Attivare l’autenticazione SAML su un sito
In questo argomento viene illustrato come abilitare SAML nel sito e selezionare utenti Single Sign-on. Vengono inoltre descritti i passaggi da seguire per passare da SAML all’autenticazione predefinita di Tableau (anche denominata TableauID). Prima di abilitare SAML, ti consigliamo di esaminare i Requisiti SAML per Tableau Cloud, inclusi gli Effetti della modifica del tipo di autenticazione su Tableau Bridge.
In questo argomento si presuppone che tu abbia familiarità con le informazioni in Autenticazione e in Come funziona l’autenticazione SAML.
Informazioni di configurazione specifiche per IdP
I passaggi descritti nelle sezioni seguenti di questo argomento forniscono i passaggi di base che puoi utilizzare con la documentazione del tuo IdP per configurare SAML per il tuo sito di Tableau Cloud. Puoi ottenere i passaggi per la configurazione specifica per l’IdP per i seguenti IdP:
Abilitare SAML
Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.
Nella scheda Autenticazione seleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo, seleziona SAML, quindi fai clic sulla freccia dell’elenco a discesa Configurazione (obbligatorio).
Passaggi di configurazione di SAML
Questa sezione illustra le fasi di configurazione visualizzate nella scheda Autenticazione nella pagina Impostazioni di Tableau Cloud.
Nota: per completare questo processo avrai anche bisogno della documentazione fornita dal tuo IdP. Cerca gli argomenti inerenti alla configurazione o definizione di un provider di servizi per una connessione SAML o all’aggiunta di un’applicazione.
Per creare la connessione SAML tra Tableau Cloud e l’IdP, è necessario scambiare i metadati richiesti tra i due servizi. Per ottenere i metadati da Tableau Cloud, scegli uno dei seguenti metodi. Consulta la documentazione di configurazione SAML dell’IdP per confermare l’opzione corretta.
Seleziona il pulsante Esporta metadati per scaricare un file XML che contiene l’ID entità SAML Tableau Cloud, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.
Seleziona Scarica il certificato se l’IdP richiede che le informazioni vengano fornite in modo diverso. Ad esempio, richiede che l’ID entità Tableau Cloud, l’URL di ACS e il certificato X.509 siano inseriti in posizioni separate.
L’immagine seguente è stata modificata per mostrare che queste impostazioni sono le stesse in Tableau Cloud e Tableau Server.
Per la fase 2, per importare i metadati esportati nella fase 1, accedi al tuo account IdP e utilizza le istruzioni fornite dalla documentazione dell’IdP per inviare i metadati di Tableau Cloud.
Per la fase 3, la documentazione dell’IdP ti illustrerà anche come fornire metadati a un provider di servizi. Ti chiederà di scaricare un file di metadati o visualizzerà il codice XML. Nel secondo caso, copia e incolla il codice XML in un nuovo file di testo e salva il file con un’estensione .xml.
Nella pagina di Autenticazione in Tableau Cloud, importa il file di metadati scaricato dall’IdP o configurato manualmente dall’XML fornito.
Nota: se modifichi la configurazione, dovrai caricare il file di metadati in modo che Tableau sappia utilizzare l’ID entità dell’IdP e l’URL del servizio SSO corretti.
Gli attributi contengono l’autenticazione, l’autorizzazione e altre informazioni su un utente.
Nota: Tableau Cloud richiede l’attributo NameID nella risposta SAML. Puoi fornire altri attributi per mappare i nomi utente in Tableau Cloud, ma il messaggio di risposta deve includere l’attributo NameID.
Nome utente: (obbligatorio) inserisci il nome dell’attributo che memorizza i nomi utente degli utenti.
Nome visualizzato: (facoltativo ma consigliato) alcuni IdP utilizzano attributi separati per nome e cognome, mentre altri memorizzano il nome completo in un solo attributo.
Seleziona il pulsante che corrisponde alla modalità di memorizzazione dei nomi del tuo IdP. Ad esempio, se l’IdP combina nome e cognome in un solo attributo, seleziona Nome visualizzato e inserisci il nome dell’attributo.
Seleziona il metodo con cui gli utenti accedono alle visualizzazioni integrate. Le opzioni sono l’apertura di una finestra pop-up separata che visualizza il modulo di accesso dell’IdP o l’utilizzo di un elemento inline frame (iframe).
Attenzione: poiché gli iframe possono essere vulnerabili agli attacchi di clickjacking, non tutti gli IdP supportano l’accesso attraverso un iframe. Nel clickjacking, l’utente malintenzionato cerca di indurre gli utenti a fare clic o inserire contenuti. Inserisce la pagina esca in uno strato trasparente sovrapposto a una pagina non correlata. Per Tableau Cloud, un utente malintenzionato potrebbe cercare di acquisire le credenziali dell’utente o fare in modo che un utente autenticato modifichi le impostazioni. Per ulteriori informazioni vedi Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.
Se il tuo IdP non supporta l’accesso attraverso un iframe, seleziona Autenticarsi in una finestra pop-up separata.
Vedi anche Tipo di autenticazione predefinito per le viste incorporate.
È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud con il tipo di autenticazione SAML configurato.
Se non riesci ad accedere correttamente a Tableau Cloud, inizia dalla procedura di risoluzione dei problemi suggerita nella pagina di autenticazione. Se questa non consente di risolvere i problemi, consulta Risoluzione dei problemi di SAML.
Seleziona utenti Tableau Cloud esistenti o aggiungi nuovi utenti che desideri approvare per l’accesso Single Sign-On.
Quando aggiungi o importi utenti, specifichi anche il loro tipo di autenticazione. Nella pagina Utenti puoi modificare il tipo di autenticazione degli utenti in qualsiasi momento dopo averli aggiunti.
Per ulteriori informazioni vedi Aggiungere utenti a un sito o Importare utenti.
Parte dell’abilitazione di SAML sul tuo sito consiste nello specificare in che modo gli utenti accedono alle viste incorporate nelle pagine Web.
Consentire agli utenti di scegliere il proprio tipo di autenticazione
Selezionando questa opzione, vengono visualizzate due opzioni di accesso in cui è incorporata una vista: un pulsante di accesso che si avvale dell’autenticazione Single Sign-On e un link per utilizzare TableauID come alternativa.
Suggerimento: con questa opzione, gli utenti devono sapere quale alternativa scegliere. Nella notifica che invii ai tuoi utenti dopo averli aggiunti al sito con accesso Single Sign-On, indichi il tipo di autenticazione da utilizzare per una varietà di scenari di accesso. Ad esempio, viste incorporate, Tableau Desktop, Tableau Bridge, Tableau Mobile e così via.
Tableau con MFA
Questa opzione richiede agli utenti di accedere utilizzando le credenziali
SAML
Con questa opzione, il modo in cui gli utenti SAML possono accedere alle viste incorporate è determinato dall’impostazione che selezioni nel passaggio 6 di cui sopra.
Utilizzare l’autenticazione Tableau
Se un sito è configurato per SAML, puoi modificare le impostazioni del sito in modo da rendere obbligatorio per tutti gli utenti l’accesso tramite credenziali
Se non desideri più che un provider di identità gestisca l’autenticazione per un sito oppure richiedere per tutti gli utenti l’accesso con le credenziali
Se desideri mantenere SAML abilitato per alcuni utenti, ma rendere obbligatorio per altri l’accesso con
Per maggiori informazioni, consulta Impostare il tipo di autenticazione utente.
Modificare il tipo di autenticazione del sito
Accedi a Tableau Cloud come amministratore e seleziona il sito.
Seleziona Impostazioni > Autenticazione.
Deseleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo.
Dopo che rendi inattiva la configurazione SAML, i metadati e le informazioni IdP vengono mantenuti, in modo che se desideri abilitarli di nuovo non devi configurare la connessione SAML con IdP una seconda volta.
Aggiornare il certificato SAML
Il certificato utilizzato per i metadati del sito Tableau viene fornito da Tableau e non configurabile. Per aggiornare il certificato per SAML , devi caricare un nuovo certificato nell’IdP e ripetere lo scambio dei metadati con Tableau Cloud.
Accedi al sito come amministratore del sito e seleziona Impostazioni > Autenticazione.
In Tipi di autenticazione
Apri una nuova scheda o finestra e accedi al tuo account IdP.
Utilizza le istruzioni fornite dalla documentazione dell’IdP per caricare un nuovo certificato SAML.
Scarica il nuovo file di metadati XML da fornire a Tableau Cloud.
Torna alla pagina Autenticazione in Tableau Cloud e nella