Attivare l’autenticazione SAML su un sito o su Tableau Cloud Manager


In questo argomento viene illustrato come abilitare SAML nel sito or Tableau Cloud Manager (TCM) e selezionare (SSO) utenti Single Sign-on. Vengono inoltre descritti i passaggi da seguire per passare da SAML all'autenticazione predefinita Tableau. Prima di abilitare SAML, ti consigliamo di esaminare i Requisiti SAML per Tableau Cloud, inclusi gli Effetti della modifica del tipo di autenticazione su Tableau Bridge.

Nota: l’abilitazione dell’autenticazione SAML per TCM richiede una configurazione separata e l’integrazione dell’app da Tableau Cloud.

In questo argomento si presuppone che tu abbia familiarità con le informazioni in Autenticazione e in Come funziona l’autenticazione SAML.

Informazioni di configurazione specifiche per IdP

I passaggi descritti nelle sezioni seguenti di questo argomento forniscono i passaggi di base che puoi utilizzare con la documentazione del tuo IdP per configurare SAML per il tuo sito Tableau Cloud di o TCM. Puoi ottenere i passaggi per la configurazione specifica per l’IdP per i seguenti IdP:

Abilitare SAML

Per Tableau Cloud

  1. Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.

  2. Nella scheda Autenticazione fai clic sul pulsante Nuova configurazione, seleziona SAML dall’elenco a discesa Autenticazione, quindi immetti un nome per la configurazione.

    Screenshot della pagina delle impostazioni di autenticazione del sito Tableau Cloud - pagina Nuova configurazione

    Nota: Le configurazioni create prima di gennaio 2025 (Tableau 2024.3) non possono essere rinominate.

Per TCM

In alternativa, in TCM, esegui queste operazioni:

  1. Accedi a TCM come amministratore cloud e seleziona Impostazioni > Autenticazione.

  2. Seleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo e seleziona SAML dal menu a discesa Autenticazione.

  3. Fai clic sulla freccia a discesa Configurazione (obbligatorio).

Passaggi di configurazione di SAML

Questa sezione illustra i passaggi di configurazione visualizzati nella scheda Autenticazione nella pagina Impostazioni di Tableau Cloud o TCM.

Nota: per completare questo processo avrai anche bisogno della documentazione fornita dal tuo IdP. Cerca gli argomenti inerenti alla configurazione o definizione di un provider di servizi per una connessione SAML o all’aggiunta di un’applicazione.

Fase 1. Esportare i metadati dall’IdP

Accedi al tuo IdP, accedi al tuo account IdP e segui le istruzioni fornite nella documentazione dell’IdP per scaricare i metadati del tuo IdP. I metadati dell’IdP consentono a Tableau Cloud o TCM di connetterti al tuo IdP.

Per la fase 1 la documentazione dell’IdP ti illustrerà anche come fornire metadati a un provider di servizi. Ti chiederà di scaricare un file di metadati SAML o visualizzerà il codice XML. Nel secondo caso, copia e incolla il codice XML in un nuovo file di testo e salva il file con un’estensione .xml.

Fase 2. Caricare i metadati in Tableau

In Tableau Cloud, nella pagina Nuova configurazione in Tableau Cloud, importa il file di metadati (.xml) scaricato dall’IdP o configurato manualmente dall’XML fornito.

In TCM, nella pagina Autenticazione in TCM, importa il file di metadati (.xml) scaricato dall’IdP o configurato manualmente dall’XML fornito.

Note: 

  • Dopo che sono stati caricati i metadati dell’IdP, i campi ID entità dell’IdP e URL del servizio SSO dell’IdP vengono compilati automaticamente.
  • Se modifichi la configurazione, dovrai caricare il file di metadati in modo che Tableau sappia utilizzare l’ID entità dell’IdP e l’URL del servizio SSO corretti.
  • Puoi usare il pulsante Cancella metadati dell’IdP se devi caricare un nuovo file di metadati.
Fase 3. Mappare gli attributi

Gli attributi contengono l’autenticazione, l’autorizzazione e altre informazioni su un utente.

Nota: Tableau Cloud o TCM richiede l’attributo NameID nella risposta SAML. Puoi fornire altri attributi per mappare i nomi utente in Tableau, ma il messaggio di risposta deve includere l’attributo NameID.

  • Nome utente: (obbligatorio) inserisci il nome dell’attributo che memorizza i nomi utente degli utenti.

  • Indirizzo e-mail: (facoltativo) immetti il nome dell’attributo che contiene l’indirizzo e-mail utilizzato dall’IdP durante il processo di autenticazione per consentire agli utenti di ricevere notifiche a un indirizzo e-mail diverso dal nome utente. L’attributo dell’indirizzo e-mail viene utilizzato solo per le notifiche e non per l’accesso.

  • Nome visualizzato: (facoltativo ma consigliato) alcuni IdP utilizzano attributi separati per nome e cognome, mentre altri memorizzano il nome completo in un solo attributo.

    Seleziona il pulsante che corrisponde alla modalità di memorizzazione dei nomi del tuo IdP. Ad esempio, se l’IdP combina nome e cognome in un solo attributo, seleziona Nome visualizzato e inserisci il nome dell’attributo.

    Screenshot della fase 3 per la configurazione di SAML del sito per Tableau Cloud - mapping degli attributi

Fase 4. Scegliere l’impostazione predefinita per le viste incorporate

Nota: si riferisce solo a Tableau Cloud.

Seleziona il metodo con cui gli utenti accedono alle visualizzazioni integrate. Le opzioni sono l’apertura di una finestra pop-up separata che visualizza il modulo di accesso dell’IdP o l’utilizzo di un elemento inline frame (iframe).

Importante: poiché gli iframe possono essere vulnerabili agli attacchi di clickjacking, non tutti gli IdP supportano l’accesso attraverso un iframe. Nel clickjacking, l’utente malintenzionato cerca di indurre gli utenti a fare clic o inserire contenuti. Inserisce la pagina esca in uno strato trasparente sovrapposto a una pagina non correlata. Per Tableau Cloud, un utente malintenzionato potrebbe cercare di acquisire le credenziali dell’utente o fare in modo che un utente autenticato modifichi le impostazioni. Per ulteriori informazioni vedi Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.

Se il tuo IdP non supporta l’accesso attraverso un iframe, seleziona Autenticarsi in una finestra pop-up separata.

Fase 4. Ottenere i metadati (TCM)

Per creare la connessione SAML tra TCM e l’IdP, è necessario scambiare i metadati richiesti tra i due servizi. Per ottenere i metadati da TCM, scegli uno dei seguenti metodi. Consulta la documentazione di configurazione SAML dell’IdP per confermare l’opzione corretta.

  • Seleziona il pulsante Esporta metadati per scaricare un file XML che contenga l’ID entità SAML Tableau Cloud, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.

  • Seleziona Scarica il certificato se l’IdP richiede che le informazioni vengano fornite in modo diverso. Ad esempio, richiede che l’ID entità Tableau Cloud, l’URL di ACS e il certificato X.509 siano inseriti in posizioni separate.

Fase 5. Ottenere i metadati (Tableau Cloud)

Per creare la connessione SAML tra Tableau Cloud e l’IdP, è necessario scambiare i metadati richiesti tra i due servizi. Per ottenere i metadati da Tableau Cloud, scegli uno dei seguenti metodi. Consulta la documentazione di configurazione SAML dell’IdP per confermare l’opzione corretta.

  • Seleziona il pulsante Esporta metadati per scaricare un file XML che contenga l’ID entità SAML Tableau Cloud, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.

  • Seleziona Scarica il certificato se l’IdP richiede che le informazioni vengano fornite in modo diverso. Ad esempio, richiede che l’ID entità Tableau Cloud, l’URL di ACS e il certificato X.509 siano inseriti in posizioni separate.

    Linee guida per l’esportazione o la copia di metadati da Tableau Cloud.

Fase 5. Configurare l’IdP (TCM)

Per la fase 5, utilizza le istruzioni fornite nella documentazione dell’IdP per inviare i metadati di TCM.

Fase 6. Configurare l’IdP (Tableau Cloud)

Per ila fase 6, utilizza le istruzioni fornite nella documentazione dell’IdP per inviare i metadati di Tableau Cloud.

Fase 6. Verificare la configurazione e risolvi i problemi relativi a SAML (TCM)

È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud o TCM con il tipo di autenticazione SAML configurato.

Se non riesci ad accedere correttamente a TCM, inizia dalla procedura di risoluzione dei problemi suggerita nella pagina di autenticazione. Se questa non consente di risolvere i problemi, consulta Risoluzione dei problemi di SAML.

Fase 7. Verificare la configurazione e risolvi i problemi relativi a SAML (Tableau Cloud)

È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud o TCM con il tipo di autenticazione SAML configurato.

Se non riesci ad accedere correttamente a Tableau Cloud, inizia dalla procedura di risoluzione dei problemi suggerita nella pagina Configurazione. Se questa non consente di risolvere i problemi, consulta Risoluzione dei problemi di SAML.

Gestire gli utenti

Seleziona utenti Tableau Cloud o TCM esistenti o aggiungi nuovi utenti che desideri approvare per l’accesso Single Sign-On.

Quando aggiungi o importi utenti, specifichi anche il loro tipo di autenticazione. Nella pagina Utenti puoi modificare il tipo di autenticazione degli utenti in qualsiasi momento dopo averli aggiunti.

Per maggiori informazioni, consulta i seguenti argomenti:

Tipo di autenticazione predefinito per le viste incorporate

Nota: si riferisce solo a Tableau Cloud.

  • Consentire agli utenti di scegliere il proprio tipo di autenticazione

    Selezionando questa opzione, verrà supportata solo una finestra pop-up. In tale finestra vengono visualizzate due opzioni di accesso in cui è incorporata una vista: un pulsante di accesso che si avvale dell’autenticazione Single Sign-On (SSO) e un collegamento per utilizzare le credenziali di Tableau come alternativa.

    Suggerimento: con questa opzione, gli utenti devono sapere quale opzione di accesso scegliere. Nella notifica che invii ai tuoi utenti dopo averli aggiunti al sito con accesso Single Sign-On, indichi il tipo di autenticazione da utilizzare per una varietà di scenari di accesso. Ad esempio, viste incorporate, Tableau Desktop, Tableau Bridge, Tableau Mobile e così via.

  • Tableau con MFA

    Questa opzione richiede agli utenti di accedere utilizzando le credenziali Tableau con l’autenticazione a più fattori anche se SAML è abilitato sul sito. L’accesso a Tableau con MFA richiede agli utenti di impostare un metodo di verifica per confermare l’identità ogni volta che l’utente accede a Tableau Cloud. Per maggiori informazioni, consulta Autenticazione a più fattori e Tableau Cloud.

  • Elenco delle configurazioni di autenticazione

    Quando è selezionata un’opzione di configurazione specifica, il modo in cui gli utenti possono accedere alle viste incorporate è determinato dall’impostazione configurata nella fase 6 di cui sopra per la configurazione indicata.

Utilizzare l’autenticazione Tableau

Se un sito o tenant è configurato per SAML, puoi modificare le impostazioni del in modo da rendere obbligatorio per alcuni o tutti gli utenti l’accesso tramite credenziali Tableau.

  • Se non desideri più che un provider di identità gestisca l’autenticazione oppure richiedere per tutti gli utenti l’accesso con le credenziali Tableau, puoi modificare il tipo di autenticazione a livello di sito o tenant. Consulta la sezione Modificare il tipo di autenticazione del sito riportata di seguito.

  • Se desideri mantenere SAML abilitato per alcuni utenti, ma rendere obbligatorio per altri l’accesso con Tableau, puoi modificare il tipo di autenticazione a livello di utente. Per maggiori informazioni, consulta Impostare il tipo di autenticazione utente.

Modificare il tipo di autenticazione del sito

Per Tableau Cloud

A partire da gennaio 2025 (Tableau 2024.3), sarà possibile abilitare più tipi e metodi di autenticazione su un sito. Per modificare il tipo di autenticazione che si desidera rendere disponibile sul sito, abilita o disabilita le configurazioni di autenticazione.

  1. Accedi al sito Tableau Cloud come amministratore del sito.

  2. Seleziona Impostazioni > Autenticazione.

  3. Disabilita o abilita le configurazioni di autenticazione per il sito facendo clic sul menu Azioni e selezionando Disabilita o Abilita.

Dopo aver reso inattiva la configurazione SAML, i metadati e le informazioni IdP vengono mantenuti, in modo che se desideri abilitarli di nuovo non devi configurare la connessione SAML con IdP una seconda volta.

Per TCM

  1. Accedi a TCM come amministratore cloud.

  2. Seleziona Impostazioni > Autenticazione.

  3. Deseleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo.

Aggiornare il certificato SAML

Il certificato utilizzato per i metadati del sito Tableau viene fornito da Tableau e non configurabile. Per aggiornare il certificato per SAML , devi caricare un nuovo certificato nell’IdP e ripetere lo scambio dei metadati con Tableau Cloud.

Per Tableau Cloud

  1. Accedi al sito come amministratore e seleziona Impostazioni > Autenticazione.

  2. In Tipi di autenticazione vai alla configurazione SAML che vuoi aggiornare, fai clic sul menu Azioni e seleziona Modifica.

  3. Apri una nuova scheda o finestra e accedi al tuo account IdP.

  4. Utilizza le istruzioni fornite dalla documentazione dell’IdP per caricare un nuovo certificato SAML.

  5. Scarica il nuovo file di metadati XML da fornire a Tableau Cloud.

  6. Torna alla pagina Modifica configurazione in Tableau Cloud e nella fase 2 carica il file di metadati scaricato dall’IdP.

  7. Scorri la pagina verso il basso e fai clic sul pulsante Salva e continua.

Per TCM

  1. Accedi al TCM come amministratore cloud e seleziona Impostazioni > Autenticazione.

  2. Dal menu a discesa Autenticazione, seleziona SAML > Configurazione (obbligatorio).

  3. Apri una nuova scheda o finestra e accedi al tuo account IdP.

  4. Utilizza le istruzioni fornite dalla documentazione dell’IdP per caricare un nuovo certificato SAML.

  5. Scarica il nuovo file di metadati XML da fornire a TCM.

  6. Torna alla pagina Autenticazione in TCM e nella fase 2 carica il file di metadati scaricato dall’IdP.

  7. Scorri la pagina verso il basso e fai clic sul pulsante Salva e continua.

Personalizzare e controllare l’accesso ai dati con gli attributi utente

Gli attributi utente sono metadati utente definiti dall’organizzazione. Gli attributi utente possono essere utilizzati per determinare l’accesso in un tipico modello di autorizzazione di controllo degli accessi basato su attributi (ABAC, Attribute-Based Access Control). Gli attributi utente possono riferirsi a qualsiasi aspetto del profilo utente, ad esempio ruoli lavorativi, appartenenza al reparto, livello di gestione e così via. Potrebbero anche essere associati a contesti utente in fase di esecuzione, ad esempio la località da cui l’utente ha eseguito l’accesso o la sua lingua preferita.

Includendo gli attributi utente nel flusso di lavoro, puoi controllare e personalizzare l’esperienza utente tramite l’accesso ai dati e la personalizzazione.

  • Accesso ai dati: gli attributi utente possono essere utilizzati per applicare criteri di sicurezza dei dati. In questo modo si garantisce che gli utenti visualizzino solo i dati per cui sono autorizzati.
  • Personalizzazione: trasmettendo attributi utente, quali la posizione e il ruolo, è possibile personalizzare i tuoi contenuti in modo da mostrare solo le informazioni pertinenti per l’utente che vi accede e facilitando il reperimento delle informazioni necessarie.

Riepilogo della procedura per la trasmissione degli attributi utente

Il processo di abilitazione degli attributi utente in un flusso di lavoro è riepilogato nelle fasi seguenti:

  1. Abilitare l’impostazione degli attributi utente
  2. Includere gli attributi utente nell’asserzione
  3. Verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti
  4. Esaminare i contenuti

Fase 1: abilitare l’impostazione degli attributi utente

Per motivi di sicurezza, gli attributi utente vengono convalidati in un flusso di lavoro di autenticazione solo quando l’impostazione degli attributi utente è abilitata da un amministratore del sito.

  1. Accedi a Tableau Cloud e fai clic su Impostazioni > Autenticazione.

  2. Sotto l’intestazione Controlla accesso utente nei workflow di autenticazione seleziona la casella di controllo Abilita acquisizione di attributi utente nei workflow di autenticazione.

Per maggiori informazioni sulle impostazioni del sito, consulta Controlla accesso utente nei workflow di autenticazione.

Fase 2: includere gli attributi utente nell’asserzione

Assicurati che l'asserzione contenga gli attributi utente.

Nota: gli attributi nella risposta SAML sono soggetti al limite di 4096 caratteri, ad eccezione degli attributi scope o scp. Se gli attributi nella risposta, inclusi gli attributi utente, superano questo limite, Tableau rimuove gli attributi e passa invece l'attributo ExtraAttributesRemoved. L’autore di contenuti può quindi creare un calcolo con l’attributo ExtraAttributesRemoved per determinare come visualizzare i contenuti agli utenti quando l’attributo è stato rilevato.

Esempio

Supponiamo di avere un dipendente, Fred Suzuki, un manager che opera nella regione South. Desideri assicurarti che, quando Fred esamina i report, possa visualizzare solo i dati relativi alla regione di competenza. In uno scenario di questo tipo, potresti includere l'attributo utente Region nella risposta SAML come nell'esempio seguente.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti

Verifica che l’autore dei contenuti includa le funzioni degli attributi utente e i relativi filtri per controllare i dati visualizzabili nei suoi contenuti. Per garantire che le asserzioni degli attributi utente vengano passate a Tableau, il contenuto deve contenere una delle seguenti funzioni per gli attributi utente:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

La funzione utilizzata dall’autore dei contenuti varia a seconda che gli attributi utente restituiscano un singolo valore o più valori. Per maggiori informazioni su queste funzioni ed esempi di ciascuna, consulta Funzioni utente(Il collegamento viene aperto in una nuova finestra) nella Guida di Tableau.

Note:

  • L’anteprima dei contenuti con queste funzioni non è disponibile durante l’authoring in Tableau Desktop o Tableau Cloud. La funzione restituirà NULL o FALSE. Per essere certi che le funzioni utente funzionino come previsto, consigliamo all’autore di esaminare le funzioni dopo aver reso disponibili i contenuti.
  • Per essere certo che i contenuti vengano visualizzati come previsto, l’autore dei contenuti può provare a includere un calcolo che utilizza l’attributo ExtraAttributesRemoved che 1) verifica la presenza di tale attributo e 2) se presente, determina cosa fare con i contenuti, ad esempio mostrare un messaggio. Tableau aggiungerà l'attributo ExtraAttributesRemoved e rimuoverà tutti gli altri attributi (ad eccezione di scp o scope) solo quando gli attributi nel codice XML SAML superano i 4096 caratteri. Questo per garantire prestazioni ottimali e rispettare le limitazioni di archiviazione.

Esempio

Riprendendo l'esempio introdotto nella Fase 2: includere gli attributi utente nell’asserzione riportata in precedenza, per passare l'asserzione dell'attributo utente "Region" a una cartella di lavoro, l'autore può includere USERATTRIBUTEINCLUDES. Ad esempio, USERATTRIBUTEINCLUDES('Region', [Region]), dove 'Region' è l’attributo utente e [Region] è una colonna nei dati. Utilizzando il nuovo calcolo, l’autore può creare una tabella con i dati relativi a Manager e Sales. Dopo l’aggiunta del calcolo, la cartella di lavoro restituisce i valori “False” come previsto.

Per visualizzare solo i dati associati alla regione South nella cartella di lavoro incorporata, l’autore può creare un filtro e personalizzarlo per mostrare i valori quando la regione South è “True”. Quando viene applicato il filtro, la cartella di lavoro diventa vuota come previsto perché la funzione restituisce valori “False” e il filtro è personalizzato per mostrare solo i valori “True”.

Fase 4: esaminare i contenuti

Esamina e convalida i contenuti.

Esempio

Per concludere l’esempio della Fase 3: verificare che l’autore dei contenuti includa le funzioni degli attributi utente e i filtri pertinenti precedente, puoi notare che i dati di Sales nella vista sono personalizzati per Fred Suzuki perché il suo contesto utente è la regione South.

I manager delle regioni rappresentate nella cartella di lavoro dovrebbero vedere il valore associato alla propria regione. Ad esempio, Sawdie Pawthorne della regione West visualizza i dati specifici della propria regione.

I manager le cui regioni non sono rappresentate nella cartella di lavoro visualizzano una cartella di lavoro vuota.

Problemi noti e limitazioni

Esistono alcuni problemi noti e limitazioni da considerare quando utilizzi le funzioni degli attributi utente.

Immagini vuote quando si utilizza l’API REST di Tableau

Le richieste Query Preview Image(Il collegamento viene aperto in una nuova finestra), Query Workbook Image(Il collegamento viene aperto in una nuova finestra) e Get Custom View Image(Il collegamento viene aperto in una nuova finestra)dell’API REST di Tableau restituiscono immagini vuote.

Limitazioni

  • Le funzioni degli attributi utente non sono supportate nelle origini dati pubblicate (.pds).
  • Le funzioni degli attributi utente non sono supportate nei flussi di lavoro di Tableau Bridge.

Vedi anche

Accesso ai siti dai client collegati

Torna in alto
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!