SAML-Anforderungen für Tableau Cloud


Bevor Sie mit der Konfiguration von SAML für Tableau Cloud oder Tableau Cloud Manager (TCM) beginnen, müssen Sie zunächst alle erforderlichen Anforderungen erfüllen.

Anforderungen des Identitätsanbieters (IdP) bezüglich der Tableau-Konfiguration

Zum Konfigurieren von Tableau Cloud oder TCM für SAML benötigen Sie Folgendes:

  • Administratorzugriff auf Ihre Tableau Cloud-Site oder -Mandanten. Sie benötigen Administratorzugriff auf die Tableau Cloud-Site oder den -Mandanten, auf der Sie SAML aktivieren möchten.

  • Liste der Benutzer, die per SSO auf Tableau Cloud bTzw. CM zugreifen werden. Sie sollten die als Benutzernamen der Benutzer sammeln, denen Sie den Zugriff auf Tableau per einmaliger Anmeldung (Single-Sign On, SSO) gestatten möchten.

  • IdP-Konto, das SAML 2.0 unterstützt. Sie benötigen ein Konto bei einem externen Identitätsanbieter. Einige Beispiele sind PingFederate, SiteMinder und Open AM. Der IdP muss SAML 2.0 unterstützen. Sie benötigen Administratorzugriff auf dieses Konto.

  • SHA256 wird als Signaturalgorithmus verwendet. Seit Mai 2020 blockiert Tableau Online IdP-Assertionen und Zertifikate, die mit dem SHA-1-Algorithmus signiert sind.

  • IdP-Anbieter, der den Import und Export von XML-Metadaten unterstützt. Obwohl manuell erstellte Metadatendateien ggf. funktionieren können, kann Sie der technische Support von Tableau weder beim Generieren der Datei noch bei der Fehlersuche unterstützen.

  • IdP, der ein maximales Tokenalter von 24 Tagen oder weniger (2073600 Sekunden) erzwingt. Wenn der IdP ein maximales Alter von Token zulässt, das eine längere Zeit als die maximale Alterseinstellung in Tableau (2073600 Sekunden) aufweist, erkennt Tableau das Token nicht als gültig an. In diesem Szenario werden Benutzern Fehlermeldungen (Die Anmeldung war nicht erfolgreich. Versuchen Sie es erneut.) angezeigt, wenn Sie versuchen, sich bei Tableau Cloud oder TCM anzumelden.

  • SSO mit MFA ist aktiviert. Seit Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau erforderlich.

    Wichtig: Zusätzlich zu diesen Anforderungen wird empfohlen, ein dediziertes Site-Administratorkonto einzurichten, das immer für TableauID mit MFA(Link wird in neuem Fenster geöffnet) konfiguriert ist. Bei einem Problem mit SAML oder dem Identitätsanbieter stellt eine dedizierte TableauID mit MFA sicher, dass Sie immer Zugriff auf Ihre Site haben.

Anforderungen und Hinweise zur SAML-Kompatibilität

  • Initiiert per Dienstanbieter oder Identitätsanbieter: Tableau unterstützt die SAML-Authentifizierung, die vom Identitätsanbieter (IdP) oder Dienstanbieter (SP) ausgeht.

  • Einmalige Abmeldung (Single Log Out, SLO): Tableau unterstützt sowohl vom Dienstanbieter (SP) initiiertes als auch vom Identitätsanbieter (IdP) initiiertes SLO.

    Hinweis: Um die SLO-URL für Ihre Site oder Ihren Mandanten zu erhalten, laden Sie die Metadaten-XML-Datei herunter, die Ihre Tableau Cloud-Site generiert, und beziehen Sie sich darauf. Sie können diese Datei finden, zu einem der Folgenden navigieren:

    • In Tableau Cloud: Einstellungen > Authentifizierung > Neue Konfiguration oder Konfiguration bearbeiten.

    • In TCM: Einstellungen > Authentifizierung.

  • tabcmd und REST-API: Zum Verwenden von tabcmd oder der Tableau REST-API(Link wird in neuem Fenster geöffnet) müssen sich Benutzer mithilfe eines persönlichen Zugriffstokens (PAT) bei Tableau Cloud anmelden. Um die Tableau Cloud Manager-REST-API(Link wird in neuem Fenster geöffnet) zu verwenden, müssen sich Benutzer mithilfe eines persönlichen Zugriffstokens (PAT) bei TCM anmelden.

  • Verschlüsselte Assertionen: Tableau unterstützt entweder Klartext oder verschlüsselte Assertionen.

  • Tableau Bridge-Neukonfiguration erforderlich: Tableau Bridge unterstützt die SAML-Authentifizierung. Für die Änderung einer Authentifizierung ist jedoch die Neukonfiguration des Bridge-Clients erforderlich. Weitere Informationen finden Sie unter Auswirkungen einer Änderung des Authentifizierungstyps auf Tableau Bridge.

  • Erforderlicher Signaturalgorithmus: Für alle neuen SAML-Zertifikate erfordert Tableau Cloud oder TCM den SHA256-Signaturalgorithmus (oder höher).

  • RSA-Schlüssel- und ECDSA-Kurvenlängen Das IdP-Zertifikat muss entweder eine RSA-Schlüsselstärke von 2048 oder eine ECDSA-Kurvenlänge von 256 aufweisen.

  • NameID-Attribut: Tableau erfordert das NameID-Attribut in der SAML-Antwort.

Verwenden der einmaligen Anmeldung mittels SAML in Tableau-Clientanwendungen

Hinweis: Gilt nur für Tableau Cloud.

Tableau Cloud Benutzer mit SAML-Anmeldeinformationen können sich auch über Tableau Desktop oder die Tableau Mobile-App bei ihrer Site anmelden. Für eine optimale Kompatibilität wird empfohlen, dass die Tableau-Clientanwendungsversion mit der von Tableau Cloud übereinstimmt.

Die Verbindung zu Tableau Cloud über Tableau Desktop oder Tableau Mobile wird über eine vom Dienstanbieter initiierte Verbindung hergestellt.

Zurückleiten von authentifizierten Benutzern zu Tableau-Clients

Wenn sich ein Benutzer bei Tableau Cloud anmeldet, sendet Tableau Cloud eine SAML-Anfrage (AuthnRequest) an den Identitätsanbieter (Identity Provider, IdP), die den Wert RelayState der Tableau-Anwendung beinhaltet. Falls sich der Benutzer über einen Tableau-Client wie Tableau Desktop oder Tableau Mobile bei Tableau Cloud angemeldet hat, ist es wichtig, dass der Wert "RelayState in der SAML-Antwort des IdP an Tableau zurückgegeben wird.

Wird in diesem Szenario der Wert "RelayState" nicht korrekt zurückgegeben, wird der Benutzer zu seiner Tableau Cloud-Startseite im Webbrowser umgeleitet, anstatt zur Anwendung, von der er sich angemeldet hat, zurückgeleitet zu werden.

Arbeiten Sie mit Ihrem IdP und dem internen IT-Team zusammen, um sicherzustellen, dass dieser Wert in die SAML-Antwort des IdP eingefügt geschaltet ist.

Auswirkungen einer Änderung des Authentifizierungstyps auf Tableau Bridge

Wenn Sie den Authentifizierungstyp der Site ändern, müssen Veröffentlicher, die Tableau Bridge für geplante Extraktaktualisierungen verwenden, die Verknüpfung ihres Clients aufheben, erneut verknüpfen und mithilfe der neuen Methode oder IdP-Konfiguration erneut authentifizieren.

Bei älteren Zeitplänen werden durch das Aufheben der Verknüpfung mit dem Bridge-Client alle Datenquellen entfernt – daher müssen Sie die Aktualisierungszeitpläne erneut einrichten. Bei Online-Zeitplänen müssen Sie nach dem erneuten Verknüpfen des Clients den Bridge-Client-Pool neu konfigurieren.

Die Änderung des Authentifizierungstyps wirkt sich weder auf Bridge-Live-Abfragen noch auf -Aktualisierungen aus, die direkt von der Tableau Cloud-Site aus ausgeführt werden (wie zum Beispiel bei zugrunde liegenden Daten in der Cloud).

Sie sollten Bridge-Benutzer hinsichtlich Änderungen an ihrer Site-Authentifizierung warnen, bevor Sie sie vornehmen. Andernfalls werden sie es feststellen, wenn vom Bridge-Client Authentifizierungsfehler angezeigt werden oder wenn der Client mit einem leeren Datenquellenbereich geöffnet wird.

XML-Datenanforderungen

Sie konfigurieren SAML mithilfe von XML-Metadatendokumenten, die von Tableau Cloud oder TCM und dem IdP generiert werden. Während der Authentifizierung tauschen der IdP und Tableau die Authentifizierungsdaten in Form dieser XML-Dokumente untereinander aus. Falls die XML diese Anforderungen nicht erfüllt, kann es beim Konfigurieren von SAML oder während Benutzer versuchen, sich anzumelden, zu Fehlern kommen.

HTTP POST und HTTP REDIRECT: Tableau Cloud oder TCM unterstützt HTTP POST- und HTTP REDIRECT-Anfragen für SAML-Kommunikation. In dem SAML-Metadaten-XML-Dokument, das vom Identitätsanbieter exportiert wird, kann das Attribut Binding auf Folgendes festgelegt sein:

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Dynamische Gruppenmitgliedschaft mithilfe von SAML-Assertionen in Tableau Cloud:

Hinweis: Gilt nur für Tableau Cloud.

Ab Juni 2024 (Tableau 2024.2) können Sie, wenn SAML konfiguriert und die Einstellung der Funktion aktiviert ist, die Gruppenmitgliedschaft dynamisch über benutzerdefinierte Ansprüche steuern, die in der vom Identitätsanbieter (IdP) gesendeten SAML-XML-Antwort enthalten sind.

Wenn konfiguriert, sendet der IdP während der Benutzerauthentifizierung die SAML-Assertion, die zwei benutzerdefinierte Gruppenmitgliedschaftsansprüche enthält: Gruppe (https://tableau.com/groups) und Gruppennamen (z. B. „Gruppe1“ und „Gruppe2“), in die der Benutzer aufgenommen werden soll. Tableau validiert die Assertion und ermöglicht dann den Zugriff auf die Gruppen und die Inhalte, deren Berechtigungen von diesen Gruppen abhängen.

Weitere Informationen finden Sie unter Dynamische Gruppenmitgliedschaft mithilfe von Assertionen .

Beispiel für eine SAML-XML-Antwort

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
Zurück zum Anfang