เปิดใช้งานการตรวจสอบสิทธิ์ SAML ในไซต์หรือ TCM


หัวข้อนี้จะอธิบายวิธีเปิดใช้ SAML บนไซต์ หรือ Tableau Cloud Manager (TCM) และเลือกผู้ใช้แบบลงชื่อเพียงครั้งเดียว (SSO) นอกจากนี้ยังแสดงขั้นตอนสำหรับการสลับจาก SAML ไปใช้การตรวจสอบสิทธิ์ Tableau เริ่มต้น ก่อนที่คุณจะเปิดใช้ SAML เราขอแนะนำให้คุณตรวจสอบข้อกำหนดของ SAML สำหรับ Tableau Cloud รวมถึงผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge

หมายเหตุ: การเปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับ TCM ต้องมีการตั้งค่าและการผสานรวมแอปแยกต่างหากจาก Tableau Cloud

หัวข้อนี้จะถือว่าคุณคุ้นเคยกับข้อมูลในการตรวจสอบสิทธิ์และวิธีการทำงานของการตรวจสอบสิทธิ์ SAML

ข้อมูลการกำหนดค่าเฉพาะ IdP

ขั้นตอนในส่วนในหัวข้อนี้จะแสดงขั้นตอนพื้นฐานที่คุณสามารถใช้กับเอกสารประกอบของ IdP เพื่อกำหนดค่า SAML สำหรับเว็บไซต์ Tableau Cloud หรือ TCM ของคุณได้ คุณสามารถรับขั้นตอนการกำหนดค่าเฉพาะ IdP สำหรับ IdP ต่อไปนี้ได้

เปิดใช้ SAML

สำหรับ Tableau Cloud

  1. เข้าสู่ระบบเว็บไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลเว็บไซต์ แล้วเลือก การตั้งค่า > การรับรองสิทธิ์

  2. บนแท็บการตรวจสอบสิทธิ์ คลิกปุ่มการกำหนดค่าใหม่ เลือก OpenID Connect (OIDC) ใหม่ จากรายการดรอปดาวน์การตรวจสอบสิทธิ์ จากนั้นป้อนชื่อสำหรับการกำหนดค่า

    ภาพหน้าจอของหน้าการตั้งค่าการตรวจสอบสิทธิ์เว็บไซต์ Tableau Cloud -- หน้าการกำหนดค่าใหม่

    หมายเหตุ: การกำหนดค่าที่สร้างก่อนเดือนมกราคม 2025 (Tableau 2024.3) ไม่สามารถเปลี่ยนชื่อได้

สำหรับ TCM

อีกวิธีหนึ่ง ใน TCM ให้ทำดังต่อไปนี้:

  1. เข้าสู่ระบบ TCM ของคุณในฐานะผู้ดูแลระบบคลาวด์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์

  2. เลือกช่องทำเครื่องหมายเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติม และเลือก SAML จากรายการดรอปดาวน์การตรวจสอบสิทธิ์

  3. คลิกที่ลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น)

ใช้การตรวจสอบสิทธิ์ SAML

ส่วนนี้จะนำคุณไปยังขั้นตอนการกำหนดค่าที่ปรากฏบนแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่า Tableau Cloud หรือ TCM

หมายเหตุ: หากต้องการดำเนินการขั้นตอนนี้ให้เสร็จสิ้น คุณจะต้องมีเอกสารประกอบที่ IdP ให้มา ค้นหาหัวข้อที่พูดถึงการกำหนดค่าหรือการกำหนดผู้ให้บริการสำหรับการเชื่อมต่อ SAML หรือการเพิ่มแอปพลิเคชัน

ขั้นตอนที่ 1: ส่งออกเมตาดาต้าจาก IdP

ไปที่ IdP ของคุณ เข้าสู่ระบบบัญชี IdP ของคุณ และใช้คำแนะนำที่ให้ไว้ในเอกสารของ IdP เพื่อดาวน์โหลดเมตาดาต้าของ IdP ของคุณ เมตาดาต้าของ IdP ช่วยให้ Tableau Cloud หรือ TCM เชื่อมต่อกับ IdP ของคุณได้

สำหรับขั้นตอนที่ 1 เอกสารของ IdP จะแนะนำคุณเกี่ยวกับวิธีการให้เมตาดาต้าแก่ผู้ให้บริการ ซึ่งจะแนะนำให้คุณดาวน์โหลดไฟล์เมตาดาต้าหรือจะแสดงโค้ด XML หากแสดงโค้ด XML ให้คัดลอกและวางโค้ดลงในไฟล์ข้อความใหม่ แล้วบันทึกไฟล์ด้วยนามสกุล .xml

ขั้นตอนที่ 2: อัปโหลดเมตาดาต้าไปยัง Tableau

สำหรับ Tableau Cloud ในหน้าการกำหนดค่าใหม่ใน Tableau Cloud ให้นำเข้าไฟล์เมตาดาต้า (.xml) ที่คุณดาวน์โหลดจาก IdP หรือกำหนดค่าด้วยตนเองจาก XML ที่ให้มา

สำหรับ TCM ในหน้าการตรวจสอบสิทธิ์ใน TCM ให้นำเข้าไฟล์เมตาดาต้า (.xml) ที่คุณดาวน์โหลดจาก IdP หรือกำหนดค่าด้วยตนเองจาก XML ที่ให้มา

หมายเหตุ: 

  • หลังจากอัปโหลดเมตาดาต้า IdP แล้วทั้งรหัสหน่วยงาน IdP และ URL บริการ IdP SSO ฟิลด์จะถูกเติมข้อมูลโดยอัตโนมัติ
  • หากแก้ไขการกำหนดค่า คุณจะต้องอัปโหลดไฟล์เมตาดาต้าเพื่อให้ Tableau รู้ว่าจะใช้ ID เอนทิตี IdP และ URL ของบริการ SSO ที่ถูกต้อง
  • คุณสามารถใช้ล้างเมตาดาต้า IdP ปุ่มหากคุณต้องการอัปโหลดไฟล์เมตาข้อมูลใหม่
ขั้นตอนที่ 3: แมปแอตทริบิวต์

แอตทริบิวต์ประกอบด้วยการตรวจสอบสิทธิ การให้สิทธิ และข้อมูลอื่นๆ เกี่ยวกับผู้ใช้

หมายเหตุ: Tableau Cloud หรือ TCM จำเป็นต้องใช้แอตทริบิวต์ NameID ในการตอบกลับ SAML คุณสามารถระบุแอตทริบิวต์อื่นๆ เพื่อแมปชื่อผู้ใช้ใน Tableau แต่ข้อความตอบกลับจะต้องมีแอตทริบิวต์ NameID อยู่ด้วย

  • ชื่อผู้ใช้: (จำเป็น) ป้อนชื่อแอตทริบิวต์ที่เก็บชื่อผู้ใช้ของผู้ใช้ (ที่อยู่อีเมล)

  • ที่อยู่อีเมล: (ทางเลือก) ป้อนชื่อของแอตทริบิวต์ที่ประกอบด้วยที่อยู่อีเมลที่ IdP ใช้ในระหว่างกระบวนการตรวจสอบสิทธิ์เพื่อให้ผู้ใช้สามารถรับการแจ้งเตือนในที่อยู่อีเมลที่แตกต่างจากชื่อผู้ใช้ แอตทริบิวต์ของที่อยู่อีเมลใช้เพื่อวัตถุประสงค์การแจ้งเตือนเท่านั้น และจะไม่ใช้สำหรับการเข้าสู่ระบบ

  • ชื่อที่แสดง: (ไม่บังคับ แต่แนะนำ) บาง IdP ใช้แอตทริบิวต์แบบแยกกันสำหรับชื่อและนามสกุล และบาง IdP จะเก็บชื่อเต็มไว้ในแอตทริบิวต์เดียว

    เลือกปุ่มที่สอดคล้องกับวิธีที่ IdP ของคุณจัดเก็บชื่อ ตัวอย่างเช่น หาก IdP รวมชื่อและนามสกุลไว้ในแอตทริบิวต์เดียว ให้เลือกชื่อที่แสดง แล้วป้อนชื่อแอตทริบิวต์

    สกรีนช็อตของขั้นตอนที่ 3 สำหรับการกำหนดค่าไซต์ SAML สำหรับ Tableau Cloud -- แมปแอตทริบิวต์

ขั้นตอนที่ 4: เลือกค่าเริ่มต้นสำหรับมุมมองแบบฝัง

หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น

เลือกวิธีที่ผู้ใช้เข้าสู่ระบบมุมมองแบบฝัง ตัวเลือกคือเปิดหน้าต่างป๊อปอัปแบบแยกที่แสดงแบบฟอร์มเข้าสู่ระบบของ IdP หรือใช้เฟรมอินไลน์ (iframe)

สำคัญ: เนื่องจาก iframes อาจมีความเสี่ยงต่อการโจมตีแบบหลอกให้คลิก ดังนั้นจึงมี IdP เพียงบางรายเท่านั้นที่รองรับการเข้าสู่ระบบผ่าน iframe ในการหลอกให้คลิก ผู้โจมตีจะพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหา ซึ่งจะทำเช่นนี้ได้ด้วยการแสดงหน้าเว็บที่ต้องการโจมตีในเลเยอร์แบบโปร่งแสงทับหน้าเว็บที่ไม่เกี่ยวข้อง สำหรับ Tableau Cloud ผู้โจมตีอาจพยายามดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ตรวจสอบสิทธิแล้วทำการเปลี่ยนการตั้งค่า หากต้องการข้อมูลเพิ่มเติม โปรดดู การโจมตีแบบหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่) ในเว็บไซต์ Open Web Application Security Project (โปรเจกต์การรักษาความปลอดภัยของเว็บแอปพลิเคชันแบบเปิด)

หาก IdP ของคุณไม่รองรับการเข้าสู่ระบบผ่าน iframe ให้เลือกตรวจสอบสิทธิในหน้าต่างป๊อปอัปแบบแยก

ขั้นตอนที่ 4: รับเมตาดาต้าของ Tableau (TCM)

หากต้องการสร้างการเชื่อมต่อ SAML ระหว่าง TCM และ IdP คุณต้องแลกเปลี่ยนเมตาดาต้าที่จำเป็นระหว่างทั้งสองบริการ หากต้องการรับเมตาดาต้าจาก TCM ให้เลือกขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้ ดูเอกสารการกำหนดค่า SAML ของ IdP เพื่อยืนยันตัวเลือกที่ถูกต้อง

  • เลือกปุ่มส่งออกเมตาดาต้าเพื่อดาวน์โหลดไฟล์ XML ที่มีรหัสเอนทิตี SAML Tableau Cloud, Assertion Consumer Service (ACS) URL และใบรับรอง X.509

  • เลือกดาวน์โหลดใบรับรองหาก IdP ของคุณต้องการข้อมูลที่จำเป็นในลักษณะที่ต่างออกไป ตัวอย่างเช่น หากต้องการให้คุณป้อนรหัสเอนทิตี Tableau Cloud, ACS URL และใบรับรอง X.509 ในตำแหน่งที่แยกจากกัน

ขั้นตอนที่ 5: รับเมตาดาต้าของ Tableau (Tableau Cloud)

หากต้องการสร้างการเชื่อมต่อ SAML ระหว่าง Tableau Cloud และ IdP คุณต้องแลกเปลี่ยนข้อมูลเมตาที่จำเป็นระหว่างทั้งสองบริการ หากต้องการรับเมตาดาต้าจาก Tableau Cloud ให้เลือกขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้ ดูเอกสารการกำหนดค่า SAML ของ IdP เพื่อยืนยันตัวเลือกที่ถูกต้อง

  • เลือกปุ่มส่งออกเมตาดาต้าเพื่อดาวน์โหลดไฟล์ XML ที่มีรหัสเอนทิตี SAML Tableau Cloud, Assertion Consumer Service (ACS) URL และใบรับรอง X.509

  • เลือกดาวน์โหลดใบรับรองหาก IdP ของคุณต้องการข้อมูลที่จำเป็นในลักษณะที่ต่างออกไป ตัวอย่างเช่น หากต้องการให้คุณป้อนรหัสเอนทิตี Tableau Cloud, ACS URL และใบรับรอง X.509 ในตำแหน่งที่แยกจากกัน

    แนวทางสำหรับการส่งออกหรือคัดลอกเมตาดาต้าจาก Tableau Cloud

ขั้นตอนที่ 5: กำหนดค่า IdP (TCM)

สำหรับขั้นตอนที่ 5 ให้ใช้คำแนะนำที่เอกสารของ IdP ให้มาเพื่อส่งเมตาดาต้า TCM

ขั้นตอนที่ 6: กำหนดค่า IdP (Tableau Cloud)

สำหรับขั้นตอนที่ 6 ให้ใช้คำแนะนำที่เอกสารของ IdP ให้มาเพื่อส่งเมตาข้อมูล Tableau Cloud

ขั้นตอนที่ 6: ทดสอบการกำหนดค่าและแก้ไขปัญหา SAML (TCM)

เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud หรือ TCM ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้

หากคุณไม่สามารถเข้าสู่ระบบ TCM ได้สำเร็จ ให้เริ่มต้นด้วยขั้นตอนแก้ปัญหาที่แนะนำในหน้าการตรวจสอบสิทธิ์ หากขั้นตอนเหล่านั้นไม่สามารถแก้ไขปัญหาได้ โปรดดูแก้ไขปัญหาเกี่ยวกับ SAML

ขั้นตอนที่ 7: ทดสอบการกำหนดค่าและแก้ไขปัญหา SAML (Tableau Cloud)

เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud หรือ TCM ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้

หากคุณไม่สามารถเข้าสู่ระบบ Tableau Cloud ได้สำเร็จ ให้เริ่มต้นด้วยขั้นตอนแก้ปัญหาที่แนะนำในหน้าการกำหนดค่าใหม่ หากขั้นตอนเหล่านั้นไม่สามารถแก้ไขปัญหาได้ โปรดดูแก้ไขปัญหาเกี่ยวกับ SAML

จัดการผู้ใช้

เลือกผู้ใช้ Tableau Cloud หรือ TCM ที่มีอยู่ หรือเพิ่มผู้ใช้รายใหม่ที่คุณต้องการอนุมัติให้ใช้การลงชื่อเพียงครั้งเดียว

เมื่อคุณเพิ่มหรือนำเข้าผู้ใช้ คุณจะต้องระบุประเภทการตรวจสอบสิทธิ์ด้วย ในหน้าผู้ใช้ คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้ได้ทุกเมื่อหลังจากเพิ่มผู้ใช้รายดังกล่าว

หากต้องการข้อมูลเพิ่มเติม โปรดดู รายการใดรายการหนึ่งต่อไปนี้

ประเภทการตรวจสอบสิทธิ์เริ่มต้นสำหรับมุมมองแบบฝัง

หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น

  • ให้ผู้ใช้เลือกประเภทการตรวจสอบสิทธิ์ของตน

    เมื่อเลือกตัวเลือกนี้ จะรองรับเฉพาะหน้าต่างป็อปอัปเท่านั้น ในหน้าต่างป็อปอัพนี้เมื่อคุณเลือกตัวเลือกนี้ ตัวเลือกการเข้าสู่ระบบสองตัวเลือกจะปรากฏขึ้นในตำแหน่งที่ฝังมุมมอง: ปุ่ม “เข้าสู่ระบบ” ที่ใช้การตรวจสอบสิทธิด้วยการลงชื่อเพียงครั้งเดียวและลิงก์สำหรับใช้ TableauID เป็นทางเลือก

    เคล็ดลับ: เมื่อใช้ตัวเลือกนี้ ผู้ใช้จำเป็นต้องรู้ว่าจะเลือกตัวเลือการเข้าสู่ระบบใด ส่วนหนึ่งของการแจ้งเตือนคือคุณส่งให้ผู้ใช้ของคุณหลังจากที่คุณเพิ่มพวกเขาไปยังไซต์การลงชื่อเพียงครั้งเดียวแล้ว เพื่อแจ้งให้ผู้ใช้ดังกล่าวทราบถึงประเภทการตรวจสอบสิทธิที่จะใช้สำหรับสถานการณ์ต่างๆ ในการเข้าสู่ระบบ ตัวอย่างเช่น มุมมองแบบฝัง Tableau Desktop, Tableau Bridge, Tableau Mobile และอื่นๆ

  • Tableau ร่วมกับ MFA

    ตัวเลือกนี้กำหนดให้ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบTableauID ร่วมกับการตรวจสอบสิทธิ์หลายปัจจัยแม้ว่าจะเปิดใช้งาน SAML ในไซต์แล้วก็ตาม การเข้าสู่ระบบด้วย Tableau ร่วมกับ MFA กำหนดให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบยืนยันเพื่อยืนยันตัวตนทุกครั้งที่ผู้ใช้เข้าสู่ระบบ Tableau Cloud หากต้องการข้อมูลเพิ่มเติม โปรดดูการตรวจสอบสิทธิ์หลายปัจจัยและ Tableau Cloud

  • รายการการกำหนดค่าการตรวจสอบสิทธิ์

    เมื่อเลือกตัวเลือกการกำหนดค่าเฉพาะ วิธีที่ผู้ใช้สามารถลงชื่อเข้าใช้ในมุมมองแบบฝังจะถูกกำหนดโดยการตั้งค่าที่คุณกำหนดค่าไว้ในขั้นตอนที่ 6 ข้างต้นสำหรับการกำหนดค่าที่ตั้งชื่อ

ใช้การตรวจสอบสิทธิ์ Tableau

หากกำหนดค่าไซต์หรือกลุ่มผู้ใช้สำหรับ SAML คุณสามารถเปลี่ยนการตั้งค่าเพื่อกำหนดผู้ใช้บางส่วนหรือทั้งหมดให้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบ Tableau ได้

  • หากคุณไม่ต้องการให้ผู้ให้บริการข้อมูลประจำตัวจัดการการตรวจสอบสิทธิ์อีกต่อไป หรือกำหนดให้ผู้ใช้ทั้งหมดเข้าสู่ระบบด้วยข้อมูลเข้าสู่ระบบ Tableau คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ได้ในระดับไซต์หรือกลุ่มผู้ใช้ ดูส่วนเปลี่ยนประเภทการตรวจสอบสิทธิ์ของเว็บไซต์ด้านล่างนี้

  • หากคุณต้องการเปิดใช้งาน SAML สำหรับผู้ใช้บางรายไว้ตลอด แต่กำหนดให้ผู้ใช้รายอื่นใช้ Tableau คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ได้ในระดับผู้ใช้ หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดประเภทการตรวจสอบสิทธิ์ผู้ใช้

เปลี่ยนประเภทการตรวจสอบสิทธิ์ของเว็บไซต์

สำหรับ Tableau Cloud

เริ่มตั้งแต่เดือนมกราคม 2025 (Tableau 2024.3) คุณสามารถเปิดใช้งานประเภทและวิธีการตรวจสอบสิทธิ์แบบต่างๆ ในไซต์ได้ หากต้องการเปลี่ยนแปลงการตรวจสอบสิทธิ์ที่คุณต้องการให้มีให้ใช้ในไซต์ โปรดเปิดใช้งานหรือปิดใช้งานการกำหนดค่าการตรวจสอบสิทธิ์

  1. เข้าสู่ระบบ Tableau Cloud ในฐานะผู้ดูแลไซต์

  2. เลือกการตั้งค่า > การตรวจสอบสิทธิ์

  3. ปิดหรือเปิดใช้งานการกำหนดค่าการตรวจสอบสิทธิ์สำหรับไซต์โดยคลิกเมนูการดำเนินการและเลือกปิดใช้งานหรือเปิดใช้งาน

หลังจากที่คุณไม่ได้ใช้งานการกำหนดค่า SAML แล้ว ระบบจะเก็บรักษาข้อมูลเมตาและข้อมูล IdP ไว้ เพื่อที่ว่าหากคุณต้องการเปิดใช้อีกครั้ง คุณจะได้ไม่ต้องตั้งค่าการเชื่อมต่อ SAML กับ IdP อีกครั้ง

สำหรับ TCM

  1. เข้าสู่ระบบ TCM ในฐานะผู้ดูแลระบบคลาวด์

  2. เลือกการตั้งค่า > การตรวจสอบสิทธิ์

  3. ลบการเลือกช่องทำเครื่องหมายเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติม

อัปเดตใบรับรอง SAML

ใบรับรองที่ใช้สำหรับข้อมูลเมตาของไซต์ Tableau นั้นจัดทำโดย Tableau และกำหนดค่าไม่ได้ หากต้องการอัปเดตใบรับรองสำหรับ คุณต้องอัปโหลดใบรับรองใหม่ไปยัง IdP และแลกเปลี่ยนข้อมูลเมตาอีกครั้งกับ Tableau Cloud

สำหรับ Tableau Cloud

  1. เข้าสู่ระบบไซต์ ของคุณในฐานะผู้ดูแลไซต์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์

  2. ภายใต้ประเภทการรับรองความถูกต้อง ไปที่การกำหนดค่า SAML ที่คุณต้องการอัปเดต และคลิกเมนูการดำเนินการและเลือกแก้ไข

  3. เปิดแท็บหรือหน้าต่างใหม่ แล้วเข้าสู่ระบบบัญชี IdP ของคุณ

  4. ใช้คำแนะนำในเอกสารของ IdP เพื่ออัปโหลดใบรับรอง SAML ใหม่

  5. ดาวน์โหลดไฟล์เมตาดาต้า XML ใหม่เพื่อส่งให้กับ Tableau Cloud

  6. กลับไปที่หน้าแก้ไขการกำหนดค่าใน Tableau Cloud และในขั้นตอนที่ 2 ให้อัปโหลดเมตาดาต้าที่คุณดาวน์โหลดจาก IdP

  7. เลื่อนลงมาที่หน้าและคลิกปุ่มบันทึกและดำเนินการต่อ

สำหรับ TCM

  1. เข้าสู่ระบบ TCM ของคุณในฐานะผู้ดูแลระบบคลาวด์ แล้วเลือกการตั้งค่า > การตรวจสอบสิทธิ์

  2. จากรายการดรอปดาวน์การตรวจสอบสิทธิ์ เลือก SAML > การกำหนดค่า (จำเป็น)

  3. เปิดแท็บหรือหน้าต่างใหม่ แล้วเข้าสู่ระบบบัญชี IdP ของคุณ

  4. ใช้คำแนะนำในเอกสารของ IdP เพื่ออัปโหลดใบรับรอง SAML ใหม่

  5. ดาวน์โหลดไฟล์เมตาดาต้า XML ใหม่เพื่อส่งให้กับ TCM

  6. กลับไปที่หน้าการตรวจสอบสิทธิ์ใน TCM และในขั้นตอนที่ 2 ให้อัปโหลดเมตาดาต้าที่คุณดาวน์โหลดจาก IdP

  7. เลื่อนลงมาที่หน้าและคลิกปุ่มบันทึกและดำเนินการต่อ

ปรับแต่งและควบคุมการเข้าถึงข้อมูลโดยใช้แอตทริบิวต์ผู้ใช้

แอตทริบิวต์ผู้ใช้คือเมตาดาต้าของผู้ใช้ที่กําหนดโดยองค์กรของคุณ แอตทริบิวต์ผู้ใช้สามารถใช้เพื่อกําหนดการเข้าถึงในรูปแบบการให้สิทธิ์การควบคุมการเข้าถึงตามแอตทริบิวต์ทั่วไป (ABAC) แอตทริบิวต์ผู้ใช้จะเป็นแง่มุมใดก็ได้ในโปรไฟล์ผู้ใช้ รวมถึงบทบาทงาน การเป็นสมาชิกแผนก ระดับการจัดการ ฯลฯ นอกจากนี้ยังอาจเชื่อมโยงกับบริบทของผู้ใช้รันไทม์ เช่น ตําแหน่งที่ผู้ใช้เข้าสู่ระบบหรือการตั้งค่าภาษาของผู้ใช้

การรวมแอตทริบิวต์ผู้ใช้ไว้ในเวิร์กโฟลว์ของคุณจะช่วยให้คุณสามารถควบคุมและปรับแต่งประสบการณ์ผู้ใช้ผ่านการเข้าถึงข้อมูลและการปรับให้เหมาะกับเฉพาะบุคคลได้

  • การเข้าถึงข้อมูล: แอตทริบิวต์ผู้ใช้สามารถใช้เพื่อบังคับใช้นโยบายการรักษาความปลอดภัยของข้อมูลได้ วิธีการนี้ช่วยให้มั่นใจได้ว่าผู้ใช้สามารถดูได้เฉพาะข้อมูลที่ตนได้รับอนุญาตให้ดูเท่านั้น
  • การปรับให้เหมาะกับเฉพาะบุคคล: เมื่อส่งแอตทริบิวต์ผู้ใช้ เช่น ตําแหน่งและบทบาท เนื้อหาของคุณจะสามารถปรับแต่งให้แสดงเฉพาะข้อมูลที่เกี่ยวข้องกับผู้ใช้ที่เข้าถึงเนื้อหาดังกล่าว ซึ่งช่วยให้ผู้ใช้ค้นหาข้อมูลที่ต้องการได้ง่ายขึ้น

สรุปขั้นตอนในการส่งแอตทริบิวต์ผู้ใช้

กระบวนการเปิดใช้งานแอตทริบิวต์ผู้ใช้ในเวิร์กโฟลว์สามารถสรุปได้เป็นขั้นตอนต่อไปนี้:

  1. เปิดใช้งานการตั้งค่าแอตทริบิวต์ผู้ใช้
  2. ระบุแอตทริบิวต์ผู้ใช้ในการยืนยัน
  3. ตรวจสอบว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์ผู้ใช้และตัวกรองที่เกี่ยวข้อง
  4. ตรวจสอบเนื้อหา

ขั้นตอนที่ 1: เปิดใช้งานการตั้งค่าแอตทริบิวต์ผู้ใช้

เพื่อวัตถุประสงค์ด้านความปลอดภัย แอตทริบิวต์ผู้ใช้จะได้รับการตรวจสอบในเวิร์กโฟลว์การตรวจสอบสิทธิ์เฉพาะเมื่อผู้ดูแลไซต์เปิดใช้งานการตั้งค่าแอตทริบิวต์ผู้ใช้เท่านั้น

  1. เข้าสู่ระบบ Tableau Cloud และคลิกการตั้งค่า > การตรวจสอบสิทธิ์

  2. ในหัวข้อควบคุมการเข้าถึงของผู้ใช้ในเวิร์กโฟลว์การตรวจสอบสิทธิ์ ให้เลือกช่องทําเครื่องหมายเปิดใช้งานการบันทึกแอตทริบิวต์ผู้ใช้ในเวิร์กโฟลว์การตรวจสอบสิทธิ์

หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่าไซต์ โปรดดูควบคุมสิทธิ์การเข้าถึงของผู้ใช้ในเวิร์กโฟลว์การตรวจสอบสิทธิ์

ขั้นตอนที่ 2: ระบุแอตทริบิวต์ผู้ใช้ในการยืนยัน

ตรวจสอบว่าการยืนยันมีแอตทริบิวต์ผู้ใช้

หมายเหตุ: แอตทริบิวต์ในการตอบกลับ SAML จะจํากัดตัวอักษร 4096 ตัว ยกเว้นแอตทริบิวต์ scope หรือ scp หากแอตทริบิวต์ในการตอบกลับ รวมถึงแอตทริบิวต์ผู้ใช้เกินขีดจํากัดดังกล่าว Tableau จะลบแอตทริบิวต์และส่งอตทริบิวต์ ExtraAttributesRemoved แทน จากนั้นผู้เขียนเนื้อหาสามารถสร้างการคํานวณโดยใช้แอตทริบิวต์ ExtraAttributesRemoved เพื่อกําหนดวิธีแสดงเนื้อหาให้แก่ผู้ใช้เมื่อตรวจพบแอตทริบิวต์

ตัวอย่าง

สมมติว่าคุณมีพนักงานชื่อ Fred Suzuki ซึ่งเป็นผู้จัดการในภาคใต้ คุณต้องการให้แน่ใจว่าเมื่อ Fred ตรวจสอบรายงาน เขาจะสามารถดูข้อมูลได้เฉพาะสําหรับภาคใต้เท่านั้น ในสถานการณ์เช่นนี้ คุณอาจระบุแอตทริบิวต์ผู้ใช้ Region ในการตอบกลับ SAML ดังในตัวอย่างด้านล่าง

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

ขั้นตอนที่ 3: ตรวจสอบว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์

ตรวจสอบให้แน่ใจว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์ผู้ใช้และตัวกรองที่เกี่ยวข้องเพื่อควบคุมข้อมูลที่สามารถแสดงในเนื้อหาได้ เพื่อให้แน่ใจว่ามีการส่งการยืนยันแอตทริบิวต์ผู้ใช้ไปยัง Tableau เนื้อหาจะต้องมีฟังก์ชันแอตทริบิวต์ผู้ใช้อย่างใดอย่างหนึ่งต่อไปนี้:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

ฟังก์ชันที่ผู้เขียนเนื้อหาใช้นั้นจะขึ้นอยู่กับว่า คุณคาดว่าแอตทริบิวต์ผู้ใช้จะส่งคืนค่าเดียวหรือหลายค่า หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชันเหล่านี้และตัวอย่างของแต่ละฟังก์ชัน โปรดดูฟังก์ชันของผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ในความช่วยเหลือของ Tableau

หมายเหตุ:

  • จะไม่สามารถดูตัวอย่างเนื้อหาด้วยฟังก์ชันเหล่านี้ได้เมื่อเขียนใน Tableau Desktop หรือ Tableau Cloud ฟังก์ชันนี้จะแสดงผลค่า NULL หรือ FALSE เพื่อให้แน่ใจว่าฟังก์ชันของผู้ใช้ทํางานตามที่คาดไว้ เราขอแนะนําให้ผู้เขียนตรวจสอบฟังก์ชันหลังจากเผยแพร่เนื้อหาแล้ว
  • เพื่อให้แน่ใจว่าเนื้อหาแสดงผลตามที่คาดไว้ ผู้เขียนเนื้อหาอาจพิจารณาระบุการคํานวณที่ใช้ ExtraAttributesRemoved ซึ่ง 1) ตรวจสอบแอตทริบิวต์นี้ และ 2) กําหนดว่าจะทําอย่างไรกับเนื้อหาหากเป็นเช่นนั้น เช่น แสดงข้อความ Tableau จะเพิ่มเฉพาะแอตทริบิวต์ ExtraAttributesRemoved และลบแอตทริบิวต์อื่นๆ ทั้งหมด (ยกเว้น scp หรือ scope) เมื่อแอตทริบิวต์ใน SAML XML มีตัวอักษรยาวเกิน 4096 ตัว ทั้งนี้เพื่อให้มั่นใจถึงประสิทธิภาพสูงสุดและเป็นไปตามข้อจํากัดในการจัดเก็บ

ตัวอย่าง

ต่อจากตัวอย่างที่แนะนําใน ขั้นตอนที่ 2: ระบุแอตทริบิวต์ผู้ใช้ในการยืนยัน ข้างต้น ในการส่งการยืนยันแอตทริบิวต์ผู้ใช้ “Region” ไปยังเวิร์กบุ๊กนั้น ผู้เขียนสามารถระบุ USERATTRIBUTEINCLUDES ได้ ตัวอย่างเช่น USERATTRIBUTEINCLUDES('Region', [Region]) โดยที่ “Region” เป็นแอตทริบิวต์ผู้ใช้และ [Region] เป็นคอลัมน์ในข้อมูล ผู้เขียนสามารถสร้างตารางที่มีข้อมูลผู้จัดการและยอดขายได้โดยใช้การคํานวณใหม่ เมื่อเพิ่มการคํานวณแล้ว เวิร์กบุ๊กจะส่งแสดงค่า “False” ตามที่คาดไว้

หากต้องการแสดงเฉพาะข้อมูลที่เกี่ยวข้องกับภาคใต้ในเวิร์กบุ๊กที่ฝังไว้ ผู้เขียนสามารถสร้างตัวกรองและปรับแต่งเพื่อให้แสดงค่าเมื่อภาคใต้เป็น “True” เมื่อใช้ตัวกรอง เวิร์กบุ๊กจะว่างเปล่าตามที่คาดไว้ เนื่องจากฟังก์ชันนี้แสดงค่า “False” และตัวกรองได้รับการปรับแต่งให้แสดงค่า “True” เท่านั้น

ขั้นตอนที่ 4: ตรวจสอบเนื้อหา

ตรวจสอบและยืนยันความถูกต้องของเนื้อหา

ตัวอย่าง

เพื่อสรุปตัวอย่างจากขั้นตอนที่ 3: ตรวจสอบว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์ด้านบน คุณจะเห็นว่าข้อมูลยอดขายในมุมมองได้รับการปรับแต่งให้เหมาะกับ Fred Suzuki เนื่องจากบริบทของผู้ใช้ของเขาคือภาคใต้

ผู้จัดการจากภูมิภาคต่างๆ ที่แสดงอยู่ในเวิร์กบุ๊กควรเห็นค่าที่เกี่ยวข้องกับภูมิภาคของตน ตัวอย่างเช่น Sawdie Pawthorne จากภูมิภาคตะวันตกจะเห็นข้อมูลเฉพาะในภูมิภาคของตน

ผู้จัดการจากภูมิภาคต่างๆ ที่ไม่ได้แสดงอยู่ในเวิร์กบุ๊ก จะเห็นเวิร์กบุ๊กเปล่า

ปัญหาและข้อจำกัดที่ทราบ

มีปัญหาและข้อจํากัดบางประการที่คุณควรพิจารณาเมื่อทํางานกับฟังก์ชันแอตทริบิวต์ผู้ใช้

รูปภาพเปล่าโดยใช้ Tableau REST API

คําขอ Tableau REST API สำหรับค้นหารูปภาพตัวอย่าง(ลิงก์จะเปิดในหน้าต่างใหม่) ค้นหารูปภาพเวิร์กบุ๊ก(ลิงก์จะเปิดในหน้าต่างใหม่)และรับรูปภาพมุมมองที่กําหนดเอง(ลิงก์จะเปิดในหน้าต่างใหม่) จะสร้างรูปภาพเปล่า

ข้อจำกัด

  • ระบบไม่รองรับฟังก์ชันแอตทริบิวต์ผู้ใช้ในแหล่งข้อมูลที่เผยแพร่ (.pds)
  • ระบบไม่รองรับฟังก์ชันแอตทริบิวต์ผู้ใช้ในเวิร์กโฟลว์ Tableau Bridge

ดูเพิ่มเติม

เข้าถึงไซต์จากไคลเอ็นต์ที่เชื่อมต่อ

ย้อนกลับไปด้านบน
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ