Configurare SCIM con PingFederate

Puoi configurare la gestione degli utenti, eseguire il provisioning di gruppi e assegnare ruoli sul sito di Tableau Cloud tramite PingFederate.

Durante l’esecuzione delle fasi descritte di seguito, è consigliabile avere sotto mano la documentazione di PingFederate a integrazione delle procedure.

Importante:

Questi passaggi riflettono un’applicazione di terze parti e sono soggette a modifiche a nostra insaputa. Se i passaggi qui descritti non corrispondono alle schermate che vedi nel tuo account IdP, usa l’argomento generale SCIM, insieme alla documentazione dell’IdP.
Le fasi di configurazione nell’IdP potrebbero seguire un ordine diverso rispetto a quello indicato in Tableau.

Fase 1. Completare le operazioni preliminari

Per eseguire le procedure descritte in questo documento, è necessario aver soddisfatto i seguenti prerequisiti:

SCIM Provisioner: l’applicazione SCIM Provisioner deve essere installata e configurata. Per maggiori informazioni, consulta SCIM Provisioner(Il collegamento viene aperto in una nuova finestra) nella documentazione di PingIdentity.
Archivio dati di Ping: deve essere configurato un archivio dati, come PingDirectory. Per maggiori informazioni, consulta Configuring an LDAP connection(Il collegamento viene aperto in una nuova finestra) nella documentazione di PingIdentity (in lingua inglese).
SAML nelle impostazioni del protocollo: configura le impostazioni del protocollo per la federazione SAML.

Fase 2. Iniziare a configurare SAML in Tableau Cloud

La funzionalità SCIM disponibile in Tableau Cloud richiede di configurare il sito in modo da supportare l’accesso Single Sign-On (SSO) SAML. Tornerai a questa configurazione SAML e la aggiornerai più avanti in questo argomento.

Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.
Nella scheda Autenticazione fai clic sul pulsante Nuova configurazione, seleziona SAML dall’elenco a discesa Autenticazione, quindi immetti un nome per la configurazione.
Nota: Le configurazioni create prima di gennaio 2025 (Tableau 2024.3) non possono essere rinominate.

Salta 1. Esporta i metadati dall’IdP. Eseguirai questa fase più avanti in questo argomento.
In 2. Carica i metadati in Tableau carica un file di metadati .xml che fungerà da segnaposto. Più avanti in questo argomento sostituirai questo file con un file di metadati .xml valido fornito da PingFederate.
Fai clic su Save.

Fase 3. Abilitare il supporto di SCIM in Tableau Cloud

Per abilitare il supporto di SCIM in Tableau Cloud, procedi come segue. Le informazioni contenute in questa sezione verranno utilizzate per abilitare SCIM in PingFederate.

Accedi al tuo sito Tableau Cloud in qualità di amministratore e seleziona Impostazioni > Autenticazione.
Nella pagina Autenticazione, in System for Cross-domain Identity Management (SCIM), fai clic sul pulsante Nuova configurazione.
Nella finestra di dialogo Nuova configurazione SCIM esegui le operazioni indicate di seguito:
1. Immetti un nome per la configurazione SCIM.
2. Copia l’URL di base da utilizzare nelle impostazioni SCIM del tuo IdP.
3. Nel menu a discesa Autenticazione seleziona la configurazione di autenticazione SAML da associare a SCIM.
4. Fai clic su Save.
  Nota: questa operazione popola la sezione Token SCIM.
In Token SCIM esegui le operazioni indicate di seguito:
1. Fai clic sul pulsante Nuovo segreto.
2. Nella finestra di dialogo Nuovo segreto fai di nuovo clic sul pulsante Nuovo segreto. Verrà visualizzato un segreto appena generato.
3. Copia il segreto e conservalo in un luogo sicuro. Utilizzeremo il segreto nella fase 4.2.1.
  Importante:
  - Se chiudi la configurazione SCIM prima di aggiungere il segreto alle impostazioni SCIM dell’IdP, puoi modificare la configurazione SCIM, ma dovrai generare un nuovo segreto facendo di nuovo clic su Nuovo segreto.
  - Il segreto è legato all’utente amministratore del sito Tableau che ha creato la configurazione SCIM. Se il ruolo sul sito di quell’utente cambia o se l’utente non è più membro del sito, il segreto non è più valido. In questo caso, un altro amministratore del sito può generare un nuovo segreto per la configurazione SCIM esistente e aggiungerlo alle impostazioni SCIM dell’IdP oppure creare una nuova configurazione SCIM assicurandosi che l’URL di base e il segreto vengano aggiunti alle impostazioni SCIM dell’IdP.
4. Fai clic su Chiudi.

Fase 4. Abilitare l’accesso Single Sign-On (SSO) in PingFederate

Per abilitare l’accesso SSO SAML nell’ambiente PingFederate, devi eseguire queste operazioni:

Creare un’istanza dell’adattatore IdP
Configurare una connessione SP
Mappare gli attributi nell’archivio dati di Ping
Configurare l’accesso SSO SAML

Importante: come promemoria, le procedure e gli esempi descritti in questo articolo vengono forniti solo a scopo dimostrativo.

Fase 4.1. Creare un’istanza dell’adattatore IdP

Segui ognuna delle sezioni descritte di seguito per creare l’adattatore modulo HTML(Il collegamento viene aperto in una nuova finestra). PingFederate utilizza adattatori IdP, ad esempio l’adattatore modulo HTML, per autenticare gli utenti. Un adattatore IdP cerca le informazioni sulla sessione e fornisce l’identificazione dell’utente a PingFederate.

Accedi alla console di amministrazione di PingFederate.
Seleziona Authentication > IdP Adapters.
Nella pagina IdP Adapters fai clic sul pulsante Create New Instance per avviare la configurazione di Create Adapter Instance.

Fase 4.1.1. Creare l’istanza dell’adattatore (parte 1)

Nella scheda Type della pagina Create Adapter Instance esegui le operazioni indicate di seguito:
1. Per INSTANCE NAME immetti un nome, ad esempio, “credentialsValidatorInstance”.
2. Per INSTANCE ID immetti un valore, ad esempio “3”.
3. Nell’elenco a discesa TYPE seleziona HTML Form IdP Adapter.
4. Non modificare l’impostazione di PARENT INSTANCE (None).
5. Fai clic sul pulsante Next.

Fase 4.1.2. Creare lo strumento di convalida delle credenziali

Nella scheda IdP Adapter esegui le operazioni indicate di seguito:
1. Scorri fino alla fine della pagina e fai clic sul pulsante Manage Password Credential Validators.
2. Nella pagina Manage Password Credential Validators fai clic sul pulsante Create New Instance.
Nella scheda Type della pagina Create Credentials Validator Instance esegui le operazioni indicate di seguito:
1. Per INSTANCE NAME immetti un nome, ad esempio “credentialsValidatorInstance”.
2. Per INSTANCE ID immetti un valore, ad esempio “3”.
3. Nell’elenco a discesa TYPE seleziona LDAP Username Password Credential Validator.
4. Non modificare l’impostazione di PARENT INSTANCE (None).
5. Fai clic sul pulsante Next.
Nella scheda Instance Configuration esegui le operazioni indicate di seguito:
1. Nell’elenco a discesa LDAP DATASTORE seleziona l’origine dati Ping Directory configurata in precedenza.
2. Nel campo SEARCH BASE immetti quanto segue: dc=example,dc=com.
3. Nel campo SEARCH FILTER immetti quanto segue: mail=${username}
4. Lascia invariate le altre impostazioni.
5. Fai clic sul pulsante Next.
Nella scheda Summary esamina i dettagli e fai clic sul pulsante Save.
Torna alla pagina Manage Password Credential Validators fai clic sul pulsante Done.
Nella sezione Password Credential Validator Instance della pagina Create Adapter Instance esegui le operazioni indicate di seguito:
1. Fai clic sul collegamento Add a new row to `Credential Validators`.
2. Dal menu a discesa visualizzato seleziona l’istanza di convalida appena creata, ad esempio “credentialsValidatorInstance”.
3. Seleziona il collegamento Update.
4. Fai clic sul pulsante Next.

Fase 4.1.3. Creare l’istanza dell’adattatore (parte 2)

Torna alla scheda Extended Contract, quindi esegui le operazioni indicate di seguito:
1. Nella sezione Extended the Contract esegui le operazioni indicate di seguito:
  1. Nella casella di testo immetti “sn” e fai clic sul pulsante Add.
2. Fai clic sul pulsante Next.
Nella scheda Adapter Attributes esegui le operazioni indicate di seguito:
1. Dal menu a discesa UNIQUE USER KEY ATTRIBUTE seleziona username.
2. Per username seleziona la casella di controllo Pseudonym.
3. Fai clic sul pulsante Next.
Nella scheda Adapter Contract Mapping fai clic sul pulsante Configure Adapter Contract.

Fase 4.1.4. Configurare il mapping del contratto dell’adattatore (parte 1)

Nella scheda Adapter Sources & Users Lookup fai clic sul pulsante Add Attribute Source.

Fase 4.1.5. Configurare la ricerca degli utenti e delle origini degli attributi

Nella scheda Data Store esegui le operazioni indicate di seguito:
1. Per ATTRIBUTE SOURCE ID immetti un nome, ad esempio “attributeSourceUserLookup”.
2. Per ATTRIBUTE SOURCE DESCRIPTION immetti una descrizione, ad esempio “attributeSourceId”.
3. In ACTIVE DATA STORE seleziona l’archivio dati di Ping Directory configurato in precedenza.
4. Fai clic sul pulsante Next.
Nella scheda LDAP Directory Search esegui le operazioni indicate di seguito:
1. Per BASE DN immetti quanto segue: dc=example,dc=com,
2. Nella sezione Attributes to return from search esegui le operazioni indicate di seguito:
  1. Nella colonna ROOT OBJECT CLASS seleziona Show All Attributes.
  2. Nella colonna Option seleziona givenName nella casella di testo, quindi fai clic sul pulsante Add Attribute.
  3. Nella casella di testo seleziona sn, quindi fai clic sul pulsante Add Attribute.
3. Fai clic sul pulsante Next.
Nella scheda LDAP Filter esegui queste operazioni:
1. Nella casella di testo FILTER immetti quanto segue: mail=${username}
2. Fai clic sul pulsante Next.
Nella scheda Summary fai clic sul pulsante Save.

Fase 4.1.6. Configurare il mapping del contratto dell’adattatore (parte 2)

Nella scheda Attribute Sources & User Lookup seleziona il contratto adattatore appena creato, ad esempio “attributeSourceId”.
Nella scheda Adapter Contract Fulfillment esegui le operazioni indicate di seguito:
1. Per givenName, nell’elenco a discesa Source seleziona LDAP (attributeSourceId); nell’elenco a discesa Value seleziona givenName.
2. Per policy.action, nell’elenco a discesa Source, lascia invariato il valore (Adapter).
3. Per sn, nel menu a discesa Source seleziona LDAP (attributeSourceId); nell’elenco a discesa Value seleziona sn.
4. Per username, lascia invariato il valore (Adapter).
5. Fai clic sul pulsante Next.
Nella scheda Issuance Criteria fai clic sul pulsante Next.
Nella scheda Summary esamina i dettagli e fai clic sul pulsante Save.

Fase 4.2. Creare una connessione SP

Segui ognuna delle sezioni descritte di seguito per creare una connessione SP. PingFederate utilizza le connessioni SP per l’accesso Single Sign-On (SSO) avviato dall’IdP.

Nella console di amministrazione di PingFederate passa a Applications > SP Connections.
Nella pagina SP Connections fai clic sul pulsante Create Connection.
Nella scheda Connection Template lascia l’impostazione così com’è (DO NOT USE A TEMPLATE FOR THIS CONNECTION) e fai clic sul pulsante Next.
Nella scheda Connection Type esegui le operazioni indicate di seguito:
1. Seleziona la casella di controllo BROWSER SSO Profiles.
  1. Nell’elenco a discesa PROTOCOL lascia invariato il valore (SAML 2.0).
2. Seleziona la casella di controllo OUTBOUND PROVISIONING.
3. Fai clic sul pulsante Next.
Nella scheda Connection Options fai clic sul pulsante Next.
Nella scheda Import Metadata lascia invariato il valore (NONE), quindi fai clic sul pulsante Next.
Nella scheda General Info esegui le operazioni indicate di seguito:
1. Per PARTNERS ENTITY ID immetti l’ID entità di Tableau Cloud della configurazione SAML in Tableau Cloud iniziata nella fase 2, ad esempio “https://sso.online.tableau.com/public/sp/metadata/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb”.
2. Per CONNECTION NAME immetti un nome, ad esempio “SCIM Connector”.
3. Fai clic sul pulsante Next.
Nella scheda Outbound Provisioning fai clic sul pulsante Configure Provisioning.

Fase 4.2.1, Creare il canale di configurazione

Nella scheda Target esegui le operazioni indicate di seguito:
1. Per SCIM URL immetti l’URL di base della configurazione SCIM in Tableau Cloud creata nella fase 3, ad esempio “https://scim.online.tableau.com/pods/cd-main/sites/25db875a-cace-4769-8429-d7b210879ef2/scim/v2”.
2. Per SCIM VERSION, lascia invariato il valore (2.0).
3. Nell’elenco a discesa AUTHENTICATION METHOD seleziona OAUTH 2 BEARER TOKEN.
4. Per ACCESS TOKEN, immetti il segreto del token SCIM della configurazione SCIM in Tableau Cloud creata nella fase 3.
5. Per UNIQUE USER IDENTIFIER, lascia invariato il valore (userName).
6. Per RESULTS PER PAGE, immetti il seguente valore: 25. Per prestazioni ottimali consigliamo di modificare questo valore.
7. Per PROVISIONING OPTIONS, assicurati che le seguenti caselle di controllo siano selezionate:
  1. USER CREATE
  2. USER UPDATE
  3. USER DISABLE /DELETE
  4. PROVISION DISABLED USERS
8. Per REMOVE USER ACTION, lascia invariato il valore (Disable). È consigliabile utilizzare questa opzione per modificare il ruolo dell’utente in Senza licenza in Tableau Cloud se l’utente viene rimosso dall’IdP PingFederate.
9. Per GROUP NAME SOURCE, esegui le operazioni indicate di seguito:
  1. Nell’elenco a discesa lascia invariato il valore (Common Name).
  2. Seleziona la casella di controllo USE PATCH FOR GROUP UPDATES.
10. Per CUSTOM ATTRIBUTE SCHEMA URNS, immetti il seguente valore:
  urn:ietf:params:scim:schemas:extension:tableau:3.0:User,urn:ietf:params:scim:schemas:extension:tableau:3.0
11. Fai clic sul pulsante Next.
Nella pagina Configure Channels fai clic sul pulsante Create nella scheda Target.
Nella scheda Channel Info immetti un nome per CHANNEL NAME e fai clic sul pulsante Next.
Nella scheda Source esegui le operazioni indicate di seguito:
1. Dall’elenco a discesa ACTIVE DATA STORE seleziona l’archivio dati di Ping.
2. Dall’elenco a discesa TYPE seleziona LDAP.
3. Fai clic sul pulsante Next.
Nella scheda Source Settings convalida i seguenti valori:
1. Per ENTRY GUID ATTRIBUTE, il valore è entryUUID.
2. Per GROUP MEMBER ATTRIBUTE, il valore è uniqueMember.
3. Per USER OBJECTCLASS, il valore è inetOrgPerson.
4. Per GROUP OBJECTCLASS, il valore è groupOfUniqueNames.
5. Fai clic sul pulsante Next.
Nella scheda Source Location, esegui le operazioni indicate di seguito:
1. Per BASE DN immetti quanto segue: dc=example,dc=com,
2. Nella sezione Users, per FILTER, immetti quanto segue: objectClass=inetOrgPerson
3. Nella sezione Groups, per FILTER, immetti quanto segue: objectClass=groupOfUniqueNames
4. Fai clic sul pulsante Next.
Nella scheda Attribute Mapping esegui le operazioni indicate di seguito:
1. Modifica l’attributo userName in “mail” procedendo come segue:
  1. Nella riga userName fai clic su Edit.
  2. Sotto la classe Root Object seleziona <Show All Attributes>.
  3. Dall’elenco a discesa Attributes seleziona mail.
  4. Fai clic sul pulsante Add Attribute.
  5. Accanto all’attributo uuid, fai clic sul collegamento Remove.
2. Lascia invariati gli attributi rimanenti.
3. Fai clic sul pulsante Next.
Nella scheda Activation & Summary esegui le operazioni indicate di seguito:
1. Per Channel Status, seleziona Active.
2. Fai clic sul pulsante Save Draft.

Fase 4.3. Mappare gli attributi SCIM all’archivio dati di Ping

Segui questa procedura per mappare gli attributi SCIM nell’archivio dati di Ping tramite la console di amministrazione di PingData.

Accedi alla console di amministrazione di PingData.
Dal riquadro di navigazione di sinistra passa a LDAP Schema e fai clic sulla scheda Attribute Types.

Fase 4.3.1. Creare nuovi tipi di attributo

Fai clic sul pulsante Actions e seleziona New Attribute Type.
Nella finestra di dialogo New Attribute Type esegui le operazioni indicate di seguito:
1. Per Name, immetti quanto segue: siteRoles
2. Per Description, immetti una descrizione, ad esempio “Custom attribute for site roles on Tableau Cloud”.
3. Fai clic su Save.
Ripeti la fase precedente ed esegui le seguenti operazioni nella finestra di dialogo New Attribute Type:
1. Per Name, immetti quanto segue: entitlements
2. Per Description, immetti una descrizione, ad esempio “Custom attribute for entitlements on Tableau Cloud”.
3. Fai clic su Save.

Fase 4.3.2. Creare una nuova classe di oggetti

Nella parte superiore della pagina, fai clic sulla scheda Object Class, quindi fai clic sul pulsante Actions e infine seleziona New Object Class.
Nella finestra di dialogo New Object Class esegui le operazioni indicate di seguito:
1. Per Name, immetti quanto segue: Tableau.
2. Per Description, immetti una descrizione, ad esempio “Add siteRoles attribute as entitlements”.
3. Dall’elenco a discesa Parent seleziona inetOrgPerson.
4. Dall’elenco a discesa Type seleziona Structural.
5. Nella sezione Attributes esegui le operazioni indicate di seguito:
  1. Per Required Attributes, trova e seleziona sn, quindi fai clic sul pulsante freccia Add item.
  2. Per Required Attributes, trova e seleziona cn, quindi fai clic sul pulsante freccia Add item.
  3. Per Required Attributes, trova e seleziona objectClass, quindi fai clic sul pulsante freccia Add item.
  4. Per Optional Attributes, trova e seleziona siteRoles, quindi fai clic sul pulsante freccia Add item.
  5. Per Optional Attributes, trova e seleziona entitlements, quindi fai clic sul pulsante freccia Add item.
6. Fai clic su Save.

Fase 4.4. Configurare SAML

Segui questa procedura per modificare la connessione SP creata in precedenza in modo da supportare l’accesso SSO SAML.

Nella console di amministrazione di PingFederate seleziona Applications > SP Connections nella parte superiore della pagina.
Nella pagina SP Connections esegui le operazioni indicate di seguito:
1. Fai clic sul nome della connessione creata nella fase 4.2.
2. Fai clic sulla scheda Connection.
Nella scheda Connection lascia invariate le selezioni e fai clic sul pulsante Next.
Nella scheda Connections Options, lascia invariata la (BROWSER SSO) e fai clic sul pulsante Next.
Nella scheda Import Metadata lascia invariata la selezione (NONE) e fai clic sul pulsante Next.
Nella scheda General Info esegui le operazioni indicate di seguito:
1. Per PARTNERS ENTITY ID sostituisci il testo con l’ID entità di Tableau Cloud della configurazione SAML in Tableau Cloud iniziata nella fase 2, ad esempio https://sso.online.tableau.com/public/sp/metadata/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb.
2. (Facoltativo) Aggiorna il valore in CONNECTION NAME.
3. Fai clic sul pulsante Next.
Nella scheda Browser SSO fai clic sul pulsante Configure Browser SSO.
Nella scheda SAML Profiles esegui le operazioni indicate di seguito:
1. Nella sezione Single Sign-On (SSO) Profiles esegui le operazioni indicate di seguito:
  1. Seleziona la casella di controllo IDP-INITIATED SSO.
  2. Seleziona la casella di controllo SP-INITIATED SSO.
2. Fai clic sul pulsante Next.
Nella schedaAssertion Lifetime lascia invariati i valori e fai clic sul pulsante Next.
Nella scheda Assertion Creation fai clic sul pulsante Configure Assertion Creation.
Nella scheda Identity Mapping lascia invariata la selezione (STANDARD) e fai clic sul pulsante Next.
Nella scheda Attribute Contract esegui le operazioni indicate di seguito:
1. Nella sezione Subject Name Format lascia invariato il valore (urn:oasis:names:tc:SAML:nameid-format:unspecified).
2. Nella sezione Extend the Contract esegui le operazioni indicate di seguito:
  1. Nella casella di testo immetti quanto segue: FirstName
  2. In Attribute Name Format seleziona urn:oasis:names:tc:SAML:2.0:attrname-format:basic.
  3. Fai clic sul pulsante Aggiungi.
  4. Nella casella di testo immetti quanto segue: LastName
  5. In Attribute Name Format seleziona urn:oasis:names:tc:SAML:2.0:attrname-format:basic.
  6. Fai clic sul pulsante Aggiungi.
3. Fai clic sul pulsante Next.
Nella scheda Authentication Source Mapping fai clic sul pulsante Map New Adapter Instance.
Nella scheda Adapter Instance della pagina IdP Adapter Mapping seleziona l’adattatore creato nella fase 4.1.1 e fai clic sul pulsante Next, ad esempio “credentialsValidatorInstance”.
Nella scheda Mapping Method lascia invariato il valore (USE ONLY THE ADAPTER CONTRACT VALUES IN THE SAML ASSERTION), quindi fai clic sul pulsante Next.
Nella scheda Attribute Contract Fulfillment esegui le operazioni indicate di seguito:
1. Accanto a FirstName esegui le operazioni indicate di seguito:
  1. Dall’elenco a discesa Source seleziona Adapter.
  2. Dall’elenco a discesa Value seleziona givenName.
2. Accanto a LastName esegui le operazioni indicate di seguito:
  1. Dall’elenco a discesa Source seleziona Adapter.
  2. Dall’elenco a discesa Value seleziona sn.
3. Accanto a SAML_SUBJECT esegui le operazioni indicate di seguito:
  1. Dall’elenco a discesa Source seleziona Adapter.
  2. Dall’elenco a discesa Value seleziona username.
4. Fai clic sul pulsante Next.
Nella scheda Issuance Criteria fai clic sul pulsante Next.
Nella scheda Summary esamina i dettagli e fai clic sul pulsante Done.
Nella scheda Assertion Creation esamina i dettagli e fai clic sul pulsante Done.
Nella scheda Assertion Creation fai clic sul pulsante Next.
Nella pagina Protocol Settings fai clic sul pulsante Configure Protocol Settings.
Nella scheda Assertion Consumer Service URL della pagina Protocol Settings esegui le operazioni indicate di seguito:
1. In Default seleziona la casella di controllo.
2. In Binding seleziona POST.
3. In Endpoint URL immetti l’URL di ACS dalla configurazione SAML in Tableau Cloud avviata nella fase 2 e fai clic sul pulsante Add. Ad esempio, “https://sso.online.tableau.com/public/sp/SSO/25db875a-cace-4769-8429-d7b210879ef2/36673dc4-e2c1-4970-976f-255bda6036cb”.
4. Fai clic sul pulsante Next.
Nella scheda Allowable SAML Bindings esegui le operazioni indicate di seguito:
1. Assicurati che le caselle di controllo POST e REDIRECT siano selezionate e rimuovi le selezioni per le altre caselle di controllo.
2. Fai clic sul pulsante Next.
Nella scheda Signature Policy fai clic sul pulsante Next.
Nella scheda Encryption Policy lascia invariata la selezione (None) e fai clic sul pulsante Next.
Nella scheda Summary esamina i dettagli e fai clic sul pulsante Done.
Nella scheda Protocol Settings della pagina Browser SSO fai clic sul pulsante Next.
Nella scheda Summary esamina i dettagli e fai clic sul pulsante Done.
Nella scheda General Info della pagina SP Connection fai clic sul pulsante Next.
Nella scheda Configure Browser SSO fai clic sul pulsante Next.
Nella scheda Credentials fai clic sul pulsante Configure Credentials.
Nella scheda Digital Signature Settings esegui una delle operazioni indicate di seguito:
- Se disponi già di un certificato di firma esistente valido, esegui le operazioni indicate di seguito:
  1. Nell’elenco a discesa SIGNING CERTIFICATE seleziona il certificato esistente e fai clic sul pulsante Next.
  2. Procedi con la fase 38.
- Se non disponi di un certificato di firma esistente valido, esegui le operazioni indicate di seguito:
  1. Fai clic sul pulsante Manage Certificates.
  2. Passa alla fase 33.
Nella pagina Certificate Management fai clic sul pulsante Create New.
Nella scheda Create Certificate della pagina Create Certificate esegui le operazioni indicate di seguito:
1. Per COMMON NAME, immetti un nome, ad esempio “PingFedCert”.
2. Per ORGANIZATION, immetti un nome, ad esempio “Tableau”.
3. Per COUNTRY, immetti un nome di paese.
4. Fai clic sul pulsante Next.
Nella scheda Summary, assicurati che la casella di controllo MAKE THIS ACTIVE CERTIFICATE sia selezionata e fai clic sul pulsante Save.
Nella pagina Certificate Management fai clic sul pulsante Done.
Nella pagina Credentials esegui le operazioni indicate di seguito:
1. Dall’elenco a discesa SIGNING CERTIFICATE seleziona il certificato appena creato.
2. Fai clic sul pulsante Next.
Nella pagina Summary fai clic sul pulsante Done.
Nella scheda Outbound Provisioning della pagina SP Connection fai clic sul pulsante Next.
Nella scheda Activation & Summary esamina i dettagli e fai clic sul pulsante Done.

Fase 5. Esportare i metadati da PingFederate

Per completare la configurazione di SAML in Tableau Cloud, ti servirà il file di metadati SAML (.xml) di PingFederate da caricare in Tableau Cloud.

Nella console di amministrazione di PingFederate seleziona System > Protocol Metadata > Metadata Export.
Nella scheda Metadata Role della pagina Metadata Export lascia invariata la selezione (I AM THE IDENTITY PROVIDER (IDP)) e fai clic sul pulsante Next.
Nella scheda Metadata Mode lascia invariata la selezione (USE A CONNECTION FOR METADATA GENERATION) e fai clic sul pulsante Next.
Dall’elenco a discesa della scheda Connection Metadata seleziona la connessione SP creata nella fase 4.2 e fai clic sul pulsante Next.
Dall’elenco a discesa SIGNING CERTIFICATE della scheda Metadata Signing seleziona il certificato creato nella fase 4.4, quindi fai clic sul pulsante Next.
Nella scheda Export & Summary fai clic sul pulsante Export per scaricare il file di metadati di PingFederate, quindi fai clic sul pulsante Done.

Fase 6. Completare la configurazione di SAML in Tableau Cloud

Le operazioni seguenti devono essere eseguite in Tableau Cloud.

Torna in Tableau Cloud, nella pagina Nuova configurazione, sotto 2. Carica i metadati in Tableau, fai clic sul pulsante Scegli un file e seleziona il file di metadati SAML che hai salvato da PingFederate nella fase 5. I valori ID entità IdP e URL del servizio Single Sign-On verranno compilati automaticamente.
Mappa i nomi degli attributi (asserzioni) in 3. Mappa gli attributi ai nomi degli attributi corrispondenti in PingFederate.
In 4. Scegli l’impostazione predefinita per le viste incorporate (facoltativo), seleziona l’esperienza che desideri abilitare quando gli utenti accedono al contenuto incorporato. Per maggiori informazioni, consulta la sezione Informazioni sull’abilitazione dell’incorporamento di iFrame di seguito.
Fai clic sul pulsante Salva e continua.

Informazioni sull’abilitazione dell’incorporamento di iFrame

Nota: si riferisce solo a Tableau Cloud.

Quando abiliti SAML sul tuo sito, devi specificare come gli utenti accedono per entrare nelle viste incorporate nelle pagine Web. Questa procedura configura Okta per consentire l’autenticazione tramite un frame inline (iFrame) per una visualizzazione incorporata. L’incorporamento del frame inline può fornire un’esperienza utente più fluida quando accedi a visualizzazioni incorporate. Ad esempio, se un utente è già autenticato con il provider di identità e l’incorporamento di iFrame è abilitato, l’utente potrebbe eseguire un’autenticazione semplice e rapida con Tableau Cloud durante la navigazione verso pagine che contengono visualizzazioni incorporate.

Attenzione: i frame inline possono essere vulnerabili a un attacco di clickjacking. Il clickjacking è un tipo di attacco alle pagine Web in cui l’utente malintenzionato cerca di attrarre i normali utenti affinché facciano clic o inseriscano contenuti, visualizzando la pagina che intende attaccare in un livello trasparente applicato al di sopra di una pagina non correlata. Nel contesto di Tableau Cloud, un aggressore potrebbe tentare di utilizzare un attacco di clickjacking per acquisire le credenziali dell’utente o per ottenere l’autenticazione di un utente al fine di modificare le impostazioni. Per maggiori informazioni sugli attacchi di clickjacking, consulta Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.

Note per il supporto di SCIM con PingFederate

A causa delle limitazioni di PingFederate, un aggiornamento di siteRole in un gruppo non avvierà gli aggiornamenti di siteRole per gli utenti all’interno di tale gruppo. Questo potrebbe comportare l’assegnazione di un attributo siteRole inutilizzato. Per risolvere questo problema, puoi utilizzare un aggiornamento dell’attributo non personalizzato insieme all’aggiornamento dell’attributo siteRole per avviare l’aggiornamento di tale attributo. È possibile eseguire questa operazione manualmente o automaticamente utilizzando una delle seguenti opzioni:
- Gestisci siteRoles solo sull’oggetto utente.
- Dopo l’aggiornamento di un gruppo, aggiorna manualmente gli attributi di tale utente. Non deve essere un attributo supportato da SCIM, come il ruolo sul sito. Può essere un attributo della descrizione o del nome.
- Imposta un’espressione OGNL in PingFederate ed esegui gli aggiornamenti dell’appartenenza ai gruppi prima dell’avvio di Ping Server. Una volta avviato Ping Server, verrà attivato un aggiornamento dell’attributo siteRole.
- Imposta un’espressione OGNL in PingFederate. Imposta, inoltre, un gruppo statico invertito e un processo cron per attivare gli aggiornamenti di siteRole.
Un’espressione OGNL in PingFederate valuterà gli attributi nell’utente e la relativa appartenenza al gruppo per determinarne l’attributo siteRole.

Torna in alto

Grazie per il tuo feedback.

Il tuo feedback è stato inviato. Grazie!

Guida di Tableau Cloud