ข้อกำหนดของ SAML สำหรับ Tableau Cloud

รับสิ่งที่คุณต้องมีเพื่อให้เป็นไปตามข้อกำหนดก่อนที่จะกำหนดค่า SAML สำหรับ Tableau Cloud หรือ Tableau Cloud Manager (TCM)

หมายเหตุ: จำเป็นต้องมีการตั้งค่าและการผสานรวมแอปแยกต่างหากเพื่อเปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับ Tableau Cloud และ TCM

ข้อกำหนดของผู้ให้บริการข้อมูลประจำตัว (IdP) สำหรับการกำหนดค่า Tableau

หากต้องการกำหนดค่า Tableau Cloud หรือ TCM สำหรับ SAML คุณต้องมีสิ่งต่อไปนี้

  • เปิดใช้งาน SSO ร่วมกับ MFA แล้ว ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว (IdP) ของ SAML SSO ถือเป็นข้อกำหนดของ Tableau

    สำคัญ: นอกเหนือจากข้อกำหนดเหล่านี้แล้ว เราขอแนะนำให้คุณกำหนดบัญชีผู้ดูแลไซต์ที่กำหนดค่าสำหรับTableauID ร่วมกับ MFA(ลิงก์จะเปิดในหน้าต่างใหม่) เสมอ ในกรณีที่เกิดปัญหาเกี่ยวกับ SAML หรือ IdP บัญชี TableauID ร่วมกับ MFA เฉพาะจะรับรองว่าคุณมีสิทธิ์เข้าถึงไซต์ของคุณเสมอ

  • สิทธิ์เข้าถึงไซต์หรือกลุ่มผู้ใช้ Tableau Cloud ระดับผู้ดูแล คุณต้องมีสิทธิ์เข้าถึงไซต์หรือกลุ่มผู้ใช้ Tableau Cloud ที่คุณต้องการเปิดใช้งาน SAML ในระดับผู้ดูแล

  • รายชื่อผู้ใช้ที่จะใช้ SSO ในการเข้าถึง Tableau Cloud หรือ TCM คุณควรรวบรวมชื่อผู้ใช้ (ในรูปแบบที่อยู่อีเมล) สำหรับผู้ใช้ที่คุณต้องการอนุญาตการเข้าถึง Tableau แบบลงชื่อเพียงครั้งเดียว (SSO)

  • บัญชี IdP ที่รองรับ SAML 2.0 คุณต้องมีบัญชีที่มีผู้ให้บริการข้อมูลประจำตัวภายนอก ตัวอย่างเช่น PingFederate, SiteMinder และ Open AM IdP ต้องรองรับ SAML 2.0 คุณต้องมีสิทธิ์เข้าถึงบัญชีดังกล่าวในระดับผู้ดูแล

  • SHA256 ใช้เป็นอัลกอริทึมการลงนาม ตั้งแต่เดือนพฤษภาคม 2020 เป็นต้นไป Tableau จะบล็อกการยืนยัน IdP และใบรับรองที่ลงนามด้วยอัลกอริทึม SHA-1

  • ผู้ให้บริการ IdP ที่รองรับการนำเข้าและส่งออกข้อมูลเมตา XML แม้ว่าไฟล์ข้อมูลเมตาที่สร้างขึ้นด้วยตนเองอาจใช้ได้ผล แต่ฝ่ายสนับสนุนทางเทคนิค Tableau จะไม่สามารถให้ความช่วยเหลือในการสร้างไฟล์หรือแก้ปัญหาไฟล์ดังกล่าวได้

  • ผู้ให้บริการ IdP ที่บังคับใช้อายุโทเค็นสูงสุด 24 วันหรือน้อยกว่า (2073600 วินาที) หาก IdP อนุญาตให้ใช้อายุโทเค็นสูงสุดที่มีระยะเวลามากกว่าการตั้งค่าอายุสูงสุดบน Tableau (2073600 วินาที) Tableau จะไม่ยอมรับโทเค็นดังกล่าวว่าเป็นโทเค็นที่ถูกต้อง ในสถานการณ์นี้ ผู้ใช้จะได้รับข้อความแสดงข้อผิดพลาด (การเข้าสู่ระบบไม่สำเร็จ โปรดลองอีกครั้ง) เมื่อพยายามเข้าสู่ระบบ Tableau Cloud หรือ TCM

บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML

  • เริ่มต้นโดย SP หรือ IdP: Tableau รองรับการตรวจสอบสิทธิ์ SAML ที่เริ่มต้นโดยผู้ให้บริการข้อมูลประจำตัว (IdP) หรือผู้ให้บริการ (SP)

  • การออกจากระบบเพียงครั้งเดียว (SLO): Tableau รองรับทั้ง SLO ที่เริ่มต้นโดยผู้ให้บริการ (SP) และผู้ให้บริการข้อมูลประจำตัว (IdP)

    หมายเหตุ: หากต้องการรับ SLO URL สำหรับไซต์หรือกลุ่มผู้ใช้ของคุณ ให้ดาวน์โหลดและอ้างอิงจากไฟล์ XML เมตาดาต้าที่ไซต์หรือกลุ่มผู้ใช้ Tableau Cloud ของคุณสร้างขึ้น คุณสามารถค้นหาไฟล์นี้ได้โดยไปที่หนึ่งในจุดต่อไปนี้:

    • ใน Tableau Cloud ไปที่การตั้งค่า > การตรวจสอบสิทธิ์ > การกำหนดค่าใหม่หรือแก้ไขการกำหนดค่า

    • ใน TCM ไปที่การตั้งค่า > การตรวจสอบสิทธิ์

  • tabcmd และ REST API: หากต้องการใช้ tabcmd หรือ REST API ของ Tableau(ลิงก์จะเปิดในหน้าต่างใหม่) ผู้ใช้ต้องเข้าสู่ระบบ Tableau Cloud โดยใช้โทเค็นการเข้าถึงส่วนบุคคล (PAT) หากต้องการใช้ REST API ของ Tableau Cloud Manager(ลิงก์จะเปิดในหน้าต่างใหม่) ผู้ใช้จะต้องเข้าสู่ระบบ TCM โดยใช้โทเค็นการเข้าถึงส่วนบุคคล (PAT)

  • การยืนยันแบบเข้ารหัส: Tableau รองรับการยืนยันแบบข้อความธรรมดาหรือแบบเข้ารหัส

  • การกำหนดค่า Tableau Bridge ใหม่ที่จำเป็น: Tableau Bridge รองรับการตรวจสอบสิทธิ์ SAML แต่การเปลี่ยนแปลงการตรวจสอบสิทธิ์ต้องมีการกำหนดค่าไคลเอ็นต์ Bridge ใหม่ หากต้องการข้อมูล โปรดดู ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge

  • อัลกอริทึมลายเซ็นที่จำเป็น: สำหรับใบรับรอง SAML ใหม่ทั้งหมด Tableau Cloud หรือ TCM ต้องมีอัลกอริทึมลายเซ็น SHA256 (หรือใหม่กว่า)

  • คีย์ RSA และขนาดเส้นโค้ง ECDSA: ใบรับรอง IdP จะต้องมีความปลอดภัยของคีย์ RSA ที่ 2048 หรือขนาดเส้นโค้ง ECDSA ที่ 256
  • แอตทริบิวต์ NameID: Tableau ต้องใช้แอตทริบิวต์ NameID ในการตอบสนอง SAML

การใช้ SAML SSO ในแอปพลิเคชันไคลเอ็นต์ Tableau

หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น

ผู้ใช้ Tableau Cloud ที่มีข้อมูลเข้าสู่ระบบ SAML ยังสามารถเข้าสู่ระบบไซต์ของตนเองจากแอป Tableau Desktop หรือ Tableau Mobile ได้ เพื่อความเข้ากันได้ที่ดีที่สุด เราขอแนะนำให้เวอร์ชันแอปพลิเคชันไคลเอ็นต์ Tableau ตรงกับเวอร์ชันของ Tableau Cloud

การเชื่อมต่อกับ Tableau Cloud จาก Tableau Desktop หรือ Tableau Mobile ใช้การเชื่อมต่อที่เริ่มต้นโดยผู้ให้บริการ

การเปลี่ยนเส้นทางผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์กลับไปยังไคลเอ็นต์ Tableau

เมื่อผู้ใช้เข้าสู่ระบบ Tableau Cloud (เมื่อใช้เวิร์กโฟลว์ที่เริ่มดำเนินการโดย SP) Tableau Cloud จะส่งคำขอ SAML (AuthnRequest) ไปยัง IdP ซึ่งจะรวมค่า RelayState ของแอปพลิเคชัน Tableau ไว้ด้วย หากผู้ใช้ได้เข้าสู่ระบบ Tableau Cloud จากไคลเอ็นต์ Tableau เช่น Tableau Desktop หรือ Tableau Mobile แล้ว สิ่งสำคัญคือ จะต้องมีการส่งกลับค่า RelayState ภายในการตอบกลับ SAML ของ IdP ไปยัง Tableau เพื่อนำผู้ใช้ไปยังทรัพยากรของ Tableau ที่เฉพาะเจาะจง

เมื่อผู้ใช้เริ่มต้นกระบวนการเข้าสู่ระบบ Tableau Cloud โดยตรงจาก IdP (โดยใช้เวิร์กโฟลว์ที่เริ่มดำเนินการโดย IdP) IdP จะสามารถรวมค่า RelayState ไว้ในการตอบกลับ SAML เพื่อนําผู้ใช้ไปยังทรัพยากรของ Tableau ที่เฉพาะเจาะจง ตัวอย่างเช่น สามารถตั้งค่า RelayState เป็น /#/site/[site-url]/views/[view-name]/[workbook-tab-name]

เมื่อไม่ได้ส่งกลับค่า RelayState อย่างเหมาะสมในสถานการณ์เหล่านี้ ระบบจะนำผู้ใช้ไปยังหน้าแรกของ Tableau Cloud ในเว็บเบราว์เซอร์ แทนการเปลี่ยนเส้นทางกลับไปยังแอปพลิเคชันที่ผู้ใช้ได้เข้าสู่ระบบ

ทำงานร่วมกับผู้ให้บริการข้อมูลประจำตัวและทีม IT ภายในของคุณเพื่อยืนยันว่าค่านี้จะรวมไว้เป็นส่วนหนึ่งของการตอบกลับ SAML ของ IdP

ผลกระทบเกี่ยวกับการเปลี่ยนแปลงประเภทการตรวจสอบสิทธิ์ต่อ Tableau Bridge

เมื่อคุณเปลี่ยนประเภทการตรวจสอบสิทธิ์ของไซต์หรือแก้ไข IdP ผู้เผยแพร่ที่ใช้ Tableau Bridge สำหรับการรีเฟรชการแยกข้อมูลตามกำหนดเวลาจะต้องยกเลิกการเชื่อมโยงและเชื่อมโยงไคลเอ็นต์อีกครั้ง และตรวจสอบสิทธิ์อีกครั้งโดยใช้วิธีการใหม่หรือการกำหนดค่า IdP

สำหรับกำหนดการเดิม การยกเลิกการเชื่อมโยงไคลเอ็นต์ Bridge จะลบแหล่งข้อมูลทั้งหมด ดังนั้น คุณต้องตั้งค่ากำหนดเวลารีเฟรชอีกครั้ง สำหรับกำหนดเวลาออนไลน์ หลังจากเชื่อมโยงไคลเอ็นต์อีกครั้ง คุณต้องกำหนดค่าพูลไคลเอ็นต์ Bridge อีกครั้ง

การเปลี่ยนแปลงในประเภทการตรวจสอบสิทธิ์ไม่ได้ส่งผลกระทบต่อการค้นหาแบบสดของ Bridge หรือการรีเฟรชที่เรียกใช้โดยตรงจากไซต์ Tableau Cloud (เช่น สำหรับข้อมูลเบื้องหลังในระบบคลาวด์)

เราขอแนะนำให้คุณแจ้งเตือนผู้ใช้ Bridge เกี่ยวกับการเปลี่ยนแปลงในการตรวจสอบสิทธิ์ไซต์ก่อนที่จะทำการเปลี่ยนแปลง มิเช่นนั้น พวกเขาจะทราบผ่านข้อผิดพลาดในการตรวจสอบสิทธิ์ที่ได้รับจากไคลเอ็นต์ Bridge หรือเมื่อไคลเอ็นต์เปิดด้วยพื้นที่แหล่งข้อมูลที่ว่างเปล่า

ข้อกำหนดของข้อมูล XML

คุณกำหนดค่า SAML โดยใช้เอกสารเมตาดาต้า XML ที่สร้างขึ้นโดย Tableau Cloud หรือ TCM และ IdP ในระหว่างกระบวนการตรวจสอบสิทธิ์ IdP และ Tableau จะแลกเปลี่ยนข้อมูลการตรวจสอบสิทธิ์โดยใช้เอกสาร XML เหล่านี้ หาก XML ไม่เป็นไปตามข้อกำหนด ข้อผิดพลาดอาจเกิดขึ้นได้เมื่อคุณกำหนดค่า SAML หรือเมื่อผู้ใช้พยายามเข้าสู่ระบบ

HTTP POST และ HTTP REDIRECT: Tableau Cloud หรือ TCM รองรับคำขอ HTTP POST และ REDIRECT สำหรับการสื่อสาร SAML ในเอกสาร XML ของเมตาดาต้า SAML ที่ IdP ส่งออก แอตทริบิวต์ Binding สามารถตั้งค่าได้ ดังนี้

  • HTTP-POST

  • HTTP-REDIRECT

  • HTTP-POST-SimpleSign

การเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน SAML ใน Tableau Cloud:

หมายเหตุ: ใช้กับ Tableau Cloud เท่านั้น

ตั้งแต่ เดือนมิถุนายน 2024 (Tableau 2024.2) หาก SAML ได้รับการกำหนดค่าและเปิดใช้งานการตั้งค่าความสามารถแล้วคุณสามารถควบคุมการเป็นสมาชิกกลุ่มแบบไดนามิกผ่านการอ้างสิทธิ์ที่กำหนดเองซึ่งรวมอยู่ในการตอบกลับ SAML XML ที่ส่งโดยผู้ให้บริการข้อมูลประจำตัว (IdP)

เมื่อกำหนดค่า ในระหว่างการตรวจสอบสิทธิ์ของผู้ใช้ IdP จะส่งการยืนยัน SAML ที่มีการอ้างสิทธิ์การเป็นสมาชิกกลุ่มที่กำหนดเองสองรายการ ได้แก่ กลุ่ม (https://tableau.com/groups) และชื่อกลุ่ม (เช่น “Group1” และ “Group2”) ที่จะยืนยันข้อมูลผู้ใช้ Tableau ตรวจสอบการยืนยันแล้วเปิดใช้งานสิทธิ์เข้าถึงกลุ่มและเนื้อหาที่สิทธิ์ขึ้นอยู่กับกลุ่มเหล่านั้น

หากต้องการข้อมูลเพิ่มเติม โปรดดูการเป็นสมาชิกกลุ่มแบบไดนามิกโดยใช้การยืนยัน

ตัวอย่างการตอบกลับ SAML XML

<saml2p:Response
  xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
    .....
    .....
  <saml2:Assertion
    .....
    .....
    xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
    <saml2:AttributeStatement
  		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml2:Attribute
    		Name="https://tableau.com/groups"
			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group1
			</saml2:AttributeValue>
			<saml2:AttributeValue
				xmlns:xs="http://www.w3.org/2001/XMLSchema"
				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
				xsi:type="xs:string">Group2
			</saml2:AttributeValue>
    	<saml2:Attribute>
    </saml2:AttributeStatement>
  </saml2:Assertion>
</saml2p:Response>
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ