SAML-vereisten voor Tableau Cloud
Voordat u SAML configureert voor Tableau Cloud, dient u te verkrijgen wat u nodig hebt om aan de vereisten te voldoen.
- Vereisten voor identiteitsproviders (IdP) voor Tableau-configuratie
- Opmerkingen en vereisten over SAML-compatibiliteit
- SAML SSO gebruiken in Tableau-clienttoepassingen
- Effecten van het wijzigen van het verificatietype in Tableau Bridge
- XML-datavereisten
Vereisten voor identiteitsproviders (IdP) voor Tableau-configuratie
Om Tableau Cloud voor SAML te configureren, hebt u het volgende nodig:
Beheerderstoegang tot uw Tableau Cloud-site. U moet beheerdersrechten hebben voor de Tableau Cloud-site waarop u SAML wilt inschakelen.
Lijst met gebruikers die SSO gebruiken om toegang te krijgen tot Tableau Cloud. U moet de verkrijgen voor de gebruikersnamen van de gebruikers waarvoor u toegang via eenmalige aanmelding wilt toestaan Tableau Cloud.
IdP-account dat SAML 2.0 ondersteunt. U hebt een account nodig bij een externe identiteitsprovider. Enkele voorbeelden zijn PingFederate, SiteMinder en Open AM. De IdP moet SAML 2.0 ondersteunen. U moet beheerdersrechten voor dat account hebben.
SHA256 wordt gebruikt als ondertekeningsalgoritme. Sinds mei 2020 blokkeert Tableau Cloud IdP-asserties en certificaten die zijn ondertekend met het SHA-1-algoritme.
IdP-provider die het importeren en exporteren van XML-metadata ondersteunt. Hoewel een handmatig gemaakt metadatabestand wellicht werkt, kan de technische ondersteuning van Tableau u niet helpen bij het genereren van het bestand of bij het oplossen van problemen.
IdP-provider die een maximale tokenleeftijd van 24 dagen of minder (2.073.600 seconden) afdwingt. Als de IdP een maximale leeftijd voor tokens toestaat die langer is dan de maximale leeftijdsinstelling in Tableau Cloud (2.073.600 seconden), herkent Tableau Cloud het token niet als geldig. In dit scenario ontvangen gebruikers foutmeldingen (Het aanmelden is mislukt. Probeer het nog eens.) wanneer u probeert in te loggen bij Tableau Cloud.
SSO met MFA is ingeschakeld. Vanaf februari 2022 is meervoudige verificatie (MFA) via uw SAML SSO identity provider (IdP) een vereiste voor Tableau Cloud.
Belangrijk: naast deze vereisten raden we u aan een sitebeheerdersaccount voor Tableau Cloud toe te wijzen dat altijd is geconfigureerd voor TableauID met MFA(Link wordt in een nieuw venster geopend). In het geval van een probleem met SAML of de IdP zorgt een speciaal Tableau met MFA-account dat u altijd toegang hebt tot uw site.
Opmerkingen en vereisten over SAML-compatibiliteit
SP of IdP geïnitieerd: Tableau Cloud ondersteunt SAML-verificatie die begint bij de identiteitsprovider (IdP) of serviceprovider (SP).
Eenmalig afmelden (SLO): Tableau Cloud ondersteunt door de serviceprovider (SP) en door de identiteitsprovider (IdP) geïnitieerde SLO.
Opmerking: om de URL voor SLO voor uw site te verkrijgen, downloadt en raadpleegt u het XML-metadatabestand dat uw Tableau Cloud-site genereert. U kunt dit bestand vinden via Instellingen > Verificatie. Klik onder het verificatietype SAML op het vervolgkeuzepijltje Configuratie (verplicht) en vervolgens op de knop Metadata exporteren onder stap 1, methode 1.
tabcmd en REST API: om tabbladcmd of de REST-API(Link wordt in een nieuw venster geopend) te gebruiken, moeten gebruikers zich aanmelden bij Tableau Cloud met een TableauID-account.
Cleartext-asserties: Tableau Cloud ondersteunt geen versleutelde beweringen.
Hernieuwde configuratie van Tableau Bridge vereist: Tableau Bridge ondersteunt SAML-verificatie. Maar voor een wijziging in de verificatie moet de Bridge-client opnieuw worden geconfigureerd. Zie Effecten van het wijzigen van het verificatietype in Tableau Bridge voor informatie.
Vereist ondertekeningsalgoritme: voor alle nieuwe SAML-certificaten, vereist Tableau Cloud het SHA256-ondertekeningsalgoritme (of hoger).
- RSA-sleutel- en ECDSA-curvegroottes: het IdP-certificaat moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.
NameID-kenmerk: Tableau Cloud vereist het NameID-kenmerk in de SAML-reactie.
SAML SSO gebruiken in Tableau-clienttoepassingen
Tableau Cloud-gebruikers met SAML-referenties kunnen zich ook bij hun site aanmelden via Tableau Desktop of de Tableau Mobile-app. Voor de beste compatibiliteit raden we aan dat de versie van de Tableau-clienttoepassing overeenkomt met die van Tableau Cloud.
Om verbinding te maken met Tableau Cloud vanuit Tableau Desktop of Tableau Mobile wordt een door de serviceprovider geïnitieerde verbinding gebruikt.
Geverifieerde gebruikers terugsturen naar Tableau-clients
Wanneer een gebruiker zich aanmeldt bij Tableau Cloud, verzendt Tableau Cloud een SAML-verzoek (AuthnRequest
) naar de IdP, die de waarde RelayState van de Tableau-toepassing omvat. Als de gebruiker is aangemeld bij Tableau Cloud vanuit een Tableau-client zoals Tableau Desktop of Tableau Mobile, is het belangrijk dat de waarde RelayState wordt geretourneerd in de SAML-reactie pons van de IdP naar Tableau.
Wanneer de waarde RelayState in dit scenario niet correct wordt geretourneerd, wordt de gebruiker naar diens Tableau Cloud-startpagina in de webbrowser geleid, in plaats van dat ze worden teruggeleid naar de toepassing waarmee ze zich hebben aangemeld.
Werk samen met uw identiteitsprovider en interne IT-team om te bevestigen dat deze waarde wordt opgenomen als onderdeel van de SAML-reactie van de IdP.
Effecten van het wijzigen van het verificatietype in Tableau Bridge
Wanneer u het verificatietype van de site wijzigt of de IdP aanpast, moeten uitgevers die Tableau Bridge gebruiken voor geplande extractvernieuwingen de client loskoppelen en opnieuw koppelen, en opnieuw verfiëren met de nieuwe methode of IdP-configuratie.
Bij oudere schema's worden alle databronnen verwijderd wanneer u de Bridge-client ontkoppelt. Daarom moet u de vernieuwingsschema's opnieuw instellen. Voor online schema's moet u, nadat u de client opnieuw hebt gekoppeld, de Bridge-clientpool opnieuw configureren.
De wijziging in het verificatietype heeft geen invloed op live Bridge-query's of vernieuwingen die rechtstreeks vanaf de Tableau Cloud-site worden uitgevoerd (zoals voor onderliggende data in de cloud).
We raden aan om Bridge-gebruikers te waarschuwen voor wijzigingen in hun siteverificatie voordat u deze doorvoert. Anders worden ze hiervan op de hoogte gesteld door verificatiefouten die ze van de Bridge-client ontvangen, of wanneer de client opent met een leeg databrongebied.
XML-datavereisten
U configureert SAML met XML-metadatadocumenten die worden gegenereerd door Tableau Cloud en door de IdP. Tijdens het verificatieproces wisselen de IdP en Tableau Cloud verificatie-informatie uit met deze XML-documenten. Als de XML niet aan de vereisten voldoet, kunnen er fouten optreden bij het configureren van SAML of wanneer gebruikers zich proberen aan te melden.
HTTP POST en HTTP REDIRECT: Tableau Cloud ondersteunt HTTP POST- en REDIRECT-verzoeken voor SAML-communicatie. In het XML-document met SAML-metadata dat door de IdP wordt geëxporteerd, kan het kenmerk Binding
worden ingesteld op:
HTTP-POST
HTTP-REDIRECT
HTTP-POST-SimpleSign
Lidmaatschap van dynamische groep met SAML-asserties:
Vanaf
Indien hiervoor geconfigureerd, verzendt de IdP tijdens gebruikersauthenticatie de SAML-bevestiging die twee aangepaste claims voor groepslidmaatschap bevat: voor de groep (https://tableau.com/groups
) en voor groepsnamen (bijvoorbeeld 'Groep1' en 'Groep2') waarin de gebruiker zich moet bevinden. Tableau valideert de bewering en maakt vervolgens toegang mogelijk tot de groepen en de inhoud waarvan de machtigingen afhankelijk zijn van die groepen.
Voorbeeld van een SAML-XML-reactie
<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" ..... ..... <saml2:Assertion ..... ..... xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> <saml2:Attribute Name="https://tableau.com/groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group1 </saml2:AttributeValue> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group2 </saml2:AttributeValue> <saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>