กำหนดค่า SAML ด้วย OneLogin
หากคุณใช้ OneLogin เป็นผู้ให้บริการข้อมูลประจำตัว SAML (IdP) ของคุณ คุณสามารถใช้ข้อมูลในหัวข้อนี้เพื่อตั้งค่าการตรวจสอบสิทธิ์ SAML สำหรับ Tableau Cloud
ขั้นตอนเหล่านี้จะถือว่าคุณมีสิทธิ์สำหรับการแก้ไขพอร์ทัล OneLogin ขององค์กร และรู้สึกสบายใจในการอ่าน XML และค่าที่วางลงในแอตทริบิวต์
หมายเหตุ:
- ขั้นตอนเหล่านี้จะแสดงแอปพลิเคชันของบุคคลที่สาม และอาจเปลี่ยนแปลงได้ทุกเมื่อโดยที่เราไม่ทราบ หากขั้นตอนที่อธิบายไว้ที่นี่ไม่ตรงกับหน้าจอที่คุณเห็นในบัญชี IdP คุณสามารถใช้
- ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว SAML SSO (IdP) ของคุณถือเป็นข้อกำหนดของ Tableau
- ขั้นตอนการกำหนดค่าใน IdP อาจอยู่ในลำดับที่แตกต่างไปจากที่คุณเห็นใน Tableau
ขั้นที่ 1: เริ่มต้น
ใน Tableau Cloud ให้ทำดังต่อไปนี้
เข้าสู่ระบบเว็บไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลเว็บไซต์ แล้วเลือก การตั้งค่า > การรับรองสิทธิ์
บนแท็บการตรวจสอบสิทธิ์ คลิกปุ่มการกำหนดค่าใหม่ เลือก OpenID Connect (OIDC) ใหม่ จากรายการดรอปดาวน์การตรวจสอบสิทธิ์ จากนั้นป้อนชื่อสำหรับการกำหนดค่า
หมายเหตุ: การกำหนดค่าที่สร้างก่อนเดือนมกราคม 2025 (Tableau 2024.3) ไม่สามารถเปลี่ยนชื่อได้
อีกวิธีหนึ่ง ใน TCM ให้ทำดังต่อไปนี้:
เข้าสู่ระบบ TCM ของคุณในฐานะผู้ดูแลระบบคลาวด์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์
เลือกช่องทำเครื่องหมายเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติม และเลือก SAML จากรายการดรอปดาวน์การตรวจสอบสิทธิ์
คลิกที่ลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น)
ใน OneLogin ให้ทำดังต่อไปนี้
เปิดแท็บหรือหน้าต่างเบราว์เซอร์ใหม่ แล้วเข้าสู่ระบบพอร์ทัลผู้ดูแลระบบ OneLogin และดำเนินการดังต่อไปนี้
ในหน้าแอปพลิเคชัน ให้เลือกเพิ่มแอป ค้นหา Tableau และเลือก Tableau Cloud SSO ในผลลัพธ์ ในส่วนนี้ คุณกำหนดค่าการเชื่อมต่อ SAML
หมายเหตุ: ตัวเลือก Tableau Cloud SSO สำหรับ OneLogin ใช้งานกับ Tableau Server ไม่ได้
ในหน้าข้อมูล ให้ตั้งค่าการกำหนดค่าพอร์ทัล หากคุณมีไซต์ Tableau Cloud มากกว่าหนึ่งรายการ ให้ระบุชื่อไซต์ในฟิลด์ชื่อที่แสดง เพื่อช่วยให้ผู้ใช้ทราบไซต์ที่จะเลือก
ให้เลือกและคัดลอก URI ที่แสดงในฟิลด์ปลายทาง SLO (HTTP) ในหน้า SSO
หมายเหตุ: แม้ว่าป้ายกำกับจะระบุ HTTP แต่ URI ที่ระบุไว้คือที่อยู่ https เนื่องจากปลายทาง SLO (การออกจากระบบเพียงครั้งเดียว) ใช้การเข้ารหัส SSL/TLS
ในหน้าเดียวกัน ให้เลือกการดำเนินการเพิ่มเติม > ข้อมูลเมตา SAML และบันทึกไฟล์เมตาดาต้า OneLogin ลงในคอมพิวเตอร์
ขั้นตอนที่ 2: กำหนดค่า SAML ใน Tableau Cloud หรือ TCM
ดำเนินการตามขั้นตอนต่อไปนี้ให้ครบถ้วนหลังจากคุณบันทึกไฟล์เมตาดาต้า SAML จาก OneLogin ตามที่อธิบายไว้ในส่วนด้านบน
สำหรับ Tableau Cloud
กลับไปที่ Tableau Cloud บนหน้าการกำหนดค่าใหม่ ภายใต้ 2. อัปโหลดเมตาดาต้าไปยัง Tableau คลิกปุ่มเลือกไฟล์และไปยังไฟล์เมตาดาต้า SAML ที่คุณดาวน์โหลดจาก OneLogin
สำคัญ: หากพบปัญหาเกี่ยวกับการอัปโหลดไฟล์ข้อมูลเมตา OneLogin ลองใช้ใบรับรองที่ไม่ใช่ใบรับรองเริ่มต้นกับ OneLogin หากต้องการสร้างใบรับรองใหม่ ให้เลือกการรักษาความปลอดภัย > ใบรับรองจากพอร์ทัลผู้ดูแลระบบ OneLogin หากคุณสร้างใบรับรองใหม่ ให้ตรวจสอบว่าแอปพลิเคชัน Tableau Cloud ใน OneLogin ใช้ใบรับรองใหม่นี้
ดำเนินการต่อที่ 3. แมปแอตทริบิวต์ และกำหนดค่าดังนี้
สำหรับชื่อผู้ใช้ ป้อนอีเมล นี่คือที่อยู่อีเมลที่ผู้ใช้ใช้เข้าสู่ระบบ Tableau Cloud
สำหรับที่อยู่อีเมล ป้อนค่าแอตทริบิวต์ตัวเลือกตามเอกสารของ IdP แอตทริบิวต์นี้คือที่อยู่อีเมลที่ผู้ใช้จะได้รับการแจ้งเตือนหากแตกต่างจากชื่อผู้ใช้ แอตทริบิวต์ของที่อยู่อีเมลใช้เพื่อวัตถุประสงค์การแจ้งเตือนเท่านั้น และจะไม่ใช้สำหรับการเข้าสู่ระบบ
สำหรับชื่อที่แสดง เลือกปุ่มตัวเลือกชื่อและนามสกุล
สำหรับชื่อ ป้อน FirstName
สำหรับนามสกุล ป้อน LastName
ในส่วนที่ 4. เลือกค่าเริ่มต้นสำหรับการฝังมุมมอง (ไม่บังคับ) เลือกประสบการณ์ที่คุณต้องการเปิดใช้งานเมื่อผู้ใช้เข้าถึงเนื้อหาแบบฝัง หากต้องการข้อมูลเพิ่มเติม โปรดดูส่วน เกี่ยวกับการเปิดใช้งานการฝัง iFrame ด้านล่าง
คลิกที่ปุ่มบันทึกและดำเนินการต่อ
สำหรับ TCM
กลับไปที่ TCM บนหน้าการการตรวจสอบสิทธิ์ ภายใต้ 2. อัปโหลดเมตาดาต้าไปยัง Tableau คลิกปุ่มเลือกไฟล์และไปยังไฟล์เมตาดาต้า SAML ที่คุณดาวน์โหลดจาก OneLogin
สำคัญ: หากพบปัญหาเกี่ยวกับการอัปโหลดไฟล์ข้อมูลเมตา OneLogin ลองใช้ใบรับรองที่ไม่ใช่ใบรับรองเริ่มต้นกับ OneLogin หากต้องการสร้างใบรับรองใหม่ ให้เลือกการรักษาความปลอดภัย > ใบรับรองจากพอร์ทัลผู้ดูแลระบบ OneLogin หากคุณสร้างใบรับรองใหม่ ให้ตรวจสอบว่าแอปพลิเคชัน TCM ใน OneLogin ใช้ใบรับรองใหม่นี้
ดำเนินการต่อที่ 3. แมปแอตทริบิวต์ และกำหนดค่าดังนี้
สำหรับชื่อผู้ใช้ ป้อนอีเมล นี่คือที่อยู่อีเมลที่ผู้ใช้ใช้เข้าสู่ระบบ TCM
หมายเหตุ: ฟิลด์ที่อยู่อีเมลที่แสดงด้านบนจะไม่ปรากฏใน TCM
สำหรับที่อยู่อีเมล ป้อนค่าแอตทริบิวต์ตัวเลือกตามเอกสารของ IdP แอตทริบิวต์นี้คือที่อยู่อีเมลที่ผู้ใช้จะได้รับการแจ้งเตือนหากแตกต่างจากชื่อผู้ใช้ แอตทริบิวต์ของที่อยู่อีเมลใช้เพื่อวัตถุประสงค์การแจ้งเตือนเท่านั้น และจะไม่ใช้สำหรับการเข้าสู่ระบบ
สำหรับชื่อที่แสดง เลือกปุ่มตัวเลือกชื่อและนามสกุล
สำหรับชื่อ ป้อน FirstName
สำหรับนามสกุล ป้อน LastName
คลิกที่ปุ่มบันทึกและดำเนินการต่อ
ขั้นตอนที่ 3 กำหนดค่า “แอปพลิเคชัน Tableau Cloud” ใน IdP ของคุณ
สำหรับ Tableau Cloud ขั้นตอนในส่วนนี้จะใช้ข้อมูลจาก 5. รับเมตาดาต้าของ Tableau Cloud ภายใต้วิธีที่ 2: คัดลอกเมตาดาต้าและดาวน์โหลดใบรับรองในหน้าการกำหนดค่าใหม่ใน Tableau Cloud
สำหรับ TCM ขั้นตอนในส่วนนี้จะใช้ข้อมูลจาก 4. รับเมตาดาต้าของ Tableau Cloud ภายใต้วิธีที่ 2: คัดลอกเมตาดาต้าและดาวน์โหลดใบรับรองในหน้าการตรวจสอบสิทธิ์ใน TCM
กลับไปที่พอร์ทัล OneLogin ในแอปพลิเคชัน Tableau Cloud
สำหรับ URL ของผู้บริโภคในพอร์ทัล OneLogin วางค่า ACS URL ของ Tableau Cloud จาก Tableau Cloud
สำหรับกลุ่มเป้าหมายในพอร์ทัล OneLogin วางค่า ID เอนทิตี Tableau Cloud จาก Tableau Cloud
ไปที่หน้า SSO เลือก SHA-256 สำหรับอัลกอริทึมการลงนาม SAML
ไปที่พารามิเตอร์และตรวจสอบว่าค่าปรากฏดังต่อไปนี้:
ฟิลด์ Tableau Cloud ค่า ชื่อผู้ใช้ อีเมล ชื่อ ชื่อ นามสกุล นามสกุล
ขั้นตอนที่ 4: ทดสอบการกำหนดค่า SAML
ใน OneLogin ให้ทำดังต่อไปนี้
เพิ่มผู้ใช้ตัวอย่างลงใน OneLogin และมอบหมายให้กับ “แอปพลิเคชัน Tableau Cloud”
ใน Tableau Cloud
เพิ่มผู้ใช้ OneLogin ลงใน Tableau เพื่อทดสอบการกำหนดค่า SAML
หากต้องการเพิ่มผู้ใช้ใน Tableau Cloud โปรดดูหัวข้อเพิ่มผู้ใช้ไปยังไซต์
หากต้องการเพิ่มผู้ใช้ใน TCM โปรดดูหัวข้อจัดการผู้ใช้ด้วย Tableau Cloud Manager
ทำอย่างใดอย่างหนึ่งต่อไปนี้:
ใน Tableau Cloud บนหน้าการกำหนดค่าใหม่ ภายใต้ 7. ทดสอบการกำหนดค่า คลิกปุ่มทดสอบการกำหนดค่า
ใน TCM บนหน้าการตรวจสอบสิทธิ์ ภายใต้ 6. ทดสอบการกำหนดค่า คลิกปุ่มทดสอบการกำหนดค่า
เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud
ขั้นตอนที่ 5: เพิ่มผู้ใช้ไปยังไซต์ Tableau Cloud หรือ TCM ที่เปิดใช้งาน SAML
ใช้ขั้นตอนต่อไปนี้เพื่อเพิ่มผู้ใช้เพิ่มเติมลงในไซต์ของคุณ ขั้นตอนที่อธิบายไว้ในส่วนนี้ดำเนินการบนหน้าผู้ใช้ของ Tableau Cloud
หลังจากที่คุณทำตามขั้นตอนข้างต้นเสร็จแล้ว จากแผงด้านซ้าย ให้ไปที่หน้าผู้ใช้
ปฏิบัติตามขั้นตอนที่อธิบายไว้ใน:
หัวข้อเพิ่มผู้ใช้ไปยังไซต์สำหรับ Tableau Cloud
หัวข้อจัดการผู้ใช้ด้วย Tableau Cloud Manager สำหรับ TCM
เกี่ยวกับการเปิดใช้งานการฝัง iFrame
หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น
เมื่อคุณเปิดใช้งาน SAML ในไซต์ของคุณ คุณต้องระบุว่าผู้ใช้จะลงชื่อเข้าใช้ด้วยวิธีใดเพื่อเข้าถึงมุมมองที่ฝังไว้ในหน้าเว็บ ขั้นตอนเหล่านี้กำหนดค่า Okta ให้อนุญาตการตรวจสอบสิทธิ์โดยใช้เฟรมอินไลน์ (iFrame) สำหรับการแสดงเป็นภาพแบบฝัง การฝังเฟรมอินไลน์อาจมอบประสบการณ์ผู้ใช้ที่ราบรื่นขึ้นเมื่อลงชื่อเข้าใช้เพื่อดูการแสดงเป็นภาพแบบฝัง ตัวอย่างเช่น หากผู้ใช้ได้รับการตรวจสอบสิทธิ์ด้วยผู้ให้บริการข้อมูลประจำตัวแล้วและเปิดใช้งานการฝัง iFrame อยู่ ผู้ใช้จะตรวจสอบสิทธิ์ด้วย Tableau Cloud อย่างราบรื่นเมื่อเรียกดูหน้าที่มีการแสดงเป็นภาพแบบฝัง
ข้อควรระวัง: การฝังเฟรมในบรรทัดอาจมีความเสี่ยงต่อการโจมตีแบบหลอกให้คลิก การหลอกให้คลิก เป็นประเภทของการโจมตีหน้าเว็บอย่างหนึ่งที่ผู้โจมตีพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหาโดยแสดงหน้าเพื่อโจมตีในเลเยอร์แบบโปร่งใสบนหน้าที่ไม่เกี่ยวข้อง ในบริบทของ Tableau Cloud ผู้โจมตีอาจพยายามใช้การโจมตีแบบหลอกให้คลิกเพื่อดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์เปลี่ยนการตั้งค่า หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีแบบหลอกให้คลิก โปรดดูการหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่)บนเว็บไซต์ Open Web Application Security Project
เปิดแท็บหรือหน้าต่างเบราว์เซอร์ใหม่ และเข้าสู่ระบบพอร์ทัลผู้ดูแลระบบ OneLogin
ในเมนูการตั้งค่า ให้คลิกการตั้งค่าบัญชี
ในหน้าพื้นฐาน ให้เลือกช่องทำเครื่องหมายปิดใช้การป้องกันเฟรม (X-Frame-Options) ในการป้องกันเฟรม