使用 Okta 配置 SAML
如果使用 Okta 作为 SAML 身份提供程序 (IdP),您可以使用本主题中的信息来为 Tableau Cloud 站点设置 SAML 身份验证。您还可以使用 Okta 文档中的如何为 Tableau Cloud 配置 SAML 2.0(链接在新窗口中打开)主题。
Tableau Cloud 与 Okta 的 SAML 集成支持服务提供商 (SP) 发起的 SSO、身份提供程序 (IdP) 发起的 SSO 和单点注销 (SLO)。
注意:
- 这些步骤反映第三方应用程序,并且会在我方不知道的情况下发生更改。如果此处描述的步骤与您在您的 IdP 帐户中看到的屏幕不符,您可以使用一般
- 自 2022 年 2 月起,Tableau Cloud 要求通过 SAML SSO 身份提供程序 (IdP) 进行多重身份验证 (MFA)。
步骤 1:打开 Tableau Cloud SAML 设置
为了配置 Okta 应用程序,您将需要使用 Tableau Cloud SAML 设置中的信息。
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
在“身份验证”选项卡上,选中“启用其他身份验证方法”复选框,选择“SAML”,然后单击“配置(必需)”下拉箭头。
步骤 2:将 Tableau Cloud 添加到 Okta 应用程序
本节中描述的步骤在 Okta 管理员控制台中执行。
打开一个新浏览器,并登录到 Okta 管理员控制台。
从左侧窗格中,选择“Application”(应用程序)>“Applications”(应用程序),然后单击“Browse App Catalog”(浏览应用程序目录)按钮。
搜索并单击“Tableau Cloud”,然后单击“Add Integration”(添加集成)按钮。这将打开“General Settings”(常规设置)选项卡。
(可选)如果有多个 Tableau Cloud 站点,请在“Application label”(应用程序标签)字段中编辑站点名称,帮助您区分 Tableau Cloud 应用程序实例。
步骤 3:配置 SSL
本节中描述的步骤在 Okta 管理员控制台和 Tableau Cloud 的 SAML 配置设置中执行。
在 Okta 管理员控制台中,单击“Assignments”(分配)选项卡以添加您的用户或组。
完成后,单击“Done”(完成)。
单击“Sign On”(登录)选项卡,然后在“Settings”(设置)部分中单击“Edit”(编辑) 。
(可选)如果您想要启用单点注销 (SLO),请执行以下操作:
选中“Enable Single Logout”(启用单点注销)复选框。
从 Tableau Cloud 元数据文件中复制“Single Logout URL”(单点注销 URL)值。例如, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>。有关详细信息,请参见 Tableau 知识库中的使用 SAML 与 Okta,配置单点注销(链接在新窗口中打开)。
在“Advanced Sign-on Settings”(高级登录设置)文本框中,输入您在步骤 b 中复制的值。
返回到 Tableau Cloud SAML 配置设置,在“1.从 Tableau Cloud 导出元数据”下,单击“下载证书”按钮。
返回到 Okta 管理员控制台,在“Signature Certificate”(签名证书)旁边,单击“Browse”(浏览)按钮并导航到您在步骤 d 中下载的文件。
选择文件并单击“Upload”(上传)按钮。
完成后,单击“Save”(保存)。
返回到 Tableau Cloud SAML 配置设置,在步骤 1“方法 2:复制元数据并下载证书”下,复制 Tableau Cloud实体 ID。
返回到 Okta 管理员控制台,并执行以下操作:
选择“Applications”(应用程序)>“Application”(应用程序),单击“Tableau Cloud application”(Tableau Cloud 应用程序),然后选择“Sign On”(登录)选项卡。
单击“Edit”(编辑)。
在“Advanced Sign-on Settings”(高级登录设置)下的“Tableau Cloud entity ID”(Tableau Cloud 实体 ID)文本框中,粘贴 URL。
为Tableau Cloud ACS URL 重复步骤 7 和 8。
注意:Tableau Cloud SAML 配置设置以不同于 Okta 设置页面的顺序显示。为了防止 SAML 身份验证问题,请确保已在 Okta 中的正确字段中输入了“Tableau Cloud 实体 ID” 和“Tableau Cloud ACS URL”。
完成后,单击“保存”。
返回到 Tableau Cloud SAML 配置设置,在步骤 1“方法 2:复制元数据并下载证书”下,单击“下载证书”按钮。
返回 Okta 管理员控制台中的“Tableau Cloud application”(Tableau Cloud 应用程序),在“Sign On”(登录)选项卡上单击“Edit”(编辑),然后执行以下操作:
在“Metadata details”(元数据详细信息)下,复制元数据 URL。
将 URL 粘贴到新浏览器中,并使用默认的“metadata.xml”将结果保存为文件。
返回到 Tableau Cloud SAML 配置设置,在“4.:将元数据上载到“Tableau Cloud”下,单击“选择文件”按钮,选择 metadata.xml 文件以上载该文件。这会自动填充“IdP 实体 ID”和“SSO 服务 URL”值。
将“Tableau Cloud 用户配置文件映射”页面中的属性名称(断言)映射到“5.匹配属性”Tableau Cloud(在 SAML 配置设置中)下的对应属性名称。
在“7.测试配置”下,单击“测试配置”按钮。我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud 中,并配置了 SAML 身份验证类型。
注意:如果连接失败,请考虑将 Tableau 中的NameID属性保留原样。
步骤 4:将用户添加到启用 SAML 的 Tableau 站点
如果您计划使用 SCIM 从 Okta 预置用户,请勿手动将用户添加到 Tableau Cloud。有关详细信息,请参见使用 Okta 配置 SCIM。如果您不使用 SCIM,请使用以下步骤将用户添加到您的站点。
本节中描述的步骤是在 Tableau Cloud 的“用户”页面上执行的。
完成 步骤 3:配置 SSL后,返回到 Tableau Cloud 站点。
从左侧窗格中,导航至“用户”页面。
按照向站点添加用户主题中描述的过程进行操作。
步骤 5:启用 iFrame 嵌入(可选)
在站点上启用 SAML 时,您需要指定用户如何登录来访问网页中嵌入的视图。这些步骤对 Okta 进行配置,以允许为嵌入可视化项使用嵌入式框架 (iFrame) 进行身份验证。嵌入式框架嵌入可以在登录以查看嵌入式可视化项时提供更加完美的用户体验。例如,如果用户已经向您的身份提供程序进行了身份验证,并且启用了 iFrame 嵌入,则当浏览到包含嵌入式可视化项的页面时,用户将无缝地向 Tableau Cloud 进行身份验证。
警告:IFrame 框架可能容易受到单击劫持攻击。单击劫持是一种针对网页的攻击,在这种攻击中,攻击者会试图在一个不相关页面上的透明层中显示攻击页面,从而诱骗用户单击或输入内容。在 Tableau Cloud 的上下文中,攻击者可能会试图使用单击劫持攻击来捕获用户凭据,或让授权用户更改设置。有关单击劫持攻击的详细信息,请参见开放式 Web 应用程序安全项目网站上的单击劫持(链接在新窗口中打开)。
登录到 Okta 管理员控制台。
从左侧窗格中,选择“Customizations”(自定义项) > “Other”(其他),并导航到“IFrame Embedding”(IFrame 嵌入)部分。
单击“Edit”(编辑) ,选中“Allow iFrame embedding”(允许 iFrame 嵌入)复选框,然后单击“Save”(保存) 。