in Tableau so beizubehalten, wie es ist.

Schritt 5: Hinzufügen weiterer Benutzer zu der SAML-fähigen Tableau Cloud-Site oder TCM

Wenn Sie SCIM zur Bereitstellung Ihrer Benutzer über Okta verwenden möchten, fügen Sie Ihre Benutzer nicht manuell zu Tableau Cloud hinzu. Für weitere Informationen, siehe Konfigurieren von SCIM mit Okta. Wenn Sie SCIM nicht verwenden, führen Sie die folgenden Schritte aus, um weitere Benutzer zu Ihrer Site hinzuzufügen. Hinweis: SCIM-Bereitstellung ist für TCM nicht verfügbar.

Die in diesem Abschnitt beschriebenen Schritte werden auf der Seite Benutzer von Tableau Cloud ausgeführt.

  1. Nachdem Sie die obigen Schritte abgeschlossen haben, navigieren Sie im linken Bereich zur Seite Benutzer.

  2. Befolgen Sie die Anweisungen in:

Aktivieren der iFrame-Einbettung

Hinweis: Gilt nur für Tableau Cloud.

Wenn Sie SAML für Ihre Site aktivieren, müssen Sie angeben, wie sich Benutzer anmelden, um auf in Webseiten eingebettete Ansichten zuzugreifen. In diesen Schritten wird Okta konfiguriert, um die Authentifizierung mithilfe eines Inline-Frames (iFrame) für eingebettete Visualisierungen zu erlauben. Das Einbetten eines Inline-Frame bietet den Vorteil einer reibungsloseren Benutzererfahrung, wenn sich jemand anmeldet, um eingebettete Visualisierungen anzuzeigen.. Wenn beispielsweise ein Benutzer die Authentifizierung bei Ihrem Identitätsanbieter bereits durchgeführt hat und die iFrame-Einbettung aktiviert ist, kann sich der Benutzer reibungslos für Tableau Cloud authentifizieren, wenn er Seiten aufruft, die eingebettete Visualisierungen enthalten.

Vorsicht: iFrames weisen Schwachpunkte gegenüber Clickjacking-Angriffen auf. Clickjacking ist eine Art von Angriff auf Webseiten. Dabei versucht der Angreifer, die Benutzer dazu zu bringen, auf Inhalte zu klicken bzw. Inhalte einzugeben, indem er die angegriffene Seite als transparente Ebene über einer davon unabhängigen Seite anzeigt. Im Kontext von Tableau Cloud bedeutet dies, dass ein Angreifer unter Umständen versucht, über einen Clickjacking-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erlangen und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

  1. Melden Sie sich bei Ihrer Okta-Administratorkonsole an.

  2. Wählen Sie im linken Bereich Anpassungen > Andere aus und navigieren Sie zum Abschnitt IFrame-Einbettung.

  3. Klicken Sie auf Bearbeiten, wählen Sie IFrame-Einbettung zulassen aus, aktivieren Sie das Kontrollkästchen und klicken Sie dann auf Speichern.

Zurück zum Anfang