SAML configureren met Okta

Als u Okta gebruikt als uw SAML-identiteitsprovider (IdP), kunt u de informatie in dit onderwerp gebruiken voor SAML-verificatie voor uw Tableau Cloud-site. U kunt ook het onderwerp SAML 2.0 configureren voor Tableau Cloud(Link wordt in een nieuw venster geopend) in de Okta-documentatie gebruiken.

De SAML-integratie van Tableau Cloud met Okta ondersteunt door de serviceprovider (SP) geïnitieerde SSO, door de identiteitsprovider (IdP) geïnitieerde SSO en eenmalige afmelding (of SLO).

Opmerkingen: 

  • Deze stappen weerspiegelen een toepassing van derden en kunnen zonder ons medeweten worden gewijzigd. Als de hier beschreven stappen niet overeenkomen met de schermen die u in uw IdP-account ziet, kunt u de algemene SAML-configuratiestappen, , samen met de documentatie van de IdP.
  • Vanaf februari 2022 is meervoudige verificatie (MFA) via uw SAML SSO identity provider (IdP) een vereiste voor Tableau Cloud.

Stap 1: open de Tableau Cloud SAML-instellingen

Om de Okta-toepassing te configureren, moet u informatie in de Tableau Cloud SAML-instellingen gebruiken.

  1. Meld u aan bij uw Tableau Cloud-site als sitebeheerder en selecteer Instellingen > Verificatie.

  2. Vink op het tabblad Verificatie het selectievakje Een aanvullende verificatiemethode inschakelen een, selecteer SAML en klik vervolgens op het vervolgkeuzepijltje Configuratie (verplicht).

    Schermafbeelding van de pagina met verificatie-instellingen voor de Tableau Cloud-site

Stap 2: voeg Tableau Cloud toe aan uw Okta-toepassingen

De stappen die in deze sectie worden beschreven, worden uitgevoerd in de Okta-beheerdersconsole.

  1. Open een nieuwe browser en meld u aan bij uw Okta-beheerdersconsole.

  2. Selecteer in het linkerdeelvenster Toepassingen > Toepassingen en klik op de knop Bladeren door de app-catalogus.

  3. Zoek naar en klik op ‘Tableau Cloud’ en klik vervolgens op de knop Integratie toevoegen. Dit opent het tabblad Algemene instellingen.

  4. (Optioneel) Als u meer dan één Tableau Cloud-site heeft, bewerkt u de sitenaam in het veld Toepassingslabel om u te helpen onderscheid te maken tussen uw Tableau Cloud-toepassingen.

Stap 3: configureer SAML

De stappen die in deze sectie worden beschreven, worden uitgevoerd in de Okta-beheerdersconsole en de SAML-configuratie-instellingen van Tableau Cloud.

  1. Klik in de Okta-beheerdersconsole op het tabblad Opdrachten om uw gebruikers of groepen toe te voegen.

  2. Wanneer u klaar bent, klikt u op Gereed.

  3. Klik op het tabblad Aanmelden en klik in het gedeelte Instellingen op Bewerken.

  4. (Optioneel) Als u eenmalige afmelding (SLO) wilt inschakelen, doet u het volgende:

    1. Vink het selectievakje Eenmalige afmelding inschakelen aan.

    2. Kopieer de waarde van 'Single Logout URL' uit het Tableau Cloud-metadatabestand. Bijvoorbeeld: <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Zie de Eenmalige afmelding via SAML met Okta configureren(Link wordt in een nieuw venster geopend) in de Tableau Knowledgebase voor meer informatie.

    3. Voer in het tekstvak Geavanceerde aanmeldingsinstellingen de waarde in die u in stap b hebt gekopieerd.

    4. Terug in de Tableau Cloud SAML-configuratie-instellingen, onder 1. Metadata exporteren vanuit Tableau Cloud klikt u op de knop Certificaat downloaden.

    5. Ga terug naar de Okta-beheerdersconsole en klik naast Handtekeningcertificaat op de knop Bladeren en ga naar het bestand dat u in stap d hebt gedownload.

    6. Selecteer het bestand en klik op de knop Uploaden.

    7. Wanneer u klaar bent, klikt u op Opslaan.

  5. Ga terug naar de Tableau Cloud SAML-configuratie-instellingen, onder stap 1: Methode 2: metadata kopiëren en certificaat downloaden. Kopieer nu de Tableau Cloud entiteits-ID.

  6. Ga terug naar de Okta-beheerdersconsole en doe het volgende:

    1. Selecteer Toepassingen > Toepassingen, klik op de Tableau Cloud-toepassing en selecteer vervolgens het tabblad Aanmelden.

    2. Klik op Bewerken.

    3. Plak de URL onder Geavanceerde aanmeldingsinstellingen in het tekstvakje Tableau Cloud-entiteits-ID.

    4. Herhaal stappen 7 en 8 voor de Tableau Cloud ACS-URL.

      Opmerking: de Tableau Cloud SAML-configuratie-instellingen worden in een andere volgorde weergegeven dan op de pagina Okta-instellingen. Om SAML-verificatieproblemen te voorkomen, moet u zorgen dat de Tableau Cloud-entiteits-ID en de Tableau Cloud ACS-URL in de juiste velden in Okta worden ingevoerd.

    5. Wanneer u klaar bent, klikt u op Opslaan.

  7. Terug in de Tableau Cloud SAML-configuratie-instellingen, onder stap 1: Methode 2: Metadata kopiëren en certificaat downloaden klikt u op de knop Certificaat downloaden.

  8. Ga terug naar de Tableau Cloud-toepassing in de Okta-beheerdersconsole, klik op het tabblad Aanmelden op Bewerken en voer het volgende uit:

    1. Onder Metadatadetails en kopieer de metadata-URL.

    2. Plak de URL in een nieuwe browser en sla de resultaten op als een bestand met de standaardinstelling 'metadata.xml'.

  9. Terug in de Tableau Cloud SAML-configuratie-instellingen, onder 4. Metadata uploaden naar Tableau Cloud, klik op de knop Een bestand kiezen en selecteer het bestand metadata.xml om het bestand te uploaden. Hiermee wordt de waarden IdP-entiteits-ID en SSO-service-URL automatisch ingevuld.

  10. Wijs de kenmerknamen (beweringen) op de pagina Toewijzingen van Tableau Cloud-gebruikersprofiel toe aan de overeenkomstige kenmerknamen onder 5. Kenmerken afstemmen in de Tableau Cloud SAML-configuratie-instellingen.

  11. Onder 7. Configuratie testen klikt u op de knop Configuratie testen. We raden u ten zeerste aan de SAML-configuratie te testen om vergrendelde scenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u SAML correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt naar SAML. Om de configuratie succesvol te testen, moet u ervoor zorgen dat er ten minste één gebruiker is bij wie u zich kunt aanmelden, die al is ingericht in de IdP en is toegevoegd aan uw Tableau Cloud met het geconfigureerde SAML-verificatietype.

    Opmerking: als de verbinding mislukt, overweeg dan om het kenmerk NameID in Tableau ongewijzigd te laten.

Stap 4: gebruikers toevoegen aan de Tableau-site met SAML ingeschakeld

Als u van plan bent SCIM te gebruiken om uw gebruikers vanuit Okta in te richten, voeg uw gebruikers dan niet handmatig toe aan Tableau Cloud. Zie SCIM configureren met Okta voor meer informatie. Als u SCIM niet gebruikt, volg dan de onderstaande stappen om gebruikers aan uw site toe te voegen.

De stappen die in deze sectie worden beschreven, worden uitgevoerd op de pagina Gebruikers van Tableau Cloud.

  1. Nadat u klaar bent met Stap 3: configureer SAML, gaat u terug naar uw Tableau Cloud-site.

  2. Ga vanuit het linkerdeelvenster naar de pagina Gebruikers.

  3. Volg de procedure die wordt beschreven in het onderwerp Gebruikers aan een site toevoegen.

Stap 5: iFrame-insluiting inschakelen (optioneel)

Wanneer u SAML op uw site inschakelt, moet u opgeven hoe gebruikers zich aanmelden voor toegang tot weergaven die op webpagina's zijn ingesloten. Met deze stappen configureert u Okta om verificatie toe te staan met een inline frame (iFrame) voor ingesloten visualisaties. Inline frames insluiten kan bij het aanmelden zorgen voor een soepelere gebruikerservaring om ingesloten visualisaties te bekijken. Als een gebruiker bijvoorbeeld al is geverifieerd met uw identiteitsprovider en insluiten van iFrames is ingeschakeld, kan de gebruiker zich naadloos verifiëren bij Tableau Cloud tijdens het bekijken van pagina's die ingesloten visualisaties bevatten.

Voorzichtigheid: IFrame kan kwetsbaar zijn voor clickjacking-aanvallen. Clickjacking is een type aanval op webpagina's waarbij de aanvaller gebruikers probeert te verleiden om op inhoud te klikken of deze in te voeren, door de aan te vallen pagina weer te geven in een transparante laag over een niet-gerelateerde pagina. In de context van Tableau Cloud kan een aanvaller proberen een clickjacking-aanval te gebruiken om gebruikersreferenties vast te leggen of om een geverifieerde gebruiker ertoe te brengen de instellingen te wijzigen. Zie Clickjacking(Link wordt in een nieuw venster geopend) op de website van het Open Web Application Security Project voor meer informatie over clickjacking-aanvallen.

  1. Meld u aan bij uw Okta-beheerdersconsole.

  2. Selecteer in het linkerdeelvenster Aanpassingen > Overige en ga naar het deel iFrame insluiten.

  3. Klik op Bewerken, vink het selectievakje iFrame insluiten aan en klik vervolgens op Opslaan.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.