Konfigurieren von SAML mit Okta

Mit den Anweisungen in diesem Thema richten Sie die SAML-Authentifizierung für Ihre Tableau Cloud-Site ein, wenn Sie den SAML-Identätsanbieter (IdP) Okta nutzen. Sie können auch das Thema So konfigurieren Sie SAML 2.0 für Tableau Cloud(Link wird in neuem Fenster geöffnet) in der Okta-Dokumentation verwenden.

Die SAML-Integration von Tableau Cloud mit Okta unterstützt vom Dienstanbieter (SP) initiiertes SSO, vom Identitätsanbieter (IdP) initiiertes SSO und Single Logout (SLO).

Hinweise: 

  • Diese Schritte beziehen sich auf die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem IdP-Konto angezeigten Bildschirmen übereinstimmen, können Sie die allgemeinen SAML-Konfigurationsschritte in Verbindung mit der IdP-Dokumentation verwenden.
  • Ab Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau Cloud erforderlich.

Schritt 1: Öffnen der SAML-Einstellungen in Tableau Cloud

Zum Konfigurieren der Okta-Anwendung benötigen Sie Angaben aus den SAML-Einstellungen in Tableau Cloud.

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.

  2. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Zusätzliche Authentifizierungsmethode aktivieren, wählen Sie SAML und klicken Sie anschließend auf den Dropdown-Pfeil Konfiguration (erforderlich).

    Screenshot der Seite mit den Einstellungen für die Tableau Cloud-Site-Authentifizierung

Schritt 2: Hinzufügen von Tableau Cloud zu Ihren Okta-Anwendungen

Die in diesem Abschnitt beschriebenen Schritte werden in der Okta-Administratorkonsole ausgeführt.

  1. Öffnen Sie ein neues Browserfenster und melden Sie sich bei der Okta-Administratorkonsole an.

  2. Wählen Sie im linken Bereich Anwendungen > Anwendungen aus und klicken Sie auf die Schaltfläche App-Katalog durchsuchen.

  3. Suchen Sie nach "Tableau Cloud", klicken Sie darauf und klicken Sie dann auf die Schaltfläche Integration hinzufügen. Dadurch wird die Registerkarte Allgemeine Einstellungen geöffnet.

  4. (Optional) Wenn Sie mehrere Tableau Cloud-Sites besitzen, schließen Sie den Site-Namen im Feld Anwendungsbeschriftung ein, sodass für die Benutzer ersichtlich ist, welche Site sie beim Anmelden auswählen sollten.

Schritt 3: Konfigurieren von SAML

Die in diesem Abschnitt beschriebenen Schritte werden sowohl in der Okta-Administratorkonsole als auch in den SAML-Konfigurationseinstellungen der Tableau Cloud ausgeführt.

  1. Klicken Sie in der Okta-Administratorkonsole auf die Registerkarte Zuordnungen, um Ihre Benutzer oder Gruppen hinzuzufügen.

  2. Klicken Sie auf Fertig, wenn Sie fertig sind.

  3. Klicken Sie auf die Registerkarte Anmelden und klicken Sie im Abschnitt "Einstellungen" auf Bearbeiten.

  4. (Optional) Wenn Sie Single Logout (SLO) aktivieren möchten, gehen Sie wie folgt vor:

    1. Aktivieren Sie das Kontrollkästchen Single Logout aktivieren.

    2. Kopieren Sie den Wert "Single Logout URL" aus der Tableau Cloud-Metadatendatei. Beispiel: <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Weitere Informationen finden Sie in der Tableau-Knowledgebase unter Konfigurieren von Single Logout unter Verwendung von SAML mit Okta.(Link wird in neuem Fenster geöffnet).

    3. Geben Sie im Textfeld Erweiterte Anmeldeeinstellungen den Wert ein, den Sie in Schritt b kopiert haben.

    4. Zurück in den Tableau Cloud SAML-Konfigurationseinstellungen, klicken Sie unter 1. Metadaten aus Tableau Cloud exportieren auf die Schaltfläche Zertifikat herunterladen.

    5. Kehren Sie zur Okta-Administratorkonsole zurück, klicken Sie neben Signaturzertifikat auf die Schaltfläche Durchsuchen und navigieren Sie zu der Datei, die Sie in Schritt d heruntergeladen haben.

    6. Wählen Sie die Datei aus und klicken Sie auf die Schaltfläche Hochladen.

    7. Wenn Sie fertig sind, klicken Sie auf Speichern.

  5. Gehen Sie zurück zu den SAML-Konfigurationseinstellungen für Tableau Cloud und kopieren Sie unter Schritt 1, Methode 2: Metadaten kopieren und Zertifikat herunterladen die Tableau Cloud-Entitäts-ID.

  6. Gehen Sie zurück zur Okta-Administratorkonsole und führen Sie die folgenden Schritte aus:

    1. Wählen Sie Anwendungen > Anwendungen, klicken Sie auf die Tableau Cloud-Anwendung und wählen Sie dann die Registerkarte Anmelden aus.

    2. Klicken Sie auf Bearbeiten.

    3. Geben Sie unter "Erweiterte Anmeldeeinstellungen" die URL in das Textfeld Tableau Cloud-Entitäts-ID ein.

    4. Wiederholen Sie die Schritte 7 und 8 für die ACS-URL von Tableau Cloud.

      Hinweis: Die Tableau Cloud SAML-Konfigurationseinstellungen werden in einer anderen Reihenfolge als auf der Seite der Okta-Einstellungen angezeigt. Um SAML-Authentifizierungsprobleme zu vermeiden, stellen Sie sicher, dass die Entitäts-ID für Tableau Cloud und die ACS-URL für Tableau Cloud in die richtigen Felder in Okta eingegeben werden.

    5. Wenn Sie fertig sind, klicken Sie auf Speichern.

  7. Gehen Sie zurück zu den SAML-Konfigurationseinstellungen für Tableau Cloud und kopieren Sie unter Schritt 1, Methode 2: Metadaten kopieren und Zertifikat herunterladen auf die Schaltfläche Zertifikat herunterladen.

  8. Kehren Sie zur Tableau Cloud-Anwendung in der Okta-Administratorkonsole zurück, klicken Sie auf der Registerkarte Anmelden auf Bearbeiten und gehen Sie dann wie folgt vor:

    1. Kopieren Sie unter Metadatendetails die Metadaten-URL.

    2. Fügen Sie die URL in ein neues Browserfenster ein und speichern Sie die Ergebnisse als Datei mit dem Standardnamen "metadata.xml".

  9. Zurück in den Tableau Cloud SAML-Konfigurationseinstellungen, klicken Sie unter 4. Metadaten in Tableau Cloud hochladen auf die Schaltfläche Datei auswählen und wählen Sie die Datei metadata.xml aus, um die Datei hochzuladen. Dadurch werden die Werte IdP-Entitäts-ID und SSO-Dienst-URL automatisch ausgefüllt.

  10. Ordnen Sie die Attributnamen (Assertions) auf der Seite Tableau Cloud-Benutzerprofilzuordnungen den entsprechenden Attributnamen unter 5. Attribute abgleichen in den SAML-Konfigurationseinstellungen für Tableau Cloud zu.

  11. Klicken Sie unter 7. Konfiguration testen auf die Schaltfläche Konfiguration testen. Wir empfehlen Ihnen dringend, die SAML-Konfiguration zu testen, um Sperrszenarien zu vermeiden. Durch das Testen der Konfiguration können Sie sicherstellen, dass Sie SAML korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer auf SAML ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits im IdP bereitgestellt und mit konfiguriertem SAML-Authentifizierungstyp zu Ihrer Tableau Cloud hinzugefügt wurde.

    Hinweis: Wenn die Verbindung fehlschlägt, sollten Sie erwägen, das Attribut NameID in Tableau so beizubehalten, wie es ist.

Schritt 4: Hinzufügen von Benutzern zur SAML-fähigen Tableau-Site

Wenn Sie SCIM zur Bereitstellung Ihrer Benutzer über Okta verwenden möchten, fügen Sie Ihre Benutzer nicht manuell zu Tableau Cloud hinzu. Für weitere Informationen, siehe Konfigurieren von SCIM mit Okta. Wenn Sie SCIM nicht verwenden, führen Sie die folgenden Schritte aus, um Benutzer zu Ihrer Site hinzuzufügen.

Die in diesem Abschnitt beschriebenen Schritte werden auf der Benutzerseite von Tableau Cloud ausgeführt.

  1. Nachdem Sie Schritt 3: Konfigurieren von SAML abgeschlossen haben, kehren Sie zu Ihrer Tableau Cloud-Site zurück.

  2. Navigieren Sie im linken Bereich zur Seite Benutzer.

  3. Folgen Sie der unter Hinzufügen von Benutzern zu einer Site beschriebenen Vorgehensweise.

Schritt 5: iFrame-Einbettung aktivieren (optional)

Wenn Sie SAML für Ihre Site aktivieren, müssen Sie angeben, wie sich Benutzer anmelden, um auf in Webseiten eingebettete Ansichten zuzugreifen. In diesen Schritten wird Okta konfiguriert, um die Authentifizierung mithilfe eines Inline-Frames (iFrame) für eingebettete Visualisierungen zu erlauben. Das Einbetten eines Inline-Frame bietet den Vorteil einer reibungsloseren Benutzererfahrung, wenn sich jemand anmeldet, um eingebettete Visualisierungen anzuzeigen.. Wenn beispielsweise ein Benutzer die Authentifizierung bei Ihrem Identitätsanbieter bereits durchgeführt hat und die iFrame-Einbettung aktiviert ist, kann sich der Benutzer reibungslos für Tableau Cloud authentifizieren, wenn er Seiten aufruft, die eingebettete Visualisierungen enthalten.

Vorsicht: iFrames weisen Schwachpunkte gegenüber Clickjacking-Angriffen auf. Clickjacking ist eine Art von Angriff auf Webseiten. Dabei versucht der Angreifer, die Benutzer dazu zu bringen, auf Inhalte zu klicken bzw. Inhalte einzugeben, indem er die angegriffene Seite als transparente Ebene über einer davon unabhängigen Seite anzeigt. Im Kontext von Tableau Cloud bedeutet dies, dass ein Angreifer unter Umständen versucht, über einen Clickjacking-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erlangen und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

  1. Melden Sie sich bei Ihrer Okta-Administratorkonsole an.

  2. Wählen Sie im linken Bereich Anpassungen > Andere aus und navigieren Sie zum Abschnitt IFrame-Einbettung.

  3. Klicken Sie auf Bearbeiten, wählen Sie IFrame-Einbettung zulassen aus, aktivieren Sie das Kontrollkästchen und klicken Sie dann auf Speichern.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.