Configurare SAML per Tableau Viz Lightning Web Component

Tableau fornisce Lightning Web Component (LWC) per incorporare una visualizzazione Tableau all’interno di una pagina Salesforce Lightning.

In questo argomento viene descritto come abilitare un’esperienza SSO per le visualizzazioni Tableau incorporate in una pagina Salesforce Lightning. La funzionalità SSO per lo scenario Tableau Viz LWC richiede la configurazione di SAML. L’IdP SAML utilizzato per l’autenticazione Tableau deve essere l’IdP Salesforce o lo stesso IdP utilizzato per l’istanza Salesforce.

In questo scenario, gli amministratori di Salesforce possono trascinare e rilasciare Tableau Viz LWC nella pagina Lightning per incorporare una visualizzazione. Qualsiasi vista disponibile in Tableau Cloud può essere visualizzata nella dashboard immettendo l’URL incorporato della vista.

Quando Single Sign-On (SSO) è configurato per Tableau Viz LWC su Tableau Cloud, l’esperienza utente è senza soluzione di continuità: dopo l’accesso dell’utente a Salesforce, le viste di Tableau incorporate funzioneranno senza un’ulteriore autenticazione in Tableau Cloud .

Quando l’accesso SSO non è configurato, gli utenti dovranno eseguire nuovamente l’autenticazione con Tableau Cloud per visualizzare le visualizzazioni incorporate da Tableau Cloud.

Nota: gli utenti configurati con l’Autenticazione Salesforce dovranno eseguire nuovamente l’autenticazione con Tableau Cloud per visualizzare le visualizzazioni incorporate in Tableau Cloud.

Requisiti

Configurazione del flusso di lavoro di autenticazione

Potrebbe essere necessario creare configurazioni aggiuntive per ottimizzare l’esperienza di accesso per gli utenti che accedono a Lightning con viste di Tableau incorporate.

Se è importante garantire un’esperienza utente di autenticazione senza soluzione di continuità, sarà necessario effettuare alcune configurazioni aggiuntive. In questo contesto, "senza soluzione di continuità" significa che gli utenti che accedono alla pagina Salesforce Lightning in cui è stata abilitata la funzionalità SSO di Tableau Viz LWC non dovranno eseguire alcuna azione per visualizzare la vista Tableau incorporata. Nello scenario senza soluzione di continuità, se l’utente è connesso a Salesforce, le viste di Tableau incorporate verranno visualizzate senza alcuna azione aggiuntiva da parte dell’utente. Questo scenario è abilitato dall’autenticazione in-frame.

Per un’esperienza utente senza soluzione di continuità, è necessario abilitare l’autenticazione in-frame in Tableau Cloud e nel tuo IdP. Nelle sezioni seguenti viene descritto come configurare l’autenticazione in-frame.

D’altra parte, esistono scenari in cui gli utenti interagiscono con una pagina Lightning che richiede loro di fare clic su un pulsante "Accedi" per vedere la vista di Tableau incorporata. Questo scenario, in cui un utente deve eseguire un’altra azione per vedere la vista di Tableau incorporata, è denominato autenticazione popup.

L’autenticazione popup è l’esperienza utente predefinita se non si abilita l’autenticazione in-frame.

Abilitare l’autenticazione in-frame in Tableau Cloud

Prima di abilitare l’autenticazione in-frame in Tableau Cloud, è necessario aver già configurato e abilitato SAML.

  1. Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.

  2. Nella scheda Autenticazione seleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo, seleziona SAML, quindi fai clic sulla freccia dell’elenco a discesa Configurazione (obbligatorio).

  3. Scorri verso il basso fino a Opzioni di incorporamento e seleziona il pulsante di opzione Effettua l’autenticazione con un elemento inline frame.

Attenzione: i frame inline possono essere vulnerabili a un attacco di clickjacking. Il clickjacking è un tipo di attacco alle pagine Web in cui l’utente malintenzionato cerca di attrarre i normali utenti affinché facciano clic o inseriscano contenuti, visualizzando la pagina che intende attaccare in un livello trasparente applicato al di sopra di una pagina non correlata. Nel contesto di Tableau Cloud, un aggressore potrebbe tentare di usare un attacco di clickjacking per acquisire le credenziali dell’utente o per ottenere l’autenticazione di un utente al fine di modificare le impostazioni. Per maggiori informazioni sugli attacchi di clickjacking, consulta Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.

Abilitare l’autenticazione in-frame con l’IdP SAML

Come descritto in precedenza, un’esperienza utente di autenticazione senza soluzione di continuità con Salesforce Mobile richiede il supporto IdP per l’autenticazione in-frame. Questa funzionalità può anche essere definita "incorporamento iframe" o "protezione del framing" dagli IdP.

Domini Salesforce nell’elenco di sicurezza

In alcuni casi, gli IdP consentono solo l’abilitazione dell’autenticazione in-frame in base al dominio. In questi casi, imposta i seguenti domini con caratteri jolly Salesforce quando abiliti l’autenticazione in-frame:

*.force

*.visualforce

IdP Salesforce

L’IdP Salesforce supporta l’autenticazione in-frame per impostazione predefinita. Non è necessario abilitare o configurare l’autenticazione in-frame nella configurazione di Salesforce. È tuttavia necessario configurare Tableau Cloud per l’autenticazione in-frame come descritto in precedenza.

IdP Okta

Consulta la sezione Embed Okta in an iframe nell’argomento della documentazione di Okta General customization options(Il collegamento viene aperto in una nuova finestra).

IdP Ping

Consulta l’argomento del supporto di Ping How to Disable the "X-Frame-Options=SAMEORIGIN" Header in PingFederate(Il collegamento viene aperto in una nuova finestra).

IdP OneLogin

Consulta la sezione Framing protection nell’articolo della Knowledge Base di OneLogin Account Settings for Account Owners(Il collegamento viene aperto in una nuova finestra).

IdP ADFS ed Entra ID

Microsoft ha bloccato completamente l’autenticazione in-frame e non può essere abilitata. Microsoft supporta solo l’autenticazione popup in una seconda finestra. Il comportamento dei popup può essere bloccato da alcuni browser. Ciò richiederà agli utenti di accettare i popup per i siti force.com e visualforce.com.

App per dispositivi mobili Salesforce

Se gli utenti interagiscono principalmente con Lightning nell’app per dispositivi mobili Salesforce, è necessario tenere presenti i seguenti scenari:

  • L’app per dispositivi mobili Salesforce richiede la configurazione di SSO/SAML per visualizzare contenuti Tableau incorporati.
  • L’app per dispositivi mobili Salesforce richiede l’autenticazione in-frame. L’autenticazione popup non funziona. Gli utenti dell’app per dispositivi mobili Salesforce vedranno il pulsante di accesso a Tableau, ma non potranno accedere a Tableau.
  • L’app per dispositivi mobili non funzionerà per l’IdP di ADFS e Azure AD.
  • Per gli utenti con dispositivi Android sarà necessario eseguire l’accesso per vedere per la prima volta la visualizzazione Tableau incorporata, quindi SSO funzionerà come previsto.