使用 Microsoft Entra ID 設定 SAML

若您已將 Microsoft Entra ID(也稱為 Microsoft Azure Active Directory (Azure AD))設定為 SAML 身分提供程式 (IdP),請使用本主題中的資訊以及 Microsoft Entra 文件將 Tableau Cloud或者 Tableau Cloud 管理器 (TCM) 新增至單一登入應用程式。

附註: 

  • 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般 SAML 設定步驟,以及 IdP 的文件。
  • 從 2022 年 2 月開始,Tableau 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。
  • IdP 中的設定步驟的順序可能與您在 Tableau 看到的順序不同。

必要條件

在使用 Entra ID 設定 Tableau 和 SAML 前,您的環境必須具備以下條件:

步驟 1:開始

在 Tableau Cloud 中執行以下動作:

  1. 以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」

  2. 驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。

    Tableau Cloud 站台驗證設定頁面的螢幕擷取畫面

    附註:無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。

或者,在 TCM 中執行以下操作:

  1. 以雲端管理員身分登入 TCM,並選取「設定」 >「驗證」

  2. 選取「啟用其他身分驗證方法」核取方塊,然後從「驗證」下拉選單中選取 「SAML」

  3. 按一下「設定」(必需)下拉箭頭。

在 Entra 中,執行下列動作:

附註:如果是 TCM,可以使用 IdP 中的「Tableau Cloud 應用程式」來設定 TCM 驗證。

  1. 至少以雲端應用程式管理員身分登入 Microsoft Entra 系統管理中心(連結在新視窗開啟)

  2. 瀏覽至企業應用程式 > 新增應用程式

  3. 「瀏覽 Microsoft Entra 資源庫」頁面上,在搜尋方塊中輸入「Tableau Cloud」。

  4. 從搜尋結果中按一下 Tableau Cloud,然後在右側面板中選擇性地變更應用程式執行個體的預設名稱,然後按一下「建立」
    附註: 

    • 新增 Tableau Cloud 應用程式的執行個體可能需要一些時間。

    • 透過資源庫建立 Tableau Cloud 應用程式的執行個體時,SAML 是唯一支援與 Tableau 整合的設定類型。

  5. 在左側窗格中,瀏覽至單一登入

  6. 在「選取單一登入方法」頁面上,選取 SAML

  7. 在「使用 SAML 設定單一登入」頁面上的「基本 SAML 設定」旁邊,按一下「編輯」,然後執行下列動作:

    1. 識別碼(實體 ID)文字方塊中,輸入您要在步驟 3.2 中再次編輯的以下預留位置 URL: https://sso.online.tableau.com/public/sp/metadata?alias=<entityid>

    2. 回覆 URL 文字方塊中,輸入您將在步驟 3.2 中再次編輯的以下預留位置 URL:https://sso.online.tableau.com/public/sp/

    3. 按一下「儲存」

  8. 接下來,在 SAML 簽署憑證旁邊,按一下編輯

  9. 按一下下載,以下載同盟中繼資料 XML

  10. 最後,在屬性和宣告旁邊,按一下編輯,以準備下面的步驟 2.2。

步驟 2:在 Tableau Cloud 或 TCM 中設定 SAML

從 Entra 儲存 SAML 中繼資料檔案後,請完成以下程序,如上一節所述。

對於 Tableau Cloud

  1. 返回 Tableau Cloud,在「新增設定」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 Entra 儲存的 SAML 中繼資料檔案。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。

  2. 3.對應屬性下,從 Entra 的屬性和宣告區段複製對應的屬性名稱(聲明):

    1. 對於使用者名稱欄位,輸入 mailuserprincipalname,或複製 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name URL。

    2. 對於其餘可選欄位,複製 URL 宣告名稱。

  3. 4.選擇內嵌檢視的預設值(可選)下,選取使用者存取內嵌 Tableau 內容時要啟用的體驗。

  4. 按一下儲存並繼續按鈕。

  5. 前往 5.取得 Tableau Cloud 中繼資料,為下面的步驟 3.1 做好準備。

對於 TCM

  1. 返回 TCM,在「驗證」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 Entra 儲存的 SAML 中繼資料檔案。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。

  2. 3.對應屬性下,從 Entra 的屬性和宣告區段複製對應的屬性名稱(聲明):

    1. 對於使用者名稱欄位,輸入 mailuserprincipalname,或複製 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name URL。

    2. 對於其餘可選欄位,複製 URL 宣告名稱。

  3. 按一下儲存並繼續按鈕。

  4. 移至 4.取得 Tableau Cloud 中繼資料,為下面的步驟 3.1 做好準備。

步驟 3:設定 IdP 中的「Tableau Cloud 應用程式」

  1. 返回 Entra,在「使用 SAML 設定單一登入」頁面上的「基本 SAML 設定」旁邊,按一下「編輯」,然後執行下列動作:

    1. 如果是識別碼(實體 ID),請執行下列操作之一:

      • 在 Tableau Cloud 的 5.「獲取 Tableau Cloud 中繼資料」下,複製 Tableau Cloud 實體 ID URL。

      • 在 TCM 的 4.「獲取 Tableau Cloud 中繼資料」下,複製 Tableau Cloud 實體 ID URL。

    2. 如果是回覆 URL,請執行下列操作之一:

      • 在 Tableau Cloud 的 5.「獲取 Tableau Cloud 中繼資料」下,複製 Tableau Cloud ACS URL

      • 在 TCM 的 4.「獲取 Tableau Cloud 中繼資料」下,複製 Tableau Cloud ACS URL

    3. 按一下「儲存」

步驟 4:測試 SAML 設定

在 Entra 中,執行下列動作:

在 Tableau Cloud 或者 TCM 中執行以下動作:

  1. 將該 Entra 使用者新增至 Tableau Cloud 或者 TCM 中以測試 SAML 設定。

  2. 執行以下其中一項動作:

    • 返回 Tableau Cloud,在「新增設定」頁面上的 7.測試設定,按一下測試設定按鈕。

    • 在 TCM 的「身分驗證」頁面的 6.測試設定,按一下測試設定按鈕。

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 或者 TCM 的使用者登入。

具有 Microsoft Entra ID 的 SAML 支援額外附註

  • 為避免啟用 SP 啟動的單一登出 (SLO),請確保上傳至 Tableau Cloud 或者 TCM SAML 設定的 IdP 中繼資料不包含 SLO 端點。或者,在上傳至 Tableau Cloud 或者 TCM SAML 設定的 IdP 中繼資料中,可以將現有的「SingleLogoutService」值取代為「https://sso.online.tableau.com/public/idp/SSO」。

  • 若將 IdP 啟動的 SSO 用於應用程式,請勿在 Entra 資源庫中的 Tableau Cloud 或者 TCM 應用程式中提供「登入 URL」值。為此欄位提供值將略過 IdP 啟動的 SSO。