เปิดใช้งานการตรวจสอบสิทธิ์ SAML ในเว็บไซต์
หัวข้อนี้จะอธิบายวิธีเปิดใช้ SAML บนเว็บไซต์และเลือกผู้ใช้แบบลงชื่อเพียงครั้งเดียว นอกจากนี้ยังแสดงขั้นตอนสำหรับการเปลี่ยนจาก SAML ไปใช้การตรวจสอบสิทธิ์ Tableau เริ่มต้น (หรือเรียกว่า TableauID) ก่อนที่คุณจะเปิดใช้ SAML เราขอแนะนำให้คุณตรวจสอบข้อกำหนดของ SAML สำหรับ Tableau Cloud รวมถึงผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
หัวข้อนี้จะถือว่าคุณคุ้นเคยกับข้อมูลในการตรวจสอบสิทธิ์และวิธีการทำงานของการตรวจสอบสิทธิ์ SAML
ข้อมูลการกำหนดค่าเฉพาะ IdP
ขั้นตอนในส่วนในหัวข้อนี้จะแสดงขั้นตอนพื้นฐานที่คุณสามารถใช้กับเอกสารประกอบของ IdP เพื่อกำหนดค่า SAML สำหรับเว็บไซต์ Tableau Cloud ของคุณได้ คุณสามารถรับขั้นตอนการกำหนดค่าเฉพาะ IdP สำหรับ IdP ต่อไปนี้ได้
เปิดใช้ SAML
เข้าสู่ระบบเว็บไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลเว็บไซต์ แล้วเลือก การตั้งค่า > การรับรองสิทธิ์
ในแท็บการตรวจสอบสิทธิ์ ให้เลือกช่องทำเครื่องหมายเปิดใช้วิธีการตรวจสอบสิทธิ์เพิ่มเติม จากนั้นเลือก SAML แล้วคลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น)
ใช้การตรวจสอบสิทธิ์ SAML
ส่วนนี้จะนำคุณไปยังขั้นตอนการกำหนดค่าที่ปรากฏบนแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่า Tableau Cloud
หมายเหตุ: หากต้องการดำเนินการขั้นตอนนี้ให้เสร็จสิ้น คุณจะต้องมีเอกสารประกอบที่ IdP ให้มา ค้นหาหัวข้อที่พูดถึงการกำหนดค่าหรือการกำหนดผู้ให้บริการสำหรับการเชื่อมต่อ SAML หรือการเพิ่มแอปพลิเคชัน
หากต้องการสร้างการเชื่อมต่อ SAML ระหว่าง Tableau Cloud และ IdP คุณต้องแลกเปลี่ยนข้อมูลเมตาที่จำเป็นระหว่างทั้งสองบริการ หากต้องการรับเมตาดาต้าจาก Tableau Cloud ให้เลือกขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้ ดูเอกสารการกำหนดค่า SAML ของ IdP เพื่อยืนยันตัวเลือกที่ถูกต้อง
เลือกปุ่มส่งออกเมตาดาต้าเพื่อดาวน์โหลดไฟล์ XML ที่มี ID เอนทิตี SAML Tableau Cloud, Assertion Consumer Service (ACS) URL และใบรับรอง X.509
เลือกดาวน์โหลดใบรับรองหาก IdP ของคุณต้องการข้อมูลที่จำเป็นในลักษณะที่ต่างออกไป ตัวอย่างเช่น หากต้องการให้คุณป้อนรหัสเอนทิตี Tableau Cloud, ACS URL และใบรับรอง X.509 ในตำแหน่งที่แยกจากกัน
รูปภาพต่อไปนี้ได้รับการแก้ไขเพื่อแสดงว่าการตั้งค่าเหล่านี้เหมือนกันใน Tableau Cloud และ Tableau Server
สำหรับขั้นตอนที่ 2 ในการนำเข้าเมตาดาต้าที่คุณส่งออกในขั้นตอนที่ 1 ให้เข้าสู่ระบบบัญชี IdP และใช้คำแนะนำในเอกสารของ IdP เพื่อส่งเมตาดาต้า Tableau Cloud
สำหรับขั้นตอนที่ 3 เอกสารของ IdP จะแนะนำคุณเกี่ยวกับวิธีการให้เมตาดาต้าแก่ผู้ให้บริการ ซึ่งจะแนะนำให้คุณดาวน์โหลดไฟล์ข้อมูลเมตาหรือจะแสดงโค้ด XML หากแสดงโค้ด XML ให้คัดลอกและวางโค้ดลงในไฟล์ข้อความใหม่ แล้วบันทึกไฟล์ด้วยนามสกุล .xml
ในหน้าการตรวจสอบสิทธิใน Tableau Cloud ให้นำเข้าไฟล์ข้อมูลเมตาที่คุณดาวน์โหลดจาก IdP หรือกำหนดค่าด้วยตนเองจาก XML ที่ให้มา
หมายเหตุ: หากแก้ไขการกำหนดค่า คุณจะต้องอัปโหลดไฟล์เมตาดาต้าเพื่อให้ Tableau รู้ว่าจะใช้ ID เอนทิตี IdP และ URL ของบริการ SSO ที่ถูกต้อง
แอตทริบิวต์ประกอบด้วยการตรวจสอบสิทธิ การให้สิทธิ และข้อมูลอื่นๆ เกี่ยวกับผู้ใช้
หมายเหตุ: Tableau Cloud จำเป็นต้องใช้แอตทริบิวต์ NameID ในการตอบกลับ SAML คุณสามารถระบุแอตทริบิวต์อื่นๆ เพื่อแมปชื่อผู้ใช้ใน Tableau Cloud แต่ข้อความตอบกลับจะต้องมีแอตทริบิวต์ NameID อยู่ด้วย
ชื่อผู้ใช้: (จำเป็น) ป้อนชื่อแอตทริบิวต์ที่เก็บชื่อผู้ใช้ของผู้ใช้ (ที่อยู่อีเมล)
ชื่อที่แสดง: (ไม่บังคับ แต่แนะนำ) บาง IdP ใช้แอตทริบิวต์แบบแยกกันสำหรับชื่อและนามสกุล และบาง IdP จะเก็บชื่อเต็มไว้ในแอตทริบิวต์เดียว
เลือกปุ่มที่สอดคล้องกับวิธีที่ IdP ของคุณจัดเก็บชื่อ ตัวอย่างเช่น หาก IdP รวมชื่อและนามสกุลไว้ในแอตทริบิวต์เดียว ให้เลือกชื่อที่แสดง แล้วป้อนชื่อแอตทริบิวต์
เลือกวิธีที่ผู้ใช้เข้าสู่ระบบมุมมองแบบฝัง ตัวเลือกคือเปิดหน้าต่างป๊อปอัปแบบแยกที่แสดงแบบฟอร์มเข้าสู่ระบบของ IdP หรือใช้เฟรมอินไลน์ (iframe)
ข้อควรระวัง: เนื่องจาก iframes อาจมีความเสี่ยงต่อ การโจมตีแบบหลอกให้คลิก ดังนั้นจึงมี IdP เพียงบางรายเท่านั้นที่รองรับการเข้าสู่ระบบผ่าน iframe ในการหลอกให้คลิก ผู้โจมตีจะพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหา ซึ่งจะทำเช่นนี้ได้ด้วยการแสดงหน้าเว็บที่ต้องการโจมตีในเลเยอร์แบบโปร่งแสงทับหน้าเว็บที่ไม่เกี่ยวข้อง สำหรับ Tableau Cloud ผู้โจมตีอาจพยายามดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ตรวจสอบสิทธิแล้วทำการเปลี่ยนการตั้งค่า หากต้องการข้อมูลเพิ่มเติม โปรดดู การโจมตีแบบหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่) ในเว็บไซต์ Open Web Application Security Project (โปรเจกต์การรักษาความปลอดภัยของเว็บแอปพลิเคชันแบบเปิด)
หาก IdP ของคุณไม่รองรับการเข้าสู่ระบบผ่าน iframe ให้เลือกตรวจสอบสิทธิในหน้าต่างป๊อปอัปแบบแยก
หรือดูเพิ่มเติมที่ประเภทการตรวจสอบสิทธิ์เริ่มต้นสำหรับมุมมองแบบฝัง
เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้
หากคุณไม่สามารถเข้าสู่ระบบ Tableau Cloud ได้สำเร็จ ให้เริ่มต้นด้วยขั้นตอนแก้ปัญหาที่แนะนำในหน้าการตรวจสอบสิทธิ์ หากขั้นตอนเหล่านั้นไม่สามารถแก้ไขปัญหาได้ โปรดดูแก้ไขปัญหาเกี่ยวกับ SAML
เลือกผู้ใช้ Tableau Cloud ที่มีอยู่ หรือเพิ่มผู้ใช้รายใหม่ที่คุณต้องการอนุมัติให้ใช้การลงชื่อเพียงครั้งเดียว
เมื่อคุณเพิ่มหรือนำเข้าผู้ใช้ คุณจะต้องระบุประเภทการตรวจสอบสิทธิด้วย ที่หน้าของผู้ใช้ คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิของผู้ใช้ได้ทุกเมื่อหลังจากเพิ่มผู้ใช้รายดังกล่าว
หากต้องการข้อมูลเพิ่มเติม โปรดดู เพิ่มผู้ใช้ไปยังไซต์หรือนำเข้าผู้ใช้
ส่วนหนึ่งของการเปิดใช้งาน SAML บนไซต์ของคุณคือการระบุวิธีที่ผู้ใช้เข้าถึงมุมมองแบบฝังที่อยู่ในหน้าเว็บ
ให้ผู้ใช้เลือกประเภทการตรวจสอบสิทธิ์ของตน
เมื่อคุณเลือกตัวเลือกนี้ ตัวเลือกการเข้าสู่ระบบสองตัวเลือกจะปรากฏขึ้นในตำแหน่งที่ฝังมุมมอง: ปุ่ม “เข้าสู่ระบบ” ที่ใช้การตรวจสอบสิทธิด้วยการลงชื่อเพียงครั้งเดียวและลิงก์สำหรับใช้ TableauID เป็นทางเลือก
เคล็ดลับ: เมื่อใช้ตัวเลือกนี้ ผู้ใช้จำเป็นต้องรู้ว่าจะเลือกทางเลือกใด ส่วนหนึ่งของการแจ้งเตือนคือคุณส่งให้ผู้ใช้ของคุณหลังจากที่คุณเพิ่มพวกเขาไปยังไซต์การลงชื่อเพียงครั้งเดียวแล้ว เพื่อแจ้งให้ผู้ใช้ดังกล่าวทราบถึงประเภทการตรวจสอบสิทธิที่จะใช้สำหรับสถานการณ์ต่างๆ ในการเข้าสู่ระบบ ตัวอย่างเช่น มุมมองแบบฝัง Tableau Desktop, Tableau Bridge, Tableau Mobile และอื่นๆ
Tableau ร่วมกับ MFA
ตัวเลือกนี้กำหนดให้ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบ
SAML
เมื่อใช้ตัวเลือกนี้ วิธีที่ผู้ใช้ SAML สามารถเข้าสู่ระบบมุมมองแบบฝังไว้นั้นจะพิจารณาจากการตั้งค่าที่คุณเลือกในขั้นตอนที่ 6 ข้างต้น
ใช้การตรวจสอบสิทธิ์ Tableau
หากกำหนดค่าไซต์สำหรับ SAML คุณสามารถเปลี่ยนการตั้งค่าไซต์เพื่อกำหนดผู้ใช้บางส่วนหรือทั้งหมดให้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบ
หากคุณไม่ต้องการให้ผู้ให้บริการข้อมูลประจำตัวจัดการการตรวจสอบสิทธิ์สำหรับไซต์อีกต่อไป หรือกำหนดให้ผู้ใช้ทั้งหมดเข้าสู่ระบบด้วยข้อมูลเข้าสู่ระบบ
หากคุณต้องการเปิดใช้งาน SAML สำหรับผู้ใช้บางรายไว้ตลอด แต่กำหนดให้ผู้ใช้รายอื่นใช้
หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดประเภทการตรวจสอบสิทธิ์ผู้ใช้
เปลี่ยนประเภทการตรวจสอบสิทธิ์ของเว็บไซต์
เข้าสู่ระบบ Tableau Cloud ในฐานะผู้ดูแลเว็บไซต์ แล้วเลือกเว็บไซต์
เลือกการตั้งค่า > การตรวจสอบสิทธิ์
ลบช่องทำเครื่องหมายเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติม
หลังจากที่คุณไม่ได้ใช้งานการกำหนดค่า SAML แล้ว ระบบจะเก็บรักษาข้อมูลเมตาและข้อมูล IdP ไว้ เพื่อที่ว่าหากคุณต้องการเปิดใช้อีกครั้ง คุณจะได้ไม่ต้องตั้งค่าการเชื่อมต่อ SAML กับ IdP อีกครั้ง
อัปเดตใบรับรอง SAML
ใบรับรองที่ใช้สำหรับข้อมูลเมตาของไซต์ Tableau นั้นจัดทำโดย Tableau และกำหนดค่าไม่ได้ หากต้องการอัปเดตใบรับรองสำหรับ คุณต้องอัปโหลดใบรับรองใหม่ไปยัง IdP และแลกเปลี่ยนข้อมูลเมตาอีกครั้งกับ Tableau Cloud
เข้าสู่ระบบไซต์ในฐานะ แล้วเลือก การตั้งค่า > การตรวจสอบสิทธิ์
ภายใต้ประเภทการตรวจสอบสิทธิ์
เปิดแท็บหรือหน้าต่างใหม่ แล้วเข้าสู่ระบบบัญชี IdP ของคุณ
ใช้คำแนะนำในเอกสารของ IdP เพื่ออัปโหลดใบรับรอง SAML ใหม่
ดาวน์โหลดไฟล์เมตาดาต้า XML ใหม่เพื่อส่งให้กับ Tableau Cloud
กลับไปที่หน้าการตรวจสอบสิทธิ์ใน Tableau Cloud และใน