ข้อกำหนดของ SAML สำหรับ Tableau Cloud
รับสิ่งที่คุณต้องมีเพื่อให้เป็นไปตามข้อกำหนดก่อนที่จะกำหนดค่า SAML สำหรับ Tableau Cloud
- ข้อกำหนดของผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับการกำหนดค่า Tableau
- บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML
- การใช้ SAML SSO ในแอปพลิเคชันไคลเอ็นต์ Tableau
- ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
- ข้อกำหนดของข้อมูล XML
หมายเหตุ: จำเป็นต้องมีการตั้งค่าและการผสานรวมแอปแยกต่างหากเพื่อเปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับ Tableau Cloud และ TCM
ข้อกำหนดของผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับการกำหนดค่า Tableau
หากต้องการกำหนดค่า Tableau Cloud
เปิดใช้งาน SSO ร่วมกับ MFA แล้ว ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว (IdP) ของ SAML SSO ถือเป็นข้อกำหนดของ Tableau
สำคัญ: นอกเหนือจากข้อกำหนดเหล่านี้แล้ว เราขอแนะนำให้คุณกำหนดบัญชีผู้ดูแลไซต์ที่กำหนดค่าสำหรับTableauID ร่วมกับ MFA(ลิงก์จะเปิดในหน้าต่างใหม่) เสมอ ในกรณีที่เกิดปัญหาเกี่ยวกับ SAML หรือ IdP บัญชี TableauID ร่วมกับ MFA เฉพาะจะรับรองว่าคุณมีสิทธิ์เข้าถึงไซต์ของคุณเสมอ
สิทธิ์เข้าถึงไซต์หรือกลุ่มผู้ใช้ Tableau Cloud ระดับผู้ดูแล คุณต้องมีสิทธิ์เข้าถึงไซต์หรือกลุ่มผู้ใช้ Tableau Cloud ที่คุณต้องการเปิดใช้งาน SAML ในระดับผู้ดูแล
รายชื่อผู้ใช้ที่จะใช้ SSO ในการเข้าถึง Tableau Cloud
บัญชี IdP ที่รองรับ SAML 2.0 คุณต้องมีบัญชีที่มีผู้ให้บริการข้อมูลประจำตัวภายนอก ตัวอย่างเช่น PingFederate, SiteMinder และ Open AM IdP ต้องรองรับ SAML 2.0 คุณต้องมีสิทธิ์เข้าถึงบัญชีดังกล่าวในระดับผู้ดูแล
SHA256 ใช้เป็นอัลกอริทึมการลงนาม ตั้งแต่เดือนพฤษภาคม 2020 เป็นต้นไป Tableau จะบล็อกการยืนยัน IdP และใบรับรองที่ลงนามด้วยอัลกอริทึม SHA-1
ผู้ให้บริการ IdP ที่รองรับการนำเข้าและส่งออกข้อมูลเมตา XML แม้ว่าไฟล์ข้อมูลเมตาที่สร้างขึ้นด้วยตนเองอาจใช้ได้ผล แต่ฝ่ายสนับสนุนทางเทคนิค Tableau จะไม่สามารถให้ความช่วยเหลือในการสร้างไฟล์หรือแก้ปัญหาไฟล์ดังกล่าวได้
ผู้ให้บริการ IdP ที่บังคับใช้อายุโทเค็นสูงสุด 24 วันหรือน้อยกว่า (2073600 วินาที) หาก IdP อนุญาตให้ใช้อายุโทเค็นสูงสุดที่มีระยะเวลามากกว่าการตั้งค่าอายุสูงสุดบน Tableau (2073600 วินาที) Tableau จะไม่ยอมรับโทเค็นดังกล่าวว่าเป็นโทเค็นที่ถูกต้อง ในสถานการณ์นี้ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาด (การเข้าสู่ระบบไม่สำเร็จ โปรดลองอีกครั้ง) เมื่อพยายามเข้าสู่ระบบ Tableau Cloud
บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML
เริ่มต้นโดย SP หรือ IdP: Tableau รองรับการตรวจสอบสิทธิ์ SAML ที่เริ่มต้นโดยผู้ให้บริการข้อมูลประจำตัว (IdP) หรือผู้ให้บริการ (SP)
การออกจากระบบเพียงครั้งเดียว (SLO): Tableau รองรับทั้ง SLO ที่เริ่มต้นโดยผู้ให้บริการ (SP) และผู้ให้บริการข้อมูลประจำตัว (IdP)
หมายเหตุ: หากต้องการรับ SLO URL สำหรับไซต์หรือกลุ่มผู้ใช้ของคุณ ให้ดาวน์โหลดและอ้างอิงจากไฟล์ XML เมตาดาต้าที่ไซต์หรือกลุ่มผู้ใช้ Tableau Cloud ของคุณสร้างขึ้น คุณสามารถค้นหาไฟล์นี้ได้โดยไปที่หนึ่งในจุดต่อไปนี้:
ใน Tableau Cloud ไปที่การตั้งค่า > การตรวจสอบสิทธิ์ > การกำหนดค่าใหม่หรือแก้ไขการกำหนดค่า
ใน TCM ไปที่การตั้งค่า > การตรวจสอบสิทธิ์
tabcmd และ REST API: หากต้องการใช้ tabcmd หรือ REST API ของ Tableau(ลิงก์จะเปิดในหน้าต่างใหม่) ผู้ใช้ต้องเข้าสู่ระบบ Tableau Cloud โดยใช้โทเค็นการเข้าถึงส่วนบุคคล (PAT) หากต้องการใช้ REST API ของ Tableau Cloud Manager(ลิงก์จะเปิดในหน้าต่างใหม่) ผู้ใช้จะต้องเข้าสู่ระบบ TCM โดยใช้โทเค็นการเข้าถึงส่วนบุคคล (PAT)
การยืนยันแบบเข้ารหัส: Tableau รองรับการยืนยันแบบข้อความธรรมดาหรือแบบเข้ารหัส
การกำหนดค่า Tableau Bridge ใหม่ที่จำเป็น: Tableau Bridge รองรับการตรวจสอบสิทธิ์ SAML แต่การเปลี่ยนแปลงการตรวจสอบสิทธิ์ต้องมีการกำหนดค่าไคลเอ็นต์ Bridge ใหม่ หากต้องการข้อมูล โปรดดู ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
อัลกอริทึมลายเซ็นที่จำเป็น: สำหรับใบรับรอง SAML ใหม่ทั้งหมด Tableau Cloud
- คีย์ RSA และขนาดเส้นโค้ง ECDSA: ใบรับรอง IdP จะต้องมีความปลอดภัยของคีย์ RSA ที่ 2048 หรือขนาดเส้นโค้ง ECDSA ที่ 256
แอตทริบิวต์ NameID: Tableau ต้องใช้แอตทริบิวต์ NameID ในการตอบสนอง SAML
การใช้ SAML SSO ในแอปพลิเคชันไคลเอ็นต์ Tableau
หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น
ผู้ใช้ Tableau Cloud ที่มีข้อมูลเข้าสู่ระบบ SAML ยังสามารถเข้าสู่ระบบไซต์ของตนเองจากแอป Tableau Desktop หรือ Tableau Mobile ได้ เพื่อความเข้ากันได้ที่ดีที่สุด เราขอแนะนำให้เวอร์ชันแอปพลิเคชันไคลเอ็นต์ Tableau ตรงกับเวอร์ชันของ Tableau Cloud
การเชื่อมต่อกับ Tableau Cloud จาก Tableau Desktop หรือ Tableau Mobile ใช้การเชื่อมต่อที่เริ่มต้นโดยผู้ให้บริการ
การเปลี่ยนเส้นทางผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์กลับไปยังไคลเอ็นต์ Tableau
เมื่อผู้ใช้เข้าสู่ระบบ Tableau Cloud (เมื่อใช้เวิร์กโฟลว์ที่เริ่มดำเนินการโดย SP) Tableau Cloud จะส่งคำขอ SAML (AuthnRequest) ไปยัง IdP ซึ่งจะรวมค่า RelayState ของแอปพลิเคชัน Tableau ไว้ด้วย หากผู้ใช้ได้เข้าสู่ระบบ Tableau Cloud จากไคลเอ็นต์ Tableau เช่น Tableau Desktop หรือ Tableau Mobile แล้ว สิ่งสำคัญคือ จะต้องมีการส่งกลับค่า RelayState ภายในการตอบกลับ SAML ของ IdP ไปยัง Tableau เพื่อนำผู้ใช้ไปยังทรัพยากรของ Tableau ที่เฉพาะเจาะจง
เมื่อผู้ใช้เริ่มต้นกระบวนการเข้าสู่ระบบ Tableau Cloud โดยตรงจาก IdP (โดยใช้เวิร์กโฟลว์ที่เริ่มดำเนินการโดย IdP) IdP จะสามารถรวมค่า RelayState ไว้ในการตอบกลับ SAML เพื่อนําผู้ใช้ไปยังทรัพยากรของ Tableau ที่เฉพาะเจาะจง ตัวอย่างเช่น สามารถตั้งค่า RelayState เป็น /#/site/[site-url]/views/[view-name]/[workbook-tab-name]
เมื่อไม่ได้ส่งกลับค่า RelayState อย่างเหมาะสมในสถานการณ์เหล่านี้ ระบบจะนำผู้ใช้ไปยังหน้าแรกของ Tableau Cloud ในเว็บเบราว์เซอร์ แทนการเปลี่ยนเส้นทางกลับไปยังแอปพลิเคชันที่ผู้ใช้ได้เข้าสู่ระบบ
ทำงานร่วมกับผู้ให้บริการข้อมูลประจำตัวและทีม IT ภายในของคุณเพื่อยืนยันว่าค่านี้จะรวมไว้เป็นส่วนหนึ่งของการตอบกลับ SAML ของ IdP
ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
เมื่อคุณเปลี่ยนประเภทการตรวจสอบสิทธิ์ของไซต์หรือแก้ไข IdP ผู้เผยแพร่ที่ใช้ Tableau Bridge สำหรับการรีเฟรชการแยกข้อมูลตามกำหนดเวลาจะต้องยกเลิกการเชื่อมโยงและเชื่อมโยงไคลเอ็นต์อีกครั้ง และตรวจสอบสิทธิ์อีกครั้งโดยใช้วิธีการใหม่หรือการกำหนดค่า IdP
สำหรับกำหนดการเดิม การยกเลิกการเชื่อมโยงไคลเอ็นต์ Bridge จะลบแหล่งข้อมูลทั้งหมด ดังนั้น คุณต้องตั้งค่ากำหนดเวลารีเฟรชอีกครั้ง สำหรับกำหนดเวลาออนไลน์ หลังจากเชื่อมโยงไคลเอ็นต์อีกครั้ง คุณต้องกำหนดค่าพูลไคลเอ็นต์ Bridge อีกครั้ง
การเปลี่ยนแปลงในประเภทการตรวจสอบสิทธิ์ไม่ได้ส่งผลกระทบต่อการค้นหาแบบสดของ Bridge หรือการรีเฟรชที่เรียกใช้โดยตรงจากไซต์ Tableau Cloud (เช่น สำหรับข้อมูลเบื้องหลังในระบบคลาวด์)
เราขอแนะนำให้คุณแจ้งเตือนผู้ใช้ Bridge เกี่ยวกับการเปลี่ยนแปลงในการตรวจสอบสิทธิ์ไซต์ก่อนที่จะทำการเปลี่ยนแปลง มิเช่นนั้น พวกเขาจะทราบผ่านข้อผิดพลาดในการตรวจสอบสิทธิ์ที่ได้รับจากไคลเอ็นต์ Bridge หรือเมื่อไคลเอ็นต์เปิดด้วยพื้นที่แหล่งข้อมูลที่ว่างเปล่า
ข้อกำหนดของข้อมูล XML
คุณกำหนดค่า SAML โดยใช้เอกสารเมตาดาต้า XML ที่สร้างขึ้นโดย Tableau Cloud
HTTP POST และ HTTP REDIRECT: Tableau CloudBinding สามารถตั้งค่าได้ ดังนี้
HTTP-POST
HTTP-REDIRECT
HTTP-POST-SimpleSign
การเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน SAML ใน Tableau Cloud:
หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น
ตั้งแต่
เมื่อกำหนดค่า ในระหว่างการตรวจสอบสิทธิ์ของผู้ใช้ IdP จะส่งการยืนยัน SAML ที่มีการอ้างสิทธิ์การเป็นสมาชิกกลุ่มที่กำหนดเองสองรายการ ได้แก่ กลุ่ม (https://tableau.com/groups) และชื่อกลุ่ม (เช่น “Group1” และ “Group2”) ที่จะยืนยันข้อมูลผู้ใช้ Tableau ตรวจสอบการยืนยันแล้วเปิดใช้งานสิทธิ์เข้าถึงกลุ่มและเนื้อหาที่สิทธิ์ขึ้นอยู่กับกลุ่มเหล่านั้น
ตัวอย่างการตอบกลับ SAML XML
<saml2p:Response
xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
.....
.....
<saml2:Assertion
.....
.....
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
<saml2:AttributeStatement
xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
<saml2:Attribute
Name="https://tableau.com/groups"
NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">Group1
</saml2:AttributeValue>
<saml2:AttributeValue
xmlns:xs="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:type="xs:string">Group2
</saml2:AttributeValue>
<saml2:Attribute>
</saml2:AttributeStatement>
</saml2:Assertion>
</saml2p:Response>