在網站上啟用 SAML 驗證

本主題介紹如何在網站上啟用 SAML 和選取單一登入使用者。它還提供了從 SAML 切換到預設 TableauID 驗證的步驟。在啟用 SAML 之前,我們建議您檢視Tableau Online 的 SAML 需求,包括變更驗證類型對 Tableau Bridge 的影響

本主題假定您熟悉驗證以及 SAML 驗證的工作原理中的資訊。

特定於 IdP 的設定資訊

本主題後面各節中的步驟提供了您可與 IdP 文件搭配使用來為 Tableau Online 網站設定 SAML 的基本步驟。可以為以下 IdP 獲取特定於 IdP 的設定步驟:

啟用 SAML

  1. 以網站管理員身分登入到 Tableau Online 網站,並選取「設定」 >「驗證」

  2. 「驗證」選項卡上,選取「啟用其他驗證方法」,選取「SAML」,然後選取「編輯連線」

    Tableau Online 網站驗證設定頁面的螢幕擷取畫面

SAML 群組態步驟

此部分將引導您完成在 Tableau Online web UI 的「驗證」頁面上出現的設定步驟。在自託管 Tableau Server 安裝中,只有當在伺服器層級啟用了對特定於網站的 SAML 的支援時,此頁面才會出現。該頁面在 Tableau Online 中預設處於啟用狀態。

附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。

步驟 1:從 Tableau 中匯出中繼資料

要在 Tableau Online 與您的 IdP 之間建立 SAML 連線,需要在這兩項服務之間交換必需的中繼資料。若要從 Tableau Online 中獲取中繼資料,請執行以下任一步驟。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

  • 選取「匯出中繼資料」,以下載一個包含 Tableau Online SAML 實體 ID、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。

  • 如果您的 IdP 期望以另一種方式獲得所需的資訊,請選取「下載簽署和加密憑證」。舉例來說,它希望您在將臨的位置中輸入 Tableau Online 實體 ID、ACS URL 和 X.509 憑證。

    下圖經過編輯,顯示出這些設定在 Tableau Online 和 Tableau Server 中相同。

步驟 2 和 3:外部步驟

對於步驟 2, 若要匯入您在步驟 1 中匯出的中繼資料,請登入您的 IdP 帳戶,然後按照 IdP 的文件提供的說明來提交 Tableau Online 中繼資料。

對於步驟 3,IdP 的文件將也可在如何向服務提供程式提供中繼資料方面為您提供指導。它將指示您下載中繼資料檔,或者將顯示 XML 代碼。如果它顯示 XML 代碼,請將代碼複製並粘貼到一個新文字檔中,並使用 .xml 副檔名儲存檔案。

步驟 4:將 IdP 中繼資料匯入 Tableau 網站

Tableau Online 中的「驗證」 頁面上,匯入您從 IdP 下載或透過它提供的 XML 手動設定的中繼資料檔。

步驟 5: 匹配屬性

屬性包含有關使用者的驗證、授權和其他資訊。在「身分識別提供者 (IdP) 判斷提示取用者服務名稱」 欄中,提供包含 Tableau Online 所需資訊的屬性。

注意: Tableau Online 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Online 中的使用者名稱,但回應訊息必須包含 NameID 屬性。

  • 電子郵件:(必填)輸入存儲使用者電子郵件地址的屬性的名稱。

  • 顯示名稱:(可選但建議使用) 某些 IdP 為名和姓使用單獨的屬性,而另一些則將全名存儲在一個屬性中。

    選取對您的 IdP 存儲名稱的方式對應的按鈕。舉例來說,如果 IdP 將名和姓合併在一個屬性中,請選取「顯示名稱」,然後輸入屬性名稱。

    擷取 Tableau Online 設定網站 SAML 步驟 5 - 匹配屬性的螢幕畫面

步驟 6:嵌入選項

選取使用者用於登入到嵌入檢視的方法。此選項將開啟一個顯示 IdP 登入表單的單獨彈出式視窗,或者使用嵌入式框架 (iframe)。

警告: 由於 iframe 可能容易受到clickjacking 攻擊,因此並非所有 IdP 都支援透過 iframe 登入。利用 clickjacking,攻擊者會嘗試引誘使用者按一下或輸入內容。透過將攻擊頁面顯示在某個不相關頁面上的透明層中,攻擊者可以達到此目的。對於 Tableau Online,攻擊者可能會試圖捕獲使用者認證,或讓授權使用者變更設定。有關詳情,請參閱開放式 Web 應用程式安全專案網站上的clickjacking(連結在新視窗開啟)

如果您的 IdP 不支援透過 iframe 登入,請選取「在單獨的快顯視窗中進行驗證」

另請參閱嵌入檢視的預設驗證類型

步驟 7:疑難排解

首先執行「驗證」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題,請參閱 SAML 疑難排解

管理使用者

選取現有的 Tableau Online 使用者,或者新增您想批准其進行單一登入的新使用者。

在新增或匯入使用者時,還要指定使用者的驗證類型。在「使用者」頁面上,可以在新增使用者後隨時變更使用者的驗證類型。

有關詳情,請參閱向網站新增使用者匯入使用者

嵌入檢視的預設驗證類型

在網站上啟用 SAML 的過程中,要指定使用者如何存取網頁中嵌入的檢視。

  • 允許使用者選取其驗證類型

    如果選取此選項,嵌入檢視的位置將顯示兩個登入選項: 一個登入按鈕(使用單一登入驗證)和一個使用 TableauID 作為替代方案的連結。

    提示: 對於此選項,使用者需要知道要選取哪個替代方案。作為在將使用者新增到單一登入網站後向使用者傳送的通知的一部分,請告知使用者要為各種登入方案選取哪種驗證類型。例如,嵌入檢視、Tableau Desktop、Tableau Bridge、Tableau Mobile,諸如此類。

  • Tableau

    此選項要求使用者使用 TableauID 登入,即使在網站上已啟用 SAML 也是如此。通常會保留此選項以供管理員解決嵌入檢視和 SAML 的問題。

  • SAML

    對於此選項,SAML 使用者可登入到嵌入檢視的方式由您在上面的步驟 6 中選取的設定確定。

使用 TableauID 驗證

如果網站設定為使用 SAML,您可以變更網站設定以要求部分或全部使用者使用 TableauID 認證登入。

  • 如果不再需要身分識別提供者來處理網站驗證,或者要求所有使用者都使用其 TableauID 認證登入,您可以在網站層級變更驗證類型。

  • 如果要為部分使用者保持啟用 SAML,但要求其他使用者使用 TableauID,您可以在使用者層級變更驗證類型。

    有關詳情,請參閱設定使用者驗證類型

變更網站的驗證類型

  1. 作為網站管理員登入到 Tableau Online,然後選取網站。

  2. 選取 [設定] > [驗證]

  3. 對於 [驗證類型] ,選取 [TableauID]

將 SAML 設定設為非活動之後,會保留中繼資料和 IdP 資訊,因此,如果想再次啟用它,您無需再次與 IdP 建立 SAML 連線。

另請參閱

從連線的用戶端中存取網站

感謝您的意見回饋!