ข้อกำหนดของ SAML สำหรับ Tableau Cloud
รับสิ่งที่คุณต้องมีเพื่อให้เป็นไปตามข้อกำหนดก่อนที่จะกำหนดค่า SAML สำหรับ Tableau Cloud
- ข้อกำหนดของผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับการกำหนดค่า Tableau
- บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML
- การใช้ SAML SSO ในแอปพลิเคชันไคลเอ็นต์ Tableau
- ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
- ข้อกำหนดของข้อมูล XML
ข้อกำหนดของผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับการกำหนดค่า Tableau
หากต้องการกำหนดค่า Tableau Cloud สำหรับ SAML คุณต้องมีสิ่งต่อไปนี้
สิทธิ์เข้าถึงไซต์ Tableau Cloud ระดับผู้ดูแล คุณต้องมีสิทธิ์เข้าถึงไซต์ Tableau Cloud ที่คุณต้องการเปิดใช้ SAML ในระดับผู้ดูแล
รายชื่อผู้ใช้ที่จะใช้ SSO ในการเข้าถึง Tableau Cloud คุณควรรวบรวมชื่อผู้ใช้สำหรับผู้ใช้ที่คุณต้องการอนุญาตการเข้าถึง Tableau Cloud แบบลงชื่อเพียงครั้งเดียว
บัญชี IdP ที่รองรับ SAML 2.0 คุณต้องมีบัญชีที่มีผู้ให้บริการข้อมูลประจำตัวภายนอก ตัวอย่างเช่น PingFederate, SiteMinder และ Open AM IdP ต้องรองรับ SAML 2.0 คุณต้องมีสิทธิ์เข้าถึงบัญชีดังกล่าวในระดับผู้ดูแล
SHA256 ใช้เป็นอัลกอริทึมการลงนาม ตั้งแต่เดือนพฤษภาคม 2020 เป็นต้นไป Tableau Cloud จะบล็อกการยืนยัน IdP และใบรับรองที่ลงนามด้วยอัลกอริทึม SHA-1
ผู้ให้บริการ IdP ที่รองรับการนำเข้าและส่งออกข้อมูลเมตา XML แม้ว่าไฟล์ข้อมูลเมตาที่สร้างขึ้นด้วยตนเองอาจใช้ได้ผล แต่ฝ่ายสนับสนุนทางเทคนิค Tableau จะไม่สามารถให้ความช่วยเหลือในการสร้างไฟล์หรือแก้ปัญหาไฟล์ดังกล่าวได้
ผู้ให้บริการ IdP ที่บังคับใช้อายุโทเค็นสูงสุด 24 วันหรือน้อยกว่า (2073600 วินาที) หาก IdP อนุญาตให้ใช้อายุโทเค็นสูงสุดที่มีระยะเวลามากกว่าการตั้งค่าอายุสูงสุดบน Tableau Cloud (2073600 วินาที) Tableau Cloud จะไม่ยอมรับโทเค็นดังกล่าวว่าเป็นโทเค็นที่ถูกต้อง ในสถานการณ์นี้ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาด (การเข้าสู่ระบบไม่สำเร็จ โปรดลองอีกครั้ง) เมื่อพยายามเข้าสู่ระบบ Tableau Cloud
เปิดใช้งาน SSO ร่วมกับ MFA แล้ว ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว (IdP) ของ SAML SSO ถือเป็นข้อกำหนดของ Tableau Cloud
สำคัญ: นอกเหนือจากข้อกำหนดเหล่านี้แล้ว เราขอแนะนำให้คุณกำหนดบัญชีผู้ดูแลไซต์ที่กำหนดค่าสำหรับTableauID ร่วมกับ MFA(ลิงก์จะเปิดในหน้าต่างใหม่) เสมอ ในกรณีที่เกิดปัญหาเกี่ยวกับ SAML หรือ IdP บัญชี TableauID ร่วมกับ MFA เฉพาะจะรับรองว่าคุณมีสิทธิ์เข้าถึงไซต์ของคุณเสมอ
บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML
เริ่มต้นโดย SP หรือ IdP: Tableau Cloud รองรับการตรวจสอบสิทธิ์ SAML ที่เริ่มต้นโดยผู้ให้บริการข้อมูลประจำตัว (IdP) หรือผู้ให้บริการ (SP)
การออกจากระบบเพียงครั้งเดียว (SLO): Tableau Cloud รองรับทั้ง SLO ที่เริ่มต้นโดยผู้ให้บริการ (SP) และผู้ให้บริการข้อมูลประจำตัว (IdP)
หมายเหตุ: หากต้องการรับ SLO URL สำหรับไซต์ของคุณ ให้ดาวน์โหลดและอ้างอิงจากไฟล์ XML เมตาดาต้าที่ไซต์ Tableau Cloud ของคุณสร้างขึ้น คุณสามารถหาได้โดยไปที่การตั้งค่า > การตรวจสอบสิทธิ์ ในการตรวจสอบสิทธิ์ประเภท SAML ให้คลิกลูกศรดรอปดาวน์การกำหนดค่า (จำเป็น) แล้วคลิกปุ่มส่งออกเมตาดาต้าในขั้นตอนที่ 1 เมธอดที่ 1
tabcmd และ REST API: หากต้องการใช้ tabcmd หรือ REST API(ลิงก์จะเปิดในหน้าต่างใหม่) ผู้ใช้ต้องเข้าสู่ระบบ Tableau Cloud โดยใช้บัญชี TableauID
การยืนยันแบบเข้ารหัส: Tableau Cloud รองรับการยืนยันแบบข้อความธรรมดาหรือแบบเข้ารหัส
การกำหนดค่า Tableau Bridge ใหม่ที่จำเป็น: Tableau Bridge รองรับการตรวจสอบสิทธิ์ SAML แต่การเปลี่ยนแปลงการตรวจสอบสิทธิ์ต้องมีการกำหนดค่าไคลเอ็นต์ Bridge ใหม่ หากต้องการข้อมูล โปรดดู ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
อัลกอริทึมลายเซ็นที่จำเป็น: สำหรับใบรับรอง SAML ใหม่ทั้งหมด Tableau Cloud ต้องมีอัลกอริทึมลายเซ็น SHA256 (หรือใหม่กว่า)
- คีย์ RSA และขนาดเส้นโค้ง ECDSA ใบรับรอง IdP จะต้องมีความปลอดภัยของคีย์ RSA ที่ 2048 หรือขนาดเส้นโค้ง ECDSA ที่ 256
แอตทริบิวต์ NameID: Tableau Cloud ต้องใช้แอตทริบิวต์ NameID ในการตอบสนอง SAML
การใช้ SAML SSO ในแอปพลิเคชันไคลเอ็นต์ Tableau
ผู้ใช้ Tableau Cloud ที่มีข้อมูลเข้าสู่ระบบ SAML ยังสามารถเข้าสู่ระบบไซต์ของตนเองจากแอป Tableau Desktop หรือ Tableau Mobile ได้ เพื่อความเข้ากันได้ที่ดีที่สุด เราขอแนะนำให้เวอร์ชันแอปพลิเคชันไคลเอ็นต์ Tableau ตรงกับเวอร์ชันของ Tableau Cloud
การเชื่อมต่อกับ Tableau Cloud จาก Tableau Desktop หรือ Tableau Mobile ใช้การเชื่อมต่อที่เริ่มต้นโดยผู้ให้บริการ
การเปลี่ยนเส้นทางผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์กลับไปยังไคลเอ็นต์ Tableau
เมื่อผู้ใช้เข้าสู่ระบบ Tableau Cloud Tableau Cloud จะส่งคำขอ SAML (AuthnRequest
) ไปยัง IdP ซึ่งรวมค่า RelayState ของแอปพลิเคชัน Tableau หากผู้ใช้ได้เข้าสู่ระบบ Tableau Cloud จากไคลเอ็นต์ Tableau เช่น Tableau Desktop หรือ Tableau Mobile แล้ว การส่งกลับค่า RelayState ภายในการตอบสนอง SAML ของ IdP ไปยัง Tableau ถือเป็นสิ่งสำคัญ
เมื่อไม่ได้ส่งกลับค่า RelayState อย่างเหมาะสมในสถานการณ์นี้ ระบบจะนำผู้ใช้ไปยังหน้าแรกของ Tableau Cloud ในเว็บเบราว์เซอร์ แทนการเปลี่ยนเส้นทางกลับไปยังแอปพลิเคชันที่พวกเขาได้เข้าสู่ระบบ
ทำงานร่วมกับผู้ให้บริการข้อมูลประจำตัวและทีม IT ภายในของคุณเพื่อยืนยันว่าค่านี้จะรวมไว้เป็นส่วนหนึ่งของการตอบสนอง SAML ของ IdP
ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge
เมื่อคุณเปลี่ยนประเภทการตรวจสอบสิทธิ์ของไซต์หรือแก้ไข IdP ผู้เผยแพร่ที่ใช้ Tableau Bridge สำหรับการรีเฟรชการแยกข้อมูลตามกำหนดเวลาจะต้องยกเลิกการเชื่อมโยงและเชื่อมโยงไคลเอ็นต์อีกครั้ง และตรวจสอบสิทธิ์อีกครั้งโดยใช้วิธีการใหม่หรือการกำหนดค่า IdP
สำหรับกำหนดการเดิม การยกเลิกการเชื่อมโยงไคลเอ็นต์ Bridge จะลบแหล่งข้อมูลทั้งหมด ดังนั้น คุณต้องตั้งค่ากำหนดเวลารีเฟรชอีกครั้ง สำหรับกำหนดเวลาออนไลน์ หลังจากเชื่อมโยงไคลเอ็นต์อีกครั้ง คุณต้องกำหนดค่าพูลไคลเอ็นต์ Bridge อีกครั้ง
การเปลี่ยนแปลงในประเภทการตรวจสอบสิทธิ์ไม่ได้ส่งผลกระทบต่อการค้นหาแบบสดของ Bridge หรือการรีเฟรชที่เรียกใช้โดยตรงจากไซต์ Tableau Cloud (เช่น สำหรับข้อมูลเบื้องหลังในระบบคลาวด์)
เราขอแนะนำให้คุณแจ้งเตือนผู้ใช้ Bridge เกี่ยวกับการเปลี่ยนแปลงในการตรวจสอบสิทธิ์ไซต์ก่อนที่จะทำการเปลี่ยนแปลง มิเช่นนั้น พวกเขาจะทราบผ่านข้อผิดพลาดในการตรวจสอบสิทธิ์ที่ได้รับจากไคลเอ็นต์ Bridge หรือเมื่อไคลเอ็นต์เปิดด้วยพื้นที่แหล่งข้อมูลที่ว่างเปล่า
ข้อกำหนดของข้อมูล XML
คุณกำหนดค่า SAML โดยใช้เอกสารข้อมูลเมตา XML ที่สร้างขึ้นโดย Tableau Cloud และ IdP ในระหว่างกระบวนการตรวจสอบสิทธิ์ IdP และ Tableau Cloud จะแลกเปลี่ยนข้อมูลการตรวจสอบสิทธิ์โดยใช้เอกสาร XML เหล่านี้ หาก XML ไม่เป็นไปตามข้อกำหนด ข้อผิดพลาดอาจเกิดขึ้นได้เมื่อคุณกำหนดค่า SAML หรือเมื่อผู้ใช้พยายามเข้าสู่ระบบ
HTTP POST และ HTTP REDIRECT: Tableau Cloud รองรับคำขอ HTTP POST และ REDIRECT สำหรับการสื่อสาร SAML ในเอกสาร XML ของเมตาดาต้า SAML ที่ IdP ส่งออก แอตทริบิวต์ Binding
สามารถตั้งค่าได้ ดังนี้
HTTP-POST
HTTP-REDIRECT
HTTP-POST-SimpleSign
การเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน SAML:
ตั้งแต่
เมื่อกำหนดค่า ในระหว่างการตรวจสอบสิทธิ์ของผู้ใช้ IdP จะส่งการยืนยัน SAML ที่มีการอ้างสิทธิ์การเป็นสมาชิกกลุ่มที่กำหนดเองสองรายการ ได้แก่ กลุ่ม (https://tableau.com/groups
) และชื่อกลุ่ม (เช่น “Group1” และ “Group2”) ที่จะยืนยันข้อมูลผู้ใช้ Tableau ตรวจสอบการยืนยันแล้วเปิดใช้งานสิทธิ์เข้าถึงกลุ่มและเนื้อหาที่สิทธิ์ขึ้นอยู่กับกลุ่มเหล่านั้น
ตัวอย่างการตอบกลับ SAML XML
<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" ..... ..... <saml2:Assertion ..... ..... xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> <saml2:Attribute Name="https://tableau.com/groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group1 </saml2:AttributeValue> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group2 </saml2:AttributeValue> <saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>