在網站上啟用 SAML 驗證
本主題介紹如何在網站上啟用 SAML 和選取單一登入使用者。它還提供了從 SAML 切換到預設 Tableau(也稱為 TableauID)驗證的步驟。在啟用 SAML 之前,我們建議您檢視Tableau Cloud 的 SAML 要求,包括變更驗證類型對 Tableau Bridge 的影響。
本主題假定您熟悉驗證以及 SAML 驗證的工作原理中的資訊。
特定於 IdP 的設定資訊
本主題後面各節中的步驟提供了您可與 IdP 文件搭配使用來為 Tableau Cloud 網站設定 SAML 的基本步驟。可以為以下 IdP 獲取特定於 IdP 的設定步驟:
啟用 SAML
以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」。
在驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。
附註:無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。
SAML 群組態步驟
此部分將引導您完成在 Tableau Cloud「設定」頁面 的「驗證」索引標籤上出現的設定步驟。
附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。
移至您的 IdP,登入 IdP 帳戶,然後使用 IdP 文件提供的說明下載 IdP 的中繼資料。IdP 的中繼資料啟用 Tableau Cloud 連線到您的 IdP。
步驟 1 中,IdP 的文件將也可在如何向服務提供程式提供中繼資料方面為您提供指導。它將指示您下載 SAML,或者將顯示 XML 代碼。如果它顯示 XML 代碼,請將代碼複製並粘貼到一個新文字檔中,並使用 .xml 副檔名儲存檔案。
在 Tableau Cloud 中的「新增」 頁面上,匯入您從 IdP 下載或透過它提供的 theXML 手動設定的中繼資料檔。
附註:
- 上傳 IdP 中繼資料後, IdP 實體 ID 和 IdP SSO 服務 URL 欄位會自動填入。
- 如果編輯設定,則需要上傳中繼資料檔案,以便 Tableau 了解是否使用正確的 IdP 實體 ID 和 SSO 服務 URL。
- 可以使用 「清除 IdP 中繼資料」按鈕(如果您需要上傳新的中繼資料檔案)。
屬性包含有關使用者的驗證、授權和其他資訊。
附註: Tableau Cloud 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Cloud 中的使用者名稱,但回應訊息必須包含 NameID 屬性。
使用者名稱:(必需)輸入存放使用者使用者名稱(電子郵件地址)的屬性名稱。
電子郵件: (可選)輸入包含 IdP 在驗證過程中使用的電子郵件地址的屬性名稱,以便使用者可以透過與使用者名稱不同的電子郵件地址接收通知。電子郵件地址屬性僅用於通知目的,不用於登入。
顯示名稱:(可選但建議使用) 某些 IdP 為名和姓使用單獨的屬性,而另一些則將全名存儲在一個屬性中。
選取對您的 IdP 存儲名稱的方式對應的按鈕。舉例來說,如果 IdP 將名和姓合併在一個屬性中,請選取「顯示名稱」,然後輸入屬性名稱。
選取使用者用於登入到嵌入檢視的方法。此選項將開啟一個顯示 IdP 登入表單的單獨彈出式視窗,或者使用嵌入式框架 (iframe)。
警告:由於 iframe 可能容易受到clickjacking 攻擊,因此並非所有 IdP 都支援透過 iframe 登入。利用 clickjacking,攻擊者會嘗試引誘使用者按一下或輸入內容。透過將攻擊頁面顯示在某個不相關頁面上的透明層中,攻擊者可以達到此目的。對於 Tableau Cloud,攻擊者可能會試圖捕獲使用者認證,或讓授權使用者變更設定。有關詳情,請參閱開放式 Web 應用程式安全專案網站上的clickjacking(連結在新視窗開啟)。
如果您的 IdP 不支援透過 iframe 登入,請選取「在單獨的快顯視窗中進行驗證」。
要在 Tableau Cloud 與您的 IdP 之間建立 SAML 連線,需要在這兩項服務之間交換必需的中繼資料。若要從 Tableau Cloud 中獲取中繼資料,請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。
選取「匯出中繼資料」,以下載一個包含 Tableau Cloud SAML 實體 ID、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。
如果您的 IdP 要以另一種方式獲得所需的資訊,請選取「下載憑證」。舉例來說,它希望您在將臨的位置中輸入 Tableau Cloud 實體 ID、ACS URL 和 X.509 憑證。
在步驟 6 中,請使用 IdP 文件提供的說明提交 Tableau Cloud 中繼資料。
我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。若要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 的使用者進行登入。
如果您無法成功登入 Tableau Cloud,請先執行「驗證」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題,請參閱 SAML 疑難排解。
讓使用者選擇其驗證類型
選取此選項後,僅支援快顯視窗。在此快顯視窗中會有兩個嵌入檢視的登入選項: 一個登入按鈕(使用單一登入 (SSO) 驗證)和一個使用 (EP) 作為替代方案的連結。
提示:使用此選項,使用者需要知道要選取哪個登入選項。作為在將使用者新增到單一登入網站後向使用者傳送的通知的一部分,請告知使用者要為各種登入方案選取哪種驗證類型。例如,嵌入檢視、Tableau Desktop、Tableau Bridge、Tableau Mobile,諸如此類。
具有 MFA 的 Tableau
此選項要求使用者使用具有多重要素驗證的
身分驗證設定清單
選取具體設定選項後, 使用者登入嵌入視圖的方式取決於您在上面的步驟 6 中為命名設定配置的設定。
使用 Tableau 驗證
如果網站設定為使用 SAML,您可以變更網站設定以要求部分或全部使用 者
如果不再需要身分識別提供者來處理網站驗證,或者要求所有使用者都使用
如果要為部分使用者保持啟用 SAML,但要求其他使用者使用
有關詳情,請參閱設定使用者驗證類型。
變更網站的驗證類型
從 2024 年 11 月 (Tableau 2024.3) 開始,可以在站台上啟用多種驗證類型和方法。要變更希望在該站台上使用的驗證,請啟用或停用驗證設定。
以站台管理員身分登入到 Tableau Cloud 站台。
選取 [設定] > [驗證] 。
透過點擊「動作」功能表並選取 「停用」 或者 「啟用」以停用或啟用網站的身分驗證設定。
將 SAML 設定設為非活動之後,會保留中繼資料和 IdP 資訊,因此,如果想再次啟用它,則無需再次與 IdP 建立 SAML 連線。
更新 SAML 憑證
用於 Tableau 站台中繼資料的憑證由 Tableau 提供,並且不可設定。要為的 SAML 更新憑證,必須將新憑證上傳到 IdP,然後與 Tableau Cloud 重新交換中繼資料。
以站台管理員身分登入到站台,並選取「設定」 >「驗證」。
在驗證類型下,前往要更新的 SAML 設定,然後按一下動作功能表並選取編輯。
開啟一個新的索引標籤或視窗,然後登入到 IdP 帳戶。
使用 IdP 文件提供的說明上載新的 SAML 憑證。
下載新的 XML 中繼資料檔案,以提供給 Tableau Cloud。
返回到 Tableau Cloud 中的編輯設定頁面,然後在步驟 2 中,匯入從 IdP 下載的中繼資料檔案。
向下捲動頁面並按一下儲存並繼續按鈕。