Requisiti SAML per Tableau Cloud

Prima di configurare SAML per Tableau Cloud, ottieni le informazioni necessarie per soddisfare i requisiti.

Requisiti dell’identity provider (IdP) per la configurazione di Tableau

Per configurare Tableau Cloud per il servizio SAML, ti servono i seguenti requisiti:

  • Accesso amministratore al sito di Tableau Cloud. Devi disporre dell’accesso come amministratore al sito di Tableau Cloud in cui desideri abilitare SAML.

  • Elenco degli utenti che utilizzeranno SSO per accedere a Tableau Cloud. Devi raccogliere i nomi utente degli utenti per cui desideri consentire l’accesso Single-Sign-On (SSO) a Tableau Cloud.

  • Account IdP che supporta SAML 2.0. Necessiti di un account con un fornitore di identità esterno. Alcuni esempi sono PingFederate, SiteMinder e Open AM. L’IdP deve supportare SAML 2.0. Devi disporre dell’accesso come amministratore a tale account.

  • Viene utilizzato SHA256 come algoritmo di firma. A partire da maggio 2020, Tableau Cloud blocca le asserzioni e i certificati IdP firmati con l’algoritmo SHA-1.

  • Provider IdP che supporta l’importazione e l’esportazione di metadati XML. Anche se un file di metadati creato manualmente potrebbe funzionare, il servizio di assistenza tecnica di Tableau non può aiutare a generare il file o a risolvere i problemi.

  • Provider IdP che impone una durata massima del token di 24 giorni o inferiore (2073600 secondi). Se l’IdP consente una durata massima dei token superiore alla durata massima impostata in Tableau Cloud (2073600 secondi), Tableau Cloud non riconoscerà il token come valido. In questo scenario, gli utenti riceveranno messaggi di errore (Impossibile eseguire l’accesso. Riprova.) quando tenteranno di accedere a Tableau Cloud.

  • SSO con MFA è abilitato. A partire da febbraio 2022, l’autenticazione a più fattori (MFA) tramite il tuo provider di identità (IdP) SSO SAML è un requisito di Tableau Cloud.

    Importante: in aggiunta a questi requisiti, ti consigliamo di dedicare un account amministratore del sito che sia sempre configurato per TableauID con MFA(Il collegamento viene aperto in una nuova finestra). In caso di problemi con SAML o con l’IdP, un account con Tableau MFA dedicato assicura che tu abbia sempre accesso al sito.

     

Note di compatibilità e requisiti di SAML

  • Avvio da SP o IdP: Tableau Cloud supporta l’autenticazione SAML che inizia dal provider di identità (IdP) o dal provider di servizi (SP).

  • Single logout (SLO): Tableau Cloud supporta sia SLO avviato dal provider di servizi (SP) che SLO avviato dal provider di identità (IdP).

    Nota: per ottenere l’URL SLO per il tuo sito, scarica e fai riferimento al file XML dei metadati generato dal tuo sito Tableau Cloud. Puoi trovare questo file accedendo alla pagina Impostazioni > Autenticazione. Sotto il tipo di autenticazione SAML, fai clic sulla freccia dell’elenco a discesa Configurazione (obbligatorio), quindi fai clic sul pulsante Esporta metadati nella fase 1, metodo 1.

  • tabcmd e API REST: per utilizzare tabcmd o l’API REST(Il collegamento viene aperto in una nuova finestra), gli utenti devono accedere a Tableau Cloud utilizzando un account TableauID.

  • Asserzioni crittografate: Tableau Cloud supporta sia asserzioni in testo normale che crittografate.

  • Riconfigurazione di Tableau Bridge richiesta: Tableau Bridge supporta l’autenticazione SAML, ma una modifica nell’autenticazione richiede la riconfigurazione del client Bridge. Per informazioni, vedi Effetti della modifica del tipo di autenticazione su Tableau Bridge.

  • Algoritmo di firma richiesto: per tutti i nuovi certificati SAML, Tableau Cloud richiede l’algoritmo di firma SHA256 (o superiore).

  • Dimensioni della chiave RSA e della curva ECDSA: il certificato IdP deve avere una complessità della chiave RSA impostata su 2048 o una dimensione della curva ECDSA impostata su 256.
  • Attributo NameID: Tableau Cloud richiede l’attributo NameID nella risposta SAML.

Utilizzare SSO SAML in applicazioni client Tableau

Gli utenti di Tableau Cloud con credenziali SAML possono anche accedere al proprio sito da Tableau Desktop o dall’app Tableau Mobile. Per la compatibilità ottimale, è consigliabile che la versione dell’applicazione client Tableau corrisponda a quella di Tableau Cloud.

La connessione a Tableau Cloud da Tableau Desktop o Tableau Mobile utilizza una connessione avviata dal provider di servizi.

Reindirizzare gli utenti autenticati ai client Tableau

Quando un utente accede a Tableau Cloud, Tableau Cloud invia una richiesta SAML (AuthnRequest) all’IdP includendo il valore RelayState dell’applicazione Tableau. Se l’utente ha effettuato l’accesso a Tableau Cloud da un client Tableau come Tableau Desktop o Tableau Mobile, è importante che il valore RelayState sia restituito all’interno della risposta SAML dell’IdP a Tableau.

Quando il valore RelayState non viene restituito correttamente in questo scenario, l’utente passa alla sua home page di Tableau Cloud nel browser Web, invece di essere reindirizzato all’applicazione da cui ha effettuato l’accesso.

Lavora con il tuo provider di identità e il team IT interno per assicurarti di includere questo valore come parte della risposta SAML dell’IdP .

Effetti della modifica del tipo di autenticazione su Tableau Bridge

Quando cambi il tipo di autenticazione del sito o modifichi l’IdP, i Publisher che utilizzano Tableau Bridge per la pianificazione degli aggiornamenti delle estrazioni dovranno scollegare e ricollegare il client, nonché riautenticarsi utilizzando il nuovo metodo o la nuova configurazione dell’IdP.

Per le pianificazioni legacy, lo scollegamento del client Bridge implica la rimozione di tutte le origini dati, pertanto devi impostare nuovamente le pianificazioni degli aggiornamenti. Per le pianificazioni online, dopo aver ricollegato il client devi riconfigurare il pool di client Bridge.

La modifica del tipo di autenticazione non influisce sulle query live di Bridge o sugli aggiornamenti eseguiti direttamente dal sito Tableau Cloud (ad esempio per i dati sottostanti nel cloud).

Ti consigliamo di avvisare gli utenti di Bridge in merito alle modifiche apportate all’autenticazione del sito prima di implementarle. In caso contrario, se ne accorgeranno tramite errori di autenticazione provenienti dal client Bridge o quando il client si aprirà con un’area di origine dati vuota.

Requisiti per i dati XML

Configura SAML utilizzando documenti dei metadati XML generati da Tableau Cloud e dall’IdP. Durante il processo di autenticazione, l’IdP e Tableau Cloud si scambiano informazioni sull’autenticazione utilizzando questi documenti XML. Se il codice XML non soddisfa i requisiti, potrebbero verificarsi errori durante la configurazione di SAML o quando gli utenti tentano di effettuare l’accesso.

HTTP POST e HTTP REDIRECT: Tableau Cloud supporta le richieste HTTP POST e HTTP REDIRECT per le comunicazioni SAML. Nel documento dei metadati XML di SAML esportato dall’IdP l’attributo Binding può essere impostato su:

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Appartenenza ai gruppi dinamica con asserzioni SAML:

A partire da giugno 2024 (Tableau 2024.2), se SAML è configurato e l’impostazione della funzionalità è abilitata, puoi controllare dinamicamente l’appartenenza ai gruppi tramite attestazioni personalizzate incluse nella risposta XML SAML inviata dal provider di identità (IdP).

Una volta configurata, durante l’autenticazione degli utenti, l’IdP invia l’asserzione SAML che contiene due attestazioni di appartenenza ai gruppi personalizzate: gruppo (https://tableau.com/groups) e nomi di gruppo (ad esempio, “Gruppo1” e “Gruppo2”) in cui asserire l’utente. Tableau convalida l’asserzione e quindi consente l’accesso ai gruppi e al contenuto le cui autorizzazioni dipendono da tali gruppi.

Per maggiori informazioni, consulta Appartenenza ai gruppi dinamica con le asserzioni .

Esempio di risposta XML SAML

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!