เปิดใช้งานการตรวจสอบสิทธิ์ SAML ในเว็บไซต์

หัวข้อนี้จะอธิบายวิธีเปิดใช้ SAML บนเว็บไซต์และเลือกผู้ใช้แบบลงชื่อเพียงครั้งเดียว นอกจากนี้ยังแสดงขั้นตอนสำหรับการเปลี่ยนจาก SAML ไปใช้การตรวจสอบสิทธิ์ Tableau เริ่มต้น (หรือเรียกว่า TableauID) ก่อนที่คุณจะเปิดใช้ SAML เราขอแนะนำให้คุณตรวจสอบข้อกำหนดของ SAML สำหรับ Tableau Cloud รวมถึงผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge

หัวข้อนี้จะถือว่าคุณคุ้นเคยกับข้อมูลในการตรวจสอบสิทธิ์และวิธีการทำงานของการตรวจสอบสิทธิ์ SAML

ข้อมูลการกำหนดค่าเฉพาะ IdP

ขั้นตอนในส่วนในหัวข้อนี้จะแสดงขั้นตอนพื้นฐานที่คุณสามารถใช้กับเอกสารประกอบของ IdP เพื่อกำหนดค่า SAML สำหรับเว็บไซต์ Tableau Cloud ของคุณได้ คุณสามารถรับขั้นตอนการกำหนดค่าเฉพาะ IdP สำหรับ IdP ต่อไปนี้ได้

เปิดใช้ SAML

  1. เข้าสู่ระบบเว็บไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลเว็บไซต์ แล้วเลือก การตั้งค่า > การรับรองสิทธิ์

  2. ในแท็บการตรวจสอบสิทธิ์ ให้เลือกช่องทำเครื่องหมายเปิดใช้วิธีการตรวจสอบสิทธิ์เพิ่มเติม จากนั้นเลือก SAML แล้วคลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น)

    ภาพหน้าจอของหน้าการตั้งค่าการตรวจสอบสิทธิ์เว็บไซต์ Tableau Cloud

ใช้การตรวจสอบสิทธิ์ SAML

ส่วนนี้จะนำคุณไปยังขั้นตอนการกำหนดค่าที่ปรากฏบนแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่า Tableau Cloud

หมายเหตุ: หากต้องการดำเนินการขั้นตอนนี้ให้เสร็จสิ้น คุณจะต้องมีเอกสารประกอบที่ IdP ให้มา ค้นหาหัวข้อที่พูดถึงการกำหนดค่าหรือการกำหนดผู้ให้บริการสำหรับการเชื่อมต่อ SAML หรือการเพิ่มแอปพลิเคชัน

ขั้นตอนที่ 1: ส่งออกข้อมูลเมตาจาก Tableau

หากต้องการสร้างการเชื่อมต่อ SAML ระหว่าง Tableau Cloud และ IdP คุณต้องแลกเปลี่ยนข้อมูลเมตาที่จำเป็นระหว่างทั้งสองบริการ หากต้องการรับเมตาดาต้าจาก Tableau Cloud ให้เลือกขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้ ดูเอกสารการกำหนดค่า SAML ของ IdP เพื่อยืนยันตัวเลือกที่ถูกต้อง

  • เลือกปุ่มส่งออกเมตาดาต้าเพื่อดาวน์โหลดไฟล์ XML ที่มี ID เอนทิตี SAML Tableau Cloud, Assertion Consumer Service (ACS) URL และใบรับรอง X.509

  • เลือกดาวน์โหลดใบรับรองหาก IdP ของคุณต้องการข้อมูลที่จำเป็นในลักษณะที่ต่างออกไป ตัวอย่างเช่น หากต้องการให้คุณป้อนรหัสเอนทิตี Tableau Cloud, ACS URL และใบรับรอง X.509 ในตำแหน่งที่แยกจากกัน

    รูปภาพต่อไปนี้ได้รับการแก้ไขเพื่อแสดงว่าการตั้งค่าเหล่านี้เหมือนกันใน Tableau Cloud และ Tableau Server

ขั้นตอนที่ 2 และ 3: ขั้นตอนภายนอก

สำหรับขั้นตอนที่ 2 ในการนำเข้าเมตาดาต้าที่คุณส่งออกในขั้นตอนที่ 1 ให้เข้าสู่ระบบบัญชี IdP และใช้คำแนะนำในเอกสารของ IdP เพื่อส่งเมตาดาต้า Tableau Cloud

สำหรับขั้นตอนที่ 3 เอกสารของ IdP จะแนะนำคุณเกี่ยวกับวิธีการให้เมตาดาต้าแก่ผู้ให้บริการ ซึ่งจะแนะนำให้คุณดาวน์โหลดไฟล์ข้อมูลเมตาหรือจะแสดงโค้ด XML หากแสดงโค้ด XML ให้คัดลอกและวางโค้ดลงในไฟล์ข้อความใหม่ แล้วบันทึกไฟล์ด้วยนามสกุล .xml

ขั้นตอนที่ 4: นำเข้าข้อมูลเมตา IdP ไปยังไซต์ Tableau

ในหน้าการตรวจสอบสิทธิใน Tableau Cloud ให้นำเข้าไฟล์ข้อมูลเมตาที่คุณดาวน์โหลดจาก IdP หรือกำหนดค่าด้วยตนเองจาก XML ที่ให้มา

หมายเหตุ: หากแก้ไขการกำหนดค่า คุณจะต้องอัปโหลดไฟล์เมตาดาต้าเพื่อให้ Tableau รู้ว่าจะใช้ ID เอนทิตี IdP และ URL ของบริการ SSO ที่ถูกต้อง

ขั้นตอนที่ 5: แมปแอตทริบิวต์

แอตทริบิวต์ประกอบด้วยการตรวจสอบสิทธิ การให้สิทธิ และข้อมูลอื่นๆ เกี่ยวกับผู้ใช้

หมายเหตุ: Tableau Cloud จำเป็นต้องใช้แอตทริบิวต์ NameID ในการตอบกลับ SAML คุณสามารถระบุแอตทริบิวต์อื่นๆ เพื่อแมปชื่อผู้ใช้ใน Tableau Cloud แต่ข้อความตอบกลับจะต้องมีแอตทริบิวต์ NameID อยู่ด้วย

  • ชื่อผู้ใช้: (จำเป็น) ป้อนชื่อแอตทริบิวต์ที่เก็บชื่อผู้ใช้ของผู้ใช้ (ที่อยู่อีเมล)

  • ชื่อที่แสดง: (ไม่บังคับ แต่แนะนำ) บาง IdP ใช้แอตทริบิวต์แบบแยกกันสำหรับชื่อและนามสกุล และบาง IdP จะเก็บชื่อเต็มไว้ในแอตทริบิวต์เดียว

    เลือกปุ่มที่สอดคล้องกับวิธีที่ IdP ของคุณจัดเก็บชื่อ ตัวอย่างเช่น หาก IdP รวมชื่อและนามสกุลไว้ในแอตทริบิวต์เดียว ให้เลือกชื่อที่แสดง แล้วป้อนชื่อแอตทริบิวต์

    สกรีนช็อตของขั้นตอนที่ 5 สำหรับการกำหนดค่าไซต์ SAML สำหรับ Tableau Cloud -- แอตทริบิวต์ที่ตรงกัน

ขั้นตอนที่ 6: ตัวเลือกการฝัง

เลือกวิธีที่ผู้ใช้เข้าสู่ระบบมุมมองแบบฝัง ตัวเลือกคือเปิดหน้าต่างป๊อปอัปแบบแยกที่แสดงแบบฟอร์มเข้าสู่ระบบของ IdP หรือใช้เฟรมอินไลน์ (iframe)

ข้อควรระวัง: เนื่องจาก iframes อาจมีความเสี่ยงต่อ การโจมตีแบบหลอกให้คลิก ดังนั้นจึงมี IdP เพียงบางรายเท่านั้นที่รองรับการเข้าสู่ระบบผ่าน iframe ในการหลอกให้คลิก ผู้โจมตีจะพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหา ซึ่งจะทำเช่นนี้ได้ด้วยการแสดงหน้าเว็บที่ต้องการโจมตีในเลเยอร์แบบโปร่งแสงทับหน้าเว็บที่ไม่เกี่ยวข้อง สำหรับ Tableau Cloud ผู้โจมตีอาจพยายามดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ตรวจสอบสิทธิแล้วทำการเปลี่ยนการตั้งค่า หากต้องการข้อมูลเพิ่มเติม โปรดดู การโจมตีแบบหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่) ในเว็บไซต์ Open Web Application Security Project (โปรเจกต์การรักษาความปลอดภัยของเว็บแอปพลิเคชันแบบเปิด)

หาก IdP ของคุณไม่รองรับการเข้าสู่ระบบผ่าน iframe ให้เลือกตรวจสอบสิทธิในหน้าต่างป๊อปอัปแบบแยก

หรือดูเพิ่มเติมที่ประเภทการตรวจสอบสิทธิ์เริ่มต้นสำหรับมุมมองแบบฝัง

ขั้นตอนที่ 7: ทดสอบการกำหนดค่าและแก้ปัญหา

เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้

หากคุณไม่สามารถเข้าสู่ระบบ Tableau Cloud ได้สำเร็จ ให้เริ่มต้นด้วยขั้นตอนแก้ปัญหาที่แนะนำในหน้าการตรวจสอบสิทธิ์ หากขั้นตอนเหล่านั้นไม่สามารถแก้ไขปัญหาได้ โปรดดูแก้ไขปัญหาเกี่ยวกับ SAML

จัดการผู้ใช้

เลือกผู้ใช้ Tableau Cloud ที่มีอยู่ หรือเพิ่มผู้ใช้รายใหม่ที่คุณต้องการอนุมัติให้ใช้การลงชื่อเพียงครั้งเดียว

เมื่อคุณเพิ่มหรือนำเข้าผู้ใช้ คุณจะต้องระบุประเภทการตรวจสอบสิทธิ์ด้วย ในหน้าของผู้ใช้ คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้ได้ทุกเมื่อหลังจากเพิ่มผู้ใช้รายดังกล่าว

หากต้องการข้อมูลเพิ่มเติม โปรดดู เพิ่มผู้ใช้ไปยังไซต์หรือนำเข้าผู้ใช้

ประเภทการตรวจสอบสิทธิ์เริ่มต้นสำหรับมุมมองแบบฝัง

ส่วนหนึ่งของการเปิดใช้งาน SAML บนไซต์ของคุณคือการระบุวิธีที่ผู้ใช้เข้าถึงมุมมองแบบฝังที่อยู่ในหน้าเว็บ

  • ให้ผู้ใช้เลือกประเภทการตรวจสอบสิทธิ์ของตน

    เมื่อคุณเลือกตัวเลือกนี้ ตัวเลือกการเข้าสู่ระบบสองตัวเลือกจะปรากฏขึ้นในตำแหน่งที่ฝังมุมมอง: ปุ่ม “เข้าสู่ระบบ” ที่ใช้การตรวจสอบสิทธิด้วยการลงชื่อเพียงครั้งเดียวและลิงก์สำหรับใช้ TableauID เป็นทางเลือก

    เคล็ดลับ: เมื่อใช้ตัวเลือกนี้ ผู้ใช้จำเป็นต้องรู้ว่าจะเลือกทางเลือกใด ส่วนหนึ่งของการแจ้งเตือนคือคุณส่งให้ผู้ใช้ของคุณหลังจากที่คุณเพิ่มพวกเขาไปยังไซต์การลงชื่อเพียงครั้งเดียวแล้ว เพื่อแจ้งให้ผู้ใช้ดังกล่าวทราบถึงประเภทการตรวจสอบสิทธิที่จะใช้สำหรับสถานการณ์ต่างๆ ในการเข้าสู่ระบบ ตัวอย่างเช่น มุมมองแบบฝัง Tableau Desktop, Tableau Bridge, Tableau Mobile และอื่นๆ

  • Tableau ร่วมกับ MFA

    ตัวเลือกนี้กำหนดให้ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบTableauID ร่วมกับการตรวจสอบสิทธิ์หลายปัจจัยแม้ว่าจะเปิดใช้งาน SAML ในไซต์แล้วก็ตาม การเข้าสู่ระบบด้วย Tableau ร่วมกับ MFA กำหนดให้ผู้ใช้ตั้งค่าวิธีการตรวจสอบยืนยันเพื่อยืนยันตัวตนทุกครั้งที่ผู้ใช้เข้าสู่ระบบ Tableau Cloud หากต้องการข้อมูลเพิ่มเติม โปรดดูการตรวจสอบสิทธิ์หลายปัจจัยและ Tableau Cloud

  • SAML

    เมื่อใช้ตัวเลือกนี้ วิธีที่ผู้ใช้ SAML สามารถเข้าสู่ระบบมุมมองแบบฝังไว้นั้นจะพิจารณาจากการตั้งค่าที่คุณเลือกในขั้นตอนที่ 6 ข้างต้น

ใช้การตรวจสอบสิทธิ์ Tableau

หากกำหนดค่าไซต์สำหรับ SAML คุณสามารถเปลี่ยนการตั้งค่าไซต์เพื่อกำหนดผู้ใช้บางส่วนหรือทั้งหมดให้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบTableau ได้

  • หากคุณไม่ต้องการให้ผู้ให้บริการข้อมูลประจำตัวจัดการการตรวจสอบสิทธิ์สำหรับไซต์อีกต่อไป หรือกำหนดให้ผู้ใช้ทั้งหมดเข้าสู่ระบบด้วยข้อมูลเข้าสู่ระบบ Tableau คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ได้ในระดับไซต์

  • หากคุณต้องการเปิดใช้งาน SAML สำหรับผู้ใช้บางรายไว้ตลอด แต่กำหนดให้ผู้ใช้รายอื่นใช้ Tableau คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ได้ในระดับผู้ใช้

    หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดประเภทการตรวจสอบสิทธิ์ผู้ใช้

เปลี่ยนประเภทการตรวจสอบสิทธิ์ของเว็บไซต์

  1. เข้าสู่ระบบ Tableau Cloud ในฐานะผู้ดูแลเว็บไซต์ แล้วเลือกเว็บไซต์

  2. เลือกการตั้งค่า > การตรวจสอบสิทธิ์

  3. ลบช่องทำเครื่องหมายเปิดใช้งานวิธีการตรวจสอบสิทธิ์เพิ่มเติม

หลังจากที่คุณไม่ได้ใช้งานการกำหนดค่า SAML แล้ว ระบบจะเก็บรักษาข้อมูลเมตาและข้อมูล IdP ไว้ เพื่อที่ว่าหากคุณต้องการเปิดใช้อีกครั้ง คุณจะได้ไม่ต้องตั้งค่าการเชื่อมต่อ SAML กับ IdP อีกครั้ง

อัปเดตใบรับรอง SAML

ใบรับรองที่ใช้สำหรับข้อมูลเมตาของไซต์ Tableau นั้นจัดทำโดย Tableau และกำหนดค่าไม่ได้ หากต้องการอัปเดตใบรับรองสำหรับ คุณต้องอัปโหลดใบรับรองใหม่ไปยัง IdP และแลกเปลี่ยนข้อมูลเมตาอีกครั้งกับ Tableau Cloud

  1. เข้าสู่ระบบไซต์ในฐานะ แล้วเลือก การตั้งค่า > การตรวจสอบสิทธิ์

  2. ภายใต้ประเภทการตรวจสอบสิทธิ์ คลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น).

  3. เปิดแท็บหรือหน้าต่างใหม่ แล้วเข้าสู่ระบบบัญชี IdP ของคุณ

  4. ใช้คำแนะนำในเอกสารของ IdP เพื่ออัปโหลดใบรับรอง SAML ใหม่

  5. ดาวน์โหลดไฟล์เมตาดาต้า XML ใหม่เพื่อส่งให้กับ Tableau Cloud

  6. กลับไปที่หน้าการตรวจสอบสิทธิ์ใน Tableau Cloud และในขั้นตอนที่ 4 อัปโหลดไฟล์เมตาดาต้าที่คุณดาวน์โหลดจาก IdP

  7. คลิกปุ่มบันทึกการเปลี่ยนแปลง

ดูเพิ่มเติม

เข้าถึงไซต์จากไคลเอ็นต์ที่เชื่อมต่อ

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ