在網站上啟用 SAML 驗證

在站台或 TCM上啟用 SAML 驗證

本主題介紹如何在站台或者 Tableau Cloud 管理器 (TCM) 上啟用 SAML 並選取單一登入 (SSO) 使用者。還提供了從 SAML 切換到預設 Tableau 驗證的步驟。在啟用 SAML 之前，我們建議您檢視Tableau Cloud 的 SAML 要求，包括變更驗證類型對 Tableau Bridge 的影響。

附註：為 TCM 啟用 SAML 驗證需要獨立於 Tableau Cloud 進行設定與應用程式整合。

本主題假定您熟悉驗證以及 SAML 驗證的工作原理中的資訊。

特定於 IdP 的設定資訊

本主題後面各節中的步驟提供了您可與 IdP 文件搭配使用來為 Tableau Cloud 站台或者 TCM 設定 SAML 的基本步驟。可以為以下 IdP 獲取特定於 IdP 的設定步驟：

啟用 SAML

對於 Tableau Cloud

以網站管理員身分登入到 Tableau Cloud 網站，並選取「設定」 >「驗證」。
在驗證索引標籤上，按一下新增設定按鈕，從「驗證」下拉式清單中選取 SAML，然後輸入設定名稱。
附註：無法重新命名 2025 年 1 月 (Tableau 2024.3) 之前建立的設定。

對於 TCM

或者，在 TCM 中執行以下操作：

以雲端管理員身分登入 TCM，並選取「設定」 >「驗證」。
選取「啟用其他身分驗證方法」核取方塊，然後從「驗證」下拉選單中選取「SAML」。
按一下「設定」（必需）下拉箭頭。

SAML 群組態步驟

這部分引導您完成 Tableau Cloud 或者 TCM 「設定」頁面「驗證」索引標籤中顯示的設定步驟。

附註： 若要完成這個處理序，您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。

步驟 1：從 IdP 中匯出中繼資料

移至您的 IdP，登入 IdP 帳戶，然後使用 IdP 文件提供的說明下載 IdP 的中繼資料。IdP 的中繼資料啟用 Tableau Cloud 或者 TCM 連線到您的 IdP。

步驟 1 中，IdP 的文件將也可在如何向服務提供程式提供中繼資料方面為您提供指導。它將指示您下載 SAML，或者將顯示 XML 代碼。如果它顯示 XML 代碼，請將代碼複製並粘貼到一個新文字檔中，並使用 .xml 副檔名儲存檔案。

步驟 2：將中繼資料上傳到 Tableau

如果是 Tableau Cloud，在 Tableau Cloud 中的「新設定」頁面上，匯入您從 IdP 下載或透過它提供的 XML 手動設定的中繼資料檔。

如果是 TCM，在 TCM 中的身分驗證頁面中，匯入您從 IdP 下載或從其提供的 XML 手動設定的中繼資料 (.xml) 檔案。

附註：

上傳 IdP 中繼資料後， IdP 實體 ID 和 IdP SSO 服務 URL 欄位會自動填入。
如果編輯設定，則需要上傳中繼資料檔案，以便 Tableau 了解是否使用正確的 IdP 實體 ID 和 SSO 服務 URL。
可以使用「清除 IdP 中繼資料」按鈕（如果您需要上傳新的中繼資料檔案）。

第 3 步：對應屬性

屬性包含有關使用者的驗證、授權和其他資訊。

附註： Tableau Cloud 或者 TCM 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau 使用者名稱，但回應訊息必須包含 NameID 屬性。

使用者名稱：（必需）輸入存放使用者使用者名稱（電子郵件地址）的屬性名稱。
電子郵件： （可選）輸入包含 IdP 在驗證過程中使用的電子郵件地址的屬性名稱，以便使用者可以透過與使用者名稱不同的電子郵件地址接收通知。電子郵件地址屬性僅用於通知目的，不用於登入。
顯示名稱：（可選但建議使用）某些 IdP 為名和姓使用單獨的屬性，而另一些則將全名存儲在一個屬性中。
選取對您的 IdP 存儲名稱的方式對應的按鈕。舉例來說，如果 IdP 將名和姓合併在一個屬性中，請選取「顯示名稱」，然後輸入屬性名稱。

步驟 4：選取嵌入檢視的預設值

附註：僅適用於 Tableau Cloud。

選取使用者用於登入到嵌入檢視的方法。此選項將開啟一個顯示 IdP 登入表單的單獨彈出式視窗，或者使用嵌入式框架 (iframe)。

警告：由於 iframe 可能容易受到clickjacking 攻擊，因此並非所有 IdP 都支援透過 iframe 登入。利用 clickjacking，攻擊者會嘗試引誘使用者按一下或輸入內容。透過將攻擊頁面顯示在某個不相關頁面上的透明層中，攻擊者可以達到此目的。對於 Tableau Cloud，攻擊者可能會試圖捕獲使用者認證，或讓授權使用者變更設定。有關詳情，請參閱開放式 Web 應用程式安全專案網站上的clickjacking(連結在新視窗開啟)。

如果您的 IdP 不支援透過 iframe 登入，請選取「在單獨的快顯視窗中進行驗證」。

步驟 4：取得 Tableau 中繼資料 (TCM)

要在 TCM 與您的 IdP 之間建立 SAML 連線，需要在這兩項服務之間交換必需的中繼資料。若要從 TCM 中獲取中繼資料TCM，請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

選取「匯出中繼資料」，以下載一個包含 Tableau Cloud SAML 實體 ID、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。
如果您的 IdP 要以另一種方式獲得所需的資訊，請選取「下載憑證」。舉例來說，它希望您在將臨的位置中輸入 Tableau Cloud 實體 ID、ACS URL 和 X.509 憑證。

步驟 5：取得 Tableau 中繼資料 (Tableau Cloud)

要在 Tableau Cloud 與您的 IdP 之間建立 SAML 連線，需要在這兩項服務之間交換必需的中繼資料。若要從 Tableau Cloud 中獲取中繼資料，請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

選取「匯出中繼資料」，以下載一個包含 Tableau Cloud SAML 實體 ID、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。
如果您的 IdP 要以另一種方式獲得所需的資訊，請選取「下載憑證」。舉例來說，它希望您在將臨的位置中輸入 Tableau Cloud 實體 ID、ACS URL 和 X.509 憑證。

步驟 5：設定 IdP (TCM)

在步驟 5 中，請使用 IdP 文件提供的說明提交 TCM 中繼資料。

步驟 6：設定 IdP (Tableau Cloud)

在步驟 6 中，請使用 IdP 文件提供的說明提交 Tableau Cloud 中繼資料。

步驟 7：測試設定並排除 SAML (TCM)

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定，請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 或者 TCM 的使用者登入。

如果無法成功登入 TCM，請先執行「驗證」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題，請參閱 SAML 疑難排解。

步驟 7：測試設定並排除 SAML 故障 (Tableau Cloud)

如果無法成功登入 Tableau Cloud，請先執行「新設定」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題，請參閱 SAML 疑難排解。

管理使用者

選取現有的 Tableau Cloud 或者 TCM 使用者，或者新增您想批准其進行單一登入的新使用者。

在新增或匯入使用者時，還要指定使用者的驗證類型。在「使用者」頁面上，可以在新增使用者後隨時變更使用者的驗證類型。

有關詳情，請參閱以下內容之一：

適用於 Tableau Cloud 的向網站新增使用者或者匯入使用者主題
適用於 TCM 的使用 Tableau Cloud Manager 管理使用者主題。

嵌入檢視的預設驗證類型

附註：僅適用於 Tableau Cloud。

讓使用者選擇其驗證類型
選取此選項後，僅支援快顯視窗。在此快顯視窗中會有兩個嵌入檢視的登入選項：一個登入按鈕（使用單一登入 (SSO) 驗證）和一個使用 (EP) 作為替代方案的連結。
提示：使用此選項，使用者需要知道要選取哪個登入選項。作為在將使用者新增到單一登入網站後向使用者傳送的通知的一部分，請告知使用者要為各種登入方案選取哪種驗證類型。例如，嵌入檢視、Tableau Desktop、Tableau Bridge、Tableau Mobile，諸如此類。
具有 MFA 的 Tableau
此選項要求使用者使用具有多重要素驗證的 Tableau 認證登入，即使在站台上啟用 SAML 也是如此。使用 MFA 登入 Tableau 要求使用者設定驗證方法，以在使用者每次登入 Tableau Cloud 時確認身分。有關詳情，請參閱多重要素驗證和 Tableau Cloud。
身分驗證設定清單
選取具體設定選項後，使用者登入嵌入視圖的方式取決於您在上面的步驟 6 中為命名設定配置的設定。

使用 Tableau　驗證

如果為 SMAL 設定站台或者租戶，則可以變更設定以要求部分或全部使用者使用Tableau 認證登入。

如果不再需要身分提供程式處理身分驗證，或者要求所有使用者都使用其　Tableau 認證登入，則可以在站台或者租戶層級變更驗證類型。參看以下變更網站的驗證類型部分。
如果要為部分使用者保持啟用 SAML，但要求其他使用者使用 Tableau，您可以在使用者層級變更驗證類型。有關詳情，請參閱設定使用者驗證類型。

變更網站的驗證類型

對於 Tableau Cloud

從 2025 年 1 月 (Tableau 2024.3) 開始，可以在站台上啟用多種驗證類型和方法。要變更希望在該站台上使用的驗證，請啟用或停用驗證設定。

以站台管理員身分登入到 Tableau Cloud 站台。
選取 [設定] > [驗證] 。
透過點擊「動作」功能表並選取「停用」或者「啟用」以停用或啟用網站的身分驗證設定。

將 SAML 設定設為非活動之後，會保留中繼資料和 IdP 資訊，因此，如果想再次啟用它，則無需再次與 IdP 建立 SAML 連線。

對於 TCM

以雲端管理員身分登入 TCM。
選取 [設定] > [驗證] 。
移除啟用額外的驗證方法核取方塊的選取。

更新 SAML 憑證

用於 Tableau 站台中繼資料的憑證由 Tableau 提供，並且不可設定。要為的 SAML 更新憑證，必須將新憑證上傳到 IdP，然後與 Tableau Cloud 重新交換中繼資料。

對於 Tableau Cloud

以站台管理員身分登入到站台，並選取「設定」 >「驗證」。
在驗證類型下，前往要更新的 SAML 設定，然後按一下動作功能表並選取編輯。
開啟一個新的索引標籤或視窗，然後登入到 IdP 帳戶。
使用 IdP 文件提供的說明上載新的 SAML 憑證。
下載新的 XML 中繼資料檔案，以提供給 Tableau Cloud。
返回到 Tableau Cloud 中的編輯設定頁面，然後在步驟 2 中，匯入從 IdP 下載的中繼資料檔案。
向下捲動頁面並按一下儲存並繼續按鈕。

對於 TCM

以站台管理員身分登入 TCM，並選取「設定」 >「驗證」。
從身分驗證下拉式選單中選取「SAML > 設定（必需）」。
開啟一個新的索引標籤或視窗，然後登入到 IdP 帳戶。
使用 IdP 文件提供的說明上載新的 SAML 憑證。
下載新的 XML 中繼資料檔案，以提供給 TCM。
返回到 TCM 中的驗證頁面，然後在步驟 2 中，匯入從 IdP 下載的中繼資料檔案。
向下捲動頁面並按一下儲存並繼續按鈕。

使用使用者屬性自訂和控制資料存取

使用者屬性是由您的組織定義的使用者中繼資料。使用者屬性可用於在典型的基於屬性的存取控制 (ABAC) 授權模型中確定存取權。使用者屬性可以是使使用者個人資料的任何方面，包括職位角色、部門成員資格、管理層級等。它們也可能與執行階段使用者內容相關聯，例如使用者的登入位置或其語言喜好設定。

透過在工作流程中包含使用者屬性，可以透過資料存取和個人化來控制和自訂使用者體驗。

資料存取：使用者屬性可用於強制執行資料安全性原則。這確保使用者只能看到他們被授權查看的資訊。
個人化：透過傳遞位置和角色等使用者屬性，可以自訂內容以僅顯示與存取內容的使用者相關的資訊，從而讓他們能夠更輕鬆地找到所需的資訊。

傳遞使用者屬性的步驟摘要

在工作流程中啟用使用者屬性的流程總結如下：

啟用使用者屬性設定
在聲明中包含使用者屬性
確保內容作者包含使用者屬性函數和相關篩選器
檢閱內容

步驟 1：啟用使用者屬性設定

出於安全性目的，僅當站台管理員啟用使用者屬性設定時，才會在驗證工作流程中驗證使用者屬性。

登入 Tableau Cloud，然後按一下設定 > 驗證。
在「控制驗證工作流程中的使用者存取」標題下，選取在驗證工作流程中啟用使用者屬性擷取核取方塊。

有關站台設定詳情，請參閱控制身份驗證工作流程中的使用者存取。

步驟 2：在聲明中包含使用者屬性

確保聲明包含使用者屬性。

附註：SAML 回應中的屬性受 4096 個字元限制的限制，scp 或 scope 屬性除外。如果回應中的屬性（包括使用者屬性）超過此限制，Tableau 會刪除屬性並改為傳遞 ExtraAttributesRemoved 屬性。然後，內容作者可以使用 ExtraAttributesRemoved 屬性建立計算，以確定在偵測到該屬性時如何向使用者顯示內容。

範例

假設您有一位員工 Fred Suzuki，他是南部區域的經理。您想要確保 Fred 在檢閱報告時，只能看到南部區域的資料。在這種情況下，可以在 SAML 回應中包括「區域使用者」屬性，如下面的範例中所示。

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

步驟 3：確保內容作者包含屬性函數

確保內容作者包含使用者屬性函數和相關篩選器，以控制內容中可以顯示哪些資料。要確保將使用者屬性判斷提示傳遞給 Tableau，內容必須包含以下使用者屬性函數之一：

USERATTRIBUTE('attribute_name')
USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

內容作者使用的函數取決於使用者屬性預期傳回的是單一值還是多個值。有關這些函數和每個函數範例的詳細資訊，請參閱 Tableau 說明中的使用者函數(連結在新視窗開啟)。

附註：

在 Tableau Desktop 或 Tableau Cloud 中製作時，無法預覽包含這些函數的內容。函數將傳回 NULL 或 FALSE。為確保使用者函數按預期運作，我們建議作者在提供內容後檢閱這些函數。
為確保內容按預期呈現，內容作者可以考慮包含一個使用 ExtraAttributesRemoved 的計算，該屬性可 1) 檢查是否存在此屬性，以及 2) 若存在此屬性，則確定如何處理內容，例如顯示訊息。只有 SAML XML 中的屬性超過 4096 個字元時，Tableau 才會新增 ExtraAttributesRemoved 屬性並移除所有其他屬性（scp 或 scope 除外）。這樣做是為了確保最佳效能並遵守儲存限制。

範例

接續上述步驟 2：在聲明中包含使用者屬性中介紹的範例，若要將「區域」使用者屬性判斷提示傳遞給工作簿，作者可以包含 USERATTRIBUTEINCLUDES。例如，USERATTRIBUTEINCLUDES('Region', [Region]) 中，「Region（區域）」是使用者屬性，「[Region]（區域）」是資料中的一欄。使用此新計算，作者可以建立一個包含經理和銷售資料的資料表。新增計算後，工作簿會按預期傳回「False」值。