กำหนดค่า SAML ด้วย AD FS

คุณสามารถกำหนดค่า Active Directory Federation Services (AD FS) ให้เป็นผู้ให้บริการข้อมูลประจำตัว SAML และเพิ่ม Tableau Cloud ไปยังแอปพลิเคชันแบบลงชื่อเพียงครั้งเดียวที่รองรับของคุณได้ เมื่อคุณผสานรวม AD FS กับ SAML และ Tableau Cloud ผู้ใช้จะสามารถลงชื่อเข้าใช้ Tableau Cloud ได้โดยใช้ข้อมูลเข้าสู่ระบบเครือข่ายมาตรฐานของตนเอง

หมายเหตุ: 

  • ขั้นตอนเหล่านี้จะแสดงแอปพลิเคชันของบุคคลที่สาม และอาจเปลี่ยนแปลงได้ทุกเมื่อโดยที่เราไม่ทราบ หากขั้นตอนที่อธิบายไว้ที่นี่ไม่ตรงกับหน้าจอที่คุณเห็นในบัญชี IdP คุณสามารถใช้ขั้นตอนการกำหนดค่า SAML ทั่วไปและร่วมกับเอกสารประกอบของ IdP ได้
  • ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว SAML SSO (IdP) ของคุณถือเป็นข้อกำหนดของ Tableau Cloud

ข้อกำหนดเบื้องต้น

ก่อนที่คุณจะสามารถกำหนดค่า Tableau Cloud และ SAML ได้ด้วย AD FS สภาพแวดล้อมของคุณต้องมีสิ่งต่อไปนี้

  • เซิร์ฟเวอร์ที่เรียกใช้ Microsoft Windows Server 2008 R2 (หรือใหม่กว่า) ด้วย AD FS 2.0 (หรือใหม่กว่า) และติดตั้ง IIS

  • เราขอแนะนำให้คุณรักษาความปลอดภัยเซิร์ฟเวอร์ AD FS (เช่น การใช้พร็อกซีแบบย้อนกลับ) เมื่อเซิร์ฟเวอร์ AD FS สามารถเข้าถึงได้จากนอกไฟร์วอลล์ Tableau Cloud ก็สามารถเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเข้าสู่ระบบที่โฮสต์โดย AD FS ได้

  • บัญชีผู้ดูแลไซต์ที่ใช้การตรวจสอบสิทธิ์ TableauID หากการลงชื่อเพียงครั้งเดียวของ SAML ไม่สำเร็จ คุณยังสามารถเข้าสู่ระบบ Tableau Cloud ในฐานะผู้ดูแลระบบไซต์ได้

ขั้นตอนที่ 1: ส่งออกข้อมูลเมตาจาก Tableau Cloud

  1. เข้าสู่ระบบ Tableau Cloud เป็นผู้ดูแลไซต์

    หากคุณมีเว็บไซต์มากกว่าหนึ่งรายการสำหรับ Tableau Cloud ให้เลือกเว็บไซต์ที่คุณต้องการเปิดใช้ SAML ในเมนูดรอปดาวน์ของเว็บไซต์

  2. เลือกการตั้งค่า > การตรวจสอบสิทธิ์
  3. ในแท็บการตรวจสอบสิทธิ์ ให้เลือกช่องทำเครื่องหมายเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติม จากนั้นเลือก SAML แล้วคลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น)

    การตั้งค่าการตรวจสอบสิทธิ์

  4. ในส่วนขั้นตอนที่ 1 วิธีการที่ 1: ส่งออกเมตาดาต้า ให้คลิกส่งออกเมตาดาต้าเพื่อดาวน์โหลดไฟล์ XML ที่มี ID เอนทิตี SAML ของ Tableau Cloud, URL บริการผู้บริโภคเพื่อการยืนยัน (ACS) และใบรับรอง X.509

ขั้นตอนที่ 2: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Cloud

การกำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบ Tableau Cloud คือกระบวนการแบบหลายขั้นตอน ซึ่งเริ่มต้นด้วยการนำเข้าไฟล์ข้อมูลเมตา XML ของ Tableau Cloud ไปยัง AD FS

  1. ทำอย่างใดอย่างหนึ่งต่อไปนี้เพื่อเปิดตัวช่วยเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง

  2. Windows Server 2008 R2:

    1. เลือกเมนูเริ่มต้น > ไปยังเครื่องมือสำหรับการดูแลระบบ > AD FS 2.0

    2. ใน AD FS 2.0 ให้คลิกขวาที่โฟลเดอร์ความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องในส่วนความสัมพันธ์ของความน่าเชื่อถือ แล้วคลิกเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง

    Windows Server 2012 R2:

    1. เปิดตัวจัดการเซิร์ฟเวอร์ แล้วคลิกการจัดการ AD FS ในเมนูเครื่องมือ

    2. ในการจัดการ AD FS ให้คลิกเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องในเมนูการดำเนินการ

  3. ในตัวช่วยเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง ให้คลิกเริ่มต้น

  4. ในหน้าเลือกแหล่งข้อมูล ให้เลือกนำเข้าข้อมูลเกี่ยวกับฝ่ายที่เกี่ยวข้องจากไฟล์ แล้วคลิกเรียกดูเพื่อค้นหาไฟล์ข้อมูลเมตา XML ของ Tableau Cloud โดยค่าเริ่มต้น ไฟล์นี้มีชื่อว่า samlspmetadata.xml

  5. คลิกถัดไป แล้วพิมพ์ชื่อและคำอธิบายสำหรับความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องในช่องชื่อที่แสดงและบันทึกในหน้าระบุชื่อที่แสดง

  6. คลิกถัดไปเพื่อข้ามหน้ากำหนดค่าการตรวจสอบสิทธิ์หลายปัจจัยเลย

  7. คลิกถัดไปเพื่อข้ามหน้าเลือกกฎการให้สิทธิ์การออก

  8. คลิกถัดไปเพื่อข้ามหน้าพร้อมเพิ่มความน่าเชื่อถือ

  9. ในหน้าเสร็จสิ้น ให้เลือกช่องทำเครื่องหมายเปิดกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์สำหรับความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องเมื่อตัวช่วยปิด แล้วคลิกปิด

ต่อมา คุณจะทำงานในกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์เพื่อเพิ่มกฎที่รับรองว่าการยืนยันซึ่งส่งโดย AD FS จะตรงกับการยืนยันที่ Tableau Cloud คาดไว้ อย่างน้อยที่สุด Tableau Cloud ต้องมีที่อยู่อีเมล อย่างไรก็ตาม การระบุชื่อและนามสกุลนอกเหนือจากอีเมลจะช่วยให้มั่นใจว่าชื่อผู้ใช้ที่แสดงใน Tableau Cloud เป็นชื่อเดียวกับที่อยู่ในบัญชี AD

  1. ในกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์ ให้คลิกเพิ่มกฎ

  2. ในหน้าเลือกประเภทกฎ ให้เลือกส่งแอตทริบิวต์ LDAP เป็นการอ้างสิทธิ์สำหรับเทมเพลตกฎการอ้างสิทธิ์ แล้วคลิกถัดไป

  3. ในหน้ากำหนดค่ากฎการอ้างสิทธิ์ ให้ป้อนชื่อสำหรับกฎที่เหมาะกับคุณสำหรับชื่อกฎการอ้างสิทธิ์

  4. สำหรับที่เก็บแอตทริบิวต์ ให้เลือก Active Directory และทำการแมปให้เสร็จสิ้นตามที่แสดงด้านล่าง จากนั้นคลิกเสร็จสิ้น

  5. การแมปจะคำนึงถึงตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก รวมถึงต้องสะกดตัวอักษรให้ตรงกันทั้งหมด ดังนั้นโปรดตรวจสอบรายการของคุณอีกครั้ง ตารางนี้แสดงแอตทริบิวต์ทั่วไปและการแมปการอ้างสิทธิ์ ตรวจสอบแอตทริบิวต์ด้วยการกำหนดค่า Active Directory ที่เจาะจง

    หมายเหตุ: Tableau Cloud ต้องใช้แอตทริบิวต์ NameID ในการตอบสนอง SAML คุณสามารถระบุแอตทริบิวต์อื่น ๆ เพื่อแมปชื่อผู้ใช้ใน Tableau Cloud แต่ข้อความตอบกลับจะต้องมีแอตทริบิวต์ NameID อยู่ด้วย

    แอตทริบิวต์ LDAPประเภทการอ้างสิทธิ์ขาออก

    ขึ้นอยู่กับเวอร์ชันของ AD FS:

    ชื่อผู้ใช้หลัก
    หรือ
    ที่อยู่อีเมล

     

    อีเมล
    หรือ
    ที่อยู่อีเมล

    ชื่อfirstName
    นามสกุลlastName

หากคุณเรียกใช้ AD FS 2016 หรือใหม่กว่า คุณต้องเพิ่มกฎเพื่อส่งผ่านค่าการอ้างสิทธิ์ทั้งหมด หากคุณเรียกใช้ AD FS เวอร์ชันเก่ากว่า ให้ข้ามไปยังขั้นตอนถัดไปเพื่อส่งออกข้อมูลเมตา AD FS

  1. คลิกเพิ่มกฎ
  2. ในส่วนเทมเพลตกฎการอ้างสิทธิ์ ให้เลือกส่งผ่านหรือกรองการอ้างสิทธิ์ขาเข้า
  3. ในส่วนชื่อกฎการอ้างสิทธิ์ ให้ป้อน Windows
  4. ในป๊อปอัปแก้ไขกฎ - Windows
    • ในส่วนประเภทการอ้างสิทธิ์ขาเข้า ให้เลือกชื่อบัญชี Windows
    • เลือกส่งผ่านค่าการอ้างสิทธิ์ทั้งหมด
    • คลิกตกลง

ตอนนี้คุณจะส่งออกข้อมูลเมตา AD FS ที่จะนำเข้าไปยัง Tableau Cloud ในภายหลัง คุณจะยังต้องตรวจสอบว่ามีการกำหนดค่าและเข้ารหัสข้อมูลเมตาอย่างถูกต้องสำหรับ Tableau Cloud และตรวจสอบข้อกำหนด AD FS อื่นๆ สำหรับการกำหนดค่า SAML

  1. ส่งออกข้อมูลเมตา AD FS Federation ไปยังไฟล์ XML แล้วดาวน์โหลดไฟล์จาก https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml

  2. เปิดไฟล์ข้อมูลเมตาในเครื่องมือแก้ไขข้อความ เช่น Sublime Text หรือ Notepad++ และตรวจสอบว่ามีการเข้ารหัสไฟล์ดังกล่าวเป็น UTF-8 อย่างถูกต้องโดยไม่มี BOM

    หากไฟล์แสดงประเภทการเข้ารหัสอื่น ให้บันทึกไฟล์จากเครื่องมือแก้ไขข้อความที่มีการเข้ารหัสที่ถูกต้อง

  3. ตรวจสอบว่า AD FS ใช้การตรวจสอบสิทธิ์ตามแบบฟอร์ม การเข้าสู่ระบบจะดำเนินการในหน้าต่างเบราว์เซอร์ คุณจึงต้องเลือก AD FS เป็นค่าเริ่มต้นสำหรับการตรวจสอบสิทธิ์ประเภทนี้

    แก้ไข c:\inetpub\adfs\ls\web.config และค้นหาแท็ก , แล้วย้ายบรรทัดเพื่อให้ปรากฏก่อนในรายการ บันทึกไฟล์เพื่อให้ IIS สามารถโหลดซ้ำโดยอัตโนมัติได้

    หมายเหตุ: หากคุณไม่เห็นไฟล์ c:\inetpub\adfs\ls\web.config ระบบจะไม่ติดตั้งและกำหนดค่า IIS บนเซิร์ฟเวอร์ AD FS ของคุณ

  4. กำหนดค่าตัวระบุฝ่ายที่เกี่ยวข้องของ AD FS เพิ่มเติม ซึ่งช่วยให้ระบบแก้ปัญหา AD FS ด้วยการออกจากระบบ SAML ได้

    ทำอย่างใดอย่างหนึ่งต่อไปนี้:

    Windows Server 2008 R2:

    1. ใน AD FS 2.0 ให้คลิกขวาที่ฝ่ายที่เกี่ยวข้องที่คุณสร้างขึ้นสำหรับ Tableau Cloud เวอร์ชันก่อนหน้า แล้วคลิกพร็อพเพอร์ตี้

    2. ในแท็บตัวระบุ ให้ป้อน https://<tableauservername>/public/sp/metadata ในช่องตัวระบุฝ่ายที่เกี่ยวข้อง แล้วคลิกเพิ่ม

    Windows Server 2012 R2:

    1. ในการจัดการ AD FS ให้คลิกขวาที่ฝ่ายที่เกี่ยวข้องที่คุณสร้างขึ้นสำหรับ Tableau Cloud เวอร์ชันก่อนหน้าในรายการความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง แล้วคลิกพร็อพเพอร์ตี้

    2. ในแท็บตัวระบุ ให้ป้อน https://<tableauservername/public/sp/metadata ในช่องตัวระบุฝ่ายที่เกี่ยวข้อง แล้วคลิกเพิ่ม

    หมายเหตุ: AD FS สามารถใช้กับ Tableau Server สำหรับฝ่ายที่เกี่ยวข้องฝ่ายเดียวไปยังอินสแตนซ์เดียวกันได้ AD FS ไม่สามารถใช้กับฝ่ายที่เกี่ยวข้องหลายฝ่ายไปยังอินสแตนซ์เดียวกันได้ เช่น ไซต์ SAML แบบหลายไซต์หรือการกำหนดค่า SAML ของไซต์และแบบทั่วทั้งเซิร์ฟเวอร์

ขั้นตอนที่ 3: นำเข้าข้อมูลเมตา AD FS ไปยัง Tableau Cloud

  1. ใน Tableau Cloud ให้กลับไปที่การตั้งค่า > การตรวจสอบสิทธิ์

  2. ในขั้นตอนที่ 4. อัปโหลดเมตาดาต้าไปยัง Tableau ให้ระบุชื่อของไฟล์ที่คุณส่งออกจาก AD FS (FederationMetadata.xml) ในช่องไฟล์เมตาดาต้า IdP

  3. ข้ามขั้นตอนที่ 5. จับคู่แอตทริบิวต์

    คุณได้สร้างกฎการอ้างสิทธิ์ใน AD FS ไว้แล้วเพื่อจับคู่ชื่อแอตทริบิวต์กับสิ่งที่ Tableau Cloud คาดหวัง

  4. คลิกที่ปุ่มบันทึกการเปลี่ยนแปลง

  5. จัดการผู้ใช้โดยทำอย่างใดอย่างหนึ่งต่อไปนี้

    • หากคุณยังไม่ได้เพิ่มผู้ใช้ลงในไซต์ของคุณ จากแผงด้านซ้าย ให้ไปที่หน้าของผู้ใช้แล้วคลิกเพิ่มผู้ใช้ คุณสามารถเพิ่มผู้ใช้ด้วยตนเองได้ หรือนำเข้าไฟล์ CSV ที่มีข้อมูลผู้ใช้ หากต้องการข้อมูลเพิ่มเติม โปรดดู เพิ่มผู้ใช้ไปยังไซต์หรือนำเข้าผู้ใช้

    • หากคุณได้เพิ่มผู้ใช้ลงในไซต์ของคุณแล้ว จากแผงด้านซ้าย ให้ไปที่หน้าของผู้ใช้ คลิก “การดำเนินการ” ถัดจากผู้ใช้รายใดรายหนึ่ง แล้วคลิกการตรวจสอบสิทธิ์ เปลี่ยนวิธีการตรวจสอบสิทธิ์เป็น SAML แล้วคลิกปุ่มอัปเดต

  6. (ไม่บังคับ) กลับไปที่หน้าการตรวจสอบสิทธิ์ ทดสอบการเข้าสู่ระบบ SAML ด้านล่างขั้นตอนที่ 7 ทดสอบการกำหนดค่าโดยคลิกที่ปุ่มทดสอบการกำหนดค่า

    เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้

ตอนนี้เว็บไซต์ Tableau Cloud ของคุณพร้อมให้ผู้ใช้เข้าสู่ระบบโดยใช้ AD FS และ SAML แล้ว ผู้ใช้จะยังคงไปที่ https://online.tableau.com แต่หลังจากป้อนชื่อผู้ใช้ แล้ว หน้าเว็บจะเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ AD FS (ตามขั้นตอนการทดสอบแบบไม่บังคับข้างต้น) และแจ้งผู้ใช้ให้ป้อนข้อมูลเข้าสู่ระบบ AD

หมายเหตุ: หากคุณได้รับข้อผิดพลาดเกี่ยวกับการทดสอบการเข้าสู่ระบบ SAML ในขั้นตอนที่ 7. ทดสอบการกำหนดค่า ของขั้นตอนการกำหนดค่า SAML ของ Tableau Cloud ให้คลิกดาวน์โหลดบันทึก และใช้ข้อมูลดังกล่าวเพื่อแก้ปัญหาข้อผิดพลาด

ข้อกำหนดและคำแนะนำเพิ่มเติม

  • หลังจากที่ตั้งค่าการผสานรวม SAML ระหว่าง AD FS และ Tableau Cloud แล้ว คุณต้องอัปเดต Tableau Cloud เพื่อแสดงการเปลี่ยนแปลงของผู้ใช้ที่เฉพาะเจาะจงซึ่งเกิดขึ้นใน Active Directory ตัวอย่างเช่น การเพิ่มหรือนำผู้ใช้ออก

    คุณสามารถเพิ่มผู้ใช้โดยอัตโนมัติหรือด้วยตนเองได้ดังนี้

    • วิธีเพิ่มผู้ใช้โดยอัตโนมัติ: สร้างสคริปต์ (โดยใช้ PowerShell, Python หรือไฟล์ Batch) เพื่อพุชการเปลี่ยนแปลง AD ไปยัง Tableau Cloud โดยสคริปต์ดังกล่าวสามารถใช้ tabcmd หรือ REST API เพื่อโต้ตอบกับ Tableau Cloud ได้

    • วิธีเพิ่มผู้ใช้ด้วยตนเอง: เข้าสู่ระบบTableau Cloud UI เว็บ และไปที่หน้าของผู้ใช้ จากนั้นคลิกเพิ่มผู้ใช้ และป้อนชื่อผู้ใช้ของผู้ใช้หรืออัปโหลดไฟล์ CSV ที่มีข้อมูลของผู้ใช้

    หมายเหตุ: หากคุณต้องการนำผู้ใช้ออกแต่เก็บเนื้อหาที่พวกเขาเป็นเจ้าของเอาไว้ ให้เปลี่ยนเจ้าของเนื้อหาก่อนนำผู้ใช้ออก การลบผู้ใช้จะยังเป็นการลบเนื้อหาที่พวกเขาเป็นเจ้าของด้วยเช่นกัน

  • ใน Tableau Cloud ชื่อผู้ใช้ของผู้ใช้คือตัวระบุที่ไม่ซ้ำของผู้ใช้ ตามที่อธิบายไว้ในขั้นตอนสำหรับการกำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Cloud ชื่อผู้ใช้ Tableau Cloud ของผู้ใช้ ชื่อผู้ใช้ที่จัดเก็บไว้ใน AD

  • ในขั้นตอนที่ 2: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Cloud คุณเพิ่มกฎการอ้างสิทธิ์ใน AD FS แล้วเพื่อจับคู่แอตทริบิวต์ชื่อ นามสกุล และชื่อผู้ใช้ระหว่าง AD FS และ Tableau Cloud หรือคุณสามารถใช้ขั้นตอนที่ 5. จับคู่แอตทริบิวต์ใน Tableau Cloud เพื่อทำแบบเดียวกันได้

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ