使用 Okta 設定 SAML

如果使用 Okta 作為 SAML 身分識別提供者 (IdP),您可以使用本主題中的資訊來為 Tableau Cloud 網站設定 SAML 驗證。也可以使用 Okta 文件中的如何為 Tableau Cloud 設定 SAML 2.0(連結在新視窗開啟) 主題。

Tableau Cloud 與 Okta 的 SAML 整合支援服務提供者 (SP) 啟動的 SSO、身分提供程式 (IdP) 啟動的 SSO 和單一登出 (SLO)。

附註: 

  • 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般 SAML 設定步驟 ,以及 IdP 的文件。
  • 從 2022 年 2 月開始,Tableau Cloud 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。

步驟 1:開啟 Tableau Cloud SAML 設定

為了設定 Okta 應用程式,您將需要使用 Tableau Cloud SAML 設定中的資訊。

  1. 以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」

  2. 「驗證」索引標籤上,選取「啟用其他驗證方法」核取方塊和 「SAML」,然後按一下「編輯連線」下拉式箭頭。

    Tableau Cloud 網站驗證設定頁面的螢幕擷取畫面

步驟 2:將 Tableau Cloud 新增至 Okta 應用程式

本節中所述的步驟在 Okta 管理員主控台中執行。

  1. 開啟新瀏覽器,並登入 Okta 管理員主控台。

  2. 從左側窗格中,選取應用程式 > 應用程式,然後按一下瀏覽應用程式目錄按鈕。

  3. 搜尋並按一下「Tableau Cloud」,然後按一下新增整合按鈕。開啟 [一般設定] 索引標籤。

  4. (可選)若您有多個 Tableau Cloud 站台,請在應用程式標籤欄位中編輯站台名稱,以協助您區分 Tableau Cloud 應用程式執行個體。

步驟 3:設定 SAML

本節所述的步驟在 Okta 管理員主控台和 Tableau Cloud 的 SAML 設定中執行。

  1. 在 Okta 管理員主控台中,按一下指派索引標籤,以新增您的使用者或群組。

  2. 完成後,按一下完成

  3. 按一下登入索引標籤,然後在「設定」區段中按一下編輯

  4. (可選)若您想要啟用單一登出 (SLO),請執行下列動作:

    1. 選取啟用單一登出核取方塊。

    2. 從 Tableau Cloud 中繼資料檔案中複製「單一登出 URL」值。例如,<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx - xxxxxxxxxxxx"/>。有關詳情,請參閱 Tableau 知識庫中的透過 Okta 使用 SAML 設定單一登出(連結在新視窗開啟)

    3. 進階登入設定文字方塊中,輸入在步驟 b 中複製的值。

    4. 1 下返回 Tableau Cloud SAML 組態設定。從 Tableau Cloud 匯出中繼資料, 按一下「下載憑證」 按鈕。

    5. 返回 Okta 管理員主控台,在簽章憑證旁邊,按一下瀏覽按鈕,並巡覽到在步驟 d 中下載的檔案。

    6. 選取檔案,並按一下上傳按鈕。

    7. 完成後,按一下儲存

  5. 返回 Tableau Cloud SAML 組態是定,在第 1 步, 方法 2:複製中繼資料並下載憑證中,複製該 Tableau Cloud實體 ID

  6. 返回 Okta 管理員主控台,並執行以下動作:

    1. 選取應用程式 > 應用程式,按一下 Tableau Cloud 應用程式,然後選取登入索引標籤。

    2. 按一下編輯

    3. 在「進階登入設定」下的Tableau Cloud 實體 ID文字方塊中,貼上 URL。

    4. Tableau Cloud ACS URL 重複步驟 7 和 8。

      附註:Tableau Cloud SAML 組態設定的順序與 Okta 設定頁面上的順序不同。為防止 SAML 驗證問題,請確保在 Okta 中的正確欄位中輸入 Tableau Cloud 實體識別碼和 Tableau Cloud ACS URL。

    5. 完成後,按一下儲存

  7. 返回 Tableau CloudSAML 設定設定,在步驟 1 下的方法 2:複製中繼資料並下載憑證,按一下下載憑證按鈕。

  8. 返回 Okta 管理員主控台中的 Tableau Cloud 應用程式,在登入索引標籤上按一下編輯,然後執行以下動作:

    1. 中繼資料詳細資料下,複製中繼資料 URL。

    2. 將 URL 貼上到新瀏覽器中,並使用預設的「metadata.xml」將結果儲存為檔案。

  9. 返回 Tableau Cloud SAML 設定設定,在 4 下。將中繼資料上傳到 Tableau Cloud,按一下選擇檔案按鈕,選取 metadata.xml 檔案以上傳檔案。這會自動填入 IdP 實體 IDSSO 服務 URL 值。

  10. Tableau Cloud 使用者設定檔對應頁面中的屬性名稱(判斷提示)對應到 5. 下的對應屬性名稱。Tableau Cloud SAML 設定設定中的配對屬性

  11. 7.測試設定,按一下測試設定按鈕。我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。若要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 的使用者進行登入。

    附註:若連線失敗,請考慮按原樣保留 Tableau 中的 NameID 屬性。

步驟 4:將使用者新增至啟用 SAML 的 Tableau 站台

若您打算使用 SCIM 從 Okta 佈建使用者,請勿手動將使用者新增至 Tableau Cloud。有關更多資訊,請參閱使用 Okta 設定 SCIM。若不使用 SCIM,請使用下列步驟將使用者新增至站台。

本節所述的步驟在 Tableau Cloud 的使用者頁面上執行。

  1. 完成步驟 3:設定 SAML 後,返回 Tableau Cloud 站台。

  2. 從左窗格中,巡覽至使用者頁面。

  3. 請遵循向網站新增使用者主題中所述的程序。

步驟 5:啟用 iFrame 內嵌(可選)

在網站上啟用 SAML 時,您需要指定使用者如何登入來存取網頁中內嵌的檢視。這些步驟會對 Okta 進行設定,以允許為內嵌視覺效果使用內嵌框架 (iFrame) 進行驗證。登入檢視內嵌視覺效果時,內嵌框架內嵌可以提供更無縫的使用者體驗。例如,若使用者已透過身分提供程式進行驗證,並且啟用了 iFrame 內嵌,則使用者在瀏覽包含內嵌視覺效果的頁面時,將透過 Tableau Cloud 無縫進行驗證。

注意:IFrame 可能容易受到點擊劫持攻擊。Clickjacking 是一種針對網頁的攻擊,在這種攻擊中,攻擊者會試圖在一個不相關頁面上的透明層中顯示攻擊頁面,從而誘騙使用者按一下或輸入內容。在Tableau Cloud的背景下,攻擊者可能會試圖用點擊劫持攻擊來獲取使用者認證,或讓已驗證的使用者變更設定。有關 Clickjack 攻擊的詳情,請參閱開放式 Web 應用程式安全專案網站上的 Clickjacking(連結在新視窗開啟)

  1. 登入 Okta 管理員主控台。

  2. 從左側窗格中,選取自訂>其他,並巡覽至 IFrame 內嵌區段。

  3. 按一下編輯,選取允許 iFrame 內嵌核取方塊,然後按一下儲存

感謝您的意見反應!已成功提交您的意見回饋。謝謝!