在站点上启用 SAML 身份验证

本主题介绍如何在站点上启用 SAML 和选择单点登录用户。它还提供了从 SAML 切换到默认 TableauID 身份验证的步骤。在启用 SAML 之前,我们建议您查看Tableau Online 的 SAML 要求,包括更改身份验证类型对 Tableau Bridge 的影响

本主题假定您熟悉身份验证以及 SAML 身份验证的工作原理中的信息。

特定于 IdP 的配置信息

本主题后面各节中的步骤提供了您可与 IdP 文档配合使用来为 Tableau Online 站点配置 SAML 的基本步骤。可以为以下 IdP 获取特定于 IdP 的配置步骤:

启用 SAML

  1. 以站点管理员身份登录到 Tableau Online 站点,并选择“设置”>“身份验证”

  2. 在“身份验证”选项卡上,选择“启用其他身份验证方法”,选择“SAML”,然后选择“编辑连接”

    Tableau Online 站点身份验证设置页面的屏幕快照

SAML 配置步骤

此部分将引导您完成在 Tableau Online web UI 的“身份验证”页面上出现的配置步骤。在自托管式 Tableau Server 安装中,只有当在服务器级别启用了特定于站点的 SAML 支持时,此页面才会出现。Tableau Online 中已默认启用该支持。

注意:若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SAML 连接配置或定义服务提供程序或者添加应用程序的主题。

步骤 1:从 Tableau 中导出元数据

要在 Tableau Online 与您的 IdP 之间创建 SAML 连接,需要在这两项服务之间交换必需的元数据。要从 Tableau Online 中获取元数据,请执行以下任一步骤:请参见 IdP 的 SAML 配置文档来确认正确的选项。

  • 选择“导出元数据”,以下载一个包含 Tableau Online SAML 实体 ID、声明使用者服务 (ACS) URL 和 X.509 证书的 XML 文件。

  • 如果您的 IdP 期望以另一种方式获得所需的信息,请选择“下载签名和加密证书”。举例来说,它希望您在将临的位置中输入 Tableau Online 实体 ID、ACS URL 和 X.509 证书。

    下图经过编辑,显示出这些设置在 Tableau Online 和 Tableau Server 中相同。

步骤 2 和 3:外部步骤

对于步骤 2,若要导入您在步骤 1 中导出的元数据,请登录您的 IdP 帐户,然后按照 IdP 的文档提供的说明来提交 Tableau Online 元数据。

对于步骤 3,IdP 的文档将也可在如何向服务提供程序提供元数据方面为您提供指导。它将指示您下载元数据文件,或者将显示 XML 代码。如果它显示 XML 代码,请将代码复制并粘贴到一个新文本文件中,并使用 .xml 扩展名保存文件。

步骤 4:将 IdP 元数据导入 Tableau 站点

Tableau Online 中的“身份验证”页面上,导入您从 IdP 下载或通过它提供的 XML 手动配置的元数据文件。

步骤 5:匹配属性

属性包含有关用户的身份验证、授权和其他信息。在“身份提供程序 (IdP) 断言名称”列中,提供包含 Tableau Online 所需信息的属性。

注意:Tableau Online 需要 SAML 响应中的 NameID 属性。您可以提供其他属性来映射 Tableau Online 中的用户名,但响应消息必须包含 NameID 属性。

  • 电子邮件:(必填)输入存储用户电子邮件地址的属性的名称。

  • 显示名称:(可选但建议使用)某些 IdP 为名和姓使用单独的属性,而另一些则将全名存储在一个属性中。

    选择对您的 IdP 存储名称的方式对应的按钮。举例来说,如果 IdP 将名和姓合并在一个属性中,请选择“显示名称”,然后输入属性名称。

    为 Tableau Online 配置站点 SAML 的步骤 5 的屏幕快照 - 匹配属性

步骤 6:嵌入选项

选择用户用于登录到嵌入视图的方法。此选项将打开一个显示 IdP 登录表单的单独弹出式窗口,或者使用嵌入式框架 (iframe)。

警告:由于 iframe 可能容易受到点击劫持攻击,因此并非所有 IdP 都支持通过 iframe 登录。利用点击劫持,攻击者会尝试引诱用户点击或输入内容。通过将攻击页面显示在某个不相关页面上的透明层中,攻击者可以达到此目的。对于 Tableau Online,攻击者可能会试图捕获用户凭据,或让授权用户更改设置。有关详细信息,请参见开放式 Web 应用程序安全项目网站上的点击劫持(链接在新窗口中打开)

如果您的 IdP 不支持通过 iframe 登录,请选择“在单独的弹出窗口中进行身份验证”

另请参见嵌入视图的默认身份验证类型

步骤 7:疑难解答

首先执行“身份验证”页面上建议的疑难解答步骤。如果这些步骤无法解决问题,请参见 SAML 疑难解答

管理用户

选择现有的 Tableau Online 用户,或者添加您想批准其进行单点登录的新用户。

在添加或导入用户时,还要指定用户的身份验证类型。在“用户”页面上,可以在添加用户后随时更改用户的身份验证类型。

有关详细信息,请参见向站点添加用户导入用户

嵌入视图的默认身份验证类型

在站点上启用 SAML 的过程中,要指定用户如何访问网页中嵌入的视图。

  • 允许用户选择其身份验证类型

    如果选择此选项,嵌入视图的位置将显示两个登录选项:一个登录按钮(使用单点登录身份验证)和一个使用 TableauID 作为替代方案的链接。

    提示:对于此选项,用户需要知道要选择哪个替代方案。作为在将用户添加到单点登录站点后向用户发送的通知的一部分,请告知用户要为各种登录方案选择哪种身份验证类型。例如,嵌入视图、Tableau Desktop、Tableau Bridge、Tableau Mobile,诸如此类。

  • Tableau

    此选项要求用户使用 TableauID 登录,即使在站点上启用了 SAML 也是如此。通常会保留此选项以供管理员解决嵌入视图和 SAML 的问题。

  • SAML

    对于此选项,SAML 用户可登录到嵌入视图的方式由您在上面的步骤 6 中选择的设置确定。

使用 TableauID 身份验证

如果站点配置为使用 SAML,您可以更改站点设置以要求部分或全部用户使用 TableauID 凭据登录。

  • 如果不再需要身份提供程序来处理站点身份验证,或者要求所有用户都使用其 TableauID 凭据登录,您可以在站点级别更改身份验证类型。

  • 如果要为部分用户保持启用 SAML,但要求其他用户使用 TableauID,您可以在用户级别更改身份验证类型。

    有关详细信息,请参见设置用户身份验证类型

更改站点的身份验证类型

  1. 作为站点管理员登录到 Tableau Online,然后选择站点。

  2. 选择“设置”>“身份验证”

  3. 对于“身份验证类型”,选择“TableauID”

将 SAML 配置设为非活动之后,会保留元数据和 IdP 信息,因此,如果想再次启用它,您无需再次与 IdP 建立 SAML 连接。

另请参见

从连接的客户端中访问站点

感谢您的反馈!