Habilitar autenticação SAML em um site
Este tópico lista como habilitar o SAML no site e selecionar usuários de logon único. Ele também fornece etapas para trocar do SAML para a autenticação do Tableau padrão (também conhecido como TableauID). Antes de habilitar o SAML, recomendamos que revise os Requisitos do SAML para o Tableau Cloud, inclusive os Efeitos da alteração do tipo de autenticação no Tableau Bridge.
Este tópico presume que você tenha familiaridade com as informações disponíveis em Autenticação e Como funciona a autenticação SAML.
Informações de configuração específicas ao IdP
As etapas nas seções posteriores neste tópico oferecem as etapas básicas que você pode usar com a documentação do IdP para configurar o SAML para o site do Tableau Cloud. Você pode obter as etapas de configurações específicas ao IdP para os seguintes IdPs:
Habilitar SAML
Entre no site Tableau Cloud como um administrador de site e selecione Configurações > Autenticação.
Na guia Autenticação, clique no botão Nova configuração, selecione SAML no menu suspenso Autenticação e insira um nome para a configuração.
Observação: Configurações criadas antes de novembro de 2024 (Tableau 2024.3) não podem ser renomeadas.
Etapas de configuração do SAML
Esta seção o guia pelas etapas de configuração que aparecem na guia Autenticação, na página Configurações do Tableau Cloud.
Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.
Acesse seu IdP, faça login em sua conta do IdP e use as instruções fornecidas pela documentação do IdP para baixar os metadados do seu IdP. Os metadados do IdP permitem Tableau Cloud para se conectar ao seu IdP.
Para a etapa 1, a documentação do IdP irá orientá-lo sobre como fornecer metadados ao provedor de serviço. Ela instruirá para você baixar um arquivo SAML de metadados, ou exibirá o código XML. Se exibir o código XML, copie e cole-o em um novo arquivo de texto e salve o arquivo em uma extensão .xml.
Na página Nova configuração no Tableau Cloud, importe o arquivo de metadados (.xml) baixado do IdP ou configurado manualmente no XML, se fornecido.
Observações:
- Após o upload dos metadados do IdP, ambos ID da entidade IdP e URL do serviço SSO do IdP os campos são preenchidos automaticamente.
- Se estiver editando a configuração, você precisará carregar o arquivo de metadados para que o Tableau saiba usar a ID da entidade do IdP e a URL do serviço SSO corretos.
- Você pode usar o botão Limpar metadados do IdP se você precisar carregar um novo arquivo de metadados.
Os atributos contêm autenticação, autorização e outras informações sobre um usuário.
Observação: o Tableau Cloud requer o atributo NameID na resposta SAML. Você pode fornecer outros atributos para mapear nomes de usuário no Tableau Cloud, mas a mensagem de resposta deve incluir o atributo NameID.
Nome do usuário: (obrigatório) insira o nome do atributo que armazena os nomes de usuários.
Endereço de email: (Opcional) insira o nome do atributo que contém o endereço de e-mail que o IdP usa durante o processo de autenticação para permitir que os usuários recebam notificações em um endereço de e-mail diferente do nome de usuário. O atributo de endereço de e-mail é usado apenas para fins de notificação e não para login.
Nome para exibição: (opcional, mas recomendado) alguns IdPs usam atributos separados para nomes e sobrenomes. Outros IdPs usam o nome completo em um atributo.
Selecione o botão que corresponda à maneira que seu IdP armazenar os nomes. Por exemplo, se o IdP combinar o nome e o sobrenome em um atributo, selecione Nome de exibição e insira o nome do atributo.
Selecione o método pelo qual os usuários fazem logon em exibições inseridas. As opções são para abrir uma janela suspensa separada que exibe o formulário de logon do IdP, ou para usar um quadro embutido (iframe).
Importante: como os iframes podem ser vulneráveis a ataques de clickjacking (roubo de cliques), nem todos os IdPs suportam o logon por meio de um iframe. Com o ataque de clickjacking, o invasor tenta fazer com que os usuários cliquem ou entrem em um conteúdo. Eles fazem isso exibindo a página para atacar em uma camada transparente sobre uma página que não tem relação. No Tableau Cloud, um invasor pode tentar capturar as credenciais do usuário ou fazer com que o usuário altere as configurações. Para obter mais informações, consulte Roubo de cliques(O link abre em nova janela) no site Open Web Application Security Project.
Se o seu IdP não for compatível com o logon por meio de um iframe, selecione Autenticar em uma janela suspensa separada.
Para criar a conexão de entre o SAML e seu Tableau Cloud IdP, é necessário trocar os metadados exigidos entre os dois serviços. Para obter metadados do Tableau Cloud, escolha um dos seguintes métodos. Consulte a documentação de configuração de SAML do IdP para confirmar a opção correta.
Selecione o botão Exportar metadados para baixar um arquivo XML que contenha a ID da entidade SAML do Tableau Cloud, URL do Assertion Consumer Service (ACS) e botão o certificado X.509.
Selecione Baixar certificado, se o seu IdP espera as informações necessárias de uma maneira diferente. Por exemplo, se ele deseja que você insira a ID da entidade Tableau Cloud, a URL do ACS e o certificado X.509 em locais separados.
Para a etapa 6, use as instruções fornecidas pela documentação do IdP para enviar os metadados Tableau Cloud.
É altamente recomendável testar a configuração SAML para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de SAML antes de alterar o tipo de autenticação de seus usuários para SAML. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud com o tipo de autenticação SAML configurado.
Se não conseguir fazer login no Tableau Cloud, comece com as etapas de solução de problemas sugeridas na página Autenticação. Se essas etapas não resolverem o problema, consulte Solucionar problemas do SAML.
Selecionar usuários existentes do Tableau Cloud ou novos usuários que você deseja aprovar para logon único.
Quando você adiciona ou importa usuários, também pode especificar o tipo de autenticação deles. Na página Usuários, você pode alterar o tipo de autenticação dos usuários sempre após adicioná-los.
Para obter mais informações, consulte Adicionar usuários a um site ou Importar usuários.
Permitir que os usuários escolham o tipo de autenticação
Quando esta opção é selecionada, somente uma janela pop-up será aceita. Nessa janela pop-up, duas opções de login aparecem onde uma visualização está incorporada: um botão de login que usa autenticação de logon único (SSO) e um link para usar credenciais do Tableau como alternativa.
Dica: com essa opção, os usuários precisam saber qual opção de entrada escolher. Como parte da notificação enviada aos usuários após adicioná-los ao site de logon único, informe-os que tipo de autenticação deve ser usada para uma variedade de cenários de logon. Por exemplo, exibições inseridas, Tableau Desktop, Tableau Bridge, Tableau Mobile e assim por diante.
Tableau com MFA
Essa opção requer que os usuários façam logon usando
Lista de configurações de autenticação
Quando uma opção de configuração específica é selecionada, a maneira como os usuários podem entrar em visualizações incorporadas é determinada pela configuração definida na etapa 6 acima para a configuração nomeada.
Usar a autenticação do Tableau
Se um site estiver configurado para SAML, é possível alterar as definição do site para exigir que alguns ou todos os usuários façam logon usando as credenciais do
Se você não quiser mais que um provedor de identidade gerencie a autenticação de um site, ou exigir que todos os usuários façam logon com as Tableau credenciais do
Se quiser manter o SAML habilitado para alguns usuários, mas quiser exigir que outras pessoas usem o
Para obter mais informações, consulte Definir o tipo de autenticação do usuário.
Altere o tipo de autenticação do site
A partir de novembro de 2024 (Tableau 2024.3), você poderá habilitar vários tipos e métodos de autenticação em um site. Para alterar a autenticação que você deseja disponibilizar no site, ative ou desative as configurações de autenticação.
Faça logon no site do Tableau Cloud como administrador de site.
Selecione Configurações > Autenticação.
Desabilite ou habilite as configurações de autenticação para o site clicando no menu Ações e selecionando Desabilitar ou Habilitar.
Após desabilitar o SAML, os metadados e as informações IdP são preservadas; assim, caso você deseje habilitar não é necessário definir a conexão SAML novamente com o IdP.
Atualizar certificado SAML
O certificado utilizado para metadados do site Tableau é fornecido pelo Tableau e não é configurável. Para atualizar o certificado para SAML você deve carregar um novo certificado para o seu IdP e trocar novamente os metadados com o Tableau Cloud.
Entre no site como um administrador de site e selecione Configurações > Autenticação.
Em Tipos de autenticação, vá para a configuração SAML que deseja atualizar, clique no menu Ações e selecione Editar.
Abra uma nova guia ou janela e entre na sua conta IdP.
Use as instruções fornecidas pela documentação do IdP para carregar um novo certificado SAML.
Baixe o novo arquivo de metadados XML para fornecer ao Tableau Cloud.
Retorne à página Editar configuração no Tableau Cloud e, na etapa 2 de usuário, importe o arquivo de metadados que você baixou do IdP.
Role a página para baixo e clique no botão Salvar e continuar.