In dit onderwerp wordt uitgelegd hoe u SAML op de site of Tableau Cloud Manager (TCM) inschakelt en gebruikers met eenmalige aanmelding selecteert. Dit onderwerp bevat ook stappen voor het overschakelen van SAML naar de standaard Tableau-verificatie. Voordat u SAML inschakelt, raden we aan de volgende informatie te raadplegen: SAML-vereisten voor Tableau Cloud, waaronder Effecten van het wijzigen van het verificatietype in Tableau Bridge.
Bij dit onderwerp wordt ervan uitgegaan dat u bekend bent met de informatie in Verificatie en Hoe SAML-authenticatie werkt.
De stappen in de secties later in dit onderwerp bieden de basisstappen die u kunt gebruiken met de documentatie van uw IdP om SAML te configureren voor uw Tableau Cloud-site of TCM. U kunt IdP-specifieke configuratiestappen verkrijgen voor de volgende IdP's:
Voor Tableau Cloud
Meld u aan bij uw Tableau Cloud-site als sitebeheerder en selecteer Instellingen > Verificatie.
Klik op het tabblad Verificatie op de knop Nieuwe configuratie, selecteer SAML in de vervolgkeuzelijst Verificatie en voer vervolgens een naam in voor de configuratie.
Opmerking: Van configuraties die vóór november 2024 zijn gemaakt (Tableau 2024.3), kan de naam niet worden gewijzigd.
Voor TCM
Of ga als volgt te werk in TCM:
Meld u als cloudbeheerder aan bij TCM en selecteer Instellingen > Verificatie.
Schakel het selectievakje Een extra verificatiemethode inschakelen in en selecteer SAML in de vervolgkeuzelijst Verificatie.
Klik op de vervolgkeuzepijl Configuratie (verplicht).
In dit gedeelte worden de configuratiestappen beschreven die worden weergegeven op het tabblad Verificatie op de pagina met instellingen van Tableau Cloud of TCM.
Opmerking: om dit proces te voltooien, hebt u ook de documentatie nodig die uw IdP u verstrekt. Zoek naar onderwerpen die betrekking hebben op het configureren of definiëren van een serviceprovider voor een SAML-verbinding of het toevoegen van een toepassing.
Stap 1: metadata exporteren vanuit IdP
Ga naar uw IdP, meld u aan bij uw IdP-account en gebruik de instructies in de documentatie van uw IdP om de metadata van uw IdP te downloaden. Met de metadata van de IdP kan Tableau Cloud of TCM verbinding maken met uw IdP.
Voor stap 1 zal de documentatie van de IdP u ook begeleiden bij het verstrekken van metadata aan een serviceprovider. U wordt gevraagd een SAML-metadatabestand te downloaden, of er wordt XML-code weergegeven. Als XML-code wordt weergegeven, kopieer en plak de code dan in een nieuw tekstbestand en sla het bestand op met de extensie .xml.
Stap 2: metadata uploaden naar Tableau
Voor Tableau Cloud gaat u naar de pagina Nieuwe configuratie in Tableau Cloud en importeert u het metadatabestand (.xml) dat u van de IdP hebt gedownload of handmatig hebt geconfigureerd vanuit de XML die de IdP heeft verstrekt.
Voor TCM gaat u naar de pagina Verificatie in TCM en importeert u het metadatabestand (.xml) dat u van de IdP hebt gedownload of handmatig hebt geconfigureerd vanuit de XML die de IdP heeft verstrekt.
Opmerkingen:
- Nadat de IdP-metadata zijn geüpload, worden de twee velden ID van IdP-entiteit en IdP URL voor SSO-service automatisch ingevuld.
- Als u de configuratie bewerkt, moet u het metadatabestand uploaden zodat Tableau weet dat de juiste ID van IdP-entiteit en URL voor SSO-service moeten worden gebruikt.
- U kunt de knop IdP-metadata wissen gebruiken als u een nieuw metadatabestand moet uploaden.
Stap 3: kenmerken toewijzen
Kenmerken bevatten verificatie, autorisatie en andere informatie over een gebruiker.
Opmerking: Tableau Cloud of TCM vereist het kenmerk NameID in de SAML-reactie. U kunt andere kenmerken opgeven om gebruikersnamen in Tableau toe te wijzen. Maar het reactiebericht moet de volgende data bevatten: kenmerk NameID.
Gebruikersnaam: (Verplicht) voer de naam in van het kenmerk waarin de gebruikersnamen (e-mailadressen) van gebruikers zijn opgeslagen.
E-mailadres: (Optioneel) voer de naam in van het kenmerk dat het e-mailadres bevat dat de IdP gebruikt tijdens het verificatieproces, zodat gebruikers meldingen kunnen ontvangen op een e-mailadres dat verschilt van de gebruikersnaam. Het kenmerk E-mailadres wordt alleen gebruikt voor meldingen en niet voor aanmelding.
Weergavenaam: (Optioneel maar aanbevolen) sommige IdP's gebruiken aparte kenmerken voor voor- en achternaam, terwijl andere IdP's de volledige naam in één kenmerk opslaan.
Selecteer de knop die overeenkomt met de manier waarop uw IdP de namen opslaat. Als de IdP bijvoorbeeld voor- en achternaam in één kenmerk combineert, selecteert u Weergavenaamen voert u vervolgens de kenmerknaam in.
Stap 4: standaardinstelling kiezen voor ingesloten weergaven
Opmerking: dit onderwerp is alleen van toepassing op Tableau Cloud.
Selecteer de methode waarmee gebruikers zich aanmelden bij ingesloten weergaven. U kunt kiezen uit het openen van een apart pop-upvenster waarin het aanmeldingsformulier van de IdP wordt weergegeven, of het gebruiken van een inline frame (iframe).
Belangrijk: omdat iframes kwetsbaar kunnen zijn voor clickjacking-aanvallen ondersteunen niet alle IdP's het aanmelden via een iframe. Bij clickjacking probeert de aanvaller gebruikers te verleiden om op inhoud te klikken of deze in te voeren. Ze doen dit door de aan te vallen pagina in een transparante laag over een niet-gerelateerde pagina weer te geven. Voor Tableau Cloud kan een aanvaller proberen om gebruikersdata te bemachtigen of om een geverifieerde gebruiker instellingen te laten wijzigen. Zie Clickjacking(Link wordt in een nieuw venster geopend) op de website van het Open Web Application Security Project voor meer informatie.
Als uw IdP geen ondersteuning biedt voor aanmelden via een iframe, selecteert u Verifiëren in een afzonderlijk pop-upvenster.
Stap 4: Tableau-metadata ophalen (TCM)
Om de SAML-verbinding tussen TCM en uw IdP te maken, moet u de vereiste metadata tussen de twee services uitwisselen. Om metadata van TCM op te halen, kiest u een van de volgende methoden. Raadpleeg de SAML-configuratiedocumentatie van de IdP om de juiste optie te bevestigen.
Selecteer de knop Metadata exporteren om een XML-bestand te downloaden met de ID van SAML-entiteit, URL voor Assertion Consumer Service (ACS) en het X.509-certificaat van Tableau Cloud.
Selecteer Certificaat downloaden als uw IdP de vereiste informatie op een andere manier verwacht. Doe dit bijvoorbeeld als u de entiteit-ID, de ACS-URL en het X.509-certificaat van Tableau Cloud op afzonderlijke locaties moet invoeren.
Stap 5: Tableau-metadata ophalen (Tableau Cloud)
Om de SAML-verbinding tussen Tableau Cloud en uw IdP te maken, moet u de vereiste metadata tussen de twee services uitwisselen. Om metadata te verkrijgen van Tableau Cloud, kiest u een van de volgende methoden. Raadpleeg de SAML-configuratiedocumentatie van de IdP om de juiste optie te bevestigen.
Selecteer de knop Metadata exporteren om een XML-bestand te downloaden met de ID van SAML-entiteit, URL voor Assertion Consumer Service (ACS) en het X.509-certificaat van Tableau Cloud.
Selecteer Certificaat downloaden als uw IdP de vereiste informatie op een andere manier verwacht. Doe dit bijvoorbeeld als u de entiteit-ID, de ACS-URL en het X.509-certificaat van Tableau Cloud op afzonderlijke locaties moet invoeren.
Stap 5: IdP configureren (TCM)
Voor stap 5 gebruikt u de instructies die worden vermeld in de documentatie van de IdP om de TCM-metadata te in te dienen.
Stap 6: IdP configureren (Tableau Cloud)
Voor stap 6 gebruikt u de instructies die worden vermeld in de documentatie van de IdP om de Tableau Cloud-metadata te verzenden.
Stap 6: de configuratie testen en problemen met SAML oplossen (TCM)
We raden u ten zeerste aan de SAML-configuratie te testen om vergrendelde scenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u SAML correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt naar SAML. Om de configuratie succesvol te testen, moet u ervoor zorgen dat er ten minste één gebruiker is als wie u zich kunt aanmelden, die al is ingericht in de IdP en met het geconfigureerde SAML-verificatietype aan uw Tableau Cloud of TCM is toegevoegd.
Als u zich niet succesvol kunt aanmelden bij TCM, begin dan met de stappen voor probleemoplossing die worden voorgesteld op de pagina Verificatie. Als deze stappen het probleem niet oplossen, raadpleeg dan Problemen met SAML oplossen.
Stap 7: de configuratie testen en problemen met SAML oplossen (Tableau Cloud)
We raden u ten zeerste aan de SAML-configuratie te testen om vergrendelde scenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u SAML correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt naar SAML. Om de configuratie succesvol te testen, moet u ervoor zorgen dat er ten minste één gebruiker is als wie u zich kunt aanmelden, die al is ingericht in de IdP en met het geconfigureerde SAML-verificatietype aan uw Tableau Cloud of TCM is toegevoegd.
Als u zich niet succesvol kunt aanmelden bij Tableau Cloud, begin dan met de stappen voor probleemoplossing die worden voorgesteld op de pagina Nieuwe configuratie. Als deze stappen het probleem niet oplossen, raadpleeg dan Problemen met SAML oplossen.
Gebruikers beheren
Selecteer bestaande gebruikers van Tableau Cloud of TCM, of voeg nieuwe gebruikers toe die u wilt goedkeuren voor eenmalige aanmelding.
Wanneer u gebruikers toevoegt of importeert, geeft u ook hun verificatietype op. Op de pagina Gebruikers kunt u het verificatietype van gebruikers op elk gewenst moment wijzigen nadat u ze hebt toegevoegd.
Raadpleeg voor meer informatie een van de volgende bronnen:
Standaard verificatietype voor ingesloten weergaven
Opmerking: dit onderwerp is alleen van toepassing op Tableau Cloud.
Gebruikers mogen hun verificatietype kiezen
Wanneer deze optie is geselecteerd, wordt alleen een pop-upvenster ondersteund. In dit pop-upvenster worden twee aanmeldingsopties getoond als een weergave is ingesloten: een aanmeldingsknop die verificatie via eenmalige aanmelding (SSO) gebruikt en een link om de Tableau-referenties als alternatief te gebruiken.
Tip: bij deze optie moeten gebruikers weten welke aanmeldingsoptie ze moeten kiezen. In de meldingen die u naar uw gebruikers stuurt nadat u ze hebt toegevoegd aan de SSO-site, kunt u ze informeren welk verificatietype ze moeten gebruiken voor verschillende aanmeldingsscenario's. Bijvoorbeeld ingesloten weergaven, Tableau Desktop, Tableau Bridge, Tableau Mobile, enzovoort.
Tableau met MFA
Voor deze optie moeten gebruikers zich aanmelden met referenties voor Tableau met meervoudige verificatie. Zelfs als SAML op de site is ingeschakeld. Om zich met MFA aan te melden bij Tableau, moeten gebruikers telkens wanneer ze zich aanmelden bij Tableau Cloud een verificatiemethode instellen om de identiteit te bevestigen. Zie Meervoudige verificatie (MFA) en Tableau Cloud voor meer informatie.
Lijst met verificatieconfiguraties
Als een specifieke configuratieoptie is geselecteerd, wordt de manier waarop gebruikers zich kunnen aanmelden bij ingesloten weergaven bepaald door de instelling die u in stap 6 hierboven hebt geselecteerd voor de benoemde configuratie.
Gebruik de verificatie Tableau
Als een site of tenant is geconfigureerd voor SAML, kunt u de -instellingen wijzigen om te vereisen dat sommige of alle gebruikers zich aanmelden met de referenties voor Tableau.
Als u niet langer wilt dat een identiteitsprovider de verificatie afhandelt, of als u niet wilt dat alle gebruikers zich aanmelden met hun referenties voor Tableau, kunt u het verificatietype op het niveau van de site of tenant wijzigen. Ziede sectie Het verificatietype van de site wijzigen hieronder.
Als u SAML voor sommige gebruikers ingeschakeld wilt houden, maar wilt dat anderen Tableau, kunt u het verificatietype op gebruikersniveau wijzigen. Zie Het type gebruikersverificatie instellen voor meer informatie.
Het verificatietype van de site wijzigen
Voor Tableau Cloud
Vanaf november 2024 (Tableau 2024.3) kunt u meerdere verificatietypen en -methoden op een site inschakelen. Om te wijzigen welke verificatie u op de site beschikbaar wilt hebben, schakelt u de verificatieconfiguraties in of uit.
Meld u als sitebeheerder aan bij the Tableau Cloud.
Selecteer Instellingen > Verificatie.
Schakel verificatieconfiguraties voor de site in of uit door op het menu Acties te klikken en vervolgens Uitschakelen of Inschakelen te selecteren.
Nadat u de SAML-configuratie inactief hebt gemaakt, blijven de metadata en IdP-informatie behouden. Als u de SAML-configuratie vervolgens weer wilt inschakelen, hoeft u de SAML-verbinding met de IdP niet opnieuw in te stellen.
Voor TCM
Meld u bij TCM aan als Cloud-beheerder.
Selecteer Instellingen > Verificatie.
Verwijder het vinkje van het selectievakje Een aanvullende verificatiemethode inschakelen.
SAML-certificaat bijwerken
Het certificaat dat wordt gebruikt voor de sitemetadata van Tableau wordt geleverd door Tableau en kan niet worden geconfigureerd. Om het certificaat voor SAML bij te werken, moet u een nieuw certificaat uploaden naar uw IdP en de metadata opnieuw uitwisselen met Tableau Cloud.
Voor Tableau Cloud
Meld u als sitebeheerder aan bij uw site en selecteer Instellingen > Verificatie.
Ga onder Verificatietypen naar de SAML-configuratie die u wilt bijwerken, klik op het menu Acties en selecteer Bewerken.
Open een nieuw tabblad of venster en meld u aan bij uw IdP-account.
Gebruik de instructies in de documentatie van de IdP om een nieuw SAML-certificaat te uploaden.
Download het nieuwe XML-metadatabestand om aan Tableau Cloud te verstrekken.
Ga terug naar de pagina Configuratie bewerken in Tableau Cloud en upload in Stap 2 het metadatabestand dat u van de IdP hebt gedownload.
Scrol naar beneden op de pagina en klik op de knop Opslaan en doorgaan.
Voor TCM
Meld u bij TCM aan als cloudbeheerder en selecteer Instellingen > Verificatie.
In de vervolgkeuzelijst Verificatie selecteert u SAML > Configuratie (verplicht).
Open een nieuw tabblad of venster en meld u aan bij uw IdP-account.
Gebruik de instructies in de documentatie van de IdP om een nieuw SAML-certificaat te uploaden.
Download het nieuwe XML-metadatabestand om aan TCM te verstrekken.
Ga terug naar de pagina Verificatie in TCM en upload in stap 2 het metadatabestand dat u van de IdP hebt gedownload.
Scrol naar beneden op de pagina en klik op de knop Opslaan en doorgaan.
Toegang tot sites vanaf verbonden clients
