Tableau Cloud 說明

您可以將 Active Directory 聯合服務 (AD FS) 設定為 SAML 身分識別提供者， 並在您支援的單一登入應用程式中新增 Tableau Cloud 或 Tableau Cloud Manager (TCM)。將 AD FS 與 SAML 和 Tableau Cloud 或 TCM 集成後，使用者可以使用其標準網絡憑證登入 Tableau Cloud 或 TCM。

在可以設定 Tableau Cloud 或者 TCM 以及含 AD FS 的 SAML 前，您的環境必須滿足以下條件：

• 執行 Microsoft Windows Server 2008 R2（或更高版本）並安裝了 AD FS 2.0（或更高版本）及 IIS 的伺服器。

• 我們建議您保護 AD FS 伺服器的安全（例如，使用反向 Proxy）。如果可從防火牆外部存取您的 AD FS 伺服器，Tableau 可將使用者重定向到 AD FS 託管的登入頁面。

• 如果是 Tableau Cloud，站台管理員帳戶使用具有 MFA 的 Tableau 驗證。如果 SAML 單一登入失敗，您仍然能夠以網站管理員身分登入到 Tableau Cloud。

• 如果是 TCM，站台管理員帳戶使用具有 MFA 的 Tableau 驗證。如果 SAML 單一登入失敗，您仍然能夠登入 TCM 。

在 Tableau Cloud 中執行以下動作：

1. 以網站管理員身分登入到 Tableau Cloud 網站，並選取「設定」 >「驗證」。

2. 在驗證索引標籤上，按一下新增設定按鈕，從「驗證」下拉式清單中選取 SAML，然後輸入設定名稱。

   

   附註：無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。

或者，在 TCM 中執行以下操作：

1. 以雲端管理員身分登入 TCM，並選取「設定」 >「驗證」。

2. 選取「啟用其他身分驗證方法」核取方塊，然後從「驗證」下拉選單中選取 「SAML」。

3. 按一下「設定」（必需）下拉箭頭。

在 AD FS 中，執行以下動作：

以下步驟將匯出您將匯入 Tableau Cloud 或 TCM 的 AD FS 中繼資料。您還將確保設定中繼資料、為 Tableau 正確編碼、並驗證 SAML 設定的其他 AD FS 要求。

1. 將 AD FS 聯合中繼資料匯出為 XML 檔案，然後從 https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml 下載該檔案。

2. 在文字編輯器（如 Sublime Text 或 Notepad++）中開啟中繼資料檔，並驗證它是否正確編碼為無 BOM 的 UTF-8。

   如果檔案顯示某種其他編碼類型，請使用正確的編碼從文字編輯器中儲存該檔案。

3. 驗證 AD FS 是否使用基於表單的驗證。登入是在瀏覽器視窗中執行的，因此您需要 AD FS 預設使用這種類型的驗證。

   編輯 c:\inetpub\adfs\ls\web.config，搜尋相關標記，並移動行以使其顯示為清單中的第一行。儲存檔案，以便 IIS 能夠自動重新載入它。

   附註：如果未看到 c:\inetpub\adfs\ls\web.config 檔案，則 AD FS 伺服器上未安裝和設定 IIS。

4. 設定其他 AD FS 信賴方識別字。這使得您的系統能夠解決 SAML 登出的任何 AD FS 問題。

   執行以下操作之一：

   Windows Server 2008 R2：

   1. 在 AD FS 2.0 中，以右鍵按一下之前為 Tableau Cloud 或 TCM 建立的信賴方，並按一下「屬性」。

   2. 在「識別字」索引標籤上的「信賴方識別字」方塊中，輸入 https://<tableauservername>/public/sp/metadata，然後按一下「新增」。

   Windows Server 2012 R2：

   1. 在「AD FS 管理」的「信賴方信任」清單中，以右鍵按一下之前為 Tableau Cloud 或者 TCM 建立的信賴方，並按一下「屬性」。

   2. 在「識別字」索引標籤上的「信賴方識別字」方塊中，輸入 https://<tableauservername>/public/sp/metadata，然後按一下「新增」。

從 AD FS 儲存 SAML 中繼資料檔案後，請完成以下程序，如上一節所述。

對於 Tableau Cloud

1. 返回 Tableau Cloud，在「新增設定」頁面上的 2.將中繼資料上傳到 Tableau 下，按一下選擇檔案按鈕，並瀏覽至從 AD FS 匯出的 SAML 中繼資料檔案 (FederationMetadata.xml)。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。

2. 跳過 3.地圖屬性因為將在 AD FS 中建立宣告規則來符合預期在下方區段的屬性名稱 Tableau Cloud。

3. 在 4. 選擇內嵌檢視的預設值（可選），選取使用者存取內嵌內容時要啟用的體驗。

4. 按一下儲存並繼續按鈕。

5. 在 5. 下方取得 Tableau Cloud 中繼資料，按一下匯出中繼資料按鈕並將 Tableau 中繼資料檔案儲存到電腦。

   預設情況下，此檔案名為 saml_sp_metadata.xml。

對於 TCM

1. 返回 TCM，在「驗證」頁面上的 2.將中繼資料上傳到 Tableau 下，按一下選擇檔案按鈕，並瀏覽至從 AD FS 匯出的 SAML 中繼資料檔案 (FederationMetadata.xml)。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。

2. 跳過 3.地圖屬性因為將在 AD FS 中建立宣告規則來符合 TCM 預期在下方區段的屬性名稱 。

3. 按一下儲存並繼續按鈕。

4. 在 4.取得 Tableau Cloud 中繼資料中，按一下「匯出中繼資料」按鈕，將 Tableau 中繼資料檔案儲存到電腦。

   預設情況下，此檔案名為 saml_sp_metadata.xml。

將 AD FS 設定為接受 Tableau Cloud 或 TCM 登入請求時一個多步驟過程，首先要將 Tableau Cloud 或者 TCM 中繼資料匯入 AD FS。

1. 執行以下操作之一以開啟新增依賴方信任精靈：

Windows Server 2008 R2：

1. 按一下「開始」功能表>「管理工具」>「AD FS 2.0」。

2. 在「AD FS 2.0」中的「信任關係」下，以右鍵按一下「信賴方信任」資料夾，然後按一下「新增信賴方信任」。

Windows Server 2012 R2：

1. 開啟「伺服器管理器」，然後在「工具」功能表上按一下「AD FS 管理」。

2. 在「AD FS 管理」中的「動作」功能表上，按一下「新增信賴方信任」。

2. 在「新增信賴方信任精靈」中，按一下「開始」。

3. 在「選取資料來源」頁面上，選取「從檔案匯入有關信賴方的資料」，然後按一下「瀏覽」找到 Tableau Cloud 或 TCM 中繼資料檔。

   預設情況下，此檔案名為 saml_sp_metadata.xml。

4. 按一下「下一步」，然後在「指定顯示名稱」頁面上的「顯示名稱」和「備註」方塊中，為信賴方信任鍵入名稱和說明。

5. 按一下「下一步」跳過「立即設定多重驗證」頁面。

6. 按一下「下一步」跳過「選取頒發授權規則」頁面。

7. 按一下「下一步」跳過「準備好新增信任」頁面。

8. 在「完成」頁面上，選中「精靈關閉時開啟此信賴方信任的編輯聲明規則對話方塊」核取方塊，然後按一下「關閉」。

接下來，您將在「編輯聲明規則」對話方塊中進行操作，以新增一個規則，來確保 AD FS 傳送的判斷提示與 Tableau Cloud 或者 TCM 需要的判斷提示匹配。 Tableau Cloud或者 TCM 至少需要一個使用者名稱（電子郵件地址格式）。不過，如果除電子郵件之外還包括名字和姓氏，則可確保 Tableau Cloud 或者 TCM 中顯示的使用者名與 AD 帳戶中的使用者名相同。

1. 在「編輯聲明規則」對話方塊中，按一下「新增規則」。

2. 在「選取規則類型」頁面上，針對「聲明規則範本」，選取「以聲明方式傳送 LDAP 特性」，然後按一下「下一步」。

3. 在「設定聲明規則」頁面上，針對「聲明規則名稱」，輸入對您有意義的規則名稱。

4. 對於「特性存儲」，選取「Active Directory」，按如下所示方式完成映射，然後按一下「完成」。

對應是區分大小寫的，需要準確的拼寫，所以請仔細檢查輸入的內容。此處的表格會顯示常用屬性及宣告對應。確認具有特定 Active Directory 組態的屬性。

附註： Tableau Cloud 或者 TCM 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Cloud 或者 TCM 中的使用者名稱，但回應訊息必須包含 NameID 屬性。

LDAP 屬性	輸出信號類型:
取決於 AD FS 的版本： 使用者主體名稱 或 E-Mail-Addresses	email 或 電子郵件地址
名	firstName
姓氏	lastName

如果您執行 AD FS 2016 或更新版本，則必須新增規則以傳遞所有宣告值。如果您執行的是舊版 AD FS，請跳至下一個程序，以匯出 AD FS 中繼資料。

1. 按一下「新增規則」。
2. 在「宣告規則範本」下，選擇「傳遞或篩選傳入宣告」。
3. 在「宣告規則名稱」下，輸入 Windows。
4. 在「編輯規則 - Windows」快顯視窗上：
   • 在「傳入宣告類型」下，選取「Windows 帳戶名稱」。
   • 選取「傳遞所有宣告值」。
   • 按一下「確定」。

在 Tableau Cloud 中執行以下動作：

1. 返回 Tableau Cloud，在「新增設定」頁面上的 3.地圖屬性，從 Tableau Cloud 中的 AD FS 填入宣告值。

2. 按一下儲存並繼續按鈕。

或者，在 TCM 中執行以下操作：

1. 返回 TCM，在「驗證」頁面上的 3.「對應屬性」值，從 TCM 中的 AD FS 填入宣告值。

2. 按一下儲存並繼續按鈕。

1. 在 Tableau Cloud 或者 TCM 中將範例使用者新增至 AD FS 和 Tableau Cloud 或者 TCM 以測試 SAML 設定。

   • 要在 Tableau Cloud 中新增使用者，請參閱向網站新增使用者主題。

   • 要在 TCM 中新增使用者，請參閱 使用 Tableau Cloud Manager 管理使用者主題。

設定 AD FS 以接受 Tableau Cloud 登入請求是一個多步驟過程，首先將 Tableau Cloud 中繼資料檔案匯入 AD FS。

1. 執行以下操作之一以開啟新增依賴方信任精靈：

Windows Server 2008 R2：

1. 按一下「開始」功能表>「管理工具」>「AD FS 2.0」。

2. 在「AD FS 2.0」中的「信任關係」下，以右鍵按一下「信賴方信任」資料夾，然後按一下「新增信賴方信任」。

Windows Server 2012 R2：

1. 開啟「伺服器管理器」，然後在「工具」功能表上按一下「AD FS 管理」。

2. 在「AD FS 管理」中的「動作」功能表上，按一下「新增信賴方信任」。

2. 在「新增信賴方信任精靈」中，按一下「開始」。

3. 在「選取資料來源」頁面上，選取「從檔案匯入有關信賴方的資料」，然後按一下「瀏覽」找到 Tableau Cloud 中繼資料檔。

   預設情況下，此檔案名為 saml_sp_metadata.xml。

4. 按一下「下一步」，然後在「指定顯示名稱」頁面上的「顯示名稱」和「備註」方塊中，為信賴方信任鍵入名稱和說明。

5. 按一下「下一步」跳過「立即設定多重驗證」頁面。

6. 按一下「下一步」跳過「選取頒發授權規則」頁面。

7. 按一下「下一步」跳過「準備好新增信任」頁面。

8. 在「完成」頁面上，選中「精靈關閉時開啟此信賴方信任的編輯聲明規則對話方塊」核取方塊，然後按一下「關閉」。

接下來，您將在「編輯聲明規則」對話方塊中進行操作，以新增一個規則，來確保 AD FS 傳送的判斷提示與 Tableau Cloud 需要的判斷提示匹配。Tableau Cloud 至少需要一個使用者名稱（電子郵件地址格式）。不過，如果除電子郵件之外還包括名字和姓氏，則可確保 Tableau Cloud 中顯示的使用者名與 AD 帳戶中的使用者名相同。

1. 在「編輯聲明規則」對話方塊中，按一下「新增規則」。

2. 在「選取規則類型」頁面上，針對「聲明規則範本」，選取「以聲明方式傳送 LDAP 特性」，然後按一下「下一步」。

3. 在「設定聲明規則」頁面上，針對「聲明規則名稱」，輸入對您有意義的規則名稱。

4. 對於「特性存儲」，選取「Active Directory」，按如下所示方式完成映射，然後按一下「完成」。

對應是區分大小寫的，需要準確的拼寫，所以請仔細檢查輸入的內容。此處的表格會顯示常用屬性及宣告對應。確認具有特定 Active Directory 組態的屬性。

附註： Tableau Cloud 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Cloud 中的使用者名稱，但回應訊息必須包含 NameID 屬性。

LDAP 屬性	輸出信號類型:
取決於 AD FS 的版本： 使用者主體名稱 或 E-Mail-Addresses	email 或 電子郵件地址
名	firstName
姓氏	lastName

如果您執行 AD FS 2016 或更新版本，則必須新增規則以傳遞所有宣告值。如果您執行的是舊版 AD FS，請跳至下一個程序，以匯出 AD FS 中繼資料。

1. 按一下「新增規則」。
2. 在「宣告規則範本」下，選擇「傳遞或篩選傳入宣告」。
3. 在「宣告規則名稱」下，輸入 Windows。
4. 在「編輯規則 - Windows」快顯視窗上：
   • 在「傳入宣告類型」下，選取「Windows 帳戶名稱」。
   • 選取「傳遞所有宣告值」。
   • 按一下「確定」。

在 Tableau Cloud 中執行以下動作：

1. 返回 Tableau Cloud，在「新增設定」頁面上的 3.地圖屬性，從 Tableau Cloud 中的 AD FS 填入宣告值。

2. 按一下儲存並繼續按鈕。

1. 在 Tableau Cloud 中，將範例使用者新增至 ADFS 和 Tableau Cloud 以測試 SAML 設定。要在 Tableau Cloud 中新增使用者，請參閱向網站新增使用者主題。

2. 返回新增設定頁面，在 7. 下方測試設定，按一下測試設定按鈕。

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定，請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 或者 TCM 的使用者登入。

使用以下步驟將其他使用者新增至站台。本區段所述的程序在 Tableau Cloud 的使用者頁面上執行。

1. 完成上述步驟後，從左側窗格巡覽至使用者頁面。

2. 請遵循向網站新增使用者主題中所述的程序。或者，可以按照匯入使用者主題中描述的程序使用 .csv 檔新增使用者。

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定，請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 或者 TCM 的使用者登入。

使用以下步驟將其他使用者新增至站台。在 Tableau Cloud 的 或者 TCM 的 「使用者」頁面執行中本區段所述的程序。

1. 完成上述步驟後，從左側窗格巡覽至使用者頁面。

2. 請遵循下列主題之一中所述的程序：

   • 如果是 Tableau Cloud，請參閱向網站新增使用者主題。或者，可以按照匯入使用者主題中描述的程序使用 .csv 檔新增使用者。

   • 如果是 TCM，請參閱 使用 Tableau Cloud Manager 管理使用者主題。也可以按照同一主題中使用 Tableau Cloud Manager 管理使用者一章所述，使用 .csv 檔案新增使用者。

• 在 AD FS 與 Tableau Cloud 或者 TCM 之間設定 SAML 整合之後，必須更新 Tableau 以反映在 Active Directory 中所做的特定使用者變更。例如，新增或移除使用者。

  您可以自動或手動新增使用者：

  • 要自動新增使用者：（使用 PowerShell、Python 或批次檔）建立指令碼，將 AD 變更推送至 Tableau Cloud 或者 TCM。該指令碼可以使用 tabcmd 或 TableauREST API(連結在新視窗開啟) 與 Tableau Cloud 互動。指令碼可以使用 Tableau Cloud Manager REST API(連結在新視窗開啟) 與 TCM 互動。

  • 要手動新增使用者：登入 Tableau Cloud 或者 TCM UI，移至「使用者」頁面，按一下「新增使用者」，選取「按使用者名稱新增設移至」，並輸入使用者的 使用者名稱，或上傳包含其資訊的 .csv 檔案。

  附註：如果要移除使用者但保留使用者擁有的內容資產，請在移除使用者之前變更內容的所有者。刪除使用者也會刪除他們擁有的內容。

• 在 Tableau Cloud 或者 TCM中，使用者的 使用者名稱是其唯一識別碼。如設定A AD FS 以接受 Tableau Cloud 或者 TCM 登入請求步驟所述，使用者的 Tableau Cloud 或者 TCM 使用者名稱必須與儲存在 AD 中的 使用者名稱相符。

• 在 步驟 3：設定 IdP 中的「Tableau Cloud 應用程式」 中步驟 3：設定 IdP 中的「Tableau Cloud 應用程式」，在 AD FS 中新增宣告規則，以和 AD FS 與 Tableau Cloud 之間的名字、姓氏和 使用者名稱屬性進行配對。也可以使用使用步驟 3.「對應屬性」（在 Tableau Cloud 中）執行相同的動作。