使用 OneLogin 配置 SAML


如果使用 OneLogin 作为 SAML 身份提供程序 (IdP),您可以使用本主题中的信息来为 Tableau Cloud 站点设置 SAML 身份验证。

这些步骤假设您具有修改组织的 OneLogin 门户的权限,并且您熟悉读取 XML 并将值传递到属性中的操作。

注意: 

  • 这些步骤反映第三方应用程序,并且会在我方不知道的情况下发生更改。如果此处描述的步骤与您在您的 IdP 帐户中看到的屏幕不符,您可以使用一般 SAML 配置步骤 ,以及 IdP 的文档。
  • 自 2022 年 2 月起,Tableau Cloud 要求通过 SAML SSO 身份提供程序 (IdP) 进行多重身份验证 (MFA)。
  • IdP 中的配置步骤的顺序可能与您在 Tableau Cloud 中看到的顺序不同。

步骤 1:开始

在 Tableau Cloud 中,执行以下操作:

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. “身份验证”选项卡上,单击“新配置”按钮,从“身份验证”下拉菜单中选择“SAML”,然后输入配置的名称。

    Tableau Cloud 站点身份验证设置 - 新配置页面的屏幕快照

    注意:2024 年 11 月(Tableau 2024.3)之前创建的配置无法重命名。

在 OneLogin 中,执行以下操作:

  1. 打开一个新浏览标签页或窗口,登录到 OneLogin 管理员门户,然后执行以下操作:

  2. “应用程序”页面上,选择“添加应用”。搜索“Tableau”,并在结果中选择“Tableau Cloud SSO”。在此区域中配置 SAML 连接。

    注意:适用于 OneLogin 的 Tableau Cloud SSO 选项不适用于 Tableau Server。

  3. “Info”(信息)页面上,设置您的门户首选项。如果有多个 Tableau Cloud 站点,请在“Display Name”(显示名称)字段中包括站点名称,帮助用户了解要选择哪个站点。

  4. “SSO”页面上,选择并复制 “SLO Endpoint (HTTP)”(SLO 端点(HTTP))字段中显示的 URI。

    注意:尽管标签指明 HTTP,但提供的 URI 是 https 地址,因为 SLO(单点注销)端点使用 SSL/TLS 加密。

  5. 在同一页面上,选择“More Actions”(更多操作)>“SAML Metadata”(SAML 元数据),并将 OneLogin 元数据文件保存到您的计算机。

步骤 2:在 Tableau Cloud 中配置 SAML

按照上一部分所述下载来自 OneLogin 的 SAML 元数据文件后,完成以下步骤。

  1. 返回 Tableau Cloud,在“新配置”页面的“2.将元数据上载到 Tableau”下,单击“选择文件”按钮,并导航到从 OneLogin 下载的 SAML 元数据文件。

    重要信息:如果您在上载 OneLogin 元数据文件时遇到任何问题,请考虑对 OneLogin 使用非默认证书。若要创建新证书,请从 Onelogin 管理员门户中选择“Security”(安全)>“Certificates”(证书)。如果您创建新证书,请确保 OneLogin 中的 Tableau Cloud 应用程序使用此新证书。

  2. 继续执行“3.地图属性”并按如下方式设置值:

    1. 对于“用户名”,输入电子邮件。这是用户用于登录 Tableau Cloud 的电子邮件地址。

    2. 对于“电子邮件地址”,根据 IdP 的文档输入可选属性值。如果与用户名不同,此属性是用户应接收通知的电子邮件地址。此地址仅用于通知目的。

    3. 对于“显示名称”,选择“名”和“姓”单选按钮。

      1. 对于“名”,输入 FirstName。

      2. 对于“姓”,输入 LastName。

    SAML 配置页面的屏幕截图 -- 步骤 3.地图属性

  3. “4.选择嵌入视图的默认设置(可选)”,选择您要在用户访问嵌入内容时启用的体验。有关详细信息,请参见下面的关于启用 iFrame 嵌入部分。

  4. 单击“保存并继续”按钮。

步骤 3.在您的 IdP 中配置 Tableau Cloud 应用程序

本节中的程序将使用“5.获取 Tableau Cloud 元数据”(位于 Tableau Cloud 中“新配置”页面上的“方法 2:复制元数据并下载证书”)中的信息。

  1. 返回 OneLogin 门户,在 Tableau Cloud 应用程序的“Configuration”(配置)页面上,执行以下操作:

    1. 对于 OneLogin 门户中的“Consumer URL”(使用者 URL),粘贴 Tableau Cloud 中的“Tableau Cloud ACS URL”值。

    2. 对于 OneLogin 门户中的“Audience”(受众),粘贴 Tableau Cloud 中的“Tableau Cloud 实体 ID”值。

    Tableau Cloud SAML 的“新配置”页面 --“步骤 5.从 Tableau Cloud 中导出元数据”的屏幕截图

  2. 导航到“SSO”页面,为“SAML Signature Algorithm”(SAML 签名算法)选择“SHA-256”

  3. 导航到“Parameters”(参数),并确保显示的值如下所示:

    Tableau Cloud 字段
    用户名Email

步骤 4:在 Tableau Cloud 中测试 SAML 配置

在 OneLogin 中,执行以下操作:

  • 将示例用户添加到 OneLogin 并将其分配给 Tableau Cloud 应用程序。

在 Tableau Cloud 中,执行以下操作:

  1. 将该 OneLogin 用户添加到 Tableau Cloud 以测试 SAML 配置。若要在 Tableau Cloud 中添加用户,请参见 向站点添加用户主题。

  2. “7.测试配置”下,单击“测试配置”按钮。

    我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud 中,并配置了 SAML 身份验证类型。

步骤 5:将其他用户添加到启用 SAML 的 Tableau Cloud 站点

使用下面的步骤将其他用户添加到您的站点。本部分中描述的程序是在 Tableau Cloud“用户”页面上执行的。

  1. 完成上述步骤后,从左侧窗格导航至“用户”页面。

  2. 按照向站点添加用户主题中描述的过程进行操作。

关于启用 iFrame 嵌入

在站点上启用 SAML 时,您需要指定用户如何登录来访问网页中嵌入的视图。这些步骤对 OneLogin 进行配置,以允许将 OneLogin dashboard 嵌入另一个站点上的嵌入式框架 (iFrame)。嵌入式框架嵌入可以在登录以查看嵌入式可视化项时提供更加完美的用户体验。例如,如果用户已经向您的身份提供程序进行了身份验证,并且启用了 iFrame 嵌入,则当浏览到包含嵌入式可视化项的页面时,用户将无缝地向 Tableau Cloud 进行身份验证。

警告:嵌入式框架可能容易受到单击劫持攻击。单击劫持是一种针对网页的攻击,在这种攻击中,攻击者会试图在一个不相关页面上的透明层中显示攻击页面,从而诱骗用户单击或输入内容。在 Tableau Cloud 的上下文中,攻击者可能会试图使用单击劫持攻击来捕获用户凭据,或让授权用户更改设置。有关单击劫持攻击的详细信息,请参见开放式 Web 应用程序安全项目网站上的单击劫持(链接在新窗口中打开)

  1. 打开一个新浏览器标签页或窗口,并登录到 OneLogin 管理员门户。

  2. “Settings”(设置)菜单上,单击“Account Settings”(帐户设置)

  3. “Basic”(基本)页面上的“Framing Protection”(框架保护)中,选中“Disable Framing Protection (X-Frame-Options)”(禁用框架保护 (X-Frame-Options))复选框。

回到顶部
感谢您的反馈!您的反馈已成功提交。谢谢!