Salesforce 身份验证
如果您的组织使用 Salesforce,则您可以启用 Tableau Cloud,以使用 Salesforce 帐户通过 OpenID Connect 借助多重身份验证(MFA) 进行单点登录。自 2021 年春季起,Tableau Cloud 支持将 Salesforce 身份验证作为一种新的身份验证类型。当您启用 Salesforce 身份验证时,系统会将用户定向到 Salesforce 登录页面,以便输入通过 Salesforce 中存储和管理的凭据。此方案还支持 Salesforce 将身份验证与另一个 IdP 联合的方案。
用户名要求
在 Salesforce Org 中使用的用户名必须与 Tableau Cloud 中的用户名字段匹配。这两个用户名都是电子邮件格式,但它们可能不能用作电子邮件地址。验证这些属性是否匹配。如果没有,请配置 Salesforce 身份验证类型,然后查看下面的用户名不匹配部分。
更改和配置身份验证类型
如果您的组织已经在使用 Salesforce,那么在 Tableau Cloud 中将身份验证类型设置为 Salesforce 是一个三步过程:
在 Salesforce 中安装 Tableau Cloud 已连接应用包(链接在新窗口中打开)。若要允许用户从您的组织登录 Tableau Cloud,请通过分配适当的配置文件或权限集来管理对已连接应用的访问。此外,将已连接应用设置为管理员预先批准。请参见管理已连接应用的其他访问设置(链接在新窗口中打开)。
在 Tableau Cloud 中更改为 Salesforce 身份验证:
- 以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
- 在“身份验证”选项卡上,选择“启用其他身份验证方法”,然后选择“Salesforce”。
- 如果您已将 Salesforce 组织配置为使用自定义域进行用户登录,则您需要配置 Tableau Cloud 以将用户重定向到登录页面。单击“编辑我的域...”以输入您的 Salesforce“我的域”。Tableau Cloud 将验证域,然后将其添加为登录 URL。
添加新用户(或更新任何以前的用户)以使用 Salesforce 作为其配置的身份验证类型。
疑难解答
用户名不匹配
如果 Tableau Cloud 中的现有用户使用的用户名与其在 Salesforce 中的相应用户名不匹配,请执行以下过程:
- 将现有 Tableau Cloud 用户更改为未许可的站点角色以防止使用许可证。
- 添加用于 Salesforce 身份验证的新 Tableau Cloud 用户,确保用户名与 Salesforce 组织中的用户名匹配。
- 如有必要,请将 Tableau Cloud 中旧用户名拥有的先前内容迁移到新用户。
返回 URL 中包含 OAUTH_APP_BLOCKED 的登录失败
当配置了 Salesforce 身份验证的用户尝试登录但未重定向时,就会出现此问题。Tableau Cloud 将显示一条消息:
登录失败。请重试。
如果您继续收到此消息,请捕获下面的状态信息,并将其发送给客户支持。
此外,用户浏览器中的返回 URL 包括以下字符串:
/public/oidc/login?error=OAUTH_APP_BLOCKED&error_description=this+app+is+blocked+by+admin&state=...
这表明您的组织正在阻止 Salesforce 中的已连接应用。一些具有安全意识的 Salesforce 客户会阻止所有已连接应用并实施 API 允许列表功能,以阻止已连接应用工作。
为了解决此问题,请确保安装了 Tableau Cloud - Salesforce 用户通过 OIDC 登录(链接在新窗口中打开)已连接应用,并应用了适当的用户配置文件和权限集。
有关详细信息,请参见: