SAML-krav för Tableau Cloud

Skaffa det du behöver för att uppfylla kraven innan du konfigurerar SAML för Tableau Cloud.

Krav på identitetsleverantör (IdP) för konfiguration av Tableau

För att konfigurera Tableau Cloud för SAML behöver du följande:

  • Administratörsåtkomst till Tableau Cloud-platsen. Du måste ha administratörsbehörighet till den Tableau Cloud-plats du vill aktivera SAML på.

  • Lista över användare som kommer att använda enkel inloggning för att komma åt Tableau Cloud. Du bör sammanställa -användarnamnen till de användare som du vill tillåta enkel inloggning till Tableau Cloud för.

  • IdP-konto som stöder SAML 2.0. Du behöver ett konto hos en extern identitetsleverantör. Några exempel är PingFederate, SiteMinder och Open AM. IdP måste stödja SAML 2.0. Du måste ha administratörsåtkomst till det kontot.

  • SHA256 används som signeringsalgoritm. Från och med maj 2020 blockerar Tableau Cloud IdP-bekräftelser och certifikat som är signerade med SHA-1-algoritmen.

  • IdP-leverantör som stöder import och export av XML-metadata. Även om en manuellt skapad metadatafil kan fungera, kan Tableaus tekniska support inte hjälpa till att generera filen eller felsöka den.

  • IdP-leverantör som tillämpar en maximal tokenlivslängd på 24 dagar eller mindre (2 073 600 sekunder). Om IdP tillåter en maximal tokenlivslängd som är en längre tid än den maximala livslängden som är inställd i Tableau Cloud (2 073 600 sekunder) identifierar Tableau Cloud inte token som giltig. Om detta inträffar får användarna felmeddelanden (Inloggningen misslyckades. Försök igen.) när de försöker logga in på Tableau Cloud.

  • Enkel inloggning med flerfaktorsautentisering är aktiverat. Från och med februari 2022 krävs flerfaktorsautentisering (MFA) via er SAML-identitetsprovider (IdP) för enkel inloggning för Tableau Cloud.

    Viktigt: Utöver dessa krav rekommenderar vi att ett konto skapas med behörighet som platsadministratör och som alltid är konfigurerat för TableauID med flerfaktorsautentisering(Länken öppnas i ett nytt fönster). I händelse av problem med SAML eller IdP säkerställer ett dedikerat Tableau-konto med flerfaktorsautentisering att du alltid har tillgång till platsen.

     

Anteckningar och krav för SAML-kompatibilitet

  • Serviceleverantör eller IdP initierad: Tableau Cloud stöder SAML-autentisering som börjar hos identitetsleverantören (IdP) eller serviceleverantören.

  • Enkel utloggning (SLO): Tableau Cloud har stöd för enkel utloggning som initieras av både serviceleverantören och identitetsleverantören.

    Obs! Hämta SLO-URL:en för platsen genom att ladda ner och hänvisa till XML-metadatafilen som Tableau Cloud-platsen genererar. Du hittar filen genom att gå till Inställningar > Autentisering. Under autentiseringstypen SAML klickar du på listrutan Konfiguration (obligatoriskt) och sedan på knappen Exportera metadata under steg 1, metod 1.

  • tabcmd och REST API: För att använda tabcmd eller REST API(Länken öppnas i ett nytt fönster)måste användarna logga in på Tableau Cloud med ett TableauID-konto.

  • Krypterade intyg: Tableau Cloud stöder antingen klartext eller krypterade intyg.

  • Omkonfiguration av Tableau Bridge krävs: Tableau Bridge stöder SAML-autentisering, men en autentiseringsändring kräver omkonfiguration av Bridge-klienten. Mer information finns i Resultat av att ändra autentiseringstypen i Tableau Bridge.

  • Obligatorisk signaturalgoritm: Tableau Cloud kräver signaturalgoritmen SHA256 (eller senare) för alla nya SAML-certifikat.

  • RSA-nyckel och ECDSA-kurvstorlekar: IdP-certifikatet måste ha antingen en RSA-nyckelstyrka på 2048 eller en ECDSA-kurvstorlek på 256.
  • Attributet NameID: Tableau Cloud kräver attributet NameID i SAML-svaret.

Använda enkel inloggning för SAML i Tableau-klientprogram

Tableau Cloud-användare med SAML-inloggningsuppgifter kan även logga in på sin plats från Tableau Desktop eller Tableau Mobile-appen. För bästa kompatibilitet rekommenderar vi att versionen av Tableaus klientprogram är densamma som för Tableau Cloud.

Vid anslutning till Tableau Cloud från Tableau Desktop eller Tableau Mobile används en anslutning som initierats av serviceleverantören.

Omdirigera autentiserade användare tillbaka till Tableau-klienter

När en användare loggar in på Tableau Cloud, skickar Tableau Cloud en SAML-begäran (AuthnRequest) till identitetsleverantören, som inkluderar Tableau-applikationens RelayState-värde. Om användaren har loggat in på Tableau Cloud från en Tableau-klient såsom Tableau Desktop eller Tableau Mobile, är det viktigt att RelayState-värdet returneras inom identitetsleverantörens SAML-svar tillbaka till Tableau.

När RelayState-värdet inte returneras korrekt i det här scenariot skickar användaren till sin Tableau Cloud-startsida i webbläsaren, istället för att omdirigeras tillbaka till programmet de loggade in från.

Arbeta med identitetsleverantören och det interna IT-teamet för att bekräfta att det här värdet inkluderas som en del av identitetsleverantörens SAML-svar.

Resultat av att ändra autentiseringstypen i Tableau Bridge

När du ändrar platsens autentiseringstyp eller byter identitetsleverantör måste utgivare som använder Tableau Bridge för schemalagda extraktuppdateringar ta bort länken till Bridge-klienten och lägga till den igen för att sedan autentisera om med den nya metoden eller den nya identitetsleverantören.

För äldre scheman tas alla datakällor bort när länken till Bridge-klienten tas bort, därför måste du ställa in uppdateringsscheman igen. För onlinescheman måste du konfigurera om Bridge-klientpoolen när du har länkat om klienten.

Att ändra autentiseringstyp påverkar inte livefrågor i Bridge eller uppdateringar som körs direkt från Tableau Cloud-platsen (t.ex. för underliggande data i molnet).

Vi rekommenderar att du meddelar Bridge-användare om ändringar av platsautentisering innan du implementerar dem. Annars kommer de att märka det genom autentiseringsfel från Bridge-klienten eller när klienten öppnas med ett tomt datakällsområde.

XML-datakrav

SAML konfigureras med XML-metadatadokument som genereras av Tableau Cloud och av IdP. Under autentiseringsprocessen utbyter IdP och Tableau Cloud autentiseringsinformation med hjälp av dessa XML-dokument. Om XML inte uppfyller kraven kan fel uppstå när du konfigurerar SAML eller när användare försöker logga in.

HTTP POST och HTTP REDIRECT: Tableau Cloud har stöd för HTTP POST- och REDIRECT-förfrågningar för SAML-kommunikation. I XML-metadatadokument för SAML, som exporteras av identitetsprovidern, kan attributet Binding ställas in på följande:

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

Dynamiskt gruppmedlemskap med SAML-kontroller:

Från och med juni 2024 (Tableau 2024.2) kan du dynamiskt styra gruppmedlemskap genom anpassade anspråk som ingår i SAML XML-svaret som skickas av identitetsprovidern, förutsatt att SAML är konfigurerad och funktionsinställningen är aktiverad.

När den är konfigurerad skickar identitetsprovidern SAML-kontrollen som innehåller två anpassade gruppmedlemskapsanspråk under användarautentiseringen: grupp (https://tableau.com/groups) och gruppnamn (till exempel ”Group1” och ”Group2”) att tilldela användaren till. Tableau validerar kontrollen och möjliggör sedan åtkomst till grupperna och innehållet vars behörigheter är beroende av dessa grupper.

Mer information finns i Dynamiskt gruppmedlemskap med intyg .

Exempel på SAML XML-svar

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
Tack för din feedback!Din feedback har skickats in. Tack!