Requisitos do SAML para o Tableau Cloud
Antes de configurar o SAML para o Tableau Cloud, obtenha o que é necessário para atender aos requisitos.
- Requisitos do provedor de identidades (IdP) para a configuração do Tableau
- Notas e requisitos de compatibilidade do SAML
- Usar logon único SAML em aplicativos clientes do Tableau
- Efeitos da alteração do tipo de autenticação no Tableau Bridge
- Requisitos de dados em XML
Requisitos do provedor de identidades (IdP) para a configuração do Tableau
Para configurar o Tableau Cloud para SAML, você precisa do seguinte:
Acesso do administrador ao site do Tableau Cloud. Você deve ter acesso de administrador ao site do Tableau Cloud no qual deseja habilitar o SAML.
Lista de usuários do SSO para acessar o Tableau Cloud. Você deve coletar nomes de usuário para os usuários aos quais você deseja permitir acesso de logon único (SSO) ao Tableau Cloud.
Conta de IdP que suporta SAML 2.0. Você precisa de uma conta com um provedor de identidades externo. Alguns exemplos são PingFederate, SiteMinder e Open AM. O IdP deve aceitar o SAML 2.0. Você deve ter acesso de administrador para essa conta.
SHA256 é usado como algoritmo de assinatura. Desde maio de 2020, o Tableau Cloud bloqueia asserções de IdP e certificados que são assinados com o algoritmo SHA-1.
Provedor IdP compatível com a importação e exportação de metadados XML. Embora um arquivo de metadados criado manualmente possa funcionar, o suporte técnico do Tableau não pode ajudar com a solução de problemas ou a geração do arquivo.
Provedor de IdP que impõe uma idade máxima de token de 24 dias ou menos (2073600 segundos). Se o IdP permitir uma idade máxima de tokens que seja maior do que a configuração de idade máxima no Tableau Cloud (2073600 segundos), então o Tableau Cloud não reconhecerá o token como válido. Nesse cenário, os usuários receberão mensagens de erro (Falha ao entrar. Tente novamente.) ao tentar fazer logon no Tableau Cloud.
SSO com MFA está habilitado. A partir de fevereiro de 2022, a autenticação multifator (MFA) por meio do seu provedor de identidade SSO (IdP) SAML é um requisito do Tableau Cloud.
Importante: além desses requisitos, recomendamos que você dedique uma conta de administrador do site sempre configurada para a TableauID com MFA(O link abre em nova janela). Em caso de um problema com o SAML ou o IdP, uma conta do Tableau dedicada com MFA garante que você sempre terá acesso ao seu site.
Notas e requisitos de compatibilidade do SAML
Iniciada por SP ou IdP: o Tableau Cloud oferece suporte à autenticação SAML iniciada no provedor de identidades (IdP) ou no provedor de serviços (SP).
Logout único (SLO): o Tableau Cloud oferece suporte a SLO iniciado por provedor de serviços (SP) e SLO iniciado por provedor de identidade (IdP).
Observação: para obter a URL do SLO para seu site, baixe e consulte o arquivo XML de metadados que seu site do Tableau Cloud gera. Você pode localizar isso indo até Configurações > Autenticação. No tipo de autenticação SAML, clique em Editar conexão e, em seguida, clique no botão Exportar metadados na etapa 1, método 1.
tabcmd e API REST: para usar o tabcmd ou a API REST(O link abre em nova janela), os usuários devem fazer logon no Tableau Cloud usando uma conta do TableauID.
Asserções criptografadas: o Tableau Cloud oferece suporte a asserções criptografadas ou em texto simples.
Reconfiguração do Tableau Bridge obrigatória: o Tableau Bridge é compatível com a autenticação SAML, mas uma alteração de autenticação requer a reconfiguração do cliente do Bridge. Para obter informações, consulte Efeitos da alteração do tipo de autenticação no Tableau Bridge
Algoritmo de assinatura exigido: para todos os novos certificados SAML, o Tableau Cloudrequer o algoritmo de assinatura SHA256 (ou superior).
- Tamanhos de chave RSA e curva ECDSA: o certificado IdP precisa ter uma força de chave RSA de 2048 ou tamanho de curva ECDSA de 256.
Atributo NameID : o Tableau Cloud requer o atributo NameID na resposta SAML.
Usar logon único SAML em aplicativos clientes do Tableau
Usuários do Tableau Cloud com credenciais SAML também podem fazer logon no site a partir do Tableau Desktop ou do aplicativo Tableau Mobile. Para melhor compatibilidade, recomenda-se que a versão da aplicação do cliente Tableau corresponda àquela do Tableau Cloud.
A conexão com o Tableau Cloud a partir do Tableau Desktop ou do Tableau Mobile usa uma conexão iniciada pelo provedor de serviços.
Redirecionamento de usuários autenticados de volta aos clientes do Tableau
Quando um usuário faz logon no Tableau Cloud, Tableau Cloud envia uma solicitação SAML (AuthnRequest
) para o IdP, que inclui o valor RelayState do aplicativo do Tableau. Se o usuário fez logon no Tableau Cloud a partir de um cliente do Tableau, como Tableau Desktop ou Tableau Mobile, é importante que o valor RelayState seja retornado na resposta SAML do IdP para o Tableau.
Quando o valor RelayState não é retornado corretamente neste cenário, o usuário é direcionado para a página inicial do Tableau Cloud no navegador da Web, em vez de ser redirecionado para o aplicativo no qual fez logon.
Trabalhe com o provedor de identidades e a equipe de TI interna para confirmar se esse valor será incluído como parte da resposta SAML do IdP.
Efeitos da alteração do tipo de autenticação no Tableau Bridge
Quando você altera o tipo de autenticação do site ou modifica o IdP, os publicadores que usam o Tableau Bridge para atualizações de extração agendadas precisarão desvincular e vincular novamente o cliente e autenticar novamente usando o novo método ou configuração de IdP.
Para planejamentos herdados, desvincular o cliente Bridge remove todas as fontes de dados, portanto, você deve configurar os planejamentos de atualização novamente. Para agendamentos online, após revincular o cliente, você deve reconfigurar o pool de clientes do Bridge.
A alteração no tipo de autenticação não afeta as consultas em tempo real do Bridge ou atualizações executadas diretamente do site do Tableau Cloud (como para os dados subjacentes na nuvem).
Recomendamos alertar os clientes do Bridge sobre alterações na autenticação do site antes de executar a ação. Caso contrário, eles serão notificados por meio de erros de autenticação rebebidos do cliente do Bridge, ou quando o cliente abrir uma área de fonte de dados em branco.
Requisitos de dados em XML
Configure o SAML com documentos de metadados XML gerados pelo Tableau Cloud e IdP. Durante o processo de autenticação, o IdP e o Tableau Cloud trocam informações de autenticação usando esses documentos XML. Se o XML não atende aos requisitos, erros podem ocorrer ao configurar o SAML ou quando os usuários tentarem fazer logon.
HTTP POST e HTTP REDIRECT: o Tableau Cloud oferece suporte a solicitações HTTP POST e REDIRECT para comunicações SAML. No documento XML de metadados SAML exportado pelo IdP, o atributo Binding
pode ser definido como:
HTTP-POST
Redirecionamento HTTP
HTTP-POST-SimpleSign
Associação dinâmica a grupos usando asserções SAML:
A partir de
Quando configurado, durante a autenticação do usuário, o IdP envia a asserção SAML que contém duas declarações personalizadas de associação de grupo: grupo (https://tableau.com/groups
) e nomes de grupos (por exemplo, "Grupo1" e "Grupo2") para inserir o usuário. O Tableau valida a declaração e, em seguida, permite o acesso aos grupos e ao conteúdo cujas permissões dependem desses grupos.
Exemplo de resposta SAML XML
<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" ..... ..... <saml2:Assertion ..... ..... xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> <saml2:Attribute Name="https://tableau.com/groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group1 </saml2:AttributeValue> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group2 </saml2:AttributeValue> <saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>