在站点或 TCM 上启用 SAML 身份验证
本主题介绍如何在站点
本主题假定您熟悉身份验证以及 SAML 身份验证的工作原理中的信息。
特定于 IdP 的配置信息
本主题后面各节中的步骤提供了您可与 IdP 文档配合使用来为 Tableau Cloud 站点
启用 SAML
对于 Tableau Cloud
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
在“身份验证”选项卡上,单击“新配置”按钮,从“身份验证”下拉菜单中选择“SAML”,然后输入配置的名称。
注意:2024 年 11 月(Tableau 2024.3)之前创建的配置无法重命名。
对于 TCM
或者,在 TCM 中,执行以下操作:
以云管理员身份登录到 TCM,并选择“设置”>“身份验证”。
选择“启用其他身份验证方法”复选框,然后从“从身份验证”下拉菜单中选择“SAML” 。
单击“配置(必需)”下拉箭头。
SAML 配置步骤
此部分将引导您完成在 Tableau Cloud
注意:若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SAML 连接配置或定义服务提供程序或者添加应用程序的主题。
转到您的 IdP,登录您的 IdP 帐户,然后使用 IdP 文档提供的说明下载您的 IdP 的元数据。IdP 的元数据使 Tableau Cloud
对于步骤 1,IdP 的文档将也可在如何向服务提供程序提供元数据方面为您提供指导。它将指示您下载 SAML元数据文件,或者将显示 XML 代码。如果它显示 XML 代码,请将代码复制并粘贴到一个新文本文件中,并使用 .xml 扩展名保存文件。
对于 Tableau Cloud,在 Tableau Cloud 中的“新配置”页面上,导入您从 IdP 下载或通过它提供的 XML 手动配置的元数据 (.xml) 文件。
对于 TCM,在 TCM 中的“身份验证”页面上,导入您从 IdP 下载或通过它提供的 XML 手动配置的元数据 (.xml) 文件。
注意:
- 上功 IdP 元数据后,“IdP 实体 ID”和“IdP SSO 服务 URL”字段将自动填充。
- 如果编辑配置,您将需要上载元数据文件,以便 Tableau 知道使用正确的 IdP 实体 ID 和 SSO 服务 URL。
- 如果您需要上载新的元数据文件,您可以使用 “清除 IdP 元数据”按钮。
属性包含有关用户的身份验证、授权和其他信息。
注意:Tableau Cloud
用户名:(必填)输入存储用户的用户名(电子邮件地址)的属性的名称。
电子邮件: (可选)输入包含 IdP 在身份验证过程中使用的电子邮件地址的属性名称,以便用户能够在不同于用户名的电子邮件地址上接收通知。电子邮件地址属性仅用于通知目的,不用于登录。
显示名称:(可选但建议使用)某些 IdP 为名和姓使用单独的属性,而另一些则将全名存储在一个属性中。
选择对您的 IdP 存储名称的方式对应的按钮。举例来说,如果 IdP 将名和姓合并在一个属性中,请选择“显示名称”,然后输入属性名称。
注意:仅适用于 Tableau Cloud。
选择用户用于登录到嵌入视图的方法。此选项将打开一个显示 IdP 登录表单的单独弹出式窗口,或者使用嵌入式框架 (iframe)。
重要信息:由于 iframe 可能容易受到点击劫持攻击,因此并非所有 IdP 都支持通过 iframe 登录。利用点击劫持,攻击者会尝试引诱用户点击或输入内容。通过将攻击页面显示在某个不相关页面上的透明层中,攻击者可以达到此目的。对于 Tableau Cloud,攻击者可能会试图捕获用户凭据,或让授权用户更改设置。有关详细信息,请参见开放式 Web 应用程序安全项目网站上的点击劫持(链接在新窗口中打开)。
如果您的 IdP 不支持通过 iframe 登录,请选择“在单独的弹出窗口中进行身份验证”。
要在
选择“导出元数据”按钮以下载一个包含 Tableau Cloud SAML 实体 ID、声明使用者服务 (ACS) URL 和 X.509 证书的 XML 文件。
如果您的 IdP 期望以另一种方式获得所需的信息,请选择“下载证书”。举例来说,它希望您在将临的位置中输入 Tableau Cloud 实体 ID、ACS URL 和 X.509 证书。
要在 Tableau Cloud 与您的 IdP 之间创建 SAML 连接,需要在这两项服务之间交换必需的元数据。若要从 Tableau Cloud 中获取元数据,请选择以下方法之一:请参见 IdP 的 SAML 配置文档来确认正确的选项。
选择“导出元数据”按钮以下载一个包含 Tableau Cloud SAML 实体 ID、声明使用者服务 (ACS) URL 和 X.509 证书的 XML 文件。
如果您的 IdP 期望以另一种方式获得所需的信息,请选择“下载证书”。举例来说,它希望您在将临的位置中输入 Tableau Cloud 实体 ID、ACS URL 和 X.509 证书。
对于步骤 5,请使用 IdP 文档提供的说明提交 TCM 元数据。
对于步骤 6,请使用 IdP 文档提供的说明提交 Tableau Cloud 元数据。
我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud
如果您无法成功登录 TCM,请首先执行“身份验证”页面上建议的故障排除步骤。如果这些步骤无法解决问题,请参见 SAML 疑难解答。
我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud
如果您无法成功登录 Tableau Cloud,请首先执行“新配置”页面上建议的故障排除步骤。如果这些步骤无法解决问题,请参见 SAML 疑难解答。
选择现有 Tableau Cloud
在添加或导入用户时,还要指定用户的身份验证类型。在“用户”页面上,可以在添加用户后随时更改用户的身份验证类型。
有关详细信息,请参见以下各项之一:
适用于 TCM 的使用 Tableau Cloud Manager 管理用户主题
注意:仅适用于 Tableau Cloud。
允许用户选择其身份验证类型
当选择此选项时,仅支持弹出窗口。在此弹出窗口中,嵌入视图的位置将显示两个登录选项:一个登录按钮(使用单点登录 (SSO) 身份验证)和一个使用 Tableau 凭据作为替代方案的链接。
提示:对于此选项,用户需要知道要选择哪个登录选项。作为在将用户添加到单点登录站点后向用户发送的通知的一部分,请告知用户要为各种登录方案选择哪种身份验证类型。例如,嵌入视图、Tableau Desktop、Tableau Bridge、Tableau Mobile,诸如此类。
带有 MFA 的 Tableau
此选项要求用户使用
身份验证配置列表
选择特定配置选项时,用户登录嵌入式视图的方式由您在上述步骤 6 中为指定配置配置的设置决定。
使用 Tableau 身份验证
如果站点
如果不再需要身份提供程序来处理身份验证,或者要求所有用户都使用其
如果要为部分用户保持启用 SAML,但要求其他用户使用
更改站点的身份验证类型
对于 Tableau Cloud
从 2024 年 11 月(Tableau 2024.3)开始,您可以在站点上启用多种身份验证类型和方法。若要更改您希望在站点上提供的身份验证,请启用或禁用身份验证配置。
以站点管理员身份登录到 Tableau Cloud 站点。
选择“设置”>“身份验证”。
通过单击“操作”菜单并选择“禁用”或“启用”,禁用或启用站点的身份验证配置。
将 SAML 配置设为非活动之后,会保留元数据和 IdP 信息因此,如果想再次启用它,您无需再次与 IdP 建立 SAML 连接。
对于 TCM
以云管理员身份登录到 TCM。
选择“设置”>“身份验证”。
取消选中“启用附加身份验证方法”复选框。
更新 SAML 证书
用于 Tableau 站点元数据的证书由 Tableau 提供,不可配置。若要更新 SAML 证书,您必须将新证书上载到 IdP,并与 Tableau Cloud 重新交换元数据。
对于 Tableau Cloud
以站点管理员身份登录到站点,并选择“设置”>“身份验证”。
在“身份验证类型”下,转到要更新的 SAML 配置,然后单击“操作”菜单并选择“编辑”。
打开一个新选项卡或窗口,并登录到您的 IdP 帐户。
使用 IdP 文档提供的说明上载新的 SAML 证书。
下载新的 XML 元数据文件以提供给 Tableau Cloud。
返回到 Tableau Cloud 中的“编辑配置”页面,并在步骤 2 中上载您从 IdP 下载的元数据文件。
向下滚动页面并单击“保存并继续”按钮。
对于 TCM
以云管理员身份登录到 TCM,并选择“设置”>“身份验证”。
从“身份验证”下拉菜单中选择“SAML”>“配置(必需)”。
打开一个新选项卡或窗口,并登录到您的 IdP 帐户。
使用 IdP 文档提供的说明上载新的 SAML 证书。
下载新的 XML 元数据文件以提供给 TCM。
返回到 TCM 中的“身份验证”页面,并在步骤 2 中上载您从 IdP 下载的元数据文件。
向下滚动页面并单击“保存并继续”按钮。