使用 Okta 設定 SAML
如果使用 Okta 作為 SAML 身分識別提供者 (IdP),您可以使用本主題中的資訊來為Tableau Cloud
Tableau Cloud 與 Okta 的 SAML 整合支援服務提供者 (SP) 啟動的 SSO、身分提供程式 (IdP) 啟動的 SSO 和單一登出 (SLO)。
附註:
- 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般
- 從 2022 年 2 月開始,Tableau 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。
- IdP 中的設定步驟的順序可能與您在 Tableau 看到的順序不同。
在 Tableau Cloud 中執行以下動作:
以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」。
在驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。
附註:無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。
或者,在 TCM 中執行以下操作:
以雲端管理員身分登入 TCM,並選取「設定」 >「驗證」。
選取「啟用其他身分驗證方法」核取方塊,然後從「驗證」下拉選單中選取 「SAML」。
按一下「設定」(必需)下拉箭頭。
在 Okta 管理員主控台中,執行以下動作:
附註:如果是 TCM,可以使用 IdP 中的「Tableau Cloud 應用程式」來設定 TCM 驗證。
開啟一個新瀏覽器索引標籤或視窗,並登入到 Okta 管理員主控台。
從左側窗格中,選取應用程式 > 應用程式,然後按一下瀏覽應用程式目錄按鈕。
搜尋並按一下「Tableau Cloud」,然後按一下新增整合按鈕。開啟 [一般設定] 索引標籤。
(可選)若您有多個 Tableau Cloud 站台,請在應用程式標籤欄位中編輯站台名稱,以協助您區分 Tableau Cloud 應用程式執行個體。
尋覽至登入索引標籤,按一下編輯,並執行以下動作:
在中繼資料詳細資料下,複製中繼資料 URL。
將 URL 貼上到新瀏覽器中,並使用預設的「metadata.xml」將結果儲存為檔案。
步驟 2:在 Tableau Cloud 或 TCM 中設定 SAML
從 Okta 儲存 SAML 中繼資料檔案後,請完成以下程序,如上一區段所述。
對於 Tableau Cloud
返回 Tableau Cloud,在「新增設定」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 Okta 儲存的 SAML 中繼資料檔案。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。
將屬性名稱(判斷提示)對應到 3. 下方對應屬性到 Okta 管理員主控台中對應的屬性名稱(判斷提示)Tableau Cloud 使用者設定檔對應頁面。
在 4. 選擇內嵌檢視的預設值(可選),選取使用者存取內嵌內容時要啟用的體驗。有關詳情,請參閱下方的關於啟用 iFrame 內嵌區段。
按一下儲存並繼續按鈕。
對於 TCM
返回 TCM,在「驗證」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 Okta 儲存的 SAML 中繼資料檔案。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。
將屬性名稱(判斷提示)對應到 3. 下方對應屬性到 Okta 管理員主控台中對應的屬性名稱(判斷提示)Tableau Cloud 使用者設定檔對應頁面。
按一下儲存並繼續按鈕。
步驟 3。在 IdP 中設定「Tableau Cloud 應用程式」
如果是 Tableau Cloud,這部分中的程序將使用來自 5.取得 Tableau Cloud 中繼資料,在Tableau Cloud 中的方法 2:複製中繼資料並下載認證下,新增設定頁面上。如果是 TCM,這部分中的程序將使用來自 4.「獲取 Tableau Cloud 中繼資料」,在 TCM 頁面「身分驗證」中的方法 2:複製中繼資料並下載認證。
附註:如果是 TCM,可以使用 IdP 中的「Tableau Cloud 應用程式」來設定 TCM 驗證。
在 Okta 管理員主控台中,按一下指派索引標籤,以新增您的使用者或群組。
完成後,按一下完成。
按一下登入索引標籤,然後在「設定」區段中按一下編輯。
(可選)若您想要啟用單一登出 (SLO),請執行下列動作:
選取啟用單一登出核取方塊。
從 Tableau Cloud 中繼資料檔案中複製「單一登出 URL」值。例如,<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx - xxxxxxxxxxxx"/>。有關詳情,請參閱 Tableau 知識庫中的透過 Okta 使用 SAML 設定單一登出(連結在新視窗開啟)。
在進階登入設定文字方塊中,輸入在步驟 b 中複製的值。
在 CA 憑證旁,按一下瀏覽按鈕並巡覽到在上一區段中下載的憑證檔案。
選取檔案,並按一下上傳按鈕。
完成後,按一下儲存。
選取應用程式 > 應用程式,按一下 Tableau Cloud 應用程式,選取登入索引標籤,然後執行相同動作。
按一下編輯。
在進階登入設定中,對於在 Okta 管理員主控台中的 Tableau Cloud 實體 ID 文字方塊,貼上來自 Tableau Cloud
對於在 Okta 管理員主控台中的 Tableau Cloud ACS URL 文字方塊,貼上來自 Tableau Cloud
附註:Tableau Cloud
完成後,按一下儲存。
步驟 4:測試 SAML 設定
在 Okta 中,執行以下操作:
在 Okta 中新增範例使用者並將其指派給「Tableau Cloud 應用程式」。
在 Tableau Cloud
在 Tableau Cloud 中新增此 Okta 使用者以測試 SAML 設定。
要在 Tableau Cloud 中新增使用者,請參閱向網站新增使用者主題。
要在 TCM 中新增使用者,請參閱使用 Tableau Cloud Manager 管理使用者主題。
執行以下操作之一:
返回 Tableau Cloud,在「新增設定」頁面上的 7.測試設定,按一下測試設定按鈕。
在 TCM 的「身分驗證」頁面的 6.測試設定,按一下測試設定按鈕。
我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud
NameID 屬性。若您打算使用 SCIM 從 Okta 佈建使用者,請勿手動將使用者新增至 Tableau Cloud。有關更多資訊,請參閱使用 Okta 設定 SCIM。若不使用 SCIM,請使用下列步驟將額外使用者新增至站台。附註: SCIM 設置不適用於 TCM。
本區段所述的程序在 Tableau Cloud 的使用者頁面上執行。
完成上述步驟後,從左側窗格巡覽至使用者頁面。
請依照以下步驟操作:
適用於 Tableau Cloud 的向網站新增使用者主題
適用於 TCM 的 使用 Tableau Cloud Manager 管理使用者主題。
附註:僅適用於 Tableau Cloud。
在網站上啟用 SAML 時,您需要指定使用者如何登入來存取網頁中內嵌的檢視。這些步驟會對 Okta 進行設定,以允許為內嵌視覺效果使用內嵌框架 (iFrame) 進行驗證。登入檢視內嵌視覺效果時,內嵌框架內嵌可以提供更無縫的使用者體驗。例如,若使用者已透過身分提供程式進行驗證,並且啟用了 iFrame 內嵌,則使用者在瀏覽包含內嵌視覺效果的頁面時,將透過 Tableau Cloud 無縫進行驗證。
注意:IFrame 可能容易受到點擊劫持攻擊。Clickjacking 是一種針對網頁的攻擊,在這種攻擊中,攻擊者會試圖在一個不相關頁面上的透明層中顯示攻擊頁面,從而誘騙使用者按一下或輸入內容。在 Tableau Cloud 的背景下,攻擊者可能會試圖用點擊劫持攻擊來獲取使用者認證,或讓已驗證的使用者變更設定。有關 Clickjack 攻擊的詳情,請參閱開放式 Web 應用程式安全專案網站上的 Clickjacking(連結在新視窗開啟)。
登入 Okta 管理員主控台。
從左側窗格中,選取自訂>其他,並巡覽至 IFrame 內嵌區段。
按一下編輯,選取允許 iFrame 內嵌核取方塊,然後按一下儲存。