กำหนดค่า SAML ด้วย Okta

หากคุณใช้ Okta เป็นผู้ให้บริการข้อมูลประจำตัว SAML (IdP) ของคุณ คุณสามารถใช้ข้อมูลในหัวข้อนี้เพื่อตั้งค่าการตรวจสอบสิทธิ์ SAML สำหรับไซต์ Tableau Cloud ได้ คุณยังสามารถดูหัวข้อวิธีกำหนดค่า SAML 2.0 สำหรับ Tableau Cloud(ลิงก์จะเปิดในหน้าต่างใหม่) ในเอกสารประกอบของ Okta ได้อีกด้วย

การผสานรวม SAML ของ Tableau Cloud กับ Okta รองรับ SSO ที่เริ่มต้นโดยผู้ให้บริการ (SP), ผู้ให้บริการข้อมูลประจำตัว (IdP) ที่เริ่มต้นโดย SSO และการออกจากระบบเพียงครั้งเดียว (SLO)

หมายเหตุ: 

  • ขั้นตอนเหล่านี้จะแสดงแอปพลิเคชันของบุคคลที่สาม และอาจเปลี่ยนแปลงได้ทุกเมื่อโดยที่เราไม่ทราบ หากขั้นตอนที่อธิบายไว้ที่นี่ไม่ตรงกับหน้าจอที่คุณเห็นในบัญชี IdP คุณสามารถใช้ขั้นตอนการกำหนดค่า SAML ทั่วไปและร่วมกับเอกสารประกอบของ IdP ได้
  • ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว SAML SSO (IdP) ของคุณถือเป็นข้อกำหนดของ Tableau Cloud

ขั้นตอนที่ 1: เปิดการตั้งค่า SAML ของ Tableau Cloud

หากต้องการกำหนดค่าแอปพลิเคชัน Okta คุณจะต้องใช้ข้อมูลในการตั้งค่า SAML ของ Tableau Cloud

  1. เข้าสู่ระบบเว็บไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลเว็บไซต์ แล้วเลือก การตั้งค่า > การรับรองสิทธิ์

  2. ในแท็บการตรวจสอบสิทธิ์ ให้เลือกช่องทำเครื่องหมายเปิดใช้วิธีการตรวจสอบสิทธิ์เพิ่มเติม จากนั้นเลือก SAML แล้วคลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น)

    ภาพหน้าจอของหน้าการตั้งค่าการตรวจสอบสิทธิ์เว็บไซต์ Tableau Cloud

ขั้นตอนที่ 2: เพิ่ม Tableau Cloud ไปยังแอปพลิเคชัน Okta

ขั้นตอนที่อธิบายไว้ในส่วนนี้ดำเนินการในคอนโซลผู้ดูแล Okta

  1. เปิดเบราว์เซอร์ใหม่ แล้วเข้าสู่ระบบคอนโซลผู้ดูแล Okta

  2. จากแผงด้านซ้าย ให้เลือกแอปพลิเคชัน > แอปพลิเคชัน และคลิกปุ่มเรียกดูแคตตาล็อกแอป

  3. ค้นหาและคลิก "Tableau Cloud" จากนั้นคลิกปุ่มเพิ่มการผสานรวม การดำเนินการนี้จะเป็นการเปิดแท็บการตั้งค่าทั่วไป

  4. (ไม่บังคับ) หากคุณมีไซต์ Tableau Cloud มากกว่าหนึ่งรายการ ให้แก้ไขชื่อไซต์ในฟิลด์ป้ายกำกับแอปพลิเคชัน เพื่อช่วยคุณแยกแยะระหว่างอินสแตนซ์แอปพลิเคชัน Tableau Cloud ของคุณ

ขั้นตอนที่ 3: กำหนดค่า SAML

ขั้นตอนที่อธิบายไว้ในส่วนนี้จะดำเนินการทั้งในคอนโซลผู้ดูแล Okta และการตั้งค่าการกำหนดค่า SAML ของ Tableau Cloud

  1. ในคอนโซลผู้ดูแล Okta ให้คลิกแท็บการมอบหมายเพื่อเพิ่มผู้ใช้หรือกลุ่มของคุณ

  2. เมื่อเสร็จแล้ว ให้คลิกเสร็จสิ้น

  3. คลิกลงชื่อเข้าใช้ และในส่วนการตั้งค่า ให้คลิกแก้ไข

  4. (ไม่บังคับ) หากคุณต้องการเปิดใช้งานการออกจากระบบเพียงครั้งเดียว (SLO) ให้ทำดังต่อไปนี้

    1. เลือกช่องทำเครื่องหมายการออกจากระบบเพียงครั้งเดียว

    2. คัดลอกค่า “URL การออกจากระบบเพียงครั้งเดียว” จากไฟล์เมตาดาต้าของ Tableau Cloud ตัวอย่างเช่น <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/> หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดค่าการออกจากระบบเพียงครั้งเดียวโดยใช้ SAML กับ Okta(ลิงก์จะเปิดในหน้าต่างใหม่) ในฐานความรู้ของ Tableau

    3. ในกล่องข้อความการตั้งค่าการลงชื่อเข้าใช้ขั้นสูง ให้ป้อนค่าที่คุณคัดลอกไว้ในขั้นตอน b

    4. กลับไปที่การตั้งค่าการกำหนดค่า SAML สำหรับ Tableau Cloud ในส่วนที่ 1. ส่งออกเมตาดาต้าจาก Tableau Cloud คลิกปุ่มดาวน์โหลดใบรับรอง

    5. กลับไปที่คอนโซลผู้ดูแล Okta ถัดจากใบรับรองการลงนาม คลิกเรียกดู และไปยังไฟล์ที่คุณดาวน์โหลดในขั้นตอน d

    6. เลือกไฟล์และคลิกปุ่มอัปโหลด

    7. เมื่อเสร็จแล้ว ให้คลิกบันทึก

  5. กลับไปที่การตั้งค่าการกำหนดค่า SAML สำหรับ Tableau Cloud ภายใต้ขั้นตอนที่ 1 วิธีการที่ 2: คัดลอกเมตาดาต้าและดาวน์โหลดใบรับรอง คัดลอก ID เอนทิตีสำหรับ Tableau Cloud

  6. กลับไปที่คอนโซลผู้ดูแล Okta และทำตามขั้นตอนต่อไปนี้

    1. เลือกแอปพลิเคชัน > แอปพลิเคชัน คลิกแอปพลิเคชัน Tableau Cloud จากนั้นเลือกแท็บลงชื่อเข้าใช้

    2. คลิกแก้ไข

    3. ภายใต้การตั้งค่าการลงชื่อเข้าใช้ขั้นสูงในกล่องข้อความ ID เอนทิตี Tableau Cloud ให้วาง URL

    4. ทำซ้ำขั้นตอนที่ 7 และ 8 สำหรับ URL สำหรับ ACS ของ Tableau Cloud

      หมายเหตุ: การตั้งค่าการกำหนดค่า SAML ของ Tableau Cloud จะปรากฏในลำดับที่แตกต่างออกไปจากในหน้าการตั้งค่า Okta หากต้องการป้องกันปัญหาการตรวจสอบสิทธิ์ SAML โปรดตรวจสอบว่าได้ป้อน ID เอนทิตีสำหรับ Tableau Cloud และ URL สำหรับ ACS ของ Tableau Cloud ลงในฟิลด์ที่ถูกต้องใน Okta

    5. เมื่อเสร็จแล้ว ให้คลิกบันทึก

  7. กลับไปที่การตั้งค่าการกำหนดค่า SAML สำหรับ Tableau Cloud ภายใต้ขั้นตอนที่ 1 เมธอดที่ 2: คัดลอกเมตาดาต้าและดาวน์โหลดใบรับรอง คลิกปุ่มดาวน์โหลดใบรับรอง

  8. กลับไปที่แอปพลิเคชัน Tableau Cloud ในคอนโซลผู้ดูแล Okta บนแท็บลงชื่อเข้าใช้ คลิกแก้ไขและทำตามขั้นตอนต่อไปนี้

    1. ภายใต้รายละเอียดเมตาดาต้า ให้คัดลอก URL เมตาดาต้า

    2. วาง URL ลงในเบราว์เซอร์ใหม่และบันทึกผลลัพธ์เป็นไฟล์โดยใช้ค่าเริ่มต้น “metadata.xml”

  9. กลับไปที่การตั้งค่าการกำหนดค่า SAML สำหรับ Tableau Cloud ในส่วนที่ 4. อัปโหลดเมตาดาต้าไปยัง Tableau Cloud คลิกปุ่มเลือกไฟล์ ให้เลือกไฟล์ metadata.xml เพื่ออัปโหลดไฟล์ วิธีนี้จะป้อนค่า ID เอนทิตี IdP และ URL บริการ SSO โดยอัตโนมัติ

  10. ให้แมปชื่อแอตทริบิวต์ (การยืนยัน) ในหน้าการแมปโปรไฟล์ผู้ใช้ Tableau Cloud กับชื่อแอตทริบิวต์ที่เกี่ยวข้องภายใต้ขั้นตอนที่ 5. จับคู่แอตทริบิวต์ในการตั้งค่าการกำหนดค่า SAML สำหรับ Tableau Cloud

  11. ในส่วนที่ 7. ทดสอบการกำหนดค่า คลิกปุ่มทดสอบการกำหนดค่า เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้

    หมายเหตุ: หากการเชื่อมต่อล้มเหลว ให้พิจารณาเก็บแอตทริบิวต์ NameID ใน Tableau ตามที่เป็นอยู่

ขั้นตอนที่ 4: เพิ่มผู้ใช้ไปยังไซต์ Tableau ที่เปิดใช้งาน SAML

หากคุณวางแผนที่จะใช้ SCIM เพื่อจัดเตรียมผู้ใช้ของคุณจาก Okta อย่าเพิ่มผู้ใช้ของคุณไปยัง Tableau Cloud ด้วยตนเอง หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดค่า SCIM ด้วย Okta หากคุณไม่ได้ใช้ SCIM ให้ใช้ขั้นตอนด้านล่างเพื่อเพิ่มผู้ใช้ไปยังไซต์ของคุณ

ขั้นตอนที่อธิบายไว้ในส่วนนี้ดำเนินการบนหน้าของผู้ใช้ของ Tableau Cloud

  1. หลังจากที่คุณทำตามขั้นตอนที่ 3: กำหนดค่า SAML ให้กลับไปที่ไซต์ Tableau Cloud

  2. จากแผงด้านซ้าย ไปที่หน้าของผู้ใช้

  3. ทำตามขั้นตอนที่อธิบายไว้ในหัวข้อเพิ่มผู้ใช้ไปยังไซต์

ขั้นตอนที่ 5: เปิดใช้งานการฝัง iFrame (ไม่บังคับ)

เมื่อคุณเปิดใช้งาน SAML ในไซต์ของคุณ คุณต้องระบุว่าผู้ใช้จะลงชื่อเข้าใช้ด้วยวิธีใดเพื่อเข้าถึงมุมมองที่ฝังไว้ในหน้าเว็บ ขั้นตอนเหล่านี้กำหนดค่า Okta ให้อนุญาตการตรวจสอบสิทธิ์โดยใช้เฟรมอินไลน์ (iFrame) สำหรับการแสดงเป็นภาพแบบฝัง การฝังเฟรมอินไลน์อาจมอบประสบการณ์ผู้ใช้ที่ราบรื่นขึ้นเมื่อลงชื่อเข้าใช้เพื่อดูการแสดงเป็นภาพแบบฝัง ตัวอย่างเช่น หากผู้ใช้ได้รับการตรวจสอบสิทธิ์ด้วยผู้ให้บริการข้อมูลประจำตัวแล้วและเปิดใช้งานการฝัง iFrame อยู่ ผู้ใช้จะตรวจสอบสิทธิ์ด้วย Tableau Cloud อย่างราบรื่นเมื่อเรียกดูหน้าที่มีการแสดงเป็นภาพที่ฝังไว้

ข้อควรระวัง: การฝังเฟรมอินไลน์อาจมีความเสี่ยงต่อการโจมตีแบบหลอกให้คลิก การหลอกให้คลิก เป็นประเภทของการโจมตีหน้าเว็บอย่างหนึ่งที่ผู้โจมตีพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหาโดยแสดงหน้าเพื่อโจมตีในเลเยอร์แบบโปร่งใสบนหน้าที่ไม่เกี่ยวข้อง ในบริบทของ Tableau Cloud ผู้โจมตีอาจพยายามใช้การโจมตีแบบหลอกให้คลิกเพื่อดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์เปลี่ยนการตั้งค่า หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีแบบหลอกให้คลิก โปรดดูการหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่)บนเว็บไซต์ Open Web Application Security Project

  1. เข้าสู่ระบบคอนโซลผู้ดูแล Okta ของคุณ

  2. จากแผงด้านซ้าย ให้เลือกการปรับแต่ง > อื่นๆ และไปยังส่วนการฝัง IFrame

  3. คลิกแก้ไข ให้เลือกช่องทำเครื่องหมายอนุญาตให้ฝัง iFrame จากนั้นคลิกบันทึก

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ