在站点上启用 SAML 身份验证

本主题介绍如何在站点上启用 SAML 和选择单点登录用户。它还提供了从 SAML 切换到默认 Tableau(也称为 TableauID)身份验证的步骤。在启用 SAML 之前,我们建议您查看Tableau Cloud 的 SAML 要求,包括更改身份验证类型对 Tableau Bridge 的影响

本主题假定您熟悉身份验证以及 SAML 身份验证的工作原理中的信息。

特定于 IdP 的配置信息

本主题后面各节中的步骤提供了您可与 IdP 文档配合使用来为 Tableau Cloud 站点配置 SAML 的基本步骤。可以为以下 IdP 获取特定于 IdP 的配置步骤:

启用 SAML

  1. 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”

  2. “身份验证”选项卡上,选中“启用其他身份验证方法”复选框,选择“SAML”,然后单击“配置(必需)”下拉箭头。

    Tableau Cloud 站点身份验证设置页面的屏幕快照

SAML 配置步骤

此部分将引导您完成在 Tableau Cloud 设置页面的“身份验证”选项卡上出现的配置步骤。

注意:若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SAML 连接配置或定义服务提供程序或者添加应用程序的主题。

步骤 1:从 Tableau 中导出元数据

要在 Tableau Cloud 与您的 IdP 之间创建 SAML 连接,需要在这两项服务之间交换必需的元数据。若要从 Tableau Cloud 中获取元数据,请选择以下方法之一:请参见 IdP 的 SAML 配置文档来确认正确的选项。

  • 选择“导出元数据”按钮,以下载一个包含 Tableau Cloud SAML 实体 ID、声明使用者服务 (ACS) URL 和 X.509 证书的 XML 文件。

  • 如果您的 IdP 期望以另一种方式获得所需的信息,请选择 “下载证书”。举例来说,它希望您在将临的位置中输入 Tableau Cloud 实体 ID、ACS URL 和 X.509 证书。

    下图经过编辑,显示出这些设置在 Tableau Cloud 和 Tableau Server 中相同。

步骤 2 和步骤 3:外部步骤

对于步骤 2,若要导入您在步骤 1 中导出的元数据,请登录您的 IdP 帐户,然后按照 IdP 的文档提供的说明来提交 Tableau Cloud 元数据。

对于步骤 3,IdP 的文档将也可在如何向服务提供程序提供元数据方面为您提供指导。它将指示您下载元数据文件,或者将显示 XML 代码。如果它显示 XML 代码,请将代码复制并粘贴到一个新文本文件中,并使用 .xml 扩展名保存文件。

步骤 4:将 IdP 元数据导入 Tableau 站点

Tableau Cloud 中的“身份验证”页面上,导入您从 IdP 下载或通过它提供的 XML 手动配置的元数据文件。

注意:如果编辑配置,您将需要上载元数据文件,以便 Tableau 知道使用正确的 IdP 实体 ID 和 SSO 服务 URL。

步骤 5:匹配属性

属性包含有关用户的身份验证、授权和其他信息。

注意:Tableau Cloud 需要 SAML 响应中的 NameID 属性。您可以提供其他属性来映射 Tableau Cloud 中的用户名,但响应消息必须包含 NameID 属性。

  • 用户名:(必填)输入存储用户的用户名(电子邮件地址)的属性的名称。

  • 显示名称:(可选但建议使用)某些 IdP 为名和姓使用单独的属性,而另一些则将全名存储在一个属性中。

    选择对您的 IdP 存储名称的方式对应的按钮。举例来说,如果 IdP 将名和姓合并在一个属性中,请选择“显示名称”,然后输入属性名称。

    为 Tableau Cloud 配置站点 SAML 的步骤 5 的屏幕快照 - 匹配属性

步骤 6:嵌入选项

选择用户用于登录到嵌入视图的方法。此选项将打开一个显示 IdP 登录表单的单独弹出式窗口,或者使用嵌入式框架 (iframe)。

警告:由于 iframe 可能容易受到点击劫持攻击,因此并非所有 IdP 都支持通过 iframe 登录。利用点击劫持,攻击者会尝试引诱用户点击或输入内容。通过将攻击页面显示在某个不相关页面上的透明层中,攻击者可以达到此目的。对于 Tableau Cloud,攻击者可能会试图捕获用户凭据,或让授权用户更改设置。有关详细信息,请参见开放式 Web 应用程序安全项目网站上的点击劫持(链接在新窗口中打开)

如果您的 IdP 不支持通过 iframe 登录,请选择“在单独的弹出窗口中进行身份验证”

另请参见嵌入视图的默认身份验证类型

步骤 7:测试配置并排除故障

我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud 中,并配置了 SAML 身份验证类型。

如果您无法成功登录 Tableau Cloud,请首先执行“身份验证”页面上建议的故障排除步骤。如果这些步骤无法解决问题,请参见 SAML 疑难解答

管理用户

选择现有的 Tableau Cloud 用户,或者添加您想批准其进行单点登录的新用户。

在添加或导入用户时,还要指定用户的身份验证类型。在“用户”页面上,可以在添加用户后随时更改用户的身份验证类型。

有关详细信息,请参见向站点添加用户导入用户

嵌入视图的默认身份验证类型

在站点上启用 SAML 的过程中,要指定用户如何访问网页中嵌入的视图。

  • 允许用户选择其身份验证类型

    如果选择此选项,嵌入视图的位置将显示两个登录选项:一个登录按钮(使用单点登录身份验证)和一个使用 TableauID 作为替代方案的链接。

    提示:对于此选项,用户需要知道要选择哪个替代方案。作为在将用户添加到单点登录站点后向用户发送的通知的一部分,请告知用户要为各种登录方案选择哪种身份验证类型。例如,嵌入视图、Tableau Desktop、Tableau Bridge、Tableau Mobile,诸如此类。

  • 带有 MFA 的 Tableau

    此选项要求用户使用 采用多重身份验证的 Tableau 凭据登录,即使在站点上启用了 SAML 也是如此。使用带有 MFA 的 Tableau 登录要求用户设置验证方法,以在用户每次登录 Tableau Cloud 时确认身份。有关详细信息,请参见多重身份验证和 Tableau Cloud

  • SAML

    对于此选项,SAML 用户可登录到嵌入视图的方式由您在上面的步骤 6 中选择的设置确定。

使用 Tableau 身份验证

如果站点配置为使用 SAML,您可以更改站点设置以要求部分或全部用户 Tableau 凭据登录。

  • 如果不再需要身份提供程序来处理站点身份验证,或者要求所有用户都使用 Tableau 凭据登录,您可以在站点级别更改身份验证类型。

  • 如果要为部分用户保持启用 SAML,但要求其他用户使用 Tableau,您可以在用户级别更改身份验证类型。

    有关详细信息,请参见设置用户身份验证类型

更改站点的身份验证类型

  1. 作为站点管理员登录到 Tableau Cloud,然后选择站点。

  2. 选择“设置”>“身份验证”

  3. 清除“启用附加身份验证方法”复选框。

将 SAML 配置设为非活动之后,会保留元数据和 IdP 信息,因此,如果想再次启用它,您无需再次与 IdP 建立 SAML 连接。

更新 SAML 证书

用于 Tableau 站点元数据的证书由 Tableau 提供,不可配置。若要更新 SAML 证书,您必须将新证书上载到 IdP,并与 Tableau Cloud 重新交换元数据。

  1. 以站点管理员身份登录到站点,并选择“设置”>“身份验证”

  2. 在“身份验证类型”下,单击“配置(必需)”下拉箭头

  3. 打开一个新选项卡或窗口,并登录到您的 IdP 帐户。

  4. 使用 IdP 文档提供的说明上载新的 SAML 证书。

  5. 下载新的 XML 元数据文件以提供给 Tableau Cloud

  6. 返回到 Tableau Cloud 中的“身份验证”页面,并在 步骤 4 中,上载您从 IdP 下载的元数据文件。

  7. 单击“保存更改”按钮

另请参见

从连接的客户端中访问站点

感谢您的反馈!您的反馈已成功提交。谢谢!