在網站上啟用 SAML 驗證

本主題介紹如何在網站上啟用 SAML 和選取單一登入使用者。它還提供了從 SAML 切換到預設 Tableau(也稱為 TableauID)驗證的步驟。在啟用 SAML 之前,我們建議您檢視Tableau Cloud 的 SAML 要求,包括變更驗證類型對 Tableau Bridge 的影響

本主題假定您熟悉驗證以及 SAML 驗證的工作原理中的資訊。

特定於 IdP 的設定資訊

本主題後面各節中的步驟提供了您可與 IdP 文件搭配使用來為 Tableau Cloud 網站設定 SAML 的基本步驟。可以為以下 IdP 獲取特定於 IdP 的設定步驟:

啟用 SAML

  1. 以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」

  2. 「驗證」索引標籤上,選取「啟用其他驗證方法」核取方塊和 「SAML」,然後按一下「編輯連線」下拉式箭頭。

    Tableau Cloud 網站驗證設定頁面的螢幕擷取畫面

SAML 群組態步驟

此部分將引導您完成在 Tableau Cloud「設定」頁面 的「驗證」索引標籤上出現的設定步驟。

附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。

步驟 1:從 Tableau 中匯出中繼資料

要在 Tableau Cloud 與您的 IdP 之間建立 SAML 連線,需要在這兩項服務之間交換必需的中繼資料。若要從 Tableau Cloud 中獲取中繼資料,請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

  • 選取「匯出中繼資料」按鈕,以下載一個包含 Tableau Cloud SAML 實體識別碼、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。

  • 如果您的 IdP 期望以另一種方式獲得所需的資訊,請選取「下載憑證」。舉例來說,它希望您在將臨的位置中輸入 Tableau Cloud 實體 ID、ACS URL 和 X.509 憑證。

    下圖經過編輯,顯示出這些設定在 Tableau Cloud 和 Tableau Server 中相同。

步驟 2 和步驟 3:外部步驟

對於步驟 2, 若要匯入您在步驟 1 中匯出的中繼資料,請登入您的 IdP 帳戶,然後按照 IdP 的文件提供的說明來提交 Tableau Cloud 中繼資料。

對於步驟 3,IdP 的文件將也可在如何向服務提供程式提供中繼資料方面為您提供指導。它將指示您下載中繼資料檔,或者將顯示 XML 代碼。如果它顯示 XML 代碼,請將代碼複製並粘貼到一個新文字檔中,並使用 .xml 副檔名儲存檔案。

步驟 4:將 IdP 中繼資料匯入 Tableau 網站

Tableau Cloud 中的「驗證」 頁面上,匯入您從 IdP 下載或透過它提供的 XML 手動設定的中繼資料檔。

附註:如果編輯設定,則需要上傳中繼資料檔案,以便 Tableau 了解是否使用正確的 IdP 實體 ID 和 SSO 服務 URL。

步驟 5: 匹配屬性

屬性包含有關使用者的驗證、授權和其他資訊。

附註: Tableau Cloud 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Cloud 中的使用者名稱,但回應訊息必須包含 NameID 屬性。

  • 使用者名稱:(必需)輸入存放使用者使用者名稱(電子郵件地址)的屬性名稱。

  • 顯示名稱:(可選但建議使用) 某些 IdP 為名和姓使用單獨的屬性,而另一些則將全名存儲在一個屬性中。

    選取對您的 IdP 存儲名稱的方式對應的按鈕。舉例來說,如果 IdP 將名和姓合併在一個屬性中,請選取「顯示名稱」,然後輸入屬性名稱。

    擷取 Tableau Cloud 設定網站 SAML 步驟 5 - 匹配屬性的螢幕畫面

步驟 6:嵌入選項

選取使用者用於登入到嵌入檢視的方法。此選項將開啟一個顯示 IdP 登入表單的單獨彈出式視窗,或者使用嵌入式框架 (iframe)。

警告: 由於 iframe 可能容易受到clickjacking 攻擊,因此並非所有 IdP 都支援透過 iframe 登入。利用 clickjacking,攻擊者會嘗試引誘使用者按一下或輸入內容。透過將攻擊頁面顯示在某個不相關頁面上的透明層中,攻擊者可以達到此目的。對於 Tableau Cloud,攻擊者可能會試圖捕獲使用者認證,或讓授權使用者變更設定。有關詳情,請參閱開放式 Web 應用程式安全專案網站上的clickjacking(連結在新視窗開啟)

如果您的 IdP 不支援透過 iframe 登入,請選取「在單獨的快顯視窗中進行驗證」

另請參閱嵌入檢視的預設驗證類型

步驟 7:測試設定並疑難排解

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。若要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 的使用者進行登入。

如果您無法成功登入 Tableau Cloud,請先執行「驗證」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題,請參閱 SAML 疑難排解

管理使用者

選取現有的 Tableau Cloud 使用者,或者新增您想批准其進行單一登入的新使用者。

在新增或匯入使用者時,還要指定使用者的驗證類型。在「使用者」頁面上,可以在新增使用者後隨時變更使用者的驗證類型。

有關詳情,請參閱向網站新增使用者匯入使用者

嵌入檢視的預設驗證類型

在網站上啟用 SAML 的過程中,要指定使用者如何存取網頁中嵌入的檢視。

  • 讓使用者選擇其驗證類型

    如果選取此選項,嵌入檢視的位置將顯示兩個登入選項: 一個登入按鈕(使用單一登入驗證)和一個使用 TableauID 作為替代方案的連結。

    提示: 對於此選項,使用者需要知道要選取哪個替代方案。作為在將使用者新增到單一登入網站後向使用者傳送的通知的一部分,請告知使用者要為各種登入方案選取哪種驗證類型。例如,嵌入檢視、Tableau Desktop、Tableau Bridge、Tableau Mobile,諸如此類。

  • 具有 MFA 的 Tableau

    此選項要求使用者使用具有多重要素驗證的 Tableau 認證登入,即使在站台上啟用 SAML 也是如此。使用 MFA 登入 Tableau 要求使用者設定驗證方法,以在使用者每次登入 Tableau Cloud 時確認身分。有關詳情,請參閱 多重要素驗證和 Tableau Cloud

  • SAML

    對於此選項,SAML 使用者可登入到嵌入檢視的方式由您在上面的步驟 6 中選取的設定確定。

使用 Tableau 驗證

如果網站設定為使用 SAML,您可以變更網站設定以要求部分或全部使用 者Tableau 認證登入。

  • 如果不再需要身分識別提供者來處理網站驗證,或者要求所有使用者都使用 Tableau 認證登入,您可以在站台層級變更驗證類型。

  • 如果要為部分使用者保持啟用 SAML,但要求其他使用者使用 Tableau,您可以在使用者層級變更驗證類型。

    有關詳情,請參閱設定使用者驗證類型

變更網站的驗證類型

從 2024 年 11 月 (Tableau 2024.3) 開始,可以在站台上啟用多種驗證類型和方法。要變更希望在該站台上使用的驗證,請啟用或停用驗證設定。

  1. 作為網站管理員登入到 Tableau Cloud,然後選取網站。

  2. 選取 [設定] > [驗證]

  3. 移除啟用額外的驗證方法核取方塊。

將 SAML 設定設為非活動之後,會保留中繼資料和 IdP 資訊,因此,如果想再次啟用它,您無需再次與 IdP 建立 SAML 連線。

更新 SAML 憑證

用於 Tableau 站台中繼資料的憑證由 Tableau 提供,並且不可設定。要為的 SAML 更新憑證,必須將新憑證上傳到 IdP,然後與 Tableau Cloud 重新交換中繼資料。

  1. 以站台管理員身分登入站台,然後選取設定 > 驗證

  2. 在驗證類型下,按一下設定(必需)下拉式箭頭

  3. 開啟一個新的索引標籤或視窗,然後登入到 IdP 帳戶。

  4. 使用 IdP 文件提供的說明上載新的 SAML 憑證。

  5. 下載新的 XML 中繼資料檔案,以提供給 Tableau Cloud

  6. 返回到 Tableau Cloud 中的「驗證」頁面,然後在 中,匯入步驟 4上傳從 IdP 下載的中繼資料檔案。

  7. 按一下「儲存變更」按鈕

另請參閱

從連線的用戶端中存取網站

感謝您的意見反應!已成功提交您的意見回饋。謝謝!