Aktivieren von SAML-Authentifizierung für eine Site

Zum Herstellen der SAML-Verbindung zwischen Tableau Cloud und Ihrem IdP müssen Sie die erforderlichen Metadaten zwischen den beiden Diensten austauschen. Führen Sie zum Abrufen von Metadaten aus Tableau Cloud einen der folgenden Schritte aus. Wählen Sie die richtige Option entsprechend der SAML-Konfigurationsdokumentation des ldP aus.

• Wählen Sie die Option Metadaten exportieren aus, um eine XML-Datei herunterzuladen, die die SAML-Entitäts-ID Tableau Cloud, die Assertion Consumer Service-URL (ACS) und das X.509-Zertifikat enthält.

• Wählen Sie Zertifikat zum Signieren und Verschlüsseln herunterladen aus, wenn Ihr IdP die erforderlichen Angaben auf andere Weise erwartet. Beispielsweise dann, wenn Sie Entitäts-ID, ACS URL und X.509-Zertifikat von Tableau Cloud an verschiedenen Stellen eingeben müssen.

  Das folgende Bild wurde so bearbeitet, dass erkennbar ist, dass diese Einstellungen in Tableau Cloud und Tableau Server gleich sind.

  

Schritt 2: Importieren Sie die Metadaten, die Sie in Schritt 1 exportiert haben, melden Sie sich bei Ihrem IdP-Konto an, und übermitteln Sie die Tableau Cloud-Metadaten gemäß den Anweisungen in der Dokumentation des IdPs.

Bei Schritt 3 hilft Ihnen die Dokumentation Ihres Identitätsanbieters auch in Bezug auf das Bereitstellen von Metadaten für einen Dienstanbieter. Sie werden darin aufgefordert, eine Metadatendatei herunterzuladen, oder sie wird in XML-Code angezeigt. Wenn sie XML-Code anzeigt, kopieren Sie den Code, und fügen Sie ihn in eine neue Textdatei ein. Speichern Sie die Datei mit einer .xml-Erweiterung.

Importieren Sie auf der Seite Authentifizierung in Tableau Cloud die Metadatendatei, die Sie vom IdP heruntergeladen oder manuell von der zur Verfügung gestellten XML konfiguriert haben.

Attribute enthalten die Authentifizierung, Autorisierung und weitere Informationen für einen Benutzer. Geben Sie in der Spalte Assertionsname des Identitätsanbieters die Attribute an, die die Informationen enthalten, die für Tableau Cloud erforderlich sind.

Hinweis: Tableau Cloud erfordert das Attribut NameID in der SAML-Antwort. Sie können andere Attribute bereitstellen, um Benutzernamen in Tableau Cloud zuzuordnen, aber die Antwortnachricht muss das Attribut NameID enthalten.

• E-Mail: (Erforderlich) Geben Sie den Namen des Attributs an, das die E-Mail-Adressen von Benutzern speichert.

• Anzeigename: (Optional, aber empfohlen) Einige Identitätsanbieter verwenden getrennte Attribute für Vor- und Nachnamen, andere speichern den vollständigen Namen in einem Attribut.

  Wählen Sie die Schaltfläche aus, die der Vorgehensweise entspricht, wie Ihr Identitätsanbieter die Namen speichert. Wenn beispielsweise der Identitätsanbieter Vor- und Nachname in einem Attribut kombiniert, wählen Sie Anzeigename, und geben Sie anschließend den Attributnamen ein.

  

Wählen Sie aus, mit welcher Methode sich Benutzer bei eingebetteten Ansichten anmelden können. Sie können ein separates Pop-up-Fenster öffnen, in dem das Anmeldeformular des IdP angezeigt wird, oder ein Inline-Frame (iframe) verwenden.

Vorsicht: iframes können für Klickbetrug-Angriffe anfällig sein. Daher unterstützen nicht alle IdPs die Anmeldung über einen iframe. Beim Klickbetrug versuchen Angreifer, Benutzer dazu zu bringen, auf Inhalte zu klicken oder sie aufzurufen. Dabei wird die Angreiferseite in einer transparenten Schicht über einer davon unabhängigen Seite anzeigt wird. Bei Tableau Cloud bedeutet dies, dass Angreifer unter Umständen versuchen, über einen Klickbetrug-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erhalten und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

Falls Ihr Identitätsanbieter die Anmeldung über ein iframe-Element nicht unterstützt, wählen Sie In einem separaten Pop-up-Fenster authentifizieren.

Siehe auch Standardmäßiger Authentifizierungstyp für eingebettete Ansichten

Beginnen Sie mit den auf der Authentifizierungsseite vorgeschlagenen Schritten zur Problembehandlung. Wenn Sie die Probleme dadurch nicht beheben können, finden Sie unter Problembehebung für SAML weitere Informationen.

Tableau CloudWählen Sie vorhandene -Benutzer aus, oder fügen Sie neue Benutzer hinzu, denen Sie das einmalige Anmelden gestatten möchten.

Wenn Sie Benutzer hinzufügen oder importieren, legen Sie auch deren Authentifizierungstyp fest. Auf der Seite "Benutzer" können Sie den Authentifizierungstyp der Benutzer jederzeit ändern, nachdem Sie sie hinzugefügt haben.

Weitere Informationen finden Sie unter Hinzufügen von Benutzern zu einer Site oder Importieren von Benutzern.

Im Rahmen der SAML-Aktivierung auf Ihrer Site legen Sie fest, wie die Benutzer auf Ansichten zugreifen, die in Webseiten eingebettet sind.

• Benutzern die Auswahl des Authentifizierungstyps gestatten

  Wenn Sie diese Option auswählen, werden für jede eingebettete Ansicht immer zwei Anmeldeoptionen angezeigt: eine Anmeldeschaltfläche, die mit einer SSO (Single Sign-On)-Authentifizierung verbunden ist, sowie ein Link zur alternativen Verwendung der TableauID.

  Hinweis: Bei dieser Option müssen die Benutzer erfahren, welche Alternative geeignet ist. Erläutern Sie den Benutzern in der Berechtigung, die sie nach dem Hinzufügen zur Single Sign-On-Site erhalten, welche Authentifizierung sie in verschiedenen Anmeldeszenarien verwenden sollen. Beispiel: Eingebettete Ansichten, Tableau Desktop, Tableau Bridge, Tableau Mobile usw.

• Tableau

  Bei dieser Option müssen sich die Benutzer auch dann über eine TableauID anmelden, wenn SAML auf der Site aktiviert ist. Dies ist im Allgemeinen für Administratoren zur Fehlerbehebung bei eingebetteten Ansichten und SAML reserviert.

• SAML

  Die Methode, mit der SAML-Benutzer sich bei eingebetteten Ansichten anmelden können, hängt bei dieser Option von den Einstellungen ab, die Sie oben in Schritt 6 ausgewählt haben.