SAML-Anforderungen für Tableau Cloud

Bevor Sie mit der Konfiguration von SAML für Tableau Cloud beginnen, müssen Sie zunächst alle erforderlichen Anforderungen erfüllen.

Anforderungen des Identitätsanbieters (IdP) bezüglich der Tableau-Konfiguration

Zum Konfigurieren von Tableau Cloud für SAML benötigen Sie Folgendes:

  • Administratorzugriff auf Ihre Tableau Cloud-Site. Sie benötigen Administratorzugriff auf die Tableau Cloud-Site, auf der Sie SAML aktivieren möchten.

  • Liste der Benutzer, die per SSO auf Tableau Cloud zugreifen werden. Sie sollten die als Benutzernamen der Benutzer sammeln, denen Sie den Zugriff auf Tableau Cloud per einmaliger Anmeldung (Single-Sign On, SSO) gestatten möchten.

  • IdP-Konto, das SAML 2.0 unterstützt. Sie benötigen ein Konto bei einem externen Identitätsanbieter. Einige Beispiele sind PingFederate, SiteMinder und Open AM. Der IdP muss SAML 2.0 unterstützen. Sie benötigen Administratorzugriff auf dieses Konto.

  • SHA256 wird als Signaturalgorithmus verwendet. Ab Mai 2020 blockiert Tableau Cloud IdP-Assertionen und Zertifikate, die mit dem SHA-1-Algorithmus signiert sind.

  • IdP-Anbieter, der den Import und Export von XML-Metadaten unterstützt. Obwohl manuell erstellte Metadatendateien ggf. funktionieren können, kann Sie der technische Support von Tableau weder beim Generieren der Datei noch bei der Fehlersuche unterstützen.

  • IdP, der ein maximales Tokenalter von 24 Tagen oder weniger (2073600 Sekunden) erzwingt. Wenn der IdP ein maximales Alter von Token zulässt, das eine längere Zeit als die maximale Alterseinstellung in Tableau Cloud (2073600 Sekunden) aufweist, erkennt Tableau Cloud das Token nicht als gültig an. In diesem Szenario werden Benutzern Fehlermeldungen (Die Anmeldung war nicht erfolgreich. Versuchen Sie es erneut.) angezeigt, wenn Sie versuchen, sich bei Tableau Cloud anzumelden.

  • SSO mit MFA ist aktiviert. Ab Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau Cloud erforderlich.

    Wichtig: Zusätzlich zu diesen Anforderungen wird empfohlen, ein dediziertes Site-Administratorkonto einzurichten, das immer für TableauID mit MFA(Link wird in neuem Fenster geöffnet) konfiguriert ist. Bei einem Problem mit SAML oder dem Identitätsanbieter stellt eine dedizierte TableauID mit MFA sicher, dass Sie immer Zugriff auf Ihre Site haben.

     

Anforderungen und Hinweise zur SAML-Kompatibilität

  • Initiiert per Dienstanbieter oder Identitätsanbieter: Tableau Cloud unterstützt die SAML-Authentifizierung, die vom Identitätsanbieter (IdP) oder Dienstanbieter (SP) ausgeht.

  • Einmalige Abmeldung (Single Log Out, SLO): Tableau Cloud unterstützt sowohl vom Dienstanbieter (SP) initiiertes als auch vom Identitätsanbieter (IdP) initiiertes SLO.

    Hinweis: Um die SLO-URL für Ihre Site zu erhalten, laden Sie die Metadaten-XML-Datei herunter, die Ihre Tableau Cloud-Site generiert, und beziehen Sie sich darauf. Sie können diese Datei finden, indem Sie die Seite Einstellungen > Authentifizierung aufrufen. Klicken Sie unter dem Authentifizierungstyp SAML auf den Dropdown-Pfeil Konfiguration (erforderlich) und dann unter Schritt 1, Methode 1, auf die Schaltfläche Metadaten exportieren.

  • tabcmd und REST-API: Zum Verwenden von tabcmd oder der REST-API(Link wird in neuem Fenster geöffnet) müssen sich Benutzer mithilfe eines TableauID-Kontos bei Tableau Cloud anmelden.

  • Verschlüsselte Behauptungen: Tableau Cloud unterstützt entweder Klartext oder verschlüsselte Behauptungen.

  • Tableau Bridge-Neukonfiguration erforderlich: Tableau Bridge unterstützt die SAML-Authentifizierung. Für die Änderung einer Authentifizierung ist jedoch die Neukonfiguration des Bridge-Clients erforderlich. Weitere Informationen finden Sie unter Auswirkungen einer Änderung des Authentifizierungstyps auf Tableau Bridge.

  • Erforderlicher Signaturalgorithmus: Für alle neuen SAML-Zertifikate erfordert Tableau Cloud den SHA256-Signaturalgorithmus (oder höher).

  • RSA-Schlüssel- und ECDSA-Kurvenlängen Das IdP-Zertifikat muss entweder eine RSA-Schlüsselstärke von 2048 oder eine ECDSA-Kurvenlänge von 256 aufweisen.
  • NameID-Attribut: Tableau Cloud erfordert das NameID-Attribut in der SAML-Antwort.

Verwenden der einmaligen Anmeldung mittels SAML in Tableau-Clientanwendungen

Tableau Cloud Benutzer mit SAML-Anmeldeinformationen können sich auch über Tableau Desktop oder die Tableau Mobile-App bei ihrer Site anmelden. Für eine optimale Kompatibilität wird empfohlen, dass die Tableau-Clientanwendungsversion mit der von Tableau Cloud übereinstimmt.

Die Verbindung zu Tableau Cloud über Tableau Desktop oder Tableau Mobile wird über eine vom Dienstanbieter initiierte Verbindung hergestellt.

Zurückleiten von authentifizierten Benutzern zu Tableau-Clients

Wenn sich ein Benutzer bei Tableau Cloud anmeldet, sendet Tableau Cloud eine SAML-Anfrage (AuthnRequest) an den Identitätsanbieter (Identity Provider, IdP), die den Wert RelayState der Tableau-Anwendung beinhaltet. Falls sich der Benutzer über einen Tableau-Client wie Tableau Desktop oder Tableau Mobile bei Tableau Cloud angemeldet hat, ist es wichtig, dass der Wert "RelayState in der SAML-Antwort des IdP an Tableau zurückgegeben wird.

Wird in diesem Szenario der Wert "RelayState" nicht korrekt zurückgegeben, wird der Benutzer zu seiner Tableau Cloud-Startseite im Webbrowser umgeleitet, anstatt zur Anwendung, von der er sich angemeldet hat, zurückgeleitet zu werden.

Arbeiten Sie mit Ihrem IdP und dem internen IT-Team zusammen, um sicherzustellen, dass dieser Wert in die SAML-Antwort des IdP eingefügt geschaltet ist.

Auswirkungen einer Änderung des Authentifizierungstyps auf Tableau Bridge

Wenn Sie den Authentifizierungstyp der Site ändern, müssen Veröffentlicher, die Tableau Bridge für geplante Extraktaktualisierungen verwenden, die Verknüpfung ihres Clients aufheben, erneut verknüpfen und mithilfe der neuen Methode oder IdP-Konfiguration erneut authentifizieren.

Bei älteren Zeitplänen werden durch das Aufheben der Verknüpfung mit dem Bridge-Client alle Datenquellen entfernt – daher müssen Sie die Aktualisierungszeitpläne erneut einrichten. Bei Online-Zeitplänen müssen Sie nach dem erneuten Verknüpfen des Clients den Bridge-Client-Pool neu konfigurieren.

Die Änderung des Authentifizierungstyps wirkt sich weder auf Bridge-Live-Abfragen noch auf -Aktualisierungen aus, die direkt von der Tableau Cloud-Site aus ausgeführt werden (wie zum Beispiel bei zugrunde liegenden Daten in der Cloud).

Sie sollten Bridge-Benutzer hinsichtlich Änderungen an ihrer Site-Authentifizierung warnen, bevor Sie sie vornehmen. Andernfalls werden sie es feststellen, wenn vom Bridge-Client Authentifizierungsfehler angezeigt werden oder wenn der Client mit einem leeren Datenquellenbereich geöffnet wird.

XML-Datenanforderungen

Sie konfigurieren SAML mithilfe von XML-Metadatendokumenten, die von Tableau Cloud und dem IdP generiert werden. Während der Authentifizierung tauschen der IdP und Tableau Cloud die Authentifizierungsdaten in Form dieser XML-Dokumente untereinander aus. Falls die XML diese Anforderungen nicht erfüllt, kann es beim Konfigurieren von SAML oder während Benutzer versuchen, sich anzumelden, zu Fehlern kommen.

HTTP POST und HTTP REDIRECT: Tableau Cloud unterstützt HTTP POST- und HTTP REDIRECT-Anfragen für SAML-Kommunikation. In dem SAML-Metadaten-XML-Dokument, das vom Identitätsanbieter exportiert wird, kann das Attribut Binding auf Folgendes festgelegt sein:

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Dynamische Gruppenmitgliedschaft mithilfe von SAML-Assertionen:

Ab Juni 2024 (Tableau 2024.2) können Sie, wenn SAML konfiguriert und die Einstellung der Funktion aktiviert ist, die Gruppenmitgliedschaft dynamisch über benutzerdefinierte Ansprüche steuern, die in der vom Identitätsanbieter (IdP) gesendeten SAML-XML-Antwort enthalten sind.

Wenn konfiguriert, sendet der IdP während der Benutzerauthentifizierung die SAML-Assertion, die zwei benutzerdefinierte Gruppenmitgliedschaftsansprüche enthält: Gruppe (https://tableau.com/groups) und Gruppennamen (z. B. „Gruppe1“ und „Gruppe2“), in die der Benutzer aufgenommen werden soll. Tableau validiert die Assertion und ermöglicht dann den Zugriff auf die Gruppen und die Inhalte, deren Berechtigungen von diesen Gruppen abhängen.

Weitere Informationen finden Sie unter Dynamische Gruppenmitgliedschaft mithilfe von Assertionen .

Beispiel für eine SAML-XML-Antwort

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.