使用 OneLogin 設定 SAML
如果使用 OneLogin 作為 SAML 身分識別提供者 (IdP),您可以使用本主題中的資訊來為Tableau Cloud
這些步驟假設您具有修改組織的 OneLogin 入口網站的使用權限,並且您熟悉讀取 XML 並將值傳遞到屬性中的操作。
附註:
- 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般
- 從 2022 年 2 月開始,Tableau 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。
- IdP 中的設定步驟的順序可能與您在 Tableau 看到的順序不同。
步驟 1:開始使用
在 Tableau Cloud 中執行以下動作:
以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」。
在驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。
附註:無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。
或者,在 TCM 中執行以下操作:
以雲端管理員身分登入 TCM,並選取「設定」 >「驗證」。
選取「啟用其他身分驗證方法」核取方塊,然後從「驗證」下拉選單中選取 「SAML」。
按一下「設定」(必需)下拉箭頭。
在 OneLogin 中執行以下操作:
開啟一個新的瀏覽器索引標籤或視窗,然後登入 OneLogin 管理員入口網站,並執行以下動作:
在應用程式頁面上,選取新增應用程式。搜尋 Tableau,並在結果中選取 Tableau Cloud SSO。在此區域中設定 SAML 連線。
附註:OneLogin 的 Tableau Cloud SSO 選項不適用於 Tableau Server。
在 [Info] (資訊)頁面上,設定您的入口網站首選項。若有多個 Tableau Cloud 網站,請在顯示名稱欄位中包括網站名稱,以幫助使用者瞭解要選取哪個網站。
在 [SSO] 頁面上,選取並複製 [SLO Endpoint (HTTP)] (SLO 端點(HTTP))欄位中顯示的 URI。
附註: 儘管標籤指明 HTTP,但提供的 URI 是 https 位址,因為 SLO(單一登出)端點使用 SSL/TLS 加密。
在同一頁面上,選取 [More Actions] (更多動作)> [SAML Metadata] (SAML 中繼資料),並將 OneLogin 中繼資料檔儲存到您的電腦。
步驟 2:在 Tableau Cloud 或 TCM 中設定 SAML
從 OneLogin 下載 SAML 中繼資料檔案後,請完成以下步驟,如上一區段所述。
對於 Tableau Cloud
返回 Tableau Cloud,在「新增設定」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 OneLogin 下載的 SAML 中繼資料檔案。
重要提示:若在上傳 OneLogin 中繼資料檔案時遇到任何問題,請考慮對 OneLogin 使用非預設憑證。要建立新憑證,請從 Onelogin 管理員入口網站選取安全 > 憑證。若建立新憑證,請確保 OneLogin 中的 Tableau Cloud 應用程式使用此新憑證。
繼續至 3.對應屬性和設定值如下:
對於使用者名稱,輸入電子郵件。這是使用者用於登入 Tableau Cloud 的電子郵件地址。
對於電子郵件,根據 IdP 文件輸入可選屬性值。此屬性是使用者應在與使用者名稱不同時收到通知的電子郵件地址。這僅用於通知目的。
對於顯示名稱,選取名字和姓氏選項按鈕。
對於名字,輸入名字。
對於姓氏,輸入姓氏。
在 4.選擇內嵌檢視的預設值(可選),選取使用者存取內嵌內容時要啟用的體驗。有關詳情,請參閱下方的關於啟用 iFrame 內嵌區段。
按一下儲存並繼續按鈕。
對於 TCM
返回 TCM,在「驗證」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 OneLogin 下載的 SAML 中繼資料檔案。
重要提示:若在上傳 OneLogin 中繼資料檔案時遇到任何問題,請考慮對 OneLogin 使用非預設憑證。要建立新憑證,請從 Onelogin 管理員入口網站選取安全 > 憑證。建立新憑證時,請確保 OneLogin 中的 TCM 應用程式使用此新憑證。
繼續至 3.對應屬性和設定值如下:
對於使用者名稱,輸入電子郵件。這是使用者用於登入 TCM 的電子郵件地址。
對於電子郵件,根據 IdP 文件輸入可選屬性值。此屬性是使用者應在與使用者名稱不同時收到通知的電子郵件地址。這僅用於通知目的。
對於顯示名稱,選取名字和姓氏選項按鈕。
對於名字,輸入名字。
對於姓氏,輸入姓氏。
按一下儲存並繼續按鈕。
步驟 3。在 IdP 中設定「Tableau Cloud 應用程式」
如果是 Tableau Cloud,這部分中的程序將使用來自 5.取得 Tableau Cloud 中繼資料,在 Tableau Cloud 中的方法 2:複製中繼資料並下載認證下,新增設定頁面上。
如果是 TCM,這部分中的程序將使用來自 4.「獲取 Tableau Cloud 中繼資料」,在 TCM 頁面「身分驗證」中的方法 2:複製中繼資料並下載認證。
返回 OneLogin 入口網站,在 Tableau Cloud
如果是 OneLogin 入口網站中的取用者 URL,請貼上 Tableau Cloud
如果是 OneLogin 入口網站中的受眾,貼上來自 Tableau Cloud
巡覽至 SSO 頁面上,為 SAML 簽章演算法選取 SHA-256。
巡覽至參數並確保值顯示如下:
Tableau Cloud 值 使用者名稱 電子郵件 名 名 姓 姓
步驟 4:測試 SAML 設定
在 OneLogin 中執行以下操作:
在 OneLogin 中新增範例使用者並將其指派給「Tableau Cloud 應用程式」。
在 Tableau Cloud
在 Tableau 新增此 OneLogin 使用者以測試 SAML 設定。
要在 Tableau Cloud 中新增使用者,請參閱向網站新增使用者主題。
要在 TCM 中新增使用者,請參閱使用 Tableau Cloud Manager 管理使用者主題。
執行以下其中一項動作:
返回 Tableau Cloud,在「新增設定」頁面上的 7.測試設定,按一下測試設定按鈕。
在 TCM 的「身分驗證」頁面的 6.測試設定,按一下測試設定按鈕。
我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud
步驟 5:將使用者新增至啟用 SAML 的 Tableau Cloud 站台 或者 TCM
使用以下步驟將其他使用者新增至站台。在 Tableau Cloud 的
完成上述步驟後,從左側窗格巡覽至使用者頁面。
請依照以下步驟操作:
適用於 Tableau Cloud 的向網站新增使用者主題
適用於 TCM 的 使用 Tableau Cloud Manager 管理使用者主題。
關於啟用 iFrame 內嵌
附註:僅適用於 Tableau Cloud。
在網站上啟用 SAML 時,您需要指定使用者如何登入來存取網頁中內嵌的檢視。這些步驟對 OneLogin 進行設定,以允許將 OneLogin dashboard 嵌入另一個網站上的嵌入式框架 (iFrame)。內建框架內嵌可以在登入以檢視內嵌視覺效果時提供更加完美的使用者體驗。例如,若使用者已經向您的身分提供程式進行驗證,並且啟用 iFrame 內嵌,則當瀏覽到包含內嵌視覺效果的頁面時,使用者將無縫地向 Tableau Cloud 進行驗證。
警告:內嵌框架可能容易受到點擊劫持攻擊。Clickjacking 是一種針對網頁的攻擊,在這種攻擊中,攻擊者會試圖在一個不相關頁面上的透明層中顯示攻擊頁面,從而誘騙使用者按一下或輸入內容。在 Tableau Cloud 的背景下,攻擊者可能會試圖用點擊劫持攻擊來獲取使用者認證,或讓已驗證的使用者變更設定。有關 Clickjack 攻擊的詳情,請參閱開放式 Web 應用程式安全專案網站上的 Clickjacking(連結在新視窗開啟)。
開啟一個新的瀏覽器索引標籤或視窗,然後登入 OneLogin 管理員入口網站。
在 [Settings] (設定)功能表上,按一下 [Account Settings] (帳戶設定)。
在 [Basic](基本)頁面上的 [Framing Protection](框架保護)中,選中 [Disable Framing Protection (X-Frame-Options)](停用框架保護 (X-Frame-Options))核取方塊。