使用 OneLogin 配置 SAML

如果使用 OneLogin 作为 SAML 身份提供程序 (IdP),您可以使用本主题中的信息来为 Tableau Online 站点设置 SAML 身份验证。

这些步骤假设您具有修改组织的 OneLogin 门户的权限,并且您熟悉读取 XML 并将值传递到属性中的操作。

注意:这些步骤反映第三方应用程序,并且会在我方不知道的情况下发生更改。如果此处描述的步骤与您在您的 IdP 帐户中看到的屏幕不符,您可以使用一般 SAML 配置步骤,以及 IdP 的文档。

打开 Tableau Online SAML 设置

  1. 以站点管理员身份登录到 Tableau Online 站点,并选择“设置”>“身份验证”

  2. 在“身份验证”选项卡上,选择“启用其他身份验证方法”,选择“SAML”,然后选择“编辑连接”

Tableau Online 添加到您的 OneLogin 应用程序

  1. 打开一个新浏览器选项卡或窗口,并登录到 OneLogin 管理员门户。

  2. “应用程序”页面上,选择“添加应用”。搜索“Tableau”,并在结果中选择“Tableau Online SSO”

    在此区域中配置 SAML 连接。

  3. “Info”(信息)页面上,设置您的门户首选项。如果有多个 Tableau Online 站点,请在“Display Name”(显示名称)字段中包括站点名称,帮助用户了解要选择哪个站点。

  4. “Configuration”(配置)页面上,您将使用从 Tableau Online“设置”>“身份验证”页面的步骤 1 中获得的信息。

    1. 对于“Consumer URL”(使用者 URL),在“身份验证”页面上选择并复制“断言使用者服务 URL (ACS)”

      返回到 OneLogin,并将该 URL 粘贴到“Consumer URL”(使用者 URL)字段中。

    2. 对于“Audience”(受众群体),从“身份验证”页面中复制并粘贴“Tableau Online 实体 ID”

  5. “SSO”页面上,为“SAML Signature Algorithm”(SAML 签名算法)选择“SHA-256”

  6. “Parameters”(参数)页面上,确保显示的值如下所示:

    Tableau Online 字段
    电子邮件 电子邮件
    电子邮件(属性) 电子邮件
  7. 返回到 Tableau Online“身份验证”页面,并且为步骤 5“匹配断言”按如下方式设置“IdP 断言名称”列中的值:

    • 电子邮件:电子邮件

    • 选择“名”“姓”单选按钮。

    • 名:FirstName

    • 姓:LastName

针对 Tableau Online 配置 OneLogin 元数据

对于这些步骤,您将查找并配置将重新用到 Tableau Online 中来完成 SAML 配置的 OneLogin 信息。

  1. “SSO”页面上,选择并复制 “SLO Endpoint (HTTP)”(SLO 端点(HTTP))字段中显示的 URI。

    注意: 尽管标签指明 HTTP,但提供的 URI 是 https 地址,因为 SLO(单点注销)端点使用 SSL/TLS 加密。

  2. 在同一页面上,选择“More Actions”(更多操作)>“SAML Metadata”(SAML 元数据),并将文件保存到您的计算机。

  3. 在文本或 XML 代码编辑器中打开元数据文件,并在 IDPSSODescriptor 元素中添加以下新元素:

    <SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect" Location="slo-endpoint-https-uri-goes-here"/>

  4. 对于新元素的 Location 属性,请在引号内粘贴您在此过程的步骤 1 中复制的 SLO 端点值。

    下图显示了一个示例,新元素以黄色突出显示,并在 Location 值中使用占位符 123456

  5. 保存元数据文件。

    在下一节中,您会将此文件导入 Tableau Online

完成 SAML 配置

  1. Tableau Online“身份验证”页面上,为步骤 4 导入您在上一节中保存的 OneLogin 元数据文件。

  2. 由于您提前完成了步骤 5,因此您可以跳到步骤 6 和 7,将 SAML 用户添加到站点以及测试连接。

(可选)启用 iFrame 嵌入

在站点上启用 SAML 时,您需要指定用户如何登录来访问网页中嵌入的视图。这些步骤对 OneLogin 进行配置,以允许将 OneLogin dashboard 嵌入另一个站点上的嵌入式框架 (iFrame)。嵌入式框架嵌入可以在登录以查看嵌入式可视化项时提供更加完美的用户体验。例如,如果用户已经向您的身份提供程序进行了身份验证,并且启用了 iFrame 嵌入,则当浏览到包含嵌入式可视化项的页面时,用户将无缝地向 Tableau Server 进行身份验证。

警告: 嵌入式框架可能容易受到单击劫持攻击。单击劫持是一种针对网页的攻击,在这种攻击中,攻击者会试图在一个不相关页面上的透明层中显示攻击页面,从而诱骗用户单击或输入内容。在 Tableau Online 的上下文中,攻击者可能会试图使用单击劫持攻击来捕获用户凭据,或让授权用户更改设置。有关单击劫持攻击的详细信息,请参见开放式 Web 应用程序安全项目网站上的单击劫持(链接在新窗口中打开)

  1. 打开一个新浏览器选项卡或窗口,并登录到 OneLogin 管理员门户。

  2. “Settings”(设置)菜单上,单击“Account Settings”(帐户设置)

  3. “Basic”(基本)页面上的“Framing Protection”(框架保护)中,选中“Disable Framing Protection (X-Frame-Options)”(禁用框架保护 (X-Frame-Options))复选框。

感谢您的反馈!