Aktivieren von SAML-Authentifizierung für eine Site

In diesem Thema wird die SAML-Aktivierung für die Site und das Auswählen von Benutzern für das einmalige Anmelden erklärt. Es enthält auch die Schritte zum Umschalten von SAML-Authentifizierung auf Tableau-Standardauthentifizierung ("TableauID"). Vor dem Aktivieren von SAML sollten Sie SAML-Anforderungen für Tableau Cloud, einschließlich des Themas über die Auswirkungen einer Änderung des Authentifizierungstyps auf Tableau Bridge, lesen.

In diesem Thema wird davon ausgegangen, dass Sie mit den Informationen unter Authentifizierung und Funktionsweise der SAML-Authentifizierung vertraut sind.

IdP-spezifische Konfigurationsdaten

Mit den grundlegenden Schritten in den Abschnitten weiter unten in diesem Thema konfigurieren Sie SAML für Ihre Tableau Cloud-Site. Für die folgenden IdPs sind IdP-spezifische Konfigurationsschritte verfügbar:

Aktivieren von SAML

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.

  2. Markieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Zusätzliche Authentifizierungsmethode aktivieren, wählen Sie SAML und klicken Sie anschließend auf den Dropdown-Pfeil Konfiguration (erforderlich).

    Screenshot der Seite mit den Einstellungen für die Tableau Cloud-Site-Authentifizierung

SAML – Konfigurationsschritte

In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die auf der Registerkarte Authentifizierung in der Tableau Cloud-Seite „Einstellungen“ angezeigt werden.

Hinweis: Für diesen Vorgang benötigen Sie auch die von Ihrem IdP bereitgestellte Dokumentation. Suchen Sie nach Themen, die sich auf das Konfigurieren oder Definieren eines Dienstanbieters für eine SAML-Verbindung und das Hinzufügen einer Anwendung beziehen.

Schritt 1: Metadaten aus Tableau Online exportieren

Zum Herstellen der SAML-Verbindung zwischen Tableau Cloud und Ihrem IdP müssen Sie die erforderlichen Metadaten zwischen den beiden Diensten austauschen. Wählen Sie zum Abrufen von Metadaten aus Tableau Cloud eine der folgenden Methoden. Wählen Sie die richtige Option entsprechend der SAML-Konfigurationsdokumentation des ldP aus.

  • Klicken Sie auf die Schaltfläche Metadaten exportieren, um eine XML-Datei herunterzuladen, die die Tableau Cloud SAML-Entitäts-ID, ACS-URL (Assertion Consumer Service) und das X.509-Zertifikat enthält.

  • Wählen Sie Zertifikat herunterladen aus, wenn Ihr IdP die erforderlichen Informationen auf eine andere Weise erwartet. Beispielsweise dann, wenn Sie Entitäts-ID, ACS URL und X.509-Zertifikat von Tableau Cloud an verschiedenen Stellen eingeben müssen.

    Das folgende Bild wurde so bearbeitet, dass erkennbar ist, dass diese Einstellungen in Tableau Cloud und Tableau Server gleich sind.

Schritt 2 und Schritt 3: Externe Schritte

Schritt 2: Melden Sie sich zum Importieren der Metadaten, die Sie in Schritt 1 exportiert haben, in Ihrem IdP-Konto an, und übermitteln Sie die Tableau Cloud-Metadaten gemäß den Anweisungen in der Dokumentation des IdPs.

Bei Schritt 3 hilft Ihnen die Dokumentation Ihres Identitätsanbieters auch in Bezug auf das Bereitstellen von Metadaten für einen Dienstanbieter. Sie werden darin aufgefordert, eine Metadatendatei herunterzuladen, oder sie wird in XML-Code angezeigt. Wenn sie XML-Code anzeigt, kopieren Sie den Code, und fügen Sie ihn in eine neue Textdatei ein. Speichern Sie die Datei mit einer .xml-Erweiterung.

Schritt 4: Importieren von IdP-Metadaten in die Tableau-Site

Importieren Sie auf der Seite Authentifizierung in Tableau Cloud die Metadatendatei, die Sie vom IdP heruntergeladen oder manuell von der zur Verfügung gestellten XML konfiguriert haben.

Hinweis: Wenn Sie die Konfiguration bearbeiten, müssen Sie die Metadatendatei hochladen, damit Tableau weiß, dass es die richtige IdP-Entitäts-ID und SSO-Dienst-URL verwenden muss.

Schritt 5: Attribute anpassen

Attribute enthalten die Authentifizierung, Autorisierung und weitere Informationen für einen Benutzer.

Hinweis: Tableau Cloud erfordert das Attribut NameID in der SAML-Antwort. Sie können andere Attribute bereitstellen, um Benutzernamen in Tableau Cloud zuzuordnen, aber die Antwortnachricht muss das Attribut NameID enthalten.

  • Benutzername: (erforderlich) Geben Sie den Namen des Attributs an, das die Benutzernamen der Benutzer (E-Mail-Adressen) speichert.

  • Anzeigename: (Optional, aber empfohlen) Einige Identitätsanbieter verwenden getrennte Attribute für Vor- und Nachnamen, andere speichern den vollständigen Namen in einem Attribut.

    Wählen Sie die Schaltfläche aus, die der Vorgehensweise entspricht, wie Ihr Identitätsanbieter die Namen speichert. Wenn beispielsweise der Identitätsanbieter Vor- und Nachname in einem Attribut kombiniert, wählen Sie Anzeigename, und geben Sie anschließend den Attributnamen ein.

    Screenshot von Schritt 5 der Konfiguration der Site-spezifischen SAML für Tableau Cloud – Anpassen von Attributen

Schritt 6: Einbettungsoptionen

Wählen Sie aus, mit welcher Methode sich Benutzer bei eingebetteten Ansichten anmelden können. Sie können ein separates Pop-up-Fenster öffnen, in dem das Anmeldeformular des IdP angezeigt wird, oder ein Inline-Frame (iframe) verwenden.

Vorsicht: iframes können für Klickbetrug-Angriffe anfällig sein. Daher unterstützen nicht alle IdPs die Anmeldung über einen iframe. Beim Klickbetrug versuchen Angreifer, Benutzer dazu zu bringen, auf Inhalte zu klicken oder sie aufzurufen. Dabei wird die Angreiferseite in einer transparenten Schicht über einer davon unabhängigen Seite anzeigt wird. Bei Tableau Cloud bedeutet dies, dass Angreifer unter Umständen versuchen, über einen Klickbetrug-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erhalten und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

Falls Ihr Identitätsanbieter die Anmeldung über ein iframe-Element nicht unterstützt, wählen Sie In einem separaten Pop-up-Fenster authentifizieren.

Information dazu finden Sie auch unter Standardmäßiger Authentifizierungstyp für eingebettete Ansichten.

Schritt 7: Testen der Konfiguration und Beheben von Problemen

Wir empfehlen Ihnen dringend, die SAML-Konfiguration zu testen, um Sperrszenarien zu vermeiden. Durch das Testen der Konfiguration können Sie sicherstellen, dass Sie SAML korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer auf SAML ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits im IdP bereitgestellt und mit konfiguriertem SAML-Authentifizierungstyp zu Ihrer Tableau Cloud hinzugefügt wurde.

Wenn Sie sich nicht erfolgreich bei Tableau Cloud anmelden können, beginnen Sie mit den auf der Seite „Authentifizierung“ vorgeschlagenen Schritten zur Fehlerbehebung. Wenn Sie die Probleme dadurch nicht beheben können, finden Sie unter Problembehebung für SAML weitere Informationen.

Benutzer verwalten

Tableau CloudWählen Sie vorhandene -Benutzer aus, oder fügen Sie neue Benutzer hinzu, denen Sie das einmalige Anmelden gestatten möchten.

Wenn Sie Benutzer hinzufügen oder importieren, legen Sie auch deren Authentifizierungstyp fest. Auf der Seite "Benutzer" können Sie den Authentifizierungstyp der Benutzer jederzeit ändern, nachdem Sie sie hinzugefügt haben.

Weitere Informationen finden Sie unter Hinzufügen von Benutzern zu einer Site oder Importieren von Benutzern.

Standardmäßiger Authentifizierungstyp für eingebettete Ansichten

Im Rahmen der SAML-Aktivierung auf Ihrer Site legen Sie fest, wie die Benutzer auf Ansichten zugreifen, die in Webseiten eingebettet sind.

  • Benutzern die Auswahl des Authentifizierungstyps gestatten

    Wenn Sie diese Option auswählen, werden für jede eingebettete Ansicht immer zwei Anmeldeoptionen angezeigt: eine Anmeldeschaltfläche, die mit einer SSO (Single Sign-On)-Authentifizierung verbunden ist, sowie ein Link zur alternativen Verwendung der TableauID.

    Hinweis: Bei dieser Option müssen die Benutzer erfahren, welche Alternative geeignet ist. Erläutern Sie den Benutzern in der Berechtigung, die sie nach dem Hinzufügen zur Single Sign-On-Site erhalten, welche Authentifizierung sie in verschiedenen Anmeldeszenarien verwenden sollen. Beispiel: Eingebettete Ansichten, Tableau Desktop, Tableau Bridge, Tableau Mobile usw.

  • Tableau mit MFA

    Diese Option verlangt, dass sich Benutzer auch dann mit Tableau-Anmeldeinformationen mit MFA anmelden, selbst wenn SAML für die Site aktiviert ist. Zum Anmelden bei Tableau mit MFA müssen Benutzer eine Überprüfungsmethode festlegen, nach der die Identität jedes Mal bestätigt wird, wenn sich der Benutzer bei Tableau Cloud anmeldet. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung und Tableau Cloud.

  • SAML

    Die Methode, mit der SAML-Benutzer sich bei eingebetteten Ansichten anmelden können, hängt bei dieser Option von den Einstellungen ab, die Sie oben in Schritt 6 ausgewählt haben.

Verwenden der Tableau-Authentifizierung

Wenn eine Site für SAML konfiguriert ist, können Sie die Site-Einstellungen so ändern, dass sich einige oder alle Benutzer mithilfe der Tableau-Anmeldeinformationen anmelden müssen.

  • Wenn Sie möchten, dass ein Identitätsanbieter keine Authentifizierung mehr für eine Site verarbeitet, oder wenn sich alle Benutzer mit ihren Tableau-Anmeldeinformationen anmelden sollen, können Sie den Authentifizierungstyp auf Site-Ebene ändern.

  • Wenn Sie SAML für einige Benutzer aktiviert lassen, für andere Benutzer jedoch die Verwendung von Tableau verlangen möchten, können Sie den Authentifizierungstyp auf Benutzerebene ändern.

    Weitere Informationen finden Sie unter Festlegen des Benutzerauthentifizierungstyps.

Ändern des Authentifizierungstyps der Site

Ab November 2024 (Tableau 2024.3) können Sie auf einer Site mehrere Authentifizierungstypen und -methoden aktivieren. Um zu ändern, welche Authentifizierung auf der Site verfügbar sein soll, aktivieren oder deaktivieren Sie die Authentifizierungskonfigurationen.

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie die Site aus.

  2. Wählen Sie Einstellungen > Authentifizierung.

  3. Deaktivieren Sie das Kontrollkästchen Zusätzliche Authentifizierungsmethode aktivieren.

Nachdem Sie die SAML-Konfiguration deaktiviert haben, werden die Metadaten und die IdP-Informationen beibehalten, sodass Sie die SAML-Verbindung mit dem IdP nicht erneut einrichten müssen, wenn Sie SAML wieder aktivieren möchten.

Aktualisieren des SAML-Zertifikats

Das für Tableau-Site-Metadaten verwendete Zertifikat wird von Tableau bereitgestellt und ist nicht konfigurierbar. Wenn das Zertifikat für SAML aktualisiert werden soll, müssen Sie ein neues Zertifikat zu Ihrem IdP hochladen und die Metadaten erneut mit Tableau Cloud austauschen.

  1. Melden Sie sich bei der Site als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung aus.

  2. Unter Authentifizierungstypen drücken Sie den Dropdown-Pfeil Konfiguration (erforderlich).

  3. Öffnen Sie eine neue Registerkarte oder ein neues Fenster, und melden Sie sich bei Ihrem IdP-Konto an.

  4. Verwenden Sie die Anweisungen in der Dokumentation des IdP, um ein neues SAML-Zertifikat hochzuladen.

  5. Laden Sie die neue XML-Metadatendatei herunter, die für Tableau Cloud bereitgestellt werden soll.

  6. Kehren Sie auf die Seite Authentifizierung in Tableau Cloud zurück, und laden Sie in Schritt 4 die Metadatendatei hoch, die Sie von dem IdP heruntergeladen haben.

  7. Klicken Sie auf die Schaltfläche Änderungen speichern.

Siehe auch

Zugriff auf Sites von verbundenen Clients aus

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.