在站台或 TCM上啟用 SAML 驗證


本主題介紹如何在站台 或者 Tableau Cloud 管理器 (TCM) 上啟用 SAML 並選取單一登入 (SSO) 使用者。還提供了從 SAML 切換到預設 Tableau 驗證的步驟。在啟用 SAML 之前,我們建議您檢視Tableau Cloud 的 SAML 要求,包括變更驗證類型對 Tableau Bridge 的影響

附註:為 TCM 啟用 SAML 驗證需要獨立於 Tableau Cloud 進行設定與應用程式整合。

本主題假定您熟悉驗證以及 SAML 驗證的工作原理中的資訊。

特定於 IdP 的設定資訊

本主題後面各節中的步驟提供了您可與 IdP 文件搭配使用來為 Tableau Cloud 站台 或者 TCM 設定 SAML 的基本步驟。可以為以下 IdP 獲取特定於 IdP 的設定步驟:

啟用 SAML

對於 Tableau Cloud

  1. 以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」

  2. 驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。

    Tableau Cloud 站台驗證設定頁面的螢幕擷取畫面

    附註:無法重新命名 2025 年 1 月 (Tableau 2024.3) 之前建立的設定。

對於 TCM

或者,在 TCM 中執行以下操作:

  1. 以雲端管理員身分登入 TCM,並選取「設定」 >「驗證」

  2. 選取「啟用其他身分驗證方法」核取方塊,然後從「驗證」下拉選單中選取 「SAML」

  3. 按一下「設定」(必需)下拉箭頭。

SAML 群組態步驟

這部分引導您完成 Tableau Cloud 或者 TCM 「設定」頁面「驗證」索引標籤中顯示的設定步驟。

附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。

步驟 1:從 IdP 中匯出中繼資料

移至您的 IdP,登入 IdP 帳戶,然後使用 IdP 文件提供的說明下載 IdP 的中繼資料。IdP 的中繼資料啟用 Tableau Cloud 或者 TCM 連線到您的 IdP。

步驟 1 中,IdP 的文件將也可在如何向服務提供程式提供中繼資料方面為您提供指導。它將指示您下載 SAML,或者將顯示 XML 代碼。如果它顯示 XML 代碼,請將代碼複製並粘貼到一個新文字檔中,並使用 .xml 副檔名儲存檔案。

步驟 2:將中繼資料上傳到 Tableau

如果是 Tableau Cloud,在 Tableau Cloud 中的「新設定」 頁面上,匯入您從 IdP 下載或透過它提供的 XML 手動設定的中繼資料檔。

如果是 TCM,在 TCM 中的身分驗證頁面中,匯入您從 IdP 下載或從其提供的 XML 手動設定的中繼資料 (.xml) 檔案。

附註: 

  • 上傳 IdP 中繼資料後, IdP 實體 IDIdP SSO 服務 URL 欄位會自動填入。
  • 如果編輯設定,則需要上傳中繼資料檔案,以便 Tableau 了解是否使用正確的 IdP 實體 ID 和 SSO 服務 URL。
  • 可以使用 「清除 IdP 中繼資料」按鈕(如果您需要上傳新的中繼資料檔案)。
第 3 步:對應屬性

屬性包含有關使用者的驗證、授權和其他資訊。

附註: Tableau Cloud 或者 TCM 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau 使用者名稱,但回應訊息必須包含 NameID 屬性。

  • 使用者名稱:(必需)輸入存放使用者使用者名稱(電子郵件地址)的屬性名稱。

  • 電子郵件: (可選)輸入包含 IdP 在驗證過程中使用的電子郵件地址的屬性名稱,以便使用者可以透過與使用者名稱不同的電子郵件地址接收通知。電子郵件地址屬性僅用於通知目的,不用於登入。

  • 顯示名稱:(可選但建議使用) 某些 IdP 為名和姓使用單獨的屬性,而另一些則將全名存儲在一個屬性中。

    選取對您的 IdP 存儲名稱的方式對應的按鈕。舉例來說,如果 IdP 將名和姓合併在一個屬性中,請選取「顯示名稱」,然後輸入屬性名稱。

    擷取 Tableau Cloud 設定站台 SAML 的 步驟 3 - 對應屬性的螢幕擷取畫面

步驟 4:選取嵌入檢視的預設值

附註:僅適用於 Tableau Cloud。

選取使用者用於登入到嵌入檢視的方法。此選項將開啟一個顯示 IdP 登入表單的單獨彈出式視窗,或者使用嵌入式框架 (iframe)。

警告:由於 iframe 可能容易受到clickjacking 攻擊,因此並非所有 IdP 都支援透過 iframe 登入。利用 clickjacking,攻擊者會嘗試引誘使用者按一下或輸入內容。透過將攻擊頁面顯示在某個不相關頁面上的透明層中,攻擊者可以達到此目的。對於 Tableau Cloud,攻擊者可能會試圖捕獲使用者認證,或讓授權使用者變更設定。有關詳情,請參閱開放式 Web 應用程式安全專案網站上的clickjacking(連結在新視窗開啟)

如果您的 IdP 不支援透過 iframe 登入,請選取「在單獨的快顯視窗中進行驗證」

步驟 4:取得 Tableau 中繼資料 (TCM)

要在 TCM 與您的 IdP 之間建立 SAML 連線,需要在這兩項服務之間交換必需的中繼資料。若要從 TCM 中獲取中繼資料TCM,請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

  • 選取「匯出中繼資料」,以下載一個包含 Tableau Cloud SAML 實體 ID、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。

  • 如果您的 IdP 要以另一種方式獲得所需的資訊,請選取「下載憑證」。舉例來說,它希望您在將臨的位置中輸入 Tableau Cloud 實體 ID、ACS URL 和 X.509 憑證。

步驟 5:取得 Tableau 中繼資料 (Tableau Cloud)

要在 Tableau Cloud 與您的 IdP 之間建立 SAML 連線,需要在這兩項服務之間交換必需的中繼資料。若要從 Tableau Cloud 中獲取中繼資料,請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

  • 選取「匯出中繼資料」,以下載一個包含 Tableau Cloud SAML 實體 ID、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。

  • 如果您的 IdP 要以另一種方式獲得所需的資訊,請選取「下載憑證」。舉例來說,它希望您在將臨的位置中輸入 Tableau Cloud 實體 ID、ACS URL 和 X.509 憑證。

    從 Tableau Cloud 匯出或複製中繼資料的指南。

步驟 5:設定 IdP (TCM)

在步驟 5 中,請使用 IdP 文件提供的說明提交 TCM 中繼資料。

步驟 6:設定 IdP (Tableau Cloud)

在步驟 6 中,請使用 IdP 文件提供的說明提交 Tableau Cloud 中繼資料。

步驟 7:測試設定並排除 SAML (TCM)

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 或者 TCM 的使用者登入。

如果無法成功登入 TCM,請先執行「驗證」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題,請參閱 SAML 疑難排解

步驟 7:測試設定並排除 SAML 故障 (Tableau Cloud)

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 或者 TCM 的使用者登入。

如果無法成功登入 Tableau Cloud,請先執行「新設定」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題,請參閱 SAML 疑難排解

管理使用者

選取現有的 Tableau Cloud 或者 TCM 使用者,或者新增您想批准其進行單一登入的新使用者。

在新增或匯入使用者時,還要指定使用者的驗證類型。在「使用者」頁面上,可以在新增使用者後隨時變更使用者的驗證類型。

有關詳情,請參閱以下內容之一:

嵌入檢視的預設驗證類型

附註:僅適用於 Tableau Cloud。

  • 讓使用者選擇其驗證類型

    選取此選項後,僅支援快顯視窗。在此快顯視窗中會有兩個嵌入檢視的登入選項: 一個登入按鈕(使用單一登入 (SSO) 驗證)和一個使用 (EP) 作為替代方案的連結。

    提示:使用此選項,使用者需要知道要選取哪個登入選項。作為在將使用者新增到單一登入網站後向使用者傳送的通知的一部分,請告知使用者要為各種登入方案選取哪種驗證類型。例如,嵌入檢視、Tableau Desktop、Tableau Bridge、Tableau Mobile,諸如此類。

  • 具有 MFA 的 Tableau

    此選項要求使用者使用具有多重要素驗證的 Tableau 認證登入,即使在站台上啟用 SAML 也是如此。使用 MFA 登入 Tableau 要求使用者設定驗證方法,以在使用者每次登入 Tableau Cloud 時確認身分。有關詳情,請參閱 多重要素驗證和 Tableau Cloud

  • 身分驗證設定清單

    選取具體設定選項後, 使用者登入嵌入視圖的方式取決於您在上面的步驟 6 中為命名設定配置的設定。

使用 Tableau 驗證

如果為 SMAL 設定站台 或者租戶 ,則可以變更設定以要求部分或全部使用者使用Tableau 認證登入。

  • 如果不再需要身分提供程式處理身分驗證,或者要求所有使用者都使用其 Tableau 認證登入,則可以在站台 或者租戶層級變更驗證類型。參看以下變更網站的驗證類型部分。

  • 如果要為部分使用者保持啟用 SAML,但要求其他使用者使用 Tableau,您可以在使用者層級變更驗證類型。有關詳情,請參閱設定使用者驗證類型

變更網站的驗證類型

對於 Tableau Cloud

從 2025 年 1 月 (Tableau 2024.3) 開始,可以在站台上啟用多種驗證類型和方法。要變更希望在該站台上使用的驗證,請啟用或停用驗證設定。

  1. 以站台管理員身分登入到 Tableau Cloud 站台。

  2. 選取 [設定] > [驗證]

  3. 透過點擊「動作」功能表並選取 「停用」 或者 「啟用」以停用或啟用網站的身分驗證設定。

將 SAML 設定設為非活動之後,會保留中繼資料和 IdP 資訊,因此,如果想再次啟用它,則無需再次與 IdP 建立 SAML 連線。

對於 TCM

  1. 以雲端管理員身分登入 TCM。

  2. 選取 [設定] > [驗證]

  3. 移除啟用額外的驗證方法核取方塊的選取。

更新 SAML 憑證

用於 Tableau 站台中繼資料的憑證由 Tableau 提供,並且不可設定。要為的 SAML 更新憑證,必須將新憑證上傳到 IdP,然後與 Tableau Cloud 重新交換中繼資料。

對於 Tableau Cloud

  1. 以站台管理員身分登入到站台,並選取「設定」 >「驗證」

  2. 在驗證類型下,前往要更新的 SAML 設定,然後按一下動作功能表並選取編輯

  3. 開啟一個新的索引標籤或視窗,然後登入到 IdP 帳戶。

  4. 使用 IdP 文件提供的說明上載新的 SAML 憑證。

  5. 下載新的 XML 中繼資料檔案,以提供給 Tableau Cloud

  6. 返回到 Tableau Cloud 中的編輯設定頁面,然後在步驟 2 中,匯入從 IdP 下載的中繼資料檔案。

  7. 向下捲動頁面並按一下儲存並繼續按鈕。

對於 TCM

  1. 以站台管理員身分登入 TCM,並選取「設定」 >「驗證」

  2. 從身分驗證下拉式選單中選取「SAML > 設定(必需)」。

  3. 開啟一個新的索引標籤或視窗,然後登入到 IdP 帳戶。

  4. 使用 IdP 文件提供的說明上載新的 SAML 憑證。

  5. 下載新的 XML 中繼資料檔案,以提供給 TCM。

  6. 返回到 TCM 中的驗證頁面,然後在步驟 2 中,匯入從 IdP 下載的中繼資料檔案。

  7. 向下捲動頁面並按一下儲存並繼續按鈕。

另請參閱

從連線的用戶端中存取網站

返回頂端
感謝您的意見反應!已成功提交您的意見回饋。謝謝!