Prima di configurare SAML per Tableau Cloud, ottieni le informazioni necessarie per soddisfare i requisiti.

Requisiti dell'identity provider (IdP) per la configurazione di Tableau

Note di compatibilità e requisiti di SAML

Utilizzare SSO SAML in applicazioni client Tableau

Effetti della modifica del tipo di autenticazione su Tableau Bridge

Requisiti per i dati XML

Requisiti dell'identity provider (IdP) per la configurazione di Tableau

Per configurare Tableau Cloud per il servizio SAML, ti servono i seguenti requisiti:

  • Accesso amministratore al sito di Tableau Cloud. Devi disporre dell'accesso come amministratore al sito di Tableau Cloud in cui desideri abilitare SAML.

  • Elenco degli utenti che utilizzeranno SSO per accedere a Tableau Cloud. Dovresti raccogliere gli indirizzi e-mail degli utenti per cui desideri consentire l'accesso single-sign-on a Tableau Cloud.

  • Account IdP che supporta SAML 2.0. Necessiti di un account con un fornitore di identità esterno. Alcuni esempi sono PingFederate, SiteMinder e Open AM. L'IdP deve supportare SAML 2.0. Devi disporre dell'accesso come amministratore a tale account.

  • Viene utilizzato SHA256 come algoritmo di firma. A partire da maggio 2020, Tableau Cloud blocca le asserzioni e i certificati IdP firmati con l'algoritmo SHA-1.

  • Provider IdP che supporta l'importazione e l'esportazione di metadati XML. Anche se un file di metadati creato manualmente potrebbe funzionare, il servizio di assistenza tecnica di Tableau non può aiutare a generare il file o a risolvere i problemi.

  • Provider IdP che impone una durata massima del token di 24 giorni o inferiore (2073600 secondi). Se l'IdP consente una durata massima dei token superiore alla durata massima impostata in Tableau Cloud (2073600 secondi), Tableau Cloud non riconoscerà il token come valido. In questo scenario, gli utenti riceveranno messaggi di errore (Impossibile eseguire l'accesso. Riprova.) quando tenteranno di accedere a Tableau Cloud.

Importante: in aggiunta a questi requisiti, ti consigliamo di dedicare un account amministratore del sito che sia sempre configurato per l'autenticazione di TableauID. In caso di problemi con SAML o con l'IdP, un account TableauID dedicato assicura che tu abbia sempre accesso al sito.

Note di compatibilità e requisiti di SAML

  • Avvio da SP o IdP: Tableau Cloud supporta l'autenticazione SAML che inizia dal provider di identità (IdP) o dal provider di servizi (SP).

  • Single logout (SLO): Tableau Cloud supporta sia SLO avviato dal provider di servizi (SP) che SLO avviato dal provider di identità (IdP).

  • tabcmd e API REST: per utilizzare tabcmd o l'API REST(Il collegamento viene aperto in una nuova finestra), gli utenti devono accedere a Tableau Cloud utilizzando un account TableauID.

  • Asserzioni in testo non crittografato: Tableau Cloud non supporta le asserzioni crittografate.

  • Riconfigurazione di Tableau Bridge richiesta: Tableau Bridge supporta l'autenticazione SAML, ma una modifica nell'autenticazione richiede la riconfigurazione del client Bridge. Per informazioni, vedi Effetti della modifica del tipo di autenticazione su Tableau Bridge.

  • Algoritmo di firma richiesto: per tutti i nuovi certificati SAML, Tableau Cloud richiede l'algoritmo di firma SHA256 (o superiore).

  • Attributo NameID: Tableau Cloud richiede l'attributo NameID nella risposta SAML.

Utilizzare SSO SAML in applicazioni client Tableau

Gli utenti di Tableau Cloud con credenziali SAML possono anche accedere al proprio sito da Tableau Desktop o dall'app Tableau Mobile. Per la compatibilità ottimale, è consigliabile che la versione dell'applicazione client Tableau corrisponda a quella di Tableau Cloud.

La connessione a Tableau Cloud da Tableau Desktop o Tableau Mobile utilizza una connessione avviata dal provider di servizi.

Reindirizzare gli utenti autenticati ai client Tableau

Quando un utente accede a Tableau Cloud, Tableau Cloud invia una richiesta SAML (AuthnRequest) all'IdP includendo il valore RelayState dell'applicazione Tableau. Se l'utente ha effettuato l'accesso a Tableau Cloud da un client Tableau come Tableau Desktop o Tableau Mobile, è importante che il valore RelayState sia restituito all'interno della risposta SAML dell'IdP a Tableau.

Quando il valore RelayState non viene restituito correttamente in questo scenario, l'utente passa alla sua home page di Tableau Cloud nel browser Web, invece di essere reindirizzato all'applicazione da cui ha effettuato l'accesso.

Lavora con il tuo provider di identità e il team IT interno per assicurarti di includere questo valore come parte della risposta SAML dell'IdP .

Effetti della modifica del tipo di autenticazione su Tableau Bridge

Quando modifichi il tipo di autenticazione del sito, gli autori delle pubblicazioni che utilizzano Tableau Bridge per la pianificazione degli aggiornamenti delle estrazioni dovranno scollegare il client Bridge e riautenticarsi utilizzando il nuovo metodo. 

Poiché il client Bridge rimuove tutte le origini dati, gli utenti dovranno inoltre impostare di nuovo tutte le relative pianificazioni di aggiornamento. La modifica del tipo di autenticazione non influisce sulle query live di Bridge o sugli aggiornamenti eseguiti direttamente dal sito di Tableau Cloud (ad esempio per i dati sottostanti nel cloud).

Ti consigliamo di avvisare gli utenti di Bridge in merito alle modifiche apportate all'autenticazione del sito prima di implementarle. In caso contrario, se ne accorgeranno tramite errori di autenticazione provenienti dal client Bridge o quando il client si aprirà con un'area di origine dati vuota.

Requisiti per i dati XML

Configura SAML utilizzando documenti dei metadati XML generati da Tableau Cloud e dall'IdP. Durante il processo di autenticazione, l'IdP e Tableau Cloud si scambiano informazioni sull'autenticazione utilizzando questi documenti XML. Se il codice XML non soddisfa i requisiti, potrebbero verificarsi errori durante la configurazione di SAML o quando gli utenti tentano di effettuare l'accesso.

Tableau Cloud supporta solo le richieste POST HTTP per le comunicazioni SAML. HTTP Redirect non è supportato. Nel documento dei metadati XML di SAML esportato dall'IdP, l'attributo Associazione deve essere impostato su HTTP-POST.

Grazie per il tuo feedback.