ข้อกำหนดของ SAML สำหรับ Tableau Cloud

รับสิ่งที่คุณต้องมีเพื่อให้เป็นไปตามข้อกำหนดก่อนที่จะกำหนดค่า SAML สำหรับ Tableau Cloud

ข้อกำหนดของผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับการกำหนดค่า Tableau

หากต้องการกำหนดค่า Tableau Cloud สำหรับ SAML คุณต้องมีสิ่งต่อไปนี้

  • สิทธิ์เข้าถึงไซต์ Tableau Cloud ระดับผู้ดูแล คุณต้องมีสิทธิ์เข้าถึงไซต์ Tableau Cloud ที่คุณต้องการเปิดใช้ SAML ในระดับผู้ดูแล

  • รายชื่อผู้ใช้ที่จะใช้ SSO ในการเข้าถึง Tableau Cloud คุณควรรวบรวมชื่อผู้ใช้สำหรับผู้ใช้ที่คุณต้องการอนุญาตการเข้าถึง Tableau Cloud แบบลงชื่อเพียงครั้งเดียว

  • บัญชี IdP ที่รองรับ SAML 2.0 คุณต้องมีบัญชีที่มีผู้ให้บริการข้อมูลประจำตัวภายนอก ตัวอย่างเช่น PingFederate, SiteMinder และ Open AM IdP ต้องรองรับ SAML 2.0 คุณต้องมีสิทธิ์เข้าถึงบัญชีดังกล่าวในระดับผู้ดูแล

  • SHA256 ใช้เป็นอัลกอริทึมการลงนาม ตั้งแต่เดือนพฤษภาคม 2020 เป็นต้นไป Tableau Cloud จะบล็อกการยืนยัน IdP และใบรับรองที่ลงนามด้วยอัลกอริทึม SHA-1

  • ผู้ให้บริการ IdP ที่รองรับการนำเข้าและส่งออกข้อมูลเมตา XML แม้ว่าไฟล์ข้อมูลเมตาที่สร้างขึ้นด้วยตนเองอาจใช้ได้ผล แต่ฝ่ายสนับสนุนทางเทคนิค Tableau จะไม่สามารถให้ความช่วยเหลือในการสร้างไฟล์หรือแก้ปัญหาไฟล์ดังกล่าวได้

  • ผู้ให้บริการ IdP ที่บังคับใช้อายุโทเค็นสูงสุด 24 วันหรือน้อยกว่า (2073600 วินาที) หาก IdP อนุญาตให้ใช้อายุโทเค็นสูงสุดที่มีระยะเวลามากกว่าการตั้งค่าอายุสูงสุดบน Tableau Cloud (2073600 วินาที) Tableau Cloud จะไม่ยอมรับโทเค็นดังกล่าวว่าเป็นโทเค็นที่ถูกต้อง ในสถานการณ์นี้ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาด (การเข้าสู่ระบบไม่สำเร็จ โปรดลองอีกครั้ง) เมื่อพยายามเข้าสู่ระบบ Tableau Cloud

  • เปิดใช้งาน SSO ร่วมกับ MFA แล้ว ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว (IdP) ของ SAML SSO ถือเป็นข้อกำหนดของ Tableau Cloud

    สำคัญ: นอกเหนือจากข้อกำหนดเหล่านี้แล้ว เราขอแนะนำให้คุณกำหนดบัญชีผู้ดูแลไซต์ที่กำหนดค่าสำหรับTableauID ร่วมกับ MFA(ลิงก์จะเปิดในหน้าต่างใหม่) เสมอ ในกรณีที่เกิดปัญหาเกี่ยวกับ SAML หรือ IdP บัญชี TableauID ร่วมกับ MFA เฉพาะจะรับรองว่าคุณมีสิทธิ์เข้าถึงไซต์ของคุณเสมอ

     

บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML

  • เริ่มต้นโดย SP หรือ IdP: Tableau Cloud รองรับการตรวจสอบสิทธิ์ SAML ที่เริ่มต้นโดยผู้ให้บริการข้อมูลประจำตัว (IdP) หรือผู้ให้บริการ (SP)

  • การออกจากระบบเพียงครั้งเดียว (SLO): Tableau Cloud รองรับทั้ง SLO ที่เริ่มต้นโดยผู้ให้บริการ (SP) และผู้ให้บริการข้อมูลประจำตัว (IdP)

    หมายเหตุ: หากต้องการรับ SLO URL สำหรับไซต์ของคุณ ให้ดาวน์โหลดและอ้างอิงจากไฟล์ XML เมตาดาต้าที่ไซต์ Tableau Cloud ของคุณสร้างขึ้น คุณสามารถหาได้โดยไปที่การตั้งค่า > การตรวจสอบสิทธิ์ ในการตรวจสอบสิทธิ์ประเภท SAML ให้คลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น) แล้วคลิกปุ่มส่งออกเมตาดาต้าในขั้นตอนที่ 1 เมธอดที่ 1

  • tabcmd และ REST API: หากต้องการใช้ tabcmd หรือ REST API(ลิงก์จะเปิดในหน้าต่างใหม่) ผู้ใช้ต้องเข้าสู่ระบบ Tableau Cloud โดยใช้บัญชี TableauID

  • การยืนยันแบบเข้ารหัส: Tableau Cloud รองรับการยืนยันแบบข้อความธรรมดาหรือแบบเข้ารหัส

  • การกำหนดค่า Tableau Bridge ใหม่ที่จำเป็น: Tableau Bridge รองรับการตรวจสอบสิทธิ์ SAML แต่การเปลี่ยนแปลงการตรวจสอบสิทธิ์ต้องมีการกำหนดค่าไคลเอ็นต์ Bridge ใหม่ หากต้องการข้อมูล โปรดดู ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge

  • อัลกอริทึมลายเซ็นที่จำเป็น: สำหรับใบรับรอง SAML ใหม่ทั้งหมด Tableau Cloud ต้องมีอัลกอริทึมลายเซ็น SHA256 (หรือใหม่กว่า)

  • คีย์ RSA และขนาดเส้นโค้ง ECDSA ใบรับรอง IdP จะต้องมีความปลอดภัยของคีย์ RSA ที่ 2048 หรือขนาดเส้นโค้ง ECDSA ที่ 256
  • แอตทริบิวต์ NameID: Tableau Cloud ต้องใช้แอตทริบิวต์ NameID ในการตอบสนอง SAML

การใช้ SAML SSO ในแอปพลิเคชันไคลเอ็นต์ Tableau

ผู้ใช้ Tableau Cloud ที่มีข้อมูลเข้าสู่ระบบ SAML ยังสามารถเข้าสู่ระบบไซต์ของตนเองจากแอป Tableau Desktop หรือ Tableau Mobile ได้ เพื่อความเข้ากันได้ที่ดีที่สุด เราขอแนะนำให้เวอร์ชันแอปพลิเคชันไคลเอ็นต์ Tableau ตรงกับเวอร์ชันของ Tableau Cloud

การเชื่อมต่อกับ Tableau Cloud จาก Tableau Desktop หรือ Tableau Mobile ใช้การเชื่อมต่อที่เริ่มต้นโดยผู้ให้บริการ

การเปลี่ยนเส้นทางผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์กลับไปยังไคลเอ็นต์ Tableau

เมื่อผู้ใช้เข้าสู่ระบบ Tableau Cloud Tableau Cloud จะส่งคำขอ SAML (AuthnRequest) ไปยัง IdP ซึ่งรวมค่า RelayState ของแอปพลิเคชัน Tableau หากผู้ใช้ได้เข้าสู่ระบบ Tableau Cloud จากไคลเอ็นต์ Tableau เช่น Tableau Desktop หรือ Tableau Mobile แล้ว การส่งกลับค่า RelayState ภายในการตอบสนอง SAML ของ IdP ไปยัง Tableau ถือเป็นสิ่งสำคัญ

เมื่อไม่ได้ส่งกลับค่า RelayState อย่างเหมาะสมในสถานการณ์นี้ ระบบจะนำผู้ใช้ไปยังหน้าแรกของ Tableau Cloud ในเว็บเบราว์เซอร์ แทนการเปลี่ยนเส้นทางกลับไปยังแอปพลิเคชันที่พวกเขาได้เข้าสู่ระบบ

ทำงานร่วมกับผู้ให้บริการข้อมูลประจำตัวและทีม IT ภายในของคุณเพื่อยืนยันว่าค่านี้จะรวมไว้เป็นส่วนหนึ่งของการตอบสนอง SAML ของ IdP

ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge

เมื่อคุณเปลี่ยนประเภทการตรวจสอบสิทธิ์ของไซต์หรือแก้ไข IdP ผู้เผยแพร่ที่ใช้ Tableau Bridge สำหรับการรีเฟรชการแยกข้อมูลตามกำหนดเวลาจะต้องยกเลิกการเชื่อมโยงและเชื่อมโยงไคลเอ็นต์อีกครั้ง และตรวจสอบสิทธิ์อีกครั้งโดยใช้วิธีการใหม่หรือการกำหนดค่า IdP

สำหรับกำหนดการเดิม การยกเลิกการเชื่อมโยงไคลเอ็นต์ Bridge จะลบแหล่งข้อมูลทั้งหมด ดังนั้น คุณต้องตั้งค่ากำหนดเวลารีเฟรชอีกครั้ง สำหรับกำหนดเวลาออนไลน์ หลังจากเชื่อมโยงไคลเอ็นต์อีกครั้ง คุณต้องกำหนดค่าพูลไคลเอ็นต์ Bridge อีกครั้ง

การเปลี่ยนแปลงในประเภทการตรวจสอบสิทธิ์ไม่ได้ส่งผลกระทบต่อการค้นหาแบบสดของ Bridge หรือการรีเฟรชที่เรียกใช้โดยตรงจากไซต์ Tableau Cloud (เช่น สำหรับข้อมูลเบื้องหลังในระบบคลาวด์)

เราขอแนะนำให้คุณแจ้งเตือนผู้ใช้ Bridge เกี่ยวกับการเปลี่ยนแปลงในการตรวจสอบสิทธิ์ไซต์ก่อนที่จะทำการเปลี่ยนแปลง มิเช่นนั้น พวกเขาจะทราบผ่านข้อผิดพลาดในการตรวจสอบสิทธิ์ที่ได้รับจากไคลเอ็นต์ Bridge หรือเมื่อไคลเอ็นต์เปิดด้วยพื้นที่แหล่งข้อมูลที่ว่างเปล่า

ข้อกำหนดของข้อมูล XML

คุณกำหนดค่า SAML โดยใช้เอกสารข้อมูลเมตา XML ที่สร้างขึ้นโดย Tableau Cloud และ IdP ในระหว่างกระบวนการตรวจสอบสิทธิ์ IdP และ Tableau Cloud จะแลกเปลี่ยนข้อมูลการตรวจสอบสิทธิ์โดยใช้เอกสาร XML เหล่านี้ หาก XML ไม่เป็นไปตามข้อกำหนด ข้อผิดพลาดอาจเกิดขึ้นได้เมื่อคุณกำหนดค่า SAML หรือเมื่อผู้ใช้พยายามเข้าสู่ระบบ

HTTP POST และ HTTP REDIRECT: Tableau Cloud รองรับคำขอ HTTP POST และ REDIRECT สำหรับการสื่อสาร SAML ในเอกสาร XML ของเมตาดาต้า SAML ที่ IdP ส่งออก แอตทริบิวต์ Binding สามารถตั้งค่าได้ ดังนี้

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

การเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน SAML:

ตั้งแต่ เดือนมิถุนายน 2024 (Tableau 2024.2) หาก SAML ได้รับการกำหนดค่าและเปิดใช้งานการตั้งค่าความสามารถแล้วคุณสามารถควบคุมการเป็นสมาชิกกลุ่มแบบไดนามิกผ่านการอ้างสิทธิ์ที่กำหนดเองซึ่งรวมอยู่ในการตอบกลับ SAML XML ที่ส่งโดยผู้ให้บริการข้อมูลประจำตัว (IdP)

เมื่อกำหนดค่า ในระหว่างการตรวจสอบสิทธิ์ของผู้ใช้ IdP จะส่งการยืนยัน SAML ที่มีการอ้างสิทธิ์การเป็นสมาชิกกลุ่มที่กำหนดเองสองรายการ ได้แก่ กลุ่ม (https://tableau.com/groups) และชื่อกลุ่ม (เช่น “Group1” และ “Group2”) ที่จะยืนยันข้อมูลผู้ใช้ Tableau ตรวจสอบการยืนยันแล้วเปิดใช้งานสิทธิ์เข้าถึงกลุ่มและเนื้อหาที่สิทธิ์ขึ้นอยู่กับกลุ่มเหล่านั้น

หากต้องการข้อมูลเพิ่มเติม โปรดดูการเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน

ตัวอย่างการตอบกลับ SAML XML

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ