Habilitar autenticação SAML em um site ou TCM


Este tópico lista como habilitar o SAML no site ou Tableau Cloud Manager (TCM) e selecionar (SSO) usuários de logon único. Ele também fornece etapas para trocar do SAML para a autenticação padrão do Tableau. Antes de habilitar o SAML, recomendamos que revise os Requisitos do SAML para o Tableau Cloud, inclusive os Efeitos da alteração do tipo de autenticação no Tableau Bridge.

Observação: a habilitação da autenticação SAML para TCM requer uma configuração separada e integração de aplicativo do Tableau Cloud.

Este tópico presume que você tenha familiaridade com as informações disponíveis em Autenticação e Como funciona a autenticação SAML.

Informações de configuração específicas ao IdP

As etapas nas seções posteriores neste tópico oferecem as etapas básicas que você pode usar com a documentação do IdP para configurar o SAML para o site do Tableau Cloud ou TCM. Você pode obter as etapas de configurações específicas ao IdP para os seguintes IdPs:

Habilitar SAML

Para o Tableau Cloud

  1. Entre no site Tableau Cloud como um administrador de site e selecione Configurações > Autenticação.

  2. Na guia Autenticação, clique no botão Nova configuração, selecione SAML no menu suspenso Autenticação e insira um nome para a configuração.

    Captura de tela das configurações de autenticação do site do Tableau Cloud – nova página de configuração

    Observação: As configurações criadas antes de janeiro de 2025 (Tableau 2024.3) não podem ser renomeadas.

Para TCM

Como alternativa, no TCM, faça o seguinte:

  1. Entre no TCM como um administrador de nuvem e selecione Configurações > Autenticação.

  2. Selecione a caixa de seleção Habilitar um método de autenticação adicional e SAML no menu suspenso Autenticação.

  3. Clique na seta suspensa Configuração (obrigatório).

Etapas de configuração do SAML

Esta seção o guia pelas etapas de configuração que aparecem na guia Autenticação, na página Configurações do Tableau Cloud ou TCM.

Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.

Etapa 1: exportar metadados do IdP

Acesse seu IdP, faça login em sua conta do IdP e use as instruções fornecidas pela documentação do IdP para baixar os metadados do seu IdP. Os metadados do IdP permitem Tableau Cloud ou TCM para se conectar ao seu IdP.

Para a etapa 1, a documentação do IdP irá orientá-lo sobre como fornecer metadados ao provedor de serviço. Ela instruirá para você baixar um arquivo SAML de metadados, ou exibirá o código XML. Se exibir o código XML, copie e cole-o em um novo arquivo de texto e salve o arquivo em uma extensão .xml.

Etapa 2: carregar metadados para o Tableau

Para o Tableau Cloud, na página Nova configuração no Tableau Cloud, importe o arquivo de metadados (.xml) baixado do IdP ou configurado manualmente no XML, se fornecido.

Para TCM, na página Autenticação no TCM, importe o arquivo de metadados (.xml) baixado do IdP ou configurado manualmente no XML, se fornecido.

Observações: 

  • Após o upload dos metadados do IdP, ambos ID da entidade IdP e URL do serviço SSO do IdP os campos são preenchidos automaticamente.
  • Se estiver editando a configuração, você precisará carregar o arquivo de metadados para que o Tableau saiba usar a ID da entidade do IdP e a URL do serviço SSO corretos.
  • Você pode usar o botão Limpar metadados do IdP se você precisar carregar um novo arquivo de metadados.
Etapa 3: atributos do mapa

Os atributos contêm autenticação, autorização e outras informações sobre um usuário.

Observação: o Tableau Cloud ou TCM requer o atributo NameID na resposta SAML. Você pode fornecer outros atributos para mapear nomes de usuário no Tableau, mas a mensagem de resposta deve incluir o atributo NameID.

  • Nome do usuário: (obrigatório) insira o nome do atributo que armazena os nomes de usuários.

  • Endereço de email: (Opcional) insira o nome do atributo que contém o endereço de e-mail que o IdP usa durante o processo de autenticação para permitir que os usuários recebam notificações em um endereço de e-mail diferente do nome de usuário. O atributo de endereço de e-mail é usado apenas para fins de notificação e não para login.

  • Nome para exibição: (opcional, mas recomendado) alguns IdPs usam atributos separados para nomes e sobrenomes. Outros IdPs usam o nome completo em um atributo.

    Selecione o botão que corresponda à maneira que seu IdP armazenar os nomes. Por exemplo, se o IdP combinar o nome e o sobrenome em um atributo, selecione Nome de exibição e insira o nome do atributo.

    Captura de tela da etapa 5 para configurar SAML de site para Tableau Cloud - Mapa correspondentes

Etapa 4: escolha o padrão para exibições incorporadas

Observação: se aplica somente ao Tableau Cloud.

Selecione o método pelo qual os usuários fazem logon em exibições inseridas. As opções são para abrir uma janela suspensa separada que exibe o formulário de logon do IdP, ou para usar um quadro embutido (iframe).

Importante: como os iframes podem ser vulneráveis a ataques de clickjacking (roubo de cliques), nem todos os IdPs suportam o logon por meio de um iframe. Com o ataque de clickjacking, o invasor tenta fazer com que os usuários cliquem ou entrem em um conteúdo. Eles fazem isso exibindo a página para atacar em uma camada transparente sobre uma página que não tem relação. No Tableau Cloud, um invasor pode tentar capturar as credenciais do usuário ou fazer com que o usuário altere as configurações. Para obter mais informações, consulte Roubo de cliques(O link abre em nova janela) no site Open Web Application Security Project.

Se o seu IdP não for compatível com o logon por meio de um iframe, selecione Autenticar em uma janela suspensa separada.

Etapa 4: obter metadados do Tableau (TCM)

Para criar a conexão de entre o SAML TCM e seu IdP, é necessário trocar os metadados exigidos entre os dois serviços. Para obter metadados do TCM, escolha um dos seguintes métodos. Consulte a documentação de configuração de SAML do IdP para confirmar a opção correta.

  • Selecione o botão Exportar metadados para baixar um arquivo XML que contenha a ID da entidade SAML do Tableau Cloud, URL do Assertion Consumer Service (ACS) e botão o certificado X.509.

  • Selecione Baixar certificado, se o seu IdP espera as informações necessárias de uma maneira diferente. Por exemplo, se ele deseja que você insira a ID da entidade Tableau Cloud, a URL do ACS e o certificado X.509 em locais separados.

Etapa 5: obter metadados do Tableau (Tableau Cloud)

Para criar a conexão de entre o SAML e seu Tableau Cloud IdP, é necessário trocar os metadados exigidos entre os dois serviços. Para obter metadados do Tableau Cloud, escolha um dos seguintes métodos. Consulte a documentação de configuração de SAML do IdP para confirmar a opção correta.

  • Selecione o botão Exportar metadados para baixar um arquivo XML que contenha a ID da entidade SAML do Tableau Cloud, URL do Assertion Consumer Service (ACS) e botão o certificado X.509.

  • Selecione Baixar certificado, se o seu IdP espera as informações necessárias de uma maneira diferente. Por exemplo, se ele deseja que você insira a ID da entidade Tableau Cloud, a URL do ACS e o certificado X.509 em locais separados.

    Diretrizes para exportar ou copiar metadados do Tableau Cloud.

Etapa 5: configurar o IdP(TCM)

Para a etapa 5, use as instruções fornecidas pela documentação do IdP para enviar os metadados do TCM.

Etapa 6: configurar IdP (Tableau Cloud)

Para a etapa 6, use as instruções fornecidas pela documentação do IdP para enviar os metadados Tableau Cloud.

Etapa 6: testar a configuração e solucionar problemas de SAML (TCM)

É altamente recomendável testar a configuração SAML para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de SAML antes de alterar o tipo de autenticação de seus usuários para SAML. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud ou TCM com o tipo de autenticação SAML configurado.

Se não conseguir fazer login no TCM, comece com as etapas de solução de problemas sugeridas na página Autenticação. Se essas etapas não resolverem o problema, consulte Solucionar problemas do SAML.

Etapa 7: testar a configuração e solucionar problemas de SAML (Tableau Cloud)

É altamente recomendável testar a configuração SAML para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de SAML antes de alterar o tipo de autenticação de seus usuários para SAML. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud ou TCM com o tipo de autenticação SAML configurado.

Se não conseguir fazer login no Tableau Cloud, comece com as etapas de solução de problemas sugeridas na página Nova configuração. Se essas etapas não resolverem o problema, consulte Solucionar problemas do SAML.

Gerenciar usuários

Selecionar os usuários atuais do Tableau Cloud ou TCM, ou adicionar novos usuários que você deseja aprovar para logon único.

Quando você adiciona ou importa usuários, também pode especificar o tipo de autenticação deles. Na página Usuários, você pode alterar o tipo de autenticação dos usuários sempre após adicioná-los.

Para obter mais informações, consulte uma das alternativas a seguir:

Tipo de autenticação padrão para exibições inseridas

Observação: se aplica somente ao Tableau Cloud.

  • Permitir que os usuários escolham o tipo de autenticação

    Quando esta opção é selecionada, somente uma janela pop-up será aceita. Nessa janela pop-up, duas opções de login aparecem onde uma visualização está incorporada: um botão de login que usa autenticação de logon único (SSO) e um link para usar credenciais do Tableau como alternativa.

    Dica: com essa opção, os usuários precisam saber qual opção de entrada escolher. Como parte da notificação enviada aos usuários após adicioná-los ao site de logon único, informe-os que tipo de autenticação deve ser usada para uma variedade de cenários de logon. Por exemplo, exibições inseridas, Tableau Desktop, Tableau Bridge, Tableau Mobile e assim por diante.

  • Tableau com MFA

    Essa opção requer que os usuários façam logon usando Tableau, mesmo se o SAML estiver habilitado no site. Fazer logon no Tableau com MFA exige que os usuários definam um método de verificação para confirmar a identidade sempre que fizerem logon no Tableau Cloud. Para obter mais informações, consulte Autenticação multifatorial e Tableau Cloud.

  • Lista de configurações de autenticação

    Quando uma opção de configuração específica é selecionada, a maneira como os usuários podem entrar em visualizações incorporadas é determinada pela configuração definida na etapa 6 acima para a configuração nomeada.

Usar a autenticação do Tableau

Se um site ou locatário estiver configurado para SAML, é possível alterar as definição do para exigir que alguns ou todos os usuários façam logon usando as credenciais do Tableau.

  • Se você não quiser mais que um provedor de identidade gerencie a autenticação , ou exigir que todos os usuários façam logon com as credenciais do Tableau, é possível alterar o tipo de autenticação no nível do site ou locatário. Consulte a seção Altere o tipo de autenticação do site, abaixo.

  • Se quiser manter o SAML habilitado para alguns usuários, mas quiser exigir que outras pessoas usem o Tableau, você pode alterar o tipo de autenticação no nível do usuário. Para obter mais informações, consulte Definir o tipo de autenticação do usuário.

Altere o tipo de autenticação do site

Para o Tableau Cloud

A partir de janeiro de 2025 (Tableau 2024.3), você poderá habilitar vários tipos e métodos de autenticação em um site. Para alterar a autenticação que você deseja disponibilizar no site, ative ou desative as configurações de autenticação.

  1. Faça logon no site do Tableau Cloud como administrador de site.

  2. Selecione Configurações > Autenticação.

  3. Desabilite ou habilite as configurações de autenticação para o site clicando no menu Ações e selecionando Desabilitar ou Habilitar.

Após desabilitar o SAML, os metadados e as informações IdP são preservadas; assim, caso você deseje habilitar não é necessário definir a conexão SAML novamente com o IdP.

Para TCM

  1. Entre no TCM como um administrador de nuvem.

  2. Selecione Configurações > Autenticação.

  3. Desmarque a caixa de seleção Habilite um método de autenticação adicional.

Atualizar certificado SAML

O certificado utilizado para metadados do site Tableau é fornecido pelo Tableau e não é configurável. Para atualizar o certificado para SAML você deve carregar um novo certificado para o seu IdP e trocar novamente os metadados com o Tableau Cloud.

Para o Tableau Cloud

  1. Entre no site como um administrador de site e selecione Configurações > Autenticação.

  2. Em Tipos de autenticação, vá para a configuração SAML que deseja atualizar, clique no menu Ações e selecione Editar.

  3. Abra uma nova guia ou janela e entre na sua conta IdP.

  4. Use as instruções fornecidas pela documentação do IdP para carregar um novo certificado SAML.

  5. Baixe o novo arquivo de metadados XML para fornecer ao Tableau Cloud.

  6. Retorne à página Editar configuração no Tableau Cloud e, na etapa 2 de usuário, importe o arquivo de metadados que você baixou do IdP.

  7. Role a página para baixo e clique no botão Salvar e continuar.

Para TCM

  1. Entre no TCM como um administrador de nuvem e selecione Configurações > Autenticação.

  2. No menu suspenso Autenticação, selecione SAML > Configuração (obrigatório).

  3. Abra uma nova guia ou janela e entre na sua conta IdP.

  4. Use as instruções fornecidas pela documentação do IdP para carregar um novo certificado SAML.

  5. Baixe o novo arquivo de metadados XML para fornecer ao TCM.

  6. Retorne à página Autenticação no TCM, na etapa 2 de usuário, importe o arquivo de metadados que você baixou do IdP.

  7. Role a página para baixo e clique no botão Salvar e continuar.

Personalizar e controlar o acesso aos dados usando atributos de usuário

Os atributos de usuário são metadados de usuário definidos pela sua organização. Os atributos de usuário podem ser usados para determinar o acesso em um modelo de autorização típico de controle de acesso baseado em atributos (ABAC). Os atributos de usuário podem ser qualquer aspecto do perfil do usuário, incluindo cargos, associação departamental, nível de gerenciamento etc. Eles também podem estar associados a contextos de usuário de tempo de execução, como onde o usuário está conectado ou sua preferência de idioma.

Ao incluir atributos do usuário em seu fluxo de trabalho, você pode controlar e personalizar a experiência do usuário por meio de acesso e personalização de dados.

  • Acesso aos dados: os atributos do usuário podem ser usados para impor políticas de segurança de dados. Isso garante que os usuários vejam apenas as informações que estão autorizados a ver.
  • Personalização: ao passar atributos de usuário como localização e função, seu conteúdo pode ser personalizado para exibir apenas as informações relevantes para o usuário que o acessa, facilitando a localização das informações de que precisa.

Resumo das etapas para passar atributos de usuário

O processo de habilitar atributos de usuário em um fluxo de trabalho é resumido nas seguintes etapas:

  1. Habilitar a configuração de atributos de usuário
  2. Incluir atributos de usuário na asserção
  3. Verificar se o autor do conteúdo inclui funções de atributo de usuário e filtros relevantes
  4. Revisar o conteúdo

Etapa 1: habilitar a configuração de atributos de usuário

Por motivos de segurança, os atributos de usuário só são validados em um fluxo de trabalho de autenticação quando a configuração de atributo de usuário é habilitada por um administrador de site.

  1. Entre no Tableau Cloud e clique em Configurações > Autenticação.

  2. No título Controlar o acesso do usuário nos fluxos de trabalho de autenticação, marque a caixa de seleção Habilitar a captura de atributos de usuário em fluxos de trabalho de autenticação.

Para obter informações sobre configurações do site, consulte Controle o acesso do usuário em fluxos de trabalho de autenticação.

Etapa 2: incluir o atributo de usuário na asserção

Certifique-se de que a asserção contenha os atributos de usuário.

Observação: os atributos na resposta SAML estão sujeitos ao limite de 4096 caracteres, com exceção dos atributos scope ou scp. Se os atributos na resposta, incluindo os atributos do usuário, excederem esse limite, o Tableau vai remover os atributos e passar o atributo ExtraAttributesRemoved. O autor do conteúdo pode então criar um cálculo com o atributo ExtraAttributesRemoved para determinar como exibir o conteúdo aos usuários quando o atributo for detectado.

Exemplo

Suponha que você tenha um funcionário, Fred Suzuki, que é um gerente localizado na região Sul. Você quer garantir que, quando Fred revisar relatórios, ele só consiga ver os dados da região Sul. Em um cenário como este, você pode incluir o atributo de usuário Region na resposta SAML, como no exemplo abaixo.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Etapa 3: verificar se o autor do conteúdo inclui funções de atributo

Verifique se o autor do conteúdo inclui as funções de atributo do usuário e filtros relacionados para controlar quais dados podem ser exibidos em seu conteúdo. Para garantir que as asserções de atributo do usuário sejam passadas para o Tableau, o conteúdo deve conter uma das seguintes funções de atributo do usuário:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

A função usada pelo autor de conteúdo depende se os atributos do usuário devem retornar um único valor ou vários. Para obter mais informações sobre essas funções e exemplos de cada uma, consulte Funções do usuário(O link abre em nova janela) na Ajuda do Tableau.

Observações:

  • Visualização do conteúdo com essas funções não está disponível durante a criação no Tableau Desktop ou Tableau Cloud. A função retornará NULL ou FALSE. Para garantir que as funções do usuário funcionem conforme o esperado, recomendamos que o autor revise as funções após disponibilizar o conteúdo.
  • Para garantir que o conteúdo seja renderizado conforme o esperado, o autor do conteúdo pode considerar a inclusão de um cálculo que use ExtraAttributesRemoved que 1) verifica esse atributo e 2) determina o que fazer com o conteúdo se ele existir, como exibir uma mensagem. O Tableau só adicionará o atributo ExtraAttributesRemoved e removerá todos os outros atributos (exceto scp ou scope) quando os atributos no SAML XML excederem 4096 caracteres. Isso é para garantir o desempenho ideal e respeitar as limitações de armazenamento.

Exemplo

Continuando o exemplo introduzido na Etapa 2: incluir o atributo de usuário na asserção acima, para passar a asserção de atributo de usuário “Region” para uma pasta de trabalho, o autor pode incluir USERATTRIBUTEINCLUDES. Por exemplo, USERATTRIBUTEINCLUDES('Region', [Region]), onde “Region” é o atributo do usuário e [Region] é uma coluna nos dados. Usando o novo cálculo, o autor pode criar uma tabela com dados de Gerente e Vendas. Quando o cálculo é adicionado, a pasta de trabalho retorna os valores “False” conforme esperado.

Para mostrar apenas os dados associados à região Sul na pasta de trabalho inserida, o autor pode criar um filtro e personalizá-lo para mostrar valores quando a região Sul for “True”. Quando o filtro é aplicado, a pasta de trabalho fica em branco, conforme esperado, porque a função está retornando valores “False” e o filtro é personalizado para mostrar apenas valores “True”.

Etapa 4: revisar o conteúdo

Revise e valide o conteúdo.

Exemplo

Para concluir o exemplo da Etapa 3: verificar se o autor do conteúdo inclui funções de atributo acima, você pode ver que os dados de vendas na exibição são personalizados para Fred Suzuki porque o contexto de usuário dele é a região Sul.

Os gerentes das regiões representadas na pasta de trabalho devem ver o valor associado à sua região. Por exemplo, Sawdie Pawthorne, da região Oeste, vê dados específicos para sua região.

Os gerentes cujas regiões não estão representadas na pasta de trabalho verão uma pasta de trabalho em branco.

Problemas conhecidos e limitações

Existem alguns problemas conhecidos e limitações que você deve considerar ao trabalhar com funções de atributo do usuário.

Imagens em branco usando a API REST do Tableau

As solicitações da API REST do Tableau Consultar imagem de visualização(O link abre em nova janela), Consultar imagem da pasta de trabalho(O link abre em nova janela) e Obter imagem de exibição personalizada(O link abre em nova janela) produzem imagens em branco.

Limitações

  • As funções de atributo do usuário em fontes de dados publicadas (.pds) não são compatíveis.
  • As funções de atributo do usuário em fluxos de trabalho do Tableau Bridge não são compatíveis.

Consulte também

Acessar sites de clientes conectados

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!