Konfigurieren von SCIM mit PingFederate

Sie können über PingFederate die Benutzerverwaltung konfigurieren, Gruppen bereitstellen und Tableau Cloud-Site-Rollen zuweisen.

Beim Ausführen der unten beschriebenen Schritte empfehlen wir Ihnen, die PingFederate-Dokumentation bereitzuhalten, um Details zu den nachfolgend beschriebenen Verfahren nachzuschlagen.

Wichtig:

Diese Schritte beziehen sich auf eine Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem Identitätsanbieter-Konto angezeigten Bildschirmen übereinstimmen, können Sie den allgemeinen Artikel SCIM gemeinsam mit der IdP-Dokumentation verwenden.
Die Reihenfolge der Konfigurationsschritte beim Identitätsanbieter sind möglicherweise anders als bei Tableau.

Schritt 1: Erfüllen der Voraussetzungen

Um die in diesem Dokument beschriebenen Verfahren durchführen zu können, müssen die folgenden Voraussetzungen erfüllt sein:

SCIM Provisioner: Die SCIM Provisioner-Anwendung muss installiert und konfiguriert sein. Weitere Informationen finden Sie in der PingIdentity-Dokumentation unter SCIM Provisioner(Link wird in neuem Fenster geöffnet).
Ping-Datenspeicher: Ein Datenspeicher (z. B. PingDirectory) muss konfiguriert sein. Weitere Informationen finden Sie in der PingIdentity-Dokumentation unter Configuring an LDAP connection(Link wird in neuem Fenster geöffnet) (Konfigurieren einer LDAP-Verbindung).
SAML in Protokolleinstellungen: Konfigurieren Sie Protokolleinstellungen für SAML-Verbund.

Schritt 2: Konfigurieren von SAML in Tableau Server

Für SCIM-Funktionalität in Tableau Cloud ist es erforderlich, dass Sie Ihre Site zum Unterstützen von SAML-SSO (SAML-Single Sign-On) konfigurieren. Zu dieser SAML-Konfiguration werden Sie später in diesem Thema zurückkehren und sie weiter aktualisieren.

Melden Sie sich bei Tableau Cloud als Site-Administrator an, und wählen Sie Einstellungen > Authentifizierung.
Klicken Sie auf der Registerkarte Authentifizierung auf die Schaltfläche Neue Konfiguration, wählen Sie in der Dropdown-Liste „Authentifizierung“ den Eintrag SAML aus, und geben Sie dann einen Namen für die Konfiguration ein.
Hinweis: Konfigurationen, die vor Januar 2025 (Tableau 2024.3) erstellt wurden, können nicht umbenannt werden.

Überspringen Sie 1. Metadaten aus Identitätsanbieter exportieren. Sie werden später in diesem Verfahren zu diesem Schritt zurückkehren.
Wählen Sie unter 2. Metadaten zu Tableau hochladen eine Platzhalter-XML-Metadaten-Datei hoch. Diese Datei werden Sie später in diesem Thema mit einer gültigen XML-Metadaten-Datei aus PingFederate ersetzen.
Klicken Sie auf Speichern.

Schritt 3: SCIM-Unterstützung in Tableau Cloud aktivieren

Gehen Sie wie folgt vor, um SCIM-Unterstützung in Tableau Cloud zu aktivieren. Sie werden die Informationen in diesem Abschnitt verwenden, um SCIM in PingFederate zu aktivieren.

Melden Sie sich als Site-Administrator bei Ihrer Tableau Cloud-Site an und wählen Sie Einstellungen > Authentifizierung aus.
Klicken Sie auf der Seite „Authentifizierung“ unter „System für die domänenübergreifende Identitätsverwaltung (SCIM)“ auf die Schaltfläche Neue Konfiguration.
Führen Sie im Dialogfeld Neue SCIM-Konfiguration Folgendes aus:
1. Geben Sie einen Namen für die SCIM-Konfiguration ein.
2. Kopieren Sie die Basis-URL, die in den SCIM-Einstellungen Ihres IdP verwendet werden soll.
3. Wählen Sie im Dropdown-Feld „Authentifizierung“ die SAML-Authentifizierungskonfiguration aus, die mit SCIM verknüpft werden soll.
4. Klicken Sie auf Speichern.
  Hinweis: Dadurch wird der Abschnitt „SCIM-Token“ aufgefüllt.
Gehen Sie unter SCIM-Token wie folgt vor:
1. Klicken Sie auf die Schaltfläche Neues Geheimnis.
2. Klicken Sie im Dialogfeld „Neues Geheimnis“ erneut auf die Schaltfläche Neues Geheimnis. Ein neu generiertes Geheimnis wird angezeigt.
3. Kopieren Sie das Geheimnis und speichern Sie es an einem sicheren Ort. Wir werden das Geheimnis in Schritt 4.2.1 verwenden.
  Wichtig:
  - Wenn Sie die SCIM-Konfiguration schließen, bevor Sie den SCIM-Einstellungen Ihres IdP das Geheimnis hinzufügen, können Sie die SCIM-Konfiguration zwar bearbeiten, müssen dazu jedoch erst einmal auf „Neues Geheimnis“ klicken, um ein neues Geheimnis zu generieren.
  - Das Geheimnis ist an den Site-Administrator von Tableau gebunden, der die SCIM-Konfiguration erstellt hat. Wenn sich die Site-Rolle dieses Benutzers ändert oder der Benutzer kein Mitglied der Site mehr ist, wird das Geheimnis ungültig. In diesem Fall kann ein anderer Site-Administrator ein neues Geheimnis für die vorhandene SCIM-Konfiguration generieren und es den SCIM-Einstellungen des IdP hinzufügen oder eine neue SCIM-Konfiguration erstellen, um sicherzustellen, dass den SCIM-Einstellungen des IdP die Basis-URL und das Geheimnis hinzugefügt werden.
4. Klicken Sie auf Schließen.

Schritt 4: SSO in PingFederate aktivieren

Um SAML-SSO in Ihrer PingFederate-Umgebung zu aktivieren, müssen Sie die folgenden Schritte durchführen:

Erstellen einer IdP-Adapter-Instanz
Konfigurieren einer Dienstanbieter-Verbindung
Zuordnen von Attributen in Ihrem Ping-Datenspeicher
Konfigurieren von SAML-SSO

Wichtig: Denken Sie daran, dass die hier beschriebenen Schritte und Beispiele nur zu Demonstrationszwecken dienen.

Schritt 4.1: Erstellen einer IdP-Adapter-Instanz

Führen Sie jeden der folgenden Abschnitte durch, um den HTML-Formular-Adapter(Link wird in neuem Fenster geöffnet) zu erstellen. PingFederate verwendet IdP-Adapter (wie beispielsweise den HTML-Formular-Adapter), um Benutzer zu authentifizieren. Ein IdP-Adapter schlägt Sitzungsinformationen nach und stellt PingFederate eine Benutzeridentifizierung bereit.

Melden Sie sich in der PingFederate-Verwaltungskonsole an.
Wählen Sie Authentication > IdP Adapters (Authentifizierung >IdP-Adapter) aus.
Klicken Sie auf der Seite „IdP Adapters“ auf die Schaltfläche Create New Instance (Neue Instanz erstellen), um mit der Konfiguration „Create Adapter Instance“ (Adapterinstanz erstellen) zu beginnen.

Schritt 4.1.1: Erstellen der Adapterinstanz (Teil 1)

Gehen Sie auf der Seite „Create Adapter Instance“ (Adapterinstanz erstellen) auf der Registerkarte Type (Typ) wie folgt vor:
1. Geben Sie für INSTANCE NAME (Name der Instanz) einen neuen Namen ein. Beispiel: „credentailsValidatoreInstance“.
2. Geben Sie für INSTANCE ID (Instanz-ID) einen Wert ein. Beispiel: „3“.
3. Wählen Sie in der Dropdown-Liste TYPE (Typ) den Eintrag HTML Form IdP Adapter (HTML-Formular-IdP-Adapter) aus.
4. Behalten den Wert in „PARENT INSTANCE“ (Übergeordnete Instanz) unverändert bei („None“ (Keine)).
5. Klicken Sie auf die Schaltfläche „Next“ (Weiter).

Schritt 4.1.2: Erstellen eines Anmeldeinformations-Prüfers

Gehen Sie auf der Registerkarte IdP Adapter (IdP-Adapter) wie folgt vor:
1. Scrollen Sie nach unten bis zum Ende der Seite, und klicken Sie auf die Schaltfläche Manage Password Credential Validators (Kennwort-Anmeldeinformationen-Prüfer verwalten).
2. Klicken Sie auf der Seite „Manage Password Credential Validators“ (Kennwort-Anmeldeinformationen-Prüfer verwalten) auf die Schaltfläche Create New Instance (Neue Instanz erstellen).
Gehen Sie auf der Seite Create Credentials Validator Instance (Anmeldeinformationen-Prüfer-Instanz erstellen) auf der Registerkarte Type (Typ) wie folgt vor:
1. Geben Sie für INSTANCE NAME (Name der Instanz) einen neuen Namen ein. Beispiel: „credentialsValidatorInstance“.
2. Geben Sie für INSTANCE ID (Instanz-ID) einen Wert ein. Beispiel: „3“.
3. Wählen Sie in der Dropdown-Liste TYPE (Typ) den Eintrag LDAP Username Password Credential Validator (LDAP-Benutzername-Kennwort-Anmeldeinformationen-Prüfer) aus.
4. Behalten den Wert in „PARENT INSTANCE“ (Übergeordnete Instanz) unverändert bei („None“ (Keine)).
5. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Instance Configuration (Instanzkonfiguration) wie folgt vor:
1. Wählen Sie in der Dropdown-Liste LDAP DATASTORE (LDAP-Datenspeicher) die zuvor konfigurierte Ping Directory-Datenquelle aus.
2. Geben Sie im Feld SEARCH BASE (Suchbasis) Folgendes ein: dc=example,dc=com.
3. Geben Sie im Feld SEARCH FILTER (Suchfilter) Folgendes ein: mail=${username}
4. Behalten Sie die anderen Einstellungen unverändert bei.
5. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Überprüfen Sie die Details auf der Registerkarte Summary (Zusammenfassung), und klicken Sie auf die Schaltfläche Save (Speichern).
Klicken Sie, wieder zurück auf der Seite Manage Password Credential Validators (Kennwort-Anmeldeinformationen-Prüfer verwalten) auf die Schaltfläche Done (Fertig).
Gehen Sie, wieder zurück auf der Seite Create Adapter Instance (Adapterinstanz erstellen), unter dem Abschnitt „Password Credential Validator Instance“ (Kennwort-Anmeldeinformationen-Prüfer-Instanz) wie folgt vor:
1. Klicken Sie auf den Link Add a new row to `Credential Validators` (Neue Zeile zu „Credential Validators“ hinzufügen).
2. Wählen Sie in dem angezeigten Dropdown-Menü die neu erstellte Validator-Instanz aus, die Sie erstellt haben. Beispiel: „credentialsValidatorInstance“.
3. Klicken Sie auf den Link Update (Aktualisieren).
4. Klicken Sie auf die Schaltfläche „Next“ (Weiter).

Schritt 4.1.3: Erstellen der Adapterinstanz (Teil 2)

Gehen Sie, wieder zurück auf der Registerkarte Extended Contract (Verlängerter Vertrag), wie folgt vor:
1. Gehen Sie unter dem Abschnitt Extended the Contract (Vertrag verlängert) wie folgt vor:
  1. Geben Sie in das Textfeld „sn“ ein, und klicken Sie auf die Schaltfläche Add (Hinzufügen).
2. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Adapter Attributes (Adapterattribute) wie folgt vor:
1. Wählen Sie in der Dropdown-Liste UNIQUE USER KEY ATTRIBUTE (Attribut „Eindeutiger Benutzerschlüssel“) den Eintrag username (Benutzername) aus.
2. Aktivieren Sie bei username (Benutzername) das Kontrollkästchen Pseudonym.
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Adapter Contract Mapping (Adaptervertrags-Zuordnung) auf die Schaltfläche Configure Adapter Contract (Adaptervertrag konfigurieren).

Schritt 4.1.4: Konfigurieren der Adaptervertrags-Zuordnung (Teil 1)

Klicken Sie auf der Registerkarte Adapter Sources & Users Lookup (Adapterquellen und Benutzersuche) auf die Schaltfläche Add Attribute Source (Attributquelle hinzufügen).

Schritt 4.1.5: Konfigurieren von Attributquellen und Benutzersuche

Gehen Sie auf der Registerkarte Data Store (Datenspeicher) wie folgt vor:
1. Geben Sie bei ATTRIBUTE SOURCE ID (Attributquellen-ID) einen Namen ein. Beispiel: „attributeSourceUserLookup“.
2. Geben Sie bei ATTRIBUTE SOURCE DESCRIPTION (Attributquellen-Beschreibung) eine Beschreibung ein. Beispiel: „attributeSourceId“.
3. Wählen Sie in ACTIVE DATA STORE (Aktiver Datenspeicher) den zuvor konfigurierten Ping Directory-Datenspeicher aus.
4. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte LDAP Directory Search (LDAP-Verzeichnissuche) wie folgt vor:
1. Geben Sie bei BASE DNFolgendes ein: dc=example,dc=com
2. Gehen Sie unter dem Abschnitt Attributes to return from search (Attribute, die beim Suchen zurückgegeben werden sollen) wie folgt vor:
  1. Wählen Sie in der Spalte STAMMOBJEKTKLASSE (Stammobjektklasse) die Option Show All Attributes (Alle Attribute anzeigen) aus.
  2. Wählen Sie in der Spalte Option im Textfeld den Eintrag givenName aus, und klicken Sie dann auf die Schaltfläche Add Attribute (Attribut hinzufügen).
  3. Wählen Sie im Textfeld den Eintrag sn aus, und klicken Sie dann auf die Schaltfläche Add Attribute (Attribut hinzufügen).
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte LDAP Filter (LDAP-Filter) wie folgt vor:
1. Geben Sie im Textfeld FILTER (Filter) Folgendes ein: mail=${username}
2. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Summary (Zusammenfassung) auf die Schaltfläche Save (Speichern).

Schritt 4.1.6: Konfigurieren der Adaptervertrags-Zuordnung (Teil 2)

Wählen Sie auf der Registerkarte Attribute Sources & User Lookup (Attributquellen und Benutzersuche) den Adaptervertrag aus, den Sie erstellt haben. Beispiel: „attributeSourceId“.
Gehen Sie auf der Registerkarte Adapter Contact Fulfillment (Adaptervertrags-Erfüllung) wie folgt vor:
1. Wählen Sie für givenName in der Dropdown-Liste „Source“ (Quelle) den Eintrag LDAP (attributeSourceId) aus. Wählen Sie in der Dropdown-Liste „Value“ (Wert) den Eintrag givenNameaus.
2. Lassen Sie für policy.action in der Dropdown-Liste „Source“ (Quelle) den Eintrag („Adapter“) unverändert.
3. Wählen Sie für sn in der Dropdown-Liste „Source“ (Quelle) den Eintrag LDAP (attributeSourceId) aus. Wählen Sie in der Dropdown-Liste „Value“ (Wert) den Eintrag snaus.
4. Behalten Sie den Wert für username unverändert bei („Adapter“).
5. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Issuance Criteria (Ausstellungskriterien) auf die Schaltfläche „Next“ (Weiter).
Überprüfen Sie die Details auf der Registerkarte Summary (Zusammenfassung), und klicken Sie auf die Schaltfläche Save (Speichern).

Schritt 4.2: Erstellen einer Dienstanbieter-Verbindung

Führen Sie jeden der folgenden Abschnitte aus, um eine Dienstanbieter-Verbindung zu erstellen. PingFederate verwendet Dienstanbieter-Verbindungen für vom Identitätsdienstanbieter initiiertes SSO.

Navigieren Sie in der PingFederate-Verwaltungskonsole zu Applications > SP Connections (Anwendungen > Dienstanbieter-Verbindungen).
Klicken Sie auf der Seite SP Connections (Dienstanbieter-Verbindungen) auf die Schaltfläche Create Connction (Verbindung erstellen).
Behalten Sie auf der Registerkarte Connection Template (Verbindungsvorlage) die Option USE A TEMPLATE FOR THIS CONNECTION (Eine Vorlage für diese Verbindung verwenden) unverändert bei und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Connection Typ (Verbindungstyp) wie folgt vor:
1. Aktivieren Sie das Kontrollkästchen BROWSER SSO Profiles (Browser-SSO-Profile).
  1. Behalten Sie den Wert in der Dropdown-Liste „PROTOCOL“ unverändert bei (SAML 2.0).
2. Aktivieren Sie das Kontrollkästchen OUTBOUND PROVISIONING (Ausgehende Bereitstellung).
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Connection Options (Verbindungsoptionen) auf die Schaltfläche „Next“ (Weiter).
Behalten Sie auf der Registerkarte Import Metadata (Metadaten importieren) den Wert unverändert bei („NONE“ (KEINE)), und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte General Info (Allgemeine Informationen) wie folgt vor:
1. Geben Sie als „PARTNERS ENTITY ID“ (Partner-Entitäts-ID) die Tableau Cloud-Entitäts-ID aus der SAML-Konfiguration in Tableau Cloud ein, mit der Sie in Schritt 2 begonnen haben. Beispiel: „https://sso.online.tableau.com/public/sp/metadata/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb“.
2. Geben Sie bei CONNECTION NAME (Verbindungsname) einen neuen Namen ein. Beispiel: „SCIM-Connector“.
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Outbound Provisioning (Ausgehende Bereitstellung) auf die Schaltfläche Configure Provisioning (Bereitstellung konfigurieren).

Schritt 4.2.1: Erstellen eines Konfigurationskanals

Gehen Sie auf der Registerkarte Target (Ziel) wie folgt vor:
1. Geben Sie als SCIM URL (SCIM-URL) die Basis-URL aus der SCIM-Konfiguration in Tableau Cloud ein, die Sie in Schritt 3 erstellt haben. Beispiel: „https://scim.online.tableau.com/pods/cd-main/sites/25db875a-cace-4769-8429-d7b210879ef2/scim/v2“.
2. Behalten Sie den Wert für die „SCIM VERSION“ unverändert bei (2.0).
3. Wählen Sie in der Dropdown-Liste AUTHENTICATION METHOD (Authentifizierungsmethode) den Eintrag OAUTH 2 BEARER TOKEN (OAuth 2-Bearer-Token) aus.
4. Geben Sie als ACCESS TOKEN (Zugriffstoken) das SCIM-Token-Geheimnis aus der SCIM-Konfiguration in Tableau Cloud ein, die Sie in Schritt 3 erstellt haben.
5. Behalten Sie den Wert für „UNIQUE USER IDENTIFIER“ (Eindeutiger Benutzerkennzeichner) unverändert bei (userName).
6. Geben Sie bei RESULTS PER PAGE (Ergebnisse pro Seite) den folgenden Wert ein: 25. Wir empfehlen, diesen Wert zu ändern, um die Leistung zu verbessern.
7. Stellen Sie sicher, dass für PROVISIONING OPTIONS (Bereitstellungsoptionen) die folgenden Kontrollkästchen aktiviert sind:
  1. USER CREATE (Benutzer erstellen)
  2. USER UPDATE (Benutzer aktualisieren)
  3. USER DISABLE/DELETE (Benutzer deaktivieren/löschen)
  4. PROVISION DISABLED USERS (Deaktivierte Benutzer bereitstellen)
8. Behalten Sie den Wert für „REMOVE USER ACTION“ (Benutzeraktion entfernen) unverändert bei („Disable“ (Deaktivieren)). Wir empfehlen diese Option, damit die Rolle eines Benutzers in Tableau Cloud auf „Nicht lizenziert“ wechselt, wenn der Benutzer aus PingFederate-IdP entfernt wird.
9. Gehen Sie für GROUP NAME SOURCE (Gruppennamen-Quelle) wie folgt vor:
  1. Behalten Sie den Wert in der Dropdown-Liste den Wert unverändert bei („Common Name“ (Allgemeiner Name)).
  2. Aktivieren Sie das Kontrollkästchen USE PATCH FOR GROUP UPDATES (Patch für Gruppenaktualisierungen verwenden).
10. Geben Sie für CUSTOM ATTRIBUTE SCHEMA URNS (URNS für benutzerdefiniertes Attributschema) den folgenden Wert ein:
  urn:ietf:params:scim:schemas:extension:tableau:3.0:User,urn:ietf:params:scim:schemas:extension:tableau:3.0
11. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Seite Configure Channels (Kanäle konfigurieren) auf der Registerkarte Target (Ziel) auf die Schaltfläche Create (Erstellen).
Geben Sie auf der Registerkarte Channel Info (Kanalinformationen) für CHANNEL NAME (Kanalname) einen Namen ein, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Source (Quelle) wie folgt vor:
1. Wählen Sie in der Dropdown-Liste ACTIVE DATA STORE (Aktiver Datenspeicher) den Ping-Datenspeicher aus.
2. Wählen Sie in der Dropdown-Liste TYPE (Typ) den Eintrag LDAP aus.
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Geben Sie auf der Registerkarte Source Settings (Quelleinstellungen) die folgenden Werte ein:
1. Für „ENTRY GUID ATTRIBUTE“ (Eintrags-GUID-Attribut) den Wert entryUUID.
2. Für „GROUP MEMBER ATTRIBUTE“ (Gruppenmitglied-Attribute) den Wert uniqueMember.
3. Für „USER OBJECTCLASS“ (Benutzer-Objektklasse) den Wert inetOrgPerson.
4. Für „GROUP OBJECTCLASS“ (Gruppe-Objektklasse) den Wert groupOfUniqueNames.
5. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Source Location (Quellspeicherort) wie folgt vor:
1. Geben Sie bei BASE DNFolgendes ein: dc=example,dc=com
2. Geben Sie im Abschnitt Users (Benutzer) für FILTERFolgendes ein: objectClass=inetOrgPerson
3. Geben Sie im Abschnitt Groups (Gruppen) für FILTER Folgendes ein: objectClass=groupOfUniqueNames
4. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Attribute Mapping (Attributzuordnung) wie folgt vor:
1. Ändern Sie das Attribute „userName“ wie folgt in „mail“:
  1. Klicken Sie in der Zeile userName auf Edit (Bearbeiten).
  2. Wählen Sie unter der Klasse Root Objekt (Stammobjekt) den Eintrag <Show All Attributes> (Alle Attribute anzeigen) aus.
  3. Wählen Sie in der Dropdown-Liste Attributes (Attribute) den Eintrag mail aus.
  4. Klicken Sie auf die Schaltfläche Add Attribute (Attribut hinzufügen).
  5. Klicken Sie auf den Link Remove (Entfernen) neben dem Attribut „uuid“.
2. Behalten Sie die übrigen Attribute unverändert bei.
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Activation & Summary (Aktivierung und Zusammenfassung) wie folgt vor:
1. Wählen Sie für „Channel Status“ (Kanalstatus) die Option Active (Aktiv) aus.
2. Klicken Sie auf die Schaltfläche Save Draft (Entwurf speichern).

Schritt 4.3: Zuordnen von SCIM-Attributen zu Ihrem Ping-Datenspeicher

Führen Sie die folgenden Schritte aus, um die SCIM-Attribute im Ping-Datenspeicher über die PingData-Verwaltungskonsole zuzuordnen.

Melden Sie sich in der PingData-Verwaltungskonsole an.
Navigieren Sie im linken Navigationsbereich zu „LDAP Schema“ (LDAP-Schema), und klicken Sie auf die Registerkarte Attribute Types (Attributtypen).

Schritt 4.3.1: Erstellen neuer Attributtypen

Klicken Sie auf die Schaltfläche Actions (Aktionen), und wählen Sie New Attribute Type (Neuer Attributtyp) aus.
Führen Sie im Dialogfeld New Attribute Type (Neuer Attributtyp) Folgendes aus:
1. Geben Sie bei NameFolgendes ein: siteRoles
2. Geben Sie bei Description (Beschreibung) eine Beschreibung ein. Beispiel: „Benutzerdefiniertes Attribut für Site-Rollen in Tableau Cloud“.
3. Klicken Sie auf Save (Speichern).
Wiederholen Sie den oben aufgeführten Schritt, und geben Sie im Dialogfeld New Attribute Type (Neuer Attributtyp) die folgenden Werte ein:
1. Geben Sie bei Name Folgendes ein: entitlements
2. Geben Sie bei Description (Beschreibung) eine Beschreibung ein. Beispiel: „Benutzerdefiniertes Attribut für Berechtigungen in Tableau Cloud“.
3. Klicken Sie auf Save (Speichern).

Schritt 4.3.2: Erstellen einer neuen Objektklasse

Klicken Sie auf die Registerkarte Object Class (Objektklasse) oben auf der Seite, klicken Sie auf die Schaltfläche Actions (Aktionen), und wählen Sie dann New Object Class (Neue Objektklasse) aus.
Gehen Sie im Dialogfeld New Object Class (Neue Objektklasse) wie folgt vor:
1. Geben Sie bei NameFolgendes ein: Tableau.
2. Geben Sie bei Description (Beschreibung) eine Beschreibung ein. Beispiel: „SiteRoles-Attribut als Berechtigungen hinzufügen“.
3. Wählen Sie in der Dropdown-Liste Parent (Übergeordnetes Element) den Eintrag inetOrgPerson aus.
4. Wählen Sie in der Dropdown-Liste Type (Typ) den Eintrag Structural (Strukturell) aus.
5. Gehen Sie unter dem Abschnitt Attributes (Attribute) wie folgt vor:
  1. Suchen Sie für Required Attribute (Erforderliches Attribut) den Eintrag sn aus, wählen Sie ihn aus, und klicken Sie auf die Pfeilschaltfläche Add item (Element hinzufügen).
  2. Suchen Sie für Required Attributes (Erforderliche Attribute) den Eintrag cn aus, wählen Sie ihn aus, und klicken Sie auf die Pfeilschaltfläche Add item (Element hinzufügen).
  3. Suchen Sie für Required Attributes (Erforderliches Attribut) den Eintrag objectClass aus, wählen Sie ihn aus, und klicken Sie auf die Pfeilschaltfläche Add item (Element hinzufügen).
  4. Wählen Sie für Optional Attributes (Optionale Attribute) den Eintrag siteRoles aus, wählen Sie ihn aus, und klicken Sie auf die Pfeilschaltfläche Add item (Element hinzufügen).
  5. Suchen Sie für Optional Attributes (Optionale Attribute) den Eintrag entitlements aus, wählen Sie ihn aus, und klicken Sie auf die Pfeilschaltfläche Add item (Element hinzufügen).
6. Klicken Sie auf Save (Speichern).

Schritt 4.4: Konfigurieren von SAML

Gehen Sie wie nachfolgend beschrieben vor, um die zuvor erstellte Dienstanbieter-Verbindung zu bearbeiten, damit sie SAML-SSO unterstützt.

Wählen Sie in der PingFederate-Verwaltungskonsole oben auf der Seite Applications > SP Connections (Anwendungen > Dienstanbieter-Verbindungen) aus.
Gehen Sie auf der Seite SP Connections (Dienstanbieter-Verbindungen) wie folgt vor:
1. Klicken Sie auf den Namen der Verbindung, die Sie in Schritt 4.2 erstellt haben.
2. Klicken Sie auf die Registerkarte Connection (Verbindung).
Behalten Sie die vorhandenen Einträge auf der Registerkarte Connection (Verbindung) unverändert bei, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Behalten Sie den Eintrag „BROWSER SSO“ (Browser-SSO) auf der Registerkarte Connection Options (Verbindungsoptionen) unverändert bei, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Behalten Sie die Auswahl „NONE“ (Keine) auf der Registerkarte Import Metadata (Metadaten importieren) unverändert bei, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte General Info (Allgemeine Informationen) wie folgt vor:
1. Ersetzen Sie den Text bei PARTNERS ENTITY ID (Partner-Entitäts-ID) mit der Tableau Cloud-Entitäts-ID aus der SAML-Konfiguration in Tableau Cloud, mit der Sie in Schritt 2 begonnen haben. Beispiel: https://sso.online.tableau.com/public/sp/metadata/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb.
2. (Optional) Aktualisieren Sie den CONNECTION NAME (Verbindungsname).
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Browser SSO (Browser-SSO) auf die Schaltfläche Configure Browser SSO (Browser-SSO konfigurieren).
Gehen Sie auf der Registerkarte SAML Profiles (SAML-Profile) wie folgt vor:
1. Führen Sie unter dem Abschnitt Single Sign-On (SSO) Profiles (SSO-Profile) Folgendes durch:
  1. Aktivieren Sie das Kontrollkästchen IDP-INITIATED SSO (Vom Identitätsanbieter initiiertes SSO).
  2. Aktivieren Sie das Kontrollkästchen SP-INITIATED SSO (Vom Dienstanbieter initiiertes SSO).
2. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Behalten Sie die Werte auf der Registerkarte Assertion Lifetime (Assertionslebensdauer) unverändert bei, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Assertion Creation (Assertionserstellung) auf die Schaltfläche Configure Assertion Creation (Assertionserstellung konfigurieren).
Behalten Sie auf der Registerkarte Identity Mapping (Identitätszuordnung) die Auswahl „STANDARD“ (Standard) unverändert bei, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Attribute Contract (Attributsvertrag) wie folgt vor:
1. Behalten Sie den Wert unter dem Abschnitt „Subject Name“ unverändert bei (urn:oasis:names:tc:SAML:nameid-format:unspecified).
2. Gehen Sie unter dem Abschnitt Extend the Contract (Vertrag verlängern) wie folgt vor:
  1. Geben Sie Folgendes in das Textfeld ein: FirstName
  2. Wählen Sie unter dem Attribute Name Format (Attributnamensformat) Folgendes aus: urn:oasis:names:tc:SAML:2.0:attrname-format:basic.
  3. Klicken Sie auf die Schaltfläche Add (Hinzufügen).
  4. Geben Sie Folgendes in das Textfeld ein: LastName
  5. Wählen Sie unter dem Attribute Name Format (Attributnamensformat) Folgendes aus: urn:oasis:names:tc:SAML:2.0:attrname-format:basic.
  6. Klicken Sie auf die Schaltfläche Add (Hinzufügen).
3. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Authentication Source Mapping (Zuordnung Authentifizierung-Quelle) auf die Schaltfläche Map New Adapter Instance (Neue Adapterinstanz zuordnen).
Wählen Sie auf der Seite IdP Adapter Mapping (IdP-Adapter-Zuordnung) auf der Registerkarte Adapter Instance (Adapterinstanz) den Adapter aus, den Sie in Schritt 4.1.1 erstellt haben, und klicken Sie auf die Schaltfläche „Next“ (Weiter). Beispiel: „credentialsValidatorInstance“.
Behalten Sie den Wert auf der Registerkarte Mapping Method (Zuordnungsmethode) unverändert bei (USER ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION), und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Attribute Contract Fulfillment (Attributsvertragserfüllung) wie folgt vor:
1. Führen Sie neben FirstName Folgendes durch:
  1. Wählen Sie in der Dropdown-Liste „Quelle“ Adapter aus.
  2. Wählen Sie in der Dropdown-Liste „Wert“ givenName aus.
2. Führen Sie neben LastName Folgendes durch:
  1. Wählen Sie in der Dropdown-Liste „Quelle“ Adapter aus.
  2. Wählen Sie in der Dropdown-Liste „Wert“ sn aus.
3. Neben SAML_SUBJECT
  1. Wählen Sie in der Dropdown-Liste „Quelle“ Adapter aus.
  2. Wählen Sie in der Dropdown-Liste „Wert“ username aus.
4. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Issuance Criteria (Ausstellungskriterien) auf die Schaltfläche „Next“ (Weiter).
Überprüfen Sie die Details auf der Registerkarte Summary (Zusammenfassung), und klicken Sie auf die Schaltfläche Done (Fertig).
Überprüfen Sie die Details auf der Registerkarte Assertion Creation (Assertionserstellung), und klicken Sie auf die Schaltfläche Done (Fertig).
Klicken Sie auf der Registerkarte Assertion Creation (Assertionserstellung) auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Seite Protocol Settings (Protokolleinstellungen) auf die Schaltfläche Configure Protocol Settings (Protokolleinstellungen konfigurieren).
Führen Sie auf der Seite Protocol Settings (Protokolleinstellungen) auf der Registerkarte Assertion Consumer Service URL (Assertion-Verbraucher-Dienst-URL) Folgendes durch:
1. Aktivieren Sie unter Default (Standard) das Kontrollkästchen.
2. Wählen Sie unter Binding (Bindung) die Option POSTaus.
3. Geben Sie unter Endpoint URL (Endpunkt-URL) die ACS-URL (Assertion-Verbraucher-Dienst-URL) aus der SAML-Konfiguration in Tableau Cloud ein, mit der Sie in Schritt 2 begonnen haben, und klicken Sie auf die Schaltfläche Add (Hinzufügen). Beispiel: „https://sso.online.tableau.com/public/sp/SSO/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb“.
4. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Gehen Sie auf der Registerkarte Allowable SAML Bindings (Zulässige SAML-Bindungen) wie folgt vor:
1. Stellen Sie sicher, dass die Kontrollkästchen POST und REDIRECT aktiviert sind, und deaktivieren Sie die anderen Kontrollkästchen.
2. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Signature Policy (Signaturrichtlinie) auf die Schaltfläche „Next“ (Weiter).
Behalten Sie auf der Registerkarte Encryption Policy (Verschlüsselungsrichtlinie) den ausgewählten Wert „None“ (Keine) unverändert bei, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Überprüfen Sie die Details auf der Registerkarte Summary (Zusammenfassung), und klicken Sie auf die Schaltfläche Done (Fertig).
Klicken Sie auf der Seite Browser SSO (Browser-SSO) auf der Registerkarte Protocol Settings (Protokolleinstellungen) auf die Schaltfläche „Next“ (Weiter).
Überprüfen Sie die Details auf der Registerkarte Summary (Zusammenfassung), und klicken Sie auf die Schaltfläche Done (Fertig).
Klicken Sie auf der Seite SP Connection (Dienstanbieter-Verbindung) auf der Registerkarte General Info (Allgemeine Informationen) auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Configure Browser SSO (Browser-SSO konfigurieren) auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Credentials (Anmeldeinformationen) auf die Schaltfläche Configure Credentials (Anmeldeinformationen konfigurieren).
Tun Sie auf der Registerkarte Einstellungen (Zulässige SAML-Bindungen) eins der folgenden Dinge:
- Wenn Sie bereits über ein vorhandenes, gültiges Signaturzertifikat verfügen, gehen Sie wie folgt vor:
  1. Wählen Sie in der Dropdown-Liste SIGNATURZERTIFIKAT das vorhandene Zertifikat aus und klicken Sie auf die Schaltfläche „Weiter“.
  2. Machen Sie mit Schritt 38 weiter.
- Wenn Sie nicht über ein vorhandenes, gültiges Signaturzertifikat verfügen, gehen Sie wie folgt vor:
  1. Klicken Sie auf die Schaltfläche Zertifikate verwalten.
  2. Machen Sie mit Schritt 33 weiter.
Klicken Sie auf der Seite Certificate Management (Zertifikatverwaltung) auf die Schaltfläche Create New (Neu erstellen).
Gehen Sie auf der Seite Create Certificate (Zertifikat erstellen) auf der Registerkarte Create Certificate (Zertifikat erstellen) wie folgt vor:
1. Geben Sie für COMMON NAME (Allgemeiner Name) einen neuen Namen ein. Beispiel: „PingFedCert“.
2. Geben Sie für ORGANIZATION (Organisation) einen Namen ein. Beispiel: „Tableau“.
3. Geben Sie für COUNTRY (Land) den Namen eines Landes ein.
4. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Stellen Sie auf der Registerkarte Summary (Zusammenfassung) sicher, dass das Kontrollkästchen „MAKE THIS ACTIVE CERTIFICATE“ (Dieses aktive Zertifikat erstellen) aktiviert ist, und klicken Sie auf die Schaltfläche Save (Speichern).
Klicken Sie auf der Seite Certificate Manage (Zertifikat verwalten) auf die Schaltfläche Done (Fertig).
Gehen Sie auf der Seite Credentials (Anmeldeinformationen) wie folgt vor:
1. Wählen Sie in der Dropdown-Liste SIGNING CERTIFICATE (Signierendes Zertifikat) das neu erstellte Zertifikat aus.
2. Klicken Sie auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Seite Summary (Zusammenfassung) auf die Schaltfläche Done (Fertig).
Klicken Sie auf der Seite SP Connection (Dienstanbieter-Verbindung) auf der Registerkarte Outbound Provisioning (Ausgehende Bereitstellung) auf die Schaltfläche „Next“ (Weiter).
Überprüfen Sie die Details auf der Registerkarte Activation & Summary (Aktivierung und Zusammenfassung), und klicken Sie auf die Schaltfläche Done (Fertig).

Schritt 5: Exportieren der Metadaten aus PingFederate

Zum Abschluss der Einrichtung von SAML in Tableau Cloud benötigen Sie die SAML-Metadaten-Datei (.xml) aus PingFederate, um sie in Tableau Cloud hochzuladen.

Wählen Sie in der PingFederate-Verwaltungskonsole System > Protocol Metadata > Metadata Export (System > Protokollmetadaten > Metadatenexport) aus.
Behalten Sie auf der Seite Metadata Export (Metadatenexport) auf der Registerkarte Metadata Role (Metadatenrolle) die ausgewählte Option unverändert bei (I AM THE IDENTITY PROVIDER (IDP), „Ich bin der Identitätsanbieter“), und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Behalten Sie auf der Registerkarte Metadata Mode (Metadatenmodus) die ausgewählte Option unverändert bei (USE A CONNECTION FOR METADATA GENERATION, „Eine Verbindung für Metadatengenerierung verwenden“), und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Wählen Sie auf der Registerkarte Connection Metadata (Verbindungsmetadaten) in der Dropdown-Liste die Dienstanbieter-Verbindung aus, die Sie in Schritt 4.2 erstellt haben, und klicken Sie auf die Schaltfläche „Next“ (Weiter).
Wählen Sie auf der Registerkarte Metadata Signing (Signieren von Metadaten) in der Dropdown-Liste SIGNING CERTIFICATE (SIGNATURZERTIFIKAT) das Zertifikat aus, dass Sie in Schritt 4.4 erstellt haben, und klicken Sie dann auf die Schaltfläche „Next“ (Weiter).
Klicken Sie auf der Registerkarte Export & Summary (Export und Zusammenfassung) auf die Schaltfläche Export (Exportieren), um die PingFederate-Metadatendatei herunterzuladen, und klicken Sie dann auf die Schaltfläche Done (Fertig).

Schritt 6: Fertigstellen der Konfiguration von SAML in Tableau Cloud

Die folgenden Schritte müssen in Tableau Cloud durchgeführt werden.

Wieder zurück in Tableau Cloud, klicken Sie auf der Seite Neue Konfiguration unter 2. Metadaten zu Tableau hochladen auf die Schaltfläche Eine Datei auswählen, und navigieren Sie zu der SAML-Metadaten-Datei, die Sie in Schritt 5 aus PingFederate gespeichert haben. Dadurch werden automatisch die Werte für „IdP-Entitäten-ID“ und „SSO-Dienst-URL“ aufgefüllt.
Ordnen Sie die Attributnamen (Assertionen) unter 3. Attribute zuordnen den entsprechenden Attributnamen in PingFederate zu.
Wählen Sie unter 4. Auswahl eines Standardwerts für das Einbetten von Ansichten (optional) die Erfahrung aus, die aktiviert werden soll, wenn Benutzer auf eingebettete Inhalte zugreifen. Weitere Informationen finden Sie weiter unten im Abschnitt Aktivieren der iFrame-Einbettung.
Klicken Sie auf die Schaltfläche Speichern und fortfahren.

Aktivieren der iFrame-Einbettung

Hinweis: Gilt nur für Tableau Cloud.

Wenn Sie SAML für Ihre Site aktivieren, müssen Sie angeben, wie sich Benutzer anmelden, um auf in Webseiten eingebettete Ansichten zuzugreifen. In diesen Schritten wird Okta konfiguriert, um die Authentifizierung mithilfe eines Inline-Frames (iFrame) für eingebettete Visualisierungen zu erlauben. Das Einbetten eines Inline-Frame bietet den Vorteil einer reibungsloseren Benutzererfahrung, wenn sich jemand anmeldet, um eingebettete Visualisierungen anzuzeigen.. Wenn beispielsweise ein Benutzer bereits bei Ihrem Identitätsanbieter authentifiziert ist und iFrame-Einbettung aktiviert ist, würde dieser Benutzer unterbrechungsfrei bei Tableau Cloud authentifiziert werden, wenn er Seiten aufruft, die eingebettete Visualisierungen enthalten.

Vorsicht: Inline-Frames weisen Schwachpunkte gegenüber Clickjacking-Angriffen auf. Clickjacking ist eine Art von Angriff auf Webseiten. Dabei versucht der Angreifer, die Benutzer dazu zu bringen, auf Inhalte zu klicken bzw. Inhalte einzugeben, indem er die angegriffene Seite als transparente Ebene über einer davon unabhängigen Seite anzeigt. Im Kontext von Tableau Cloud bedeutet dies, dass ein Angreifer unter Umständen versucht, über einen Clickjacking-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erlangen und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking(Link wird in neuem Fenster geöffnet) auf der Website von Open Web Application Security Project.

Hinweise zu SCIM-Unterstützung mit Pingfederate

Aufgrund von Einschränkungen in PingFederate löst eine siteRole-Aktualisierung für eine Gruppe keine siteRole-Aktualisierungen für die in dieser Gruppe befindlichen Benutzer aus. Dies kann dazu führen, dass eine veraltete Zuweisung des siteRole-Attributs vorhanden ist. Um dieses Problem zu umgehen, können Sie neben der siteRole-Attributaktualisierung auch eine nicht benutzerdefinierte Attributaktualisierung verwenden, um die siteRole-Aktualisierung zu initiieren. Dies kann manuell oder automatisch unter Verwendung einer der folgenden Optionen erfolgen:
- Verwalten Sie siteRoles nur für das Benutzerobjekt.
- Aktualisieren Sie nach einer Gruppenaktualisierung manuell alle Attribute für diesen Benutzer. Es muss sich nicht um ein von SCIM unterstütztes Attribut wie siteRole handeln. Es kann ein description- oder name-Attribut sein.
- Richten Sie einen OGNL-Ausdruck in PingFederate ein, und führen Sie Gruppenmitgliedschaftsaktualisierungen durch, bevor der Ping-Server gestartet ist. Sobald Sie den Ping-Server starten, löst dieser eine Aktualisierung des siteRole-Attributs aus.
- Richten Sie einen OGNL-Ausdruck in PingFederate ein. Richten Sie außerdem eine invertierte statische Gruppe und einen Cron-Job ein, um siteRole-Aktualisierungen auszulösen.
Ein OGNL-Ausdruck in PingFederate wertet die Attribute des Benutzers und seine Gruppenzugehörigkeit aus, um dessen siteRole zu ermitteln.

Zurück zum Anfang

Vielen Dank für Ihr Feedback!

Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.

Tableau Cloud-Hilfe