SAML-vereisten voor Tableau Cloud
Voordat u SAML configureert voor Tableau Cloud
- Vereisten voor identiteitsproviders (IdP) voor Tableau-configuratie
- Opmerkingen en vereisten over SAML-compatibiliteit
- SAML SSO gebruiken in Tableau-clienttoepassingen
- Effecten van het wijzigen van het verificatietype in Tableau Bridge
- XML-datavereisten
Om Tableau Cloud
Beheerderstoegang tot uw Tableau Cloud-site of -tenant. U moet beheerdersrechten hebben voor de Tableau Cloud-site of -tenant waarvoor u SAML wilt inschakelen.
Lijst met gebruikers die SSO gebruiken om toegang te krijgen tot Tableau Cloud
IdP-account dat SAML 2.0 ondersteunt. U hebt een account nodig bij een externe identiteitsprovider. Enkele voorbeelden zijn PingFederate, SiteMinder en Open AM. De IdP moet SAML 2.0 ondersteunen. U moet beheerdersrechten voor dat account hebben.
SHA256 wordt gebruikt als ondertekeningsalgoritme. Sinds mei 2020 blokkeert Tableau IdP-asserties en certificaten die zijn ondertekend met het SHA-1-algoritme.
IdP-provider die het importeren en exporteren van XML-metadata ondersteunt. Hoewel een handmatig gemaakt metadatabestand wellicht werkt, kan de technische ondersteuning van Tableau u niet helpen bij het genereren van het bestand of bij het oplossen van problemen.
IdP-provider die een maximale tokenleeftijd van 24 dagen of minder (2.073.600 seconden) afdwingt. Als de IdP een maximale leeftijd voor tokens toestaat die langer is dan de maximale leeftijdsinstelling in Tableau (2.073.600 seconden), herkent Tableau het token niet als geldig. In dit scenario ontvangen gebruikers foutmeldingen (Het aanmelden is mislukt. Probeer het nog eens.) wanneer u probeert in te loggen bij Tableau Cloud
SSO met MFA is ingeschakeld. Vanaf februari 2022 is meervoudige verificatie (MFA) via uw SAML SSO-identiteitsprovider (IdP) een vereiste voor Tableau.
Belangrijk: naast deze vereisten raden we u aan een sitebeheerdersaccount voor Tableau Cloud toe te wijzen dat altijd is geconfigureerd voor TableauID met MFA(Link wordt in een nieuw venster geopend). In het geval van een probleem met SAML of de IdP zorgt een speciaal Tableau met MFA-account dat u altijd toegang hebt tot uw site.
SP of IdP geïnitieerd: Tableau ondersteunt SAML-verificatie die begint bij de identiteitsprovider (IdP) of serviceprovider (SP).
Eenmalig afmelden (SLO): Tableau ondersteunt SLO's die zowel door de serviceprovider (SP) als door de identiteitsprovider (IdP) zijn geïnitieerd.
Opmerking: om de URL voor SLO voor uw site of tenant te verkrijgen, downloadt en raadpleegt u het XML-metadatabestand dat uw Tableau Cloud-site of -tenant genereert. U kunt dit bestand vinden op een van de volgende locaties:
Ga in Tableau Cloud naar Instellingen > Verificatie > Nieuwe configuratie of Configuratie bewerken.
Ga in TCM naar Instellingen > Verificatie.
tabcmd en REST API: als u tabcmd of de Tableau REST-API(Link wordt in een nieuw venster geopend) wilt gebruiken, moeten gebruikers zich aanmelden bij Tableau Cloud met een persoonlijk toegangstoken (PAT). Als u de REST-API voor Tableau Cloud Manager(Link wordt in een nieuw venster geopend)moeten gebruikers zich bij TCM aanmelden met een persoonlijke toegangstoken (PAT).
Versleutelde asserties: Tableau ondersteunt zowel platte tekst- als versleutelde asserties.
Hernieuwde configuratie van Tableau Bridge vereist: Tableau Bridge ondersteunt SAML-verificatie. Maar voor een wijziging in de verificatie moet de Bridge-client opnieuw worden geconfigureerd. Zie Effecten van het wijzigen van het verificatietype in Tableau Bridge voor informatie.
Vereist ondertekeningsalgoritme: voor alle nieuwe SAML-certificaten, vereist Tableau Cloud
- RSA-sleutel- en ECDSA-curvegrootte: het IdP-certificaat moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.
NameID-kenmerk: Tableau vereist het NameID-kenmerk in de SAML-reactie.
Opmerking: dit onderwerp is alleen van toepassing op Tableau Cloud.
Tableau Cloud-gebruikers met SAML-referenties kunnen zich ook bij hun site aanmelden via Tableau Desktop of de Tableau Mobile-app. Voor de beste compatibiliteit raden we aan dat de versie van de Tableau-clienttoepassing overeenkomt met die van Tableau Cloud.
Om verbinding te maken met Tableau Cloud vanuit Tableau Desktop of Tableau Mobile wordt een door de serviceprovider geïnitieerde verbinding gebruikt.
Wanneer een gebruiker zich aanmeldt bij Tableau Cloud, verzendt Tableau Cloud een SAML-verzoek (AuthnRequest) naar de IdP, die de waarde RelayState van de Tableau-toepassing omvat. Als de gebruiker is aangemeld bij Tableau Cloud vanuit een Tableau-client zoals Tableau Desktop of Tableau Mobile, is het belangrijk dat de waarde RelayState wordt geretourneerd in de SAML-reactie pons van de IdP naar Tableau.
Wanneer de waarde RelayState in dit scenario niet correct wordt geretourneerd, wordt de gebruiker naar diens Tableau Cloud-startpagina in de webbrowser geleid, in plaats van dat ze worden teruggeleid naar de toepassing waarmee ze zich hebben aangemeld.
Werk samen met uw identiteitsprovider en interne IT-team om te bevestigen dat deze waarde wordt opgenomen als onderdeel van de SAML-reactie van de IdP.
Wanneer u het verificatietype van de site wijzigt of de IdP aanpast, moeten uitgevers die Tableau Bridge gebruiken voor geplande extractvernieuwingen de client loskoppelen en opnieuw koppelen, en opnieuw verfiëren met de nieuwe methode of IdP-configuratie.
Bij oudere schema's worden alle databronnen verwijderd wanneer u de Bridge-client ontkoppelt. Daarom moet u de vernieuwingsschema's opnieuw instellen. Voor online schema's moet u, nadat u de client opnieuw hebt gekoppeld, de Bridge-clientpool opnieuw configureren.
De wijziging in het verificatietype heeft geen invloed op live Bridge-query's of vernieuwingen die rechtstreeks vanaf de Tableau Cloud-site worden uitgevoerd (zoals voor onderliggende data in de cloud).
We raden aan om Bridge-gebruikers te waarschuwen voor wijzigingen in hun siteverificatie voordat u deze doorvoert. Anders worden ze hiervan op de hoogte gesteld door verificatiefouten die ze van de Bridge-client ontvangen, of wanneer de client opent met een leeg databrongebied.
U configureert SAML met XML-metadatadocumenten die worden gegenereerd door Tableau Cloud
HTTP POST en HTTP REDIRECT: Tableau CloudBinding worden ingesteld op:
HTTP-POST
HTTP-REDIRECT
HTTP-POST-SimpleSign
Lidmaatschap van dynamische groep met SAML-asserties in Tableau Cloud:
Opmerking: dit onderwerp is alleen van toepassing op Tableau Cloud.
Vanaf
Indien hiervoor geconfigureerd, verzendt de IdP tijdens gebruikersauthenticatie de SAML-bevestiging die twee aangepaste claims voor groepslidmaatschap bevat: voor de groep (https://tableau.com/groups) en voor groepsnamen (bijvoorbeeld 'Groep1' en 'Groep2') waarin de gebruiker zich moet bevinden. Tableau valideert de bewering en maakt vervolgens toegang mogelijk tot de groepen en de inhoud waarvan de machtigingen afhankelijk zijn van die groepen.
Voorbeeld van een SAML-XML-reactie
<saml2p:Response
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
.....
.....
<saml2:Assertion
.....
.....
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
<saml2:AttributeStatement
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
<saml2:Attribute
Name="https://tableau.com/groups"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">Group1
</saml2:AttributeValue>
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">Group2
</saml2:AttributeValue>
<saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
</saml2p:Response>