使用 AD FS 設定 SAML

您可以將 Active Directory 聯合服務 (AD FS) 設定為 SAML 身分識別提供者,並將 Tableau Cloud 新增到支援的單一登入應用程式。如果將 AD FS 與 SAML 和 Tableau Cloud 集成,使用者可以使用其標準網路認證登入到 Tableau Cloud

附註: 

  • 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般 SAML 設定步驟 ,以及 IdP 的文件。
  • 從 2022 年 2 月開始,Tableau Cloud 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。

必要條件

您的環境必須具有以下各項,然後才能使用 AD FS 設定 Tableau Cloud 和 SAML:

  • 執行 Microsoft Windows Server 2008 R2(或更高版本)並安裝了 AD FS 2.0(或更高版本)及 IIS 的伺服器。

  • 我們建議您保護 AD FS 伺服器的安全(例如,使用反向 Proxy)。如果可從防火牆外部存取您的 AD FS 伺服器,則 Tableau Cloud 可將使用者重定向到 AD FS 託管的登入頁面。

  • 使用 TableauID 驗證的網站管理員帳戶。如果 SAML 單一登入失敗,您仍然能夠以網站管理員身分登入到 Tableau Cloud

步驟 1:從 Tableau Cloud 中匯出中繼資料

  1. 以網站管理員身分登入到 Tableau Cloud

    如果 Tableau Cloud 有多個網站,請在網站下拉清單中選取要為其啟用 SAML 的網站。

  2. 選取 [設定] > [驗證]
  3. 驗證索引標籤上,選取啟用其他驗證方法核取方塊,再選取 SAML,然後按一下設定(必要)下拉式箭頭。

    驗證設定

  4. 在步驟 1 「方法 1:匯出中繼資料」下,按一下「匯出中繼資料」按鈕下載包含 Tableau Cloud SAML 實體識別碼、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。

步驟 2:設定 AD FS 以接受來自 Tableau Cloud 的登入請求

將 AD FS 設定為接受 Tableau Cloud 登入請求是一個多步驟過程,這個過程從將 Tableau Cloud XML 中繼資料檔匯入 AD FS 開始。

  1. 執行以下操作之一以開啟新增依賴方信任精靈

  2. Windows Server 2008 R2:

    1. 按一下「開始」功能表>「管理工具」>「AD FS 2.0」

    2. 「AD FS 2.0」中的「信任關係」下,以右鍵按一下「信賴方信任」資料夾,然後按一下「新增信賴方信任」

    Windows Server 2012 R2:

    1. 開啟「伺服器管理器」,然後在「工具」功能表上按一下「AD FS 管理」

    2. 「AD FS 管理」中的「動作」功能表上,按一下「新增信賴方信任」

  3. 「新增信賴方信任精靈」中,按一下「開始」

  4. 「選取資料來源」頁面上,選取「從檔案匯入有關信賴方的資料」,然後按一下「瀏覽」找到 Tableau Cloud XML 中繼資料檔。預設情況下,此檔案名為 samlspmetadata.xml

  5. 按一下「下一步」,然後在「指定顯示名稱」頁面上的「顯示名稱」「備註」方塊中,為信賴方信任鍵入名稱和說明。

  6. 按一下「下一步」跳過「立即設定多重驗證」頁面。

  7. 按一下「下一步」跳過「選取頒發授權規則」頁面。

  8. 按一下「下一步」跳過「準備好新增信任」頁面。

  9. 「完成」頁面上,選中「精靈關閉時開啟此信賴方信任的編輯聲明規則對話方塊」核取方塊,然後按一下「關閉」

接下來,您將在「編輯聲明規則」對話方塊中進行操作,以新增一個規則,來確保 AD FS 傳送的判斷提示與 Tableau Cloud 需要的判斷提示匹配。Tableau Cloud 至少需要一個電子郵件地址。不過,如果除電子郵件之外還包括名字和姓氏,則可確保 Tableau Cloud 中顯示的使用者名與 AD 帳戶中的使用者名相同。

  1. 「編輯聲明規則」對話方塊中,按一下「新增規則」

  2. 「選取規則類型」頁面上,針對「聲明規則範本」,選取「以聲明方式傳送 LDAP 特性」,然後按一下「下一步」

  3. 「設定聲明規則」頁面上,針對「聲明規則名稱」,輸入對您有意義的規則名稱。

  4. 對於「特性存儲」,選取「Active Directory」,按如下所示方式完成映射,然後按一下「完成」

  5. 映射大小寫視為相異,並且需要準確的拼寫,因此請仔細檢查您輸入的內容。此處的表格會顯示常用屬性及宣告對應。確認具有特定 Active Directory 組態的屬性。

    附註: Tableau Cloud 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Cloud 中的使用者名稱,但回應訊息必須包含 NameID 屬性。

    LDAP 屬性輸出信號類型:

    取決於 AD FS 的版本:

    使用者主體名稱

    E-Mail-Addresses

     

    email

    電子郵件地址

    firstName
    姓氏lastName

如果您執行 AD FS 2016 或更新版本,則必須新增規則以傳遞所有宣告值。如果您執行的是舊版 AD FS,請跳至下一個程序,以匯出 AD FS 中繼資料。

  1. 按一下「新增規則」
  2. 「宣告規則範本」下,選擇「傳遞或篩選傳入宣告」。
  3. 「宣告規則名稱」下,輸入 Windows。
  4. 「編輯規則 - Windows」快顯視窗上:
    • 「傳入宣告類型」下,選取「Windows 帳戶名稱」
    • 選取「傳遞所有宣告值」
    • 按一下「OK」(確定)。

現在,您將匯出稍後將匯入到 Tableau Cloud 的 AD FS 中繼資料。您還將確保已針對 Tableau Cloud 對中繼資料進行了正確設定和編碼,並驗證 SAML 設定的其他 AD FS 要求。

  1. 將 AD FS 聯合中繼資料匯出為 XML 檔案,然後從 https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml 下載該檔案。

  2. 在文字編輯器(如 Sublime Text 或 Notepad++)中開啟中繼資料檔,並驗證它是否正確編碼為無 BOM 的 UTF-8。

    如果檔案顯示某種其他編碼類型,請使用正確的編碼從文字編輯器中儲存該檔案。

  3. 驗證 AD FS 是否使用基於表單的驗證。登入是在瀏覽器視窗中執行的,因此您需要 AD FS 預設使用這種類型的驗證。

    編輯 c:\inetpub\adfs\ls\web.config,搜尋相關標記並移動行以使其顯示為清單中的第一行。儲存檔案,以便 IIS 能夠自動重新載入它。

    附註:如果未看到 c:\inetpub\adfs\ls\web.config 檔案,則 AD FS 伺服器上未安裝和設定 IIS。

  4. 設定其他 AD FS 信賴方識別字。這使得您的系統能夠解決 SAML 登出的任何 AD FS 問題。

    執行以下操作之一:

    Windows Server 2008 R2:

    1. AD FS 2.0 中,以右鍵按一下您之前為 Tableau Cloud 建立的信賴方,並按一下「屬性」

    2. 「識別字」索引標籤上的「信賴方識別字」方塊中,輸入 https://<tableauservername>/public/sp/metadata,然後按一下「新增」

    Windows Server 2012 R2:

    1. 「AD FS 管理」「信賴方信任」清單中,以右鍵按一下您之前為 Tableau Cloud 建立的信賴方,並按一下「屬性」

    2. 「識別字」索引標籤上的「信賴方識別字」方塊中,輸入 https://<tableauservername>/public/sp/metadata,然後按一下「新增」

    附註:AD FS 可與 Tableau Server 搭配使用,以用於相同執行個體的單一信賴方。AD FS 無法用於相同執行個體的多個信賴方,例如,多個 site-SAML 站點或全伺服器,以及站點 SAML 組態。

步驟 3:將 AD FS 中繼資料匯入 Tableau Cloud

  1. Tableau Cloud 中,返回到「設定」>「驗證」頁面。

  2. 在步驟 4下。將中繼資料上傳至 Tableau,在 IdP 中繼資料檔案方塊中,指定從 AD FS (FederationMetadata.xml) 匯出的檔案名稱。

  3. 跳過步驟 5。 [相符特性]

    您已在 AD FS 中建立了一條聲明規則,使特性名稱與 Tableau Cloud 的預期特性名稱相符。

  4. 按一下「儲存變更」按鈕。

  5. 執行以下操作之一管理使用者:

    • 如果尚未將使用者新增至站台,請從左側窗格巡覽至「使用者」頁面,然後按一下新增使用者。然後,可以手動新增使用者或匯入包含使用者資訊的 CSV 檔案。有關詳情,請參閱向網站新增使用者匯入使用者

    • 如果已將使用者新增至站台,請從左側窗格巡覽至「使用者」頁面,按一下特定使用者旁的「動作」,然後按一下驗證。將驗證方法變更為 SAML,然後按一下更新按鈕。

  6. (可選)返回「驗證」頁面,在 7 下測試 SAML 登入。透過按一下測試設定按鈕測試設定

    我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。若要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 的使用者進行登入。

您的 Tableau Cloud 網站現在已準備好讓使用者使用 AD FS 和 SAML 進行登入。他們仍然巡覽到 https://online.tableau.com,但在輸入 使用者名稱後,頁面會重新定向到AD FS 登入頁面(如上面的可選測試步驟所示),並提示使用者輸入AD 憑證。

附註:如果在測試 SAML 登入時遇到錯誤,請在 [步驟 7.要對 Tableau Cloud SAML 設定步驟測試設定,按一下下載記錄檔,然後使用其中的資訊來疑難排解錯誤。

其他要求和提示

  • 在 AD FS 和 Tableau Cloud 之間設定 SAML 整合之後,您必須更新 Tableau Cloud 以反映在 Active Directory 中所做的特定使用者變更。例如,新增或移除使用者。

    您可以自動或手動新增使用者:

    • 自動新增使用者:(使用 PowerShell、Python 或批次檔案)建立一個指令碼,將 AD 變更推送到 Tableau Cloud。指令碼可以使用 tabcmdREST APITableau Cloud 交互 。

    • 手動新增使用者:登入到 Tableau Cloud Web Ui,前往使用者頁面,按一下新增使用者,並輸入使用者的使用者頁面,按一下新增使用者,並輸入使用者的 使用者名稱或上載包含其資訊的 CSV 檔案

    附註:如果要移除使用者但保留使用者擁有的內容資產,請在移除使用者之前變更內容的所有者。刪除使用者也會刪除他們擁有的內容。

  • Tableau Cloud 中,使用者的 使用者名稱是其唯一識別碼。如設定 AD FS 以接受來自 Tableau Cloud 的登入要求的步驟中所述,使用者的 Tableau Cloud 使用者名稱必須與 AD 中存放的 使用者名稱相符。

  • 步驟 2:設定 AD FS 以接受來自 Tableau Cloud 的登入請求中,您在 AD FS 中新增宣告規則,以在 AD FS 和 Tableau Cloud 之間相符名字、姓氏和 使用者名稱屬性。或者,您可以使用使用 [步驟 5.相符屬性] (在 Tableau Cloud 中)來執行相同的操作。

感謝您的意見反應!已成功提交您的意見回饋。謝謝!