使用 OneLogin 配置 SAML

如果使用 OneLogin 作为 SAML 身份提供程序 (IdP),您可以使用本主题中的信息来为 Tableau Cloud 站点设置 SAML 身份验证。

这些步骤假设您具有修改组织的 OneLogin 门户的权限,并且您熟悉读取 XML 并将值传递到属性中的操作。

注意: 

  • 这些步骤反映第三方应用程序,并且会在我方不知道的情况下发生更改。如果此处描述的步骤与您在您的 IdP 帐户中看到的屏幕不符,您可以使用一般 SAML 配置步骤 ,以及 IdP 的文档。
  • 自 2022 年 2 月起,Tableau Cloud 要求通过 SAML SSO 身份提供程序 (IdP) 进行多重身份验证 (MFA)。

步骤 1:打开 Tableau Cloud SAML 设置

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. 在“身份验证”选项卡上,选中“启用其他身份验证方法”复选框,选择“SAML”,然后单击“配置(必需)”下拉箭头。

步骤 2:将 Tableau Cloud 添加到您的 OneLogin 应用程序

  1. 打开一个新浏览标签页或窗口,登录到 OneLogin 管理员门户并执行以下操作:

    1. “应用程序”页面上,选择“添加应用”。搜索“Tableau”,并在结果中选择“Tableau Cloud SSO”。在此区域中配置 SAML 连接。

      注意:适用于 OneLogin 的 Tableau Cloud SSO 选项不适用于 Tableau Server。

    2. “Info”(信息)页面上,设置您的门户首选项。如果有多个 Tableau Cloud 站点,请在“Display Name”(显示名称)字段中包括站点名称,帮助用户了解要选择哪个站点。
  2. 在 OneLogin 管理员门户的“Configuration”(配置)页面上,您将使用“Tableau Cloud 身份验证”页面中的步骤 1“方法 1:复制元数据并下载证书”中的信息。

    1. 对于“Consumer URL”(使用者 URL),选择并复制“Tableau Cloud ACS URL”

      返回到 OneLogin,并将该 URL 粘贴到“Consumer URL”(使用者 URL)字段中。

    2. 对于“Audience”(受众群体),复制并粘贴“Tableau Cloud Entity ID”(Tableau Cloud 实体 ID)

  3. 在 Onelogin 管理员门户的“SSO”页面上,为“SAML Signature Algorithm”(SAML 签名算法)选择“SHA-256”

  4. 在 Onelogin 管理员门户的“Parameters”(参数)页面上,确保显示的值如下所示:

    Tableau Cloud 字段
    用户名Email

步骤 4:在 Tableau Cloud 中测试 SAML 配置

在 OneLogin 中,执行以下操作:

  • 将示例用户添加到 OneLogin 并将其分配给 Tableau Cloud 应用程序。

在 Tableau Cloud 中,执行以下操作:

  1. 将该 OneLogin 用户添加到 Tableau Cloud 以测试 SAML 配置。若要在 Tableau Cloud 中添加用户,请参见 向站点添加用户主题。

  2. “7.测试配置”下,单击“测试配置”按钮。

步骤 3:针对 Tableau Cloud 配置 OneLogin 元数据

对于以下步骤,您将查找并针对 Tableau Cloud 配置 OneLogin 信息以完成 SAML 配置。

  1. 在仍处于 OneLogin 管理员门户中时,在“SSO”页面上,选择并复制 “SLO Endpoint (HTTP)”(SLO 端点(HTTP))字段中显示的 URI。

    注意:尽管标签指明 HTTP,但提供的 URI 是 https 地址,因为 SLO(单点注销)端点使用 SSL/TLS 加密。

  2. 在同一页面上,选择“More Actions”(更多操作)>“SAML Metadata”(SAML 元数据),并将文件保存到您的计算机。

    在下一节中,您会将此文件导入 Tableau Cloud

步骤 4:完成 SAML 配置

  1. Tableau Cloud“身份验证”页面上,执行以下操作:

    1. 对于“4. 将元数据文件导入 Tableau” ,导入您在上一部分中保存的 OneLogin 元数据文件。

      重要信息:如果您在上载 OneLogin 元数据文件时遇到任何问题,请考虑对 OneLogin 使用非默认证书。若要创建新证书,请从 Onelogin 管理员门户中选择“Security”(安全)>“Certificates”(证书)。如果您创建新证书,请确保 OneLogin 中的 Tableau Cloud 应用程序使用此新证书。

    2. 对于“5. 匹配属性”,设置值如下:

      • 用户名:电子邮件
      • 选择“名”和“姓”单选按钮。
      • 名:FirstName
      • 姓:LastName

    3. 对于“6. 选择嵌入视图的默认设置(可选)”,选择您要在用户访问嵌入内容时启用的体验。有关详细信息,请参见下面的(可选)启用 iFrame 嵌入部分。

    4. 单击“保存更改”按钮。

    5. 对于“7. 测试配置”,单击“测试配置”按钮。我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud 中,并配置了 SAML 身份验证类型。

步骤 5:将用户添加到启用 SAML 的 Tableau 站点

本节中描述的步骤是在 Tableau Cloud 的“用户”页面上执行的。

  1. 完成上面的步骤后,返回到 Tableau Cloud 站点。

  2. 从左侧窗格中,导航至“用户”页面。

  3. 按照向站点添加用户主题中描述的过程进行操作。

(可选)启用 iFrame 嵌入

在站点上启用 SAML 时,您需要指定用户如何登录来访问网页中嵌入的视图。这些步骤对 OneLogin 进行配置,以允许将 OneLogin dashboard 嵌入另一个站点上的嵌入式框架 (iFrame)。嵌入式框架嵌入可以在登录以查看嵌入式可视化项时提供更加完美的用户体验。例如,如果用户已经向您的身份提供程序进行了身份验证,并且启用了 iFrame 嵌入,则当浏览到包含嵌入式可视化项的页面时,用户将无缝地向 Tableau Cloud 进行身份验证。

警告:嵌入式框架可能容易受到单击劫持攻击。单击劫持是一种针对网页的攻击,在这种攻击中,攻击者会试图在一个不相关页面上的透明层中显示攻击页面,从而诱骗用户单击或输入内容。在 Tableau Cloud 的上下文中,攻击者可能会试图使用单击劫持攻击来捕获用户凭据,或让授权用户更改设置。有关单击劫持攻击的详细信息,请参见开放式 Web 应用程序安全项目网站上的单击劫持(链接在新窗口中打开)

  1. 打开一个新浏览器标签页或窗口,并登录到 OneLogin 管理员门户。

  2. “Settings”(设置)菜单上,单击“Account Settings”(帐户设置)

  3. “Basic”(基本)页面上的“Framing Protection”(框架保护)中,选中“Disable Framing Protection (X-Frame-Options)”(禁用框架保护 (X-Frame-Options))复选框。

感谢您的反馈!您的反馈已成功提交。谢谢!