使用 Microsoft Entra ID 配置 SAML

如果已将 Microsoft Entra ID（也称为 Microsoft Azure Active Directory (Azure AD)）配置为您的 SAML 身份提供程序 (IdP)，请使用本主题中的信息以及 Microsoft Entra 文档将 Tableau Cloud 添加到您的单点登录应用程序。

注意：

这些步骤反映第三方应用程序，并且会在我方不知道的情况下发生更改。如果此处描述的步骤与您在您的 IdP 帐户中看到的屏幕不符，您可以使用一般 SAML 配置步骤，以及 IdP 的文档。
自 2022 年 2 月起，Tableau Cloud 要求通过 SAML SSO 身份提供程序 (IdP) 进行多重身份验证 (MFA)。

先决条件

您的环境必须具有以下各项，然后才能使用 Entra ID 配置 Tableau Cloud 和 SAML：

满足先决条件(链接在新窗口中打开)，如“教程：Microsoft Entra SSO 与 Tableau Cloud 的集成”文档中所述

创建 Microsoft Entra 测试用户(链接在新窗口中打开)，如“教程：Microsoft Entra SSO 与 Tableau Cloud 的集成”文档中所述

步骤 1：开始

在 Tableau Cloud 中，执行以下操作

以站点管理员身份登录到 Tableau Cloud 站点，并选择“设置”>“身份验证”。
在“身份验证”选项卡上，选中“启用其他身份验证方法”复选框，选择“SAML”，然后单击“配置(必需)”下拉箭头。

在 Entra 中，执行以下操作：

至少以云应用程序管理员身份登录 Microsoft Entra 管理中心(链接在新窗口中打开)。
导航至“Enterprise applications”）企业应用程序>“New application”（新应用程序）。
在 “Browse Microsoft Entra Gallery”（浏览 Microsoft Entra 库）页面中，在搜索框中输入“Tableau Cloud”。
在搜索结果中单击“Tableau 云”，在右侧面板中根据需要更改实例的默认名称，然后单击“Create”（创建）。
注意：
- 添加 Tableau Cloud 应用程序实例可能需要一些时间。
- 通过库创建 Tableau Cloud 应用程序实例时，SAML 是唯一支持与 Tableau 集成的配置类型。
在左侧窗格中，导航到“Single sign-on”（单点登录）。
在“Select a single sign-on method”（选择单点登录方法）页面上，选择“SAML”。
在“Set up Single Sign-On with SAML”“使用 SAML 设置单点登录”页面上“Basic SAML Configuration”（基本 SAML 配置）的旁边，单击“Edit”（编辑），然后执行以下操作：
1. 在 “Identifier (Entity ID)”（标识符（实体 ID））文本框中，输入以下占位符 URL，您将在步骤 3.2 中再次编辑该 URL：https://sso.online.tableau.com/public/sp/metadata?alias=<entityid>
2. 在“Reply URL”（回复 URL）文本框中，输入您将在步骤 3.2 中再次编辑的以下占位符 URL： https://sso.online.tableau.com/public/sp/
3. 在“Sign on URL”（登录 URL）文本框中，输入以下 URL：https://sso.online.tableau.com
4. 单击“Save”（保存）。
接下来，在“SAML Signing Certificate”（SAML 签名证书）的旁边，单击“Edit”（编辑）。
单击“Download”（下载）以下载联合元数据 XML。
最后，在“Attributes & Claims”（属性与声明）旁边，单击“Edit”（编辑）为下面的步骤 2.2 做准备。

步骤 2：在 Tableau Cloud 中配置 SAML

按照上一部分所述，保存来自 Entra 的 SAML 元数据文件后，完成以下过程。

返回 Tableau Cloud，在“新配置”页面的“2.将元数据上载到 Tableau”下，单击“选择文件”按钮，并导航到从 Entra 保存的 SAML 元数据文件。这会自动填充“IdP 实体 ID”和“SSO 服务 URL”值。
在“3.地图属性”下，从 Entra 的“Attributes & Claims”（属性与声明）部分复制相应的属性名称（断言）：
1. 对于“用户名” 字段，输入 mail 或 userprincipalname，或者复制 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name URL。
2. 对于其余的可选字段，复制 URL 声明名称。
在“4.选择嵌入视图的默认设置(可选)”下，选择您要在用户访问嵌入式 Tableau 内容时启用的体验。
单击“保存并继续”按钮。
转到“5.获取 Tableau Cloud 元数据”，为下面的步骤 3.1 做准备。

步骤 3：在您的 IdP 中配置 Tableau Cloud 应用程序

返回 Entra，在“Set up Single Sign-On with SAML”（使用 SAML 设置单点登录）页面上的“Basic SAML Configuration”（基本 SAML 配置）旁边，单击“Edit”（编辑），然后执行以下操作：
1. 对于“Identifier (Entity ID)”（标识符（实体 ID）），在 Tableau Cloud 的“5.在 Tableau Cloud 中获取 Tableau Cloud 元数据”下，复制“Tableau Cloud 实体 ID”URL。
2. 对于“Reply URL”（回复 URL），在 Tableau Cloud 的“5.在 Tableau Cloud 中获取 Tableau Cloud 元数据”下，复制“Tableau Cloud ACS URL”。
3. 单击“Save”（保存）。

步骤 4：在 Tableau Cloud 中测试 SAML 配置

在 Entra 中，执行以下操作：

分配 Microsoft Entra 测试用户(链接在新窗口中打开)，如“教程：Microsoft Entra SSO 与 Tableau Cloud 的集成”文档中所述。

在 Tableau Cloud 中，执行以下操作：

将该 Entra 用户添加到 Tableau Cloud 以测试 SAML 配置。若要在 Tableau Cloud 中添加用户，请参见向站点添加用户主题。
在“7.测试配置”下，单击“测试配置”按钮。
我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置，请确保至少有一个您可以登录的用户，该用户已在 IdP 中预置并添加到 Tableau Cloud 中，并配置了 SAML 身份验证类型。

Microsoft Entra ID 支持 SAML 的其他注意事项

为了避免启用 SP 发起的单点注销 (SLO)，请确保上载到 Tableau Cloud SAML 设置的 IdP 元数据不包含 SLO 端点。或者，在您上载到 Tableau Cloud SAML 设置的 IdP 元数据中，您可以将现有的“SingleLogoutService”值替换为“https://sso.online.tableau.com/public/idp/SSO”。
如果您的应用程序使用 IdP 发起的 SSO，请不要在 Entra 中的库中提供 Tableau Cloud 应用程序中的“登录 URL”值。为此字段提供一个值将绕过 IdP 发起的 SSO。

回到顶部

感谢您的反馈!

您的反馈已成功提交。谢谢!