Konfigurieren von SAML mit OneLogin

Mit den Anweisungen in diesem Thema können Sie die SAML-Authentifizierung für Tableau Cloud oder Tableau Cloud Manager (TCM) einrichten, wenn Sie den SAML-Identätsanbieter (IdP) OneLogin nutzen.

Bei diesen Schritten wird vorausgesetzt, dass Sie die Berechtigungen zum Bearbeiten des OneLogin-Portals besitzen und dass Sie XML-Code lesen und Werte in Attribute einfügen können.

Hinweise: 

  • Diese Schritte beziehen sich auf die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem IdP-Konto angezeigten Bildschirmen übereinstimmen, können Sie die allgemeinen SAML-Konfigurationsschritte in Verbindung mit der IdP-Dokumentation verwenden.
  • Seit Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau erforderlich.
  • Die Konfigurationsschritte im IdP erfolgen möglicherweise in einer anderen Reihenfolge als in Tableau.

Schritt 1: Erste Schritte

Gehen Sie in Tableau Cloud wie folgt vor:

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.

  2. Klicken Sie auf der Registerkarte Authentifizierung auf die Schaltfläche Neue Konfiguration, wählen Sie in der Dropdown-Liste „Authentifizierung“ den Eintrag SAML aus und geben Sie dann einen Namen für die Konfiguration ein.

    Screenshot der Seite „Neue Konfiguration“ aus den Authentifizierungseinstellungen einer Tableau Cloud-Site

    Hinweis: Konfigurationen, die vor November 2024 (Tableau 2024.3) erstellt wurden, können nicht umbenannt werden.

Gehen Sie alternativ in TCM wie folgt vor:

  1. Melden Sie sich in TCM als Site-Administrator an und wählen Sie Einstellungen > Authentifizierung.

  2. Wählen Sie die Aktivieren einer zusätzlichen Authentifizierungsmethode und dann SAML aus der Dropdown-Liste „Authentifizierung“.

  3. Klicken Sie auf den Dropdown-Pfeil Konfiguration (erforderlich).

Gehen Sie in OneLogin wie folgt vor:

  1. Öffnen Sie eine neue Browserregisterkarte oder ein neues Browserfenster, melden Sie sich bei Ihrem OneLogin-Administratorportal an und gehen Sie dann wie folgt vor:

  2. Wählen Sie auf der Seite Anwendungen die Option Anwendungen hinzufügen aus. Suchen Sie nach Tableau, und wählen Sie in den Ergebnissen Tableau Cloud SSO aus. In diesem Bereich konfigurieren Sie die SAML-Verbindung.

    Hinweis: Die SSO-Option von Tableau Cloud für OneLogin funktioniert nicht mit Tableau Server.

  3. Richten Sie auf der Seite Info die Portaleinstellungen ein. Wenn Sie mehr als eine Tableau Cloud-Site haben, fügen Sie den Site-Namen in das Feld Anzeigename ein, damit die Benutzer wissen, welche Site sie auswählen müssen.

  4. Wählen Sie auf der Registerkarte SSO die URI aus, die im Feld SLO-Endpunkt (HTTP) angezeigt wird, und kopieren Sie sie.

    Hinweis: Die angegebene URI ist eine https-Adresse (obwohl "HTTP" in der Beschriftung angegeben ist), da der SLO-Endpunkt (Single Logout, einmaliges Abmelden) die SSL/TLS-Verschlüsselung nutzt.

  5. Wählen Sie auf derselben Seite die Option Weitere Aktionen > SAML-Metadaten aus, und speichern Sie die OneLogin-Metadatendatei auf Ihrem Computer.

Schritt 2: Konfigurieren von SAML in Tableau Cloud oder TCM

Führen Sie die folgende Schritte aus, nachdem Sie die SAML-Metadatendatei aus OneLogin gespeichert haben, wie im Abschnitt oben beschrieben.

Für Tableau Cloud

  1. Wieder zurück in Tableau Cloud, klicken Sie auf der Seite „Neue Konfiguration“ unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen und navigieren Sie zu der SAML-Metadatendatei, die Sie von OneLogin heruntergeladen haben.

    Wichtig: Wenn beim Hochladen der Metadatendatei von OneLogin Probleme auftreten, sollten Sie in Erwägung ziehen, ein nicht standardmäßiges Zertifikat mit OneLogin zu verwenden. Um ein neues Zertifikat zu erstellen, wählen Sie im OneLogin-Verwaltungsportal Sicherheit > Zertifikate aus. Wenn Sie ein neues Zertifikat erstellen, stellen Sie sicher, dass die Tableau Cloud-Anwendung in OneLogin dieses neue Zertifikat verwendet.

  2. Gehen Sie weiter zu 3. Attribute anpassen und legen Sie die Werte wie folgt fest:

    1. Für Benutzername geben Sie „E-Mail“ ein. Dies ist die E-Mail-Adresse, die die Benutzer zum Anmelden bei Tableau Cloud verwenden.

    2. Für E-Mail-Adresse geben Sie den optionalen Attributwert entsprechend der IdP-Dokumentation ein. Dieses Attribut ist die E-Mail-Adresse, an die der Benutzer Benachrichtigungen erhalten soll, falls sie sich vom Benutzernamen unterscheidet. Dies dient nur zu Benachrichtigungszwecken.

    3. For Anzeigename wählen Sie das Optionsfeld Vor- und Nachname.

      1. Für Vorname geben Sie „Vorname" ein.

      2. Für Nachname geben Sie „Nachname“ ein.

    Screenshot der SAML-Konfigurationsseite – Schritt 3. Zuordnungsattribute

  3. Wählen Sie unter 4. Auswahl eines Standardwerts für das Einbetten von Ansichten (optional) die Erfahrung aus, die aktiviert werden soll, wenn Benutzer auf eingebettete Inhalte zugreifen. Weitere Informationen finden Sie weiter unten im Abschnitt Aktivieren der iFrame-Einbettung.

  4. Klicken Sie auf die Schaltfläche Speichern und fortfahren.

Für TCM

  1. Wieder zurück in TCM, klicken Sie auf der Authentifizierungsseite unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen und navigieren Sie zu der SAML-Metadatendatei, die Sie von OneLogin heruntergeladen haben.

    Wichtig: Wenn beim Hochladen der Metadatendatei von OneLogin Probleme auftreten, sollten Sie in Erwägung ziehen, ein nicht standardmäßiges Zertifikat mit OneLogin zu verwenden. Um ein neues Zertifikat zu erstellen, wählen Sie im OneLogin-Verwaltungsportal Sicherheit > Zertifikate aus. Wenn Sie ein neues Zertifikat erstellen, stellen Sie sicher, dass die TCM-Anwendung in OneLogin dieses neue Zertifikat verwendet.

  2. Gehen Sie weiter zu 3. Attribute anpassen und legen Sie die Werte wie folgt fest:

    1. Für Benutzername geben Sie „E-Mail“ ein. Dies ist die E-Mail-Adresse, die die Benutzer zum Anmelden bei TCM verwenden.

    2. Für E-Mail-Adresse geben Sie den optionalen Attributwert entsprechend der IdP-Dokumentation ein. Dieses Attribut ist die E-Mail-Adresse, an die der Benutzer Benachrichtigungen erhalten soll, falls sie sich vom Benutzernamen unterscheidet. Dies dient nur zu Benachrichtigungszwecken.

    3. For Anzeigename wählen Sie das Optionsfeld Vor- und Nachname.

      1. Für Vorname geben Sie „Vorname" ein.

      2. Für Nachname geben Sie „Nachname“ ein.

    Screenshot der SAML-Konfigurationsseite – Schritt 3. Zuordnungsattribute

  3. Klicken Sie auf die Schaltfläche Speichern und fortfahren.

Schritt 3. Konfigurieren der „Tableau Cloud-Anwendung“ in Ihrem IdP

Für Tableau Cloud verwenden die Schritte in diesem Abschnitt die Informationen von 5. Abrufen von Tableau Cloud-Metadaten unter Methode 2: Metadaten kopieren und Zertifikat herunterladen auf der Seite Neue Konfiguration in Tableau Cloud.

Für TCM verwenden die Schritte in diesem Abschnitt die Informationen von 4. Abrufen von Tableau Cloud-Metadaten unter Methode 2: Metadaten kopieren und Zertifikat herunterladen auf der Seite Authentifizierung in TCM.

  1. Wieder zurück im Portal von OneLogin, tun Sie Folgendes in der Tableau Cloud- oder TCM-Anwendung auf der Seite Konfiguration:

    1. Für Verbraucher-URL im OneLogin-Portal fügen Sie den Wert der Tableau Cloud ACS-URL aus Tableau Cloud oder TCM ein.

    2. Für Zielgruppe im OneLogin-Portal fügen Sie den Wert der Tableau Cloud-Entitäts-ID aus Tableau Cloud oder TCM ein.

    Screenshot der neuen Konfigurationsseite von Tableau Cloud SAML – Schritt 5. Exportieren von Metadaten aus Tableau Cloud

  2. Wählen Sie auf der SSO-Seite SHA-256 als SAML-Signaturalgorithmus aus.

  3. Stellen Sie sicher, dass auf der Seite Parameter die folgenden Werte angezeigt werden:

    Das Feld „Tableau Cloud“ oder „TCM“Wert
    BenutzernameE-Mail-Adresse
    VornameVorname
    NachnameNachname

Schritt 4: Testen der SAML-Konfiguration

Gehen Sie in OneLogin wie folgt vor:

  • Fügen Sie OneLogin einen Beispielbenutzer hinzu, und weisen Sie ihn der „Tableau Cloud-Anwendung“ zu.

Führen Sie in Tableau Cloud oder TCM Folgendes durch:

  1. Fügen Sie diesen OneLogin-Benutzer zu Tableau hinzu, um die SAML-Konfiguration zu testen.

  2. Führen Sie einen der folgenden Schritte aus:

    • Klicken Sie in Tableau Cloud auf der Seite „Neue Konfiguration“ unter 7. Konfiguration testen auf die Schaltfläche Konfiguration testen.

    • Klicken Sie in TCM auf der Seite „Authentifizierung“ unter 6. Konfiguration testen auf die Schaltfläche Konfiguration testen.

Wir empfehlen Ihnen dringend, die SAML-Konfiguration zu testen, um Sperrszenarien zu vermeiden. Durch das Testen der Konfiguration können Sie sicherstellen, dass Sie SAML korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer auf SAML ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits im IdP bereitgestellt und mit konfiguriertem SAML-Authentifizierungstyp zu Ihrer Tableau Cloud oder TCM hinzugefügt wurde.

Schritt 5: Hinzufügen weiterer Benutzer zu der SAML-fähigen Tableau Cloud-Site oder TCM

Führen Sie die folgenden Schritte aus, um Ihrer Site weitere Benutzer hinzuzufügen. Die in diesem Abschnitt beschriebenen Schritte werden auf der Seite Benutzer von Tableau Cloud oder TCM ausgeführt.

  1. Nachdem Sie die obigen Schritte abgeschlossen haben, navigieren Sie im linken Bereich zur Seite Benutzer.

  2. Befolgen Sie die Anweisungen in:

Aktivieren der iFrame-Einbettung

Hinweis: Gilt nur für Tableau Cloud.

Wenn Sie SAML für Ihre Site aktivieren, müssen Sie angeben, wie sich Benutzer anmelden, um auf in Webseiten eingebettete Ansichten zuzugreifen. Mit diesen Schritten wird OneLogin konfiguriert, um zu ermöglichen, dass Ihr OneLogin-Dashboard in einem Inline-Frame (iFrame) auf einer anderen Site eingebettet wird. Das Einbetten eines Inline-Frame bietet den Vorteil einer reibungsloseren Benutzererfahrung beim Anmelden bei Visualisierungen, die in eine Ansicht integriert sind. Wenn beispielsweise ein Benutzer bereits bei Ihrem Identitätsanbieter authentifiziert ist und iFrame-Einbettung aktiviert ist, würde dieser Benutzer unterbrechungsfrei bei Tableau Cloud authentifiziert werden, wenn er Seiten aufruft, die eingebettete Visualisierungen enthalten.

Vorsicht: Inline-Frames weisen Schwachpunkte gegenüber Clickjacking-Angriffen auf. Clickjacking ist eine Art von Angriff auf Webseiten. Dabei versucht der Angreifer, die Benutzer dazu zu bringen, auf Inhalte zu klicken bzw. Inhalte einzugeben, indem er die angegriffene Seite als transparente Ebene über einer davon unabhängigen Seite anzeigt. Im Kontext von Tableau Cloud bedeutet dies, dass ein Angreifer unter Umständen versucht, über einen Clickjacking-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erlangen und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

  1. Öffnen Sie eine neue Browserregisterkarte oder ein Fenster und melden Sie sich bei Ihrem OneLogin-Administratorportal an.

  2. Klicken Sie im Menü Einstellungen auf Kontoeinstellungen.

  3. Aktivieren Sie auf der Seite Einfach unter Framing-Schutz das Kontrollkästchen Framing-Schutz deaktivieren (X-Frame-Optionen).