为 Tabbleau Viz Lightning Web 组件配置 SAML

Tableau 提供了一个 Lightning Web 组件 (LWC),用于在 Salesforce Lightning 页面中嵌入 Tableau 可视化项。

本主题介绍如何为 Salesforce Lightning 页面中的嵌入式 Tableau 可视化项 SSO 体验。Tableau 可视化项 LWC 方案的 SSO 需要 SAML 配置。用于 Tableau 身份验证的 AML IdP 必须是 alesforce IdP 或用于 Salesforce 实例的同一 IdP。

在这种情况下,Salesforce 管理员将 Tableau 可视化项 LWC 拖到要嵌入可视化项的 Lightning 页面中。Tableau Cloud 上可供他们使用的任何视图都可以通过输入视图的嵌入 URL 显示在仪表板中。

Tableau Cloud 上为 Tableau 可视化项 LWC 配置单点登录 (SSO) 时,用户体验是无缝的:用户登录 Salesforce 后,嵌入式 Tableau 视图将无需向 Tableau Cloud 进行进一步身份验证即可工作。

如果未配置 SSO,则用户将需要使用 Tableau Cloud 重新进行身份验证,以通过 Tableau Cloud 查看嵌入式可视化项。

注意:配置了 Salesforce 身份验证的用户将需要向 Tableau Cloud 重新进行身份验证,才能查看 Tableau Cloud 中的嵌入式可视化项。

要求

配置身份验证工作流

您可能需要进行其他配置,以优化使用嵌入式 Tableau 视图访问 Lightning 的用户的登录体验。

如果无缝身份验证用户体验很重要,则需要进行一些其他配置。在此上下文中,“无缝”意味着访问已启用 Tableau 可视化项 LWC SSO 的 Salesforce Lightning 页面的用户无需执行任何操作来查看嵌入的 Tableau 视图。在无缝方案中,如果用户登录到 Salesforce,则嵌入的 Tableau 视图将显示,无需执行其他用户操作。此方案通过框架内身份验证启用。

要获得无缝的用户体验,您需要在 Tableau Cloud 和您的 IdP 处启用框架内身份验证。以下部分介绍如何配置框架内身份验证。

另一方面,有些情况下,用户正在与 Lightning 页面交互,需要他们单击“登录”按钮以查看嵌入的 Tableau 视图。在此方案中,用户必须执行其他操作才能查看嵌入的 Tableau 视图,因此称为弹出式身份验证。

如果不启用框架内身份验证,则弹出式身份验证是默认用户体验。

在 Tableau Cloud 上启用框架内身份验证

在 Tableau Cloud 上启用框架内身份验证之前,您必须已配置和启用 SAML。

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. “身份验证”选项卡上,选中“启用其他身份验证方法”复选框,选择“SAML”,然后单击“配置(必需)”下拉箭头。

  3. 导航到“嵌入选项”,然后选择“使用嵌入式框架进行身份验证”单选按钮。

警告:嵌入式框架可能容易受到单击劫持攻击。单击劫持是一种针对网页的攻击,在这种攻击中,攻击者会试图在一个不相关页面上的透明层中显示攻击页面,从而诱骗用户单击或输入内容。在 Tableau Cloud 的上下文中,攻击者可能会试图使用单击劫持攻击来捕获用户凭据,或让授权用户更改设置。有关单击劫持攻击的详细信息,请参见开放式 Web 应用程序安全项目网站上的单击劫持(链接在新窗口中打开)

使用 SAML IDP 启用框架内身份验证

如上所述,使用 Salesforce Mobile 实现无缝身份验证用户体验需要 IdP 支持框架内身份验证。此功能在 IdP 处也称为“iframe 嵌入”或“框架保护”

Salesforce 安全列表域

在某些情况下,IdP 只允许按域启用框架内身份验证。在这种情况下,在启用框架内身份验证时设置以下 Salesforce 通配符域:

*.force

*.visualforce

Salesforce IdP

默认情况下,Salesforce IdP 支持框架内身份验证。您无需在 Salesforce 配置中启用或配置框架内身份验证。但是,您必须针对框架内身份验证配置 Tableau Cloud,如上所述。

Okta IdP

请参见 Okta 帮助中心主题常规自定义选项(链接在新窗口中打开)中的“在 iframe 中嵌入 Okta”。

Ping IdP

请参阅 Ping 支持主题如何禁用 PingFederate 中的“X-Frame-Options=SAMEORIGIN”标头(链接在新窗口中打开)

OneLogin IdP

请参见 OneLogin 知识库文章帐户所有者的帐户设置(链接在新窗口中打开)中的“框架保护”。

ADFS 和 EntraID IdP

Microsoft 已阻止所有框架内身份验证,无法将其启用。相反,Microsoft 在第二个窗口中仅支持弹出式身份验证。因此,某些浏览器可能会阻止弹出窗口行为,这将要求用户接受 force.comvisualforce.com 站点的弹出窗口。

Salesforce 移动应用软件

如果您的用户主要在 Salesforce 移动应用软件中与 Lightning 进行交互,则您应该了解以下情况:

  • Salesforce 移动应用软件要求您配置 SSO/SAML 以查看嵌入式 Tableau。
  • Salesforce 移动应用软件需要框架内身份验证。弹出式身份验证不起作用。相反,Salesforce 移动应用软件上的用户将看到 Tableau 登录按钮,但无法登录到 Tableau。
  • 移动应用软件在 ADFS 和 Azure AD IdP 上不起作用。
  • 拥有 Android 设备的用户首次需要登录才能查看嵌入的 Tableau 可视化项,然后 SSO 将按预期工作。
感谢您的反馈!您的反馈已成功提交。谢谢!