Attivare l’autenticazione SAML su un sito o su Tableau Cloud Manager

In questo argomento viene illustrato come abilitare SAML nel sito or Tableau Cloud Manager (TCM) e selezionare (SSO) utenti Single Sign-on. Vengono inoltre descritti i passaggi da seguire per passare da SAML all'autenticazione predefinita Tableau. Prima di abilitare SAML, ti consigliamo di esaminare i Requisiti SAML per Tableau Cloud, inclusi gli Effetti della modifica del tipo di autenticazione su Tableau Bridge.

In questo argomento si presuppone che tu abbia familiarità con le informazioni in Autenticazione e in Come funziona l’autenticazione SAML.

Informazioni di configurazione specifiche per IdP

I passaggi descritti nelle sezioni seguenti di questo argomento forniscono i passaggi di base che puoi utilizzare con la documentazione del tuo IdP per configurare SAML per il tuo sito Tableau Cloud di o TCM. Puoi ottenere i passaggi per la configurazione specifica per l’IdP per i seguenti IdP:

Abilitare SAML

Per Tableau Cloud

  1. Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.

  2. Nella scheda Autenticazione fai clic sul pulsante Nuova configurazione, seleziona SAML dall’elenco a discesa Autenticazione, quindi immetti un nome per la configurazione.

    Screenshot della pagina delle impostazioni di autenticazione del sito Tableau Cloud - pagina Nuova configurazione

    Nota: Le configurazioni create prima di novembre 2024 (Tableau 2024.3) non possono essere rinominate.

Per TCM

In alternativa, in TCM, esegui queste operazioni:

  1. Accedi a TCM come amministratore cloud e seleziona Impostazioni > Autenticazione.

  2. Seleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo e seleziona SAML dal menu a discesa Autenticazione.

  3. Fai clic sulla freccia a discesa Configurazione (obbligatorio).

Passaggi di configurazione di SAML

Questa sezione illustra i passaggi di configurazione visualizzati nella scheda Autenticazione nella pagina Impostazioni di Tableau Cloud o TCM.

Nota: per completare questo processo avrai anche bisogno della documentazione fornita dal tuo IdP. Cerca gli argomenti inerenti alla configurazione o definizione di un provider di servizi per una connessione SAML o all’aggiunta di un’applicazione.

Fase 1. Esportare i metadati dall’IdP

Accedi al tuo IdP, accedi al tuo account IdP e segui le istruzioni fornite nella documentazione dell’IdP per scaricare i metadati del tuo IdP. I metadati dell’IdP consentono a Tableau Cloud o TCM di connetterti al tuo IdP.

Per la fase 1 la documentazione dell’IdP ti illustrerà anche come fornire metadati a un provider di servizi. Ti chiederà di scaricare un file di metadati SAML o visualizzerà il codice XML. Nel secondo caso, copia e incolla il codice XML in un nuovo file di testo e salva il file con un’estensione .xml.

Fase 2. Caricare i metadati in Tableau

In Tableau Cloud, nella pagina Nuova configurazione in Tableau Cloud, importa il file di metadati (.xml) scaricato dall’IdP o configurato manualmente dall’XML fornito.

In TCM, nella pagina Autenticazione in TCM, importa il file di metadati (.xml) scaricato dall’IdP o configurato manualmente dall’XML fornito.

Note: 

  • Dopo che sono stati caricati i metadati dell’IdP, i campi ID entità dell’IdP e URL del servizio SSO dell’IdP vengono compilati automaticamente.
  • Se modifichi la configurazione, dovrai caricare il file di metadati in modo che Tableau sappia utilizzare l’ID entità dell’IdP e l’URL del servizio SSO corretti.
  • Puoi usare il pulsante Cancella metadati dell’IdP se devi caricare un nuovo file di metadati.
Fase 3. Mappare gli attributi

Gli attributi contengono l’autenticazione, l’autorizzazione e altre informazioni su un utente.

Nota: Tableau Cloud o TCM richiede l’attributo NameID nella risposta SAML. Puoi fornire altri attributi per mappare i nomi utente in Tableau, ma il messaggio di risposta deve includere l’attributo NameID.

  • Nome utente: (obbligatorio) inserisci il nome dell’attributo che memorizza i nomi utente degli utenti.

  • Indirizzo e-mail: (facoltativo) immetti il nome dell’attributo che contiene l’indirizzo e-mail utilizzato dall’IdP durante il processo di autenticazione per consentire agli utenti di ricevere notifiche a un indirizzo e-mail diverso dal nome utente. L’attributo dell’indirizzo e-mail viene utilizzato solo per le notifiche e non per l’accesso.

  • Nome visualizzato: (facoltativo ma consigliato) alcuni IdP utilizzano attributi separati per nome e cognome, mentre altri memorizzano il nome completo in un solo attributo.

    Seleziona il pulsante che corrisponde alla modalità di memorizzazione dei nomi del tuo IdP. Ad esempio, se l’IdP combina nome e cognome in un solo attributo, seleziona Nome visualizzato e inserisci il nome dell’attributo.

    Screenshot della fase 3 per la configurazione di SAML del sito per Tableau Cloud - mapping degli attributi

Fase 4. Scegliere l’impostazione predefinita per le viste incorporate

Nota: si riferisce solo a Tableau Cloud.

Seleziona il metodo con cui gli utenti accedono alle visualizzazioni integrate. Le opzioni sono l’apertura di una finestra pop-up separata che visualizza il modulo di accesso dell’IdP o l’utilizzo di un elemento inline frame (iframe).

Importante: poiché gli iframe possono essere vulnerabili agli attacchi di clickjacking, non tutti gli IdP supportano l’accesso attraverso un iframe. Nel clickjacking, l’utente malintenzionato cerca di indurre gli utenti a fare clic o inserire contenuti. Inserisce la pagina esca in uno strato trasparente sovrapposto a una pagina non correlata. Per Tableau Cloud, un utente malintenzionato potrebbe cercare di acquisire le credenziali dell’utente o fare in modo che un utente autenticato modifichi le impostazioni. Per ulteriori informazioni vedi Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.

Se il tuo IdP non supporta l’accesso attraverso un iframe, seleziona Autenticarsi in una finestra pop-up separata.

Fase 4. Ottenere i metadati (TCM)

Per creare la connessione SAML tra TCM e l’IdP, è necessario scambiare i metadati richiesti tra i due servizi. Per ottenere i metadati da TCM, scegli uno dei seguenti metodi. Consulta la documentazione di configurazione SAML dell’IdP per confermare l’opzione corretta.

  • Seleziona il pulsante Esporta metadati per scaricare un file XML che contenga l’ID entità SAML Tableau Cloud, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.

  • Seleziona Scarica il certificato se l’IdP richiede che le informazioni vengano fornite in modo diverso. Ad esempio, richiede che l’ID entità Tableau Cloud, l’URL di ACS e il certificato X.509 siano inseriti in posizioni separate.

Fase 5. Ottenere i metadati (Tableau Cloud)

Per creare la connessione SAML tra Tableau Cloud e l’IdP, è necessario scambiare i metadati richiesti tra i due servizi. Per ottenere i metadati da Tableau Cloud, scegli uno dei seguenti metodi. Consulta la documentazione di configurazione SAML dell’IdP per confermare l’opzione corretta.

  • Seleziona il pulsante Esporta metadati per scaricare un file XML che contenga l’ID entità SAML Tableau Cloud, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.

  • Seleziona Scarica il certificato se l’IdP richiede che le informazioni vengano fornite in modo diverso. Ad esempio, richiede che l’ID entità Tableau Cloud, l’URL di ACS e il certificato X.509 siano inseriti in posizioni separate.

    Linee guida per l’esportazione o la copia di metadati da Tableau Cloud.

Fase 5. Configurare l’IdP (TCM)

Per la fase 5, utilizza le istruzioni fornite nella documentazione dell’IdP per inviare i metadati di TCM.

Fase 6. Configurare l’IdP (Tableau Cloud)

Per ila fase 6, utilizza le istruzioni fornite nella documentazione dell’IdP per inviare i metadati di Tableau Cloud.

Fase 6. Verificare la configurazione e risolvi i problemi relativi a SAML (TCM)

È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud o TCM con il tipo di autenticazione SAML configurato.

Se non riesci ad accedere correttamente a TCM, inizia dalla procedura di risoluzione dei problemi suggerita nella pagina di autenticazione. Se questa non consente di risolvere i problemi, consulta Risoluzione dei problemi di SAML.

Fase 7. Verificare la configurazione e risolvi i problemi relativi a SAML (Tableau Cloud)

È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud o TCM con il tipo di autenticazione SAML configurato.

Se non riesci ad accedere correttamente a Tableau Cloud, inizia dalla procedura di risoluzione dei problemi suggerita nella pagina Configurazione. Se questa non consente di risolvere i problemi, consulta Risoluzione dei problemi di SAML.

Gestire gli utenti

Seleziona utenti Tableau Cloud o TCM esistenti o aggiungi nuovi utenti che desideri approvare per l’accesso Single Sign-On.

Quando aggiungi o importi utenti, specifichi anche il loro tipo di autenticazione. Nella pagina Utenti puoi modificare il tipo di autenticazione degli utenti in qualsiasi momento dopo averli aggiunti.

Per maggiori informazioni, consulta i seguenti argomenti:

Tipo di autenticazione predefinito per le viste incorporate

Nota: si riferisce solo a Tableau Cloud.

  • Consentire agli utenti di scegliere il proprio tipo di autenticazione

    Selezionando questa opzione, verrà supportata solo una finestra pop-up. In tale finestra vengono visualizzate due opzioni di accesso in cui è incorporata una vista: un pulsante di accesso che si avvale dell’autenticazione Single Sign-On (SSO) e un collegamento per utilizzare le credenziali di Tableau come alternativa.

    Suggerimento: con questa opzione, gli utenti devono sapere quale opzione di accesso scegliere. Nella notifica che invii ai tuoi utenti dopo averli aggiunti al sito con accesso Single Sign-On, indichi il tipo di autenticazione da utilizzare per una varietà di scenari di accesso. Ad esempio, viste incorporate, Tableau Desktop, Tableau Bridge, Tableau Mobile e così via.

  • Tableau con MFA

    Questa opzione richiede agli utenti di accedere utilizzando le credenziali Tableau con l’autenticazione a più fattori anche se SAML è abilitato sul sito. L’accesso a Tableau con MFA richiede agli utenti di impostare un metodo di verifica per confermare l’identità ogni volta che l’utente accede a Tableau Cloud. Per maggiori informazioni, consulta Autenticazione a più fattori e Tableau Cloud.

  • Elenco delle configurazioni di autenticazione

    Quando è selezionata un’opzione di configurazione specifica, il modo in cui gli utenti possono accedere alle viste incorporate è determinato dall’impostazione configurata nella fase 6 di cui sopra per la configurazione indicata.

Utilizzare l’autenticazione Tableau

Se un sito o tenant è configurato per SAML, puoi modificare le impostazioni del in modo da rendere obbligatorio per alcuni o tutti gli utenti l’accesso tramite credenziali Tableau.

  • Se non desideri più che un provider di identità gestisca l’autenticazione oppure richiedere per tutti gli utenti l’accesso con le credenziali Tableau, puoi modificare il tipo di autenticazione a livello di sito o tenant. Consulta la sezione Modificare il tipo di autenticazione del sito riportata di seguito.

  • Se desideri mantenere SAML abilitato per alcuni utenti, ma rendere obbligatorio per altri l’accesso con Tableau, puoi modificare il tipo di autenticazione a livello di utente. Per maggiori informazioni, consulta Impostare il tipo di autenticazione utente.

Modificare il tipo di autenticazione del sito

Per Tableau Cloud

A partire da novembre 2024 (Tableau 2024.3), sarà possibile abilitare più tipi e metodi di autenticazione su un sito. Per modificare il tipo di autenticazione che si desidera rendere disponibile sul sito, abilita o disabilita le configurazioni di autenticazione.

  1. Accedi al sito Tableau Cloud come amministratore del sito.

  2. Seleziona Impostazioni > Autenticazione.

  3. Disabilita o abilita le configurazioni di autenticazione per il sito facendo clic sul menu Azioni e selezionando Disabilita o Abilita.

Dopo aver reso inattiva la configurazione SAML, i metadati e le informazioni IdP vengono mantenuti, in modo che se desideri abilitarli di nuovo non devi configurare la connessione SAML con IdP una seconda volta.

Per TCM

  1. Accedi a TCM come amministratore cloud.

  2. Seleziona Impostazioni > Autenticazione.

  3. Deseleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo.

Aggiornare il certificato SAML

Il certificato utilizzato per i metadati del sito Tableau viene fornito da Tableau e non configurabile. Per aggiornare il certificato per SAML , devi caricare un nuovo certificato nell’IdP e ripetere lo scambio dei metadati con Tableau Cloud.

Per Tableau Cloud

  1. Accedi al sito come amministratore e seleziona Impostazioni > Autenticazione.

  2. In Tipi di autenticazione vai alla configurazione SAML che vuoi aggiornare, fai clic sul menu Azioni e seleziona Modifica.

  3. Apri una nuova scheda o finestra e accedi al tuo account IdP.

  4. Utilizza le istruzioni fornite dalla documentazione dell’IdP per caricare un nuovo certificato SAML.

  5. Scarica il nuovo file di metadati XML da fornire a Tableau Cloud.

  6. Torna alla pagina Modifica configurazione in Tableau Cloud e nella fase 2 carica il file di metadati scaricato dall’IdP.

  7. Scorri la pagina verso il basso e fai clic sul pulsante Salva e continua.

Per TCM

  1. Accedi al TCM come amministratore cloud e seleziona Impostazioni > Autenticazione.

  2. Dal menu a discesa Autenticazione, seleziona SAML > Configurazione (obbligatorio).

  3. Apri una nuova scheda o finestra e accedi al tuo account IdP.

  4. Utilizza le istruzioni fornite dalla documentazione dell’IdP per caricare un nuovo certificato SAML.

  5. Scarica il nuovo file di metadati XML da fornire a TCM.

  6. Torna alla pagina Autenticazione in TCM e nella fase 2 carica il file di metadati scaricato dall’IdP.

  7. Scorri la pagina verso il basso e fai clic sul pulsante Salva e continua.

Vedi anche

Accesso ai siti dai client collegati

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!