Konfigurieren von SAML für Tableau Viz Lightning Web Component

Tableau stellt eine Lightning Web Component (LWC) zum Einbetten einer Tableau-Visualisierung in eine Salesforce Lightning-Seite bereit.

In diesem Abschnitt wird beschrieben, wie Sie eine SSO-Erfahrung für eingebettete Tableau-Visualisierungen auf einer Salesforce Lightning-Seite aktivieren. SSO für das Tableau Viz LWC-Szenario erfordert eine SAML-Konfiguration. Der für die Tableau-Authentifizierung verwendete SAML-IdP muss entweder der Salesforce-IdP oder derselbe IdP sein, der für Ihre Salesforce-Instance verwendet wird.

In diesem Szenario können Salesforce-Administratoren Tableau Viz LWC in die Lightning-Seite ziehen, um eine Visualisierung einzubetten. Jede Ansicht, die in Tableau Server zur Verfügung steht, kann im Dashboard angezeigt werden, indem die eingebettete URL in die Ansicht eingegeben wird.

Wenn Single Sign-On (SSO) für Tableau Viz LWC auf Tableau Server konfiguriert ist, dann ist die Benutzererfahrung nahtlos: Nachdem sich der Benutzer bei Salesforce angemeldet hat, funktionieren eingebettete Tableau-Ansichten ohne weitere Authentifizierung bei Tableau Server.

Wenn SSO nicht konfiguriert ist, müssen sich Benutzer erneut bei dem Tableau Server authentifizieren, um eingebettete Visualisierungen von Tableau Server aufzurufen.

Anforderungen

Konfigurieren des Authentifizierungsworkflows

Möglicherweise müssen Sie zusätzliche Konfigurationen vornehmen, um die Anmeldeerfahrung für Benutzer beim Zugriff auf Lightning mit eingebetteten Tableau-Ansichten zu optimieren.

Wenn eine nahtlose Authentifizierungserfahrung wichtig ist, müssen Sie einige zusätzliche Konfigurationen vornehmen. In diesem Zusammenhang bedeutet "nahtlos", dass Benutzer, die auf die Salesforce Lightning-Seite zugreifen, auf der Tableau Viz LWC SSO aktiviert wurde, keine Aktion ausführen müssen, um die eingebettete Tableau-Ansicht anzuzeigen. Wenn der Benutzer im nahtlosen Szenario bei Salesforce angemeldet ist, werden eingebettete Tableau-Ansichten ohne zusätzliche Benutzeraktion angezeigt. Dieses Szenario wird durch die Inframe-Authentifizierung ermöglicht.

Für eine nahtlose Benutzererfahrung müssen Sie die Inframe-Authentifizierung in Tableau Server und in Ihrem IdP aktivieren. In den folgenden Abschnitten wird beschrieben, wie die Inframe-Authentifizierung konfiguriert wird.

Andererseits gibt es auch Szenarien, in denen Benutzer mit einer Lightning-Seite interagieren und auf eine Schaltfläche zum Anmelden klicken müssen, um die eingebettete Tableau-Ansicht anzuzeigen. Dieses Szenario, in dem ein Benutzer eine andere Aktion zum Anzeigen der eingebetteten Tableau-Ansicht durchführen muss, wird als "Popup-Authentifizierung" bezeichnet.

Die Popup-Authentifizierung ist die Standardbenutzererfahrung, wenn Sie die Inframe-Authentifizierung nicht aktivieren.

Aktivieren der Inframe-Authentifizierung in Tableau Server

Bevor Sie die Inframe-Authentifizierung in Tableau Server aktivieren, müssen Sie SAML für Tableau Server bereits konfiguriert und aktiviert haben.

Führen Sie die folgenden TSM-Befehle aus, um die Inframe-Authentifizierung zu aktivieren:

tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true

tsm pending-changes apply

Hinweis: Der Klickbetrug-Schutz ist standardmäßig für Tableau Server aktiviert. Wenn Sie die Inframe-Authentifizierung aktivieren, ist der Klickbetrug-Schutz für die Inframe-Authentifizierungssitzung vorübergehend deaktiviert. Sie sollten das Risiko abwägen, das vom Deaktivieren des Klickbetrug-Schutzes ausgeht. Siehe Clickjacking-Schutz.

Tableau Server-Revisionsverlauf

Führen Sie die neueste Wartungsversion von Tableau Server aus, um eine optimale Benutzererfahrung zu erzielen.

Wenn Sie nicht die neueste Wartungsversion ausführen und Ihre Benutzer über Chrome-Browser auf Salesforce Lightning zugreifen, lesen Sie den Tableau KB-Artikel Eingebettete Ansichten können nach der Aktualisierung auf Chrome 80 nicht geladen werden(Link wird in neuem Fenster geöffnet).

Aktivieren der Inframe-Authentifizierung mit Ihrem SAML-IdP

Wie oben beschrieben erfordert eine nahtlose Authentifizierungsbenutzererfahrung mit Salesforce Mobile IdP-Unterstützung für die Inframe-Authentifizierung. Diese Funktionalität kann bei IdPs auch als "iframe-Einbettung" oder "Framing-Schutz" bezeichnet werden.

Salesforce-Safelist-Domänen

In einigen Fällen erlauben IdPs nur das Aktivieren der Inframe-Authentifizierung nach Domäne. Legen Sie in diesen Fällen die folgenden Salesforce-Platzhalterdomänen fest, wenn Sie die Inframe-Authentifizierung aktivieren:

*.force

*.visualforce

Salesforce-IdP

Der Salesforce-IdP unterstützt standardmäßig die Inframe-Authentifizierung. Sie müssen die Inframe-Authentifizierung in der Salesforce-Konfiguration nicht aktivieren oder konfigurieren. Sie müssen jedoch den TSM-Befehl wie oben beschrieben auf Tableau Server ausführen.

Okta-IdP

Weitere Informationen finden Sie unter Einbetten von Okta in einen iframe im Okta Help Center bei Allgemeine Anpassungsoptionen(Link wird in neuem Fenster geöffnet).

Ping-IdP

Lesen Sie dazu das Ping-Hilfethema Wie man den Header "X-Frame-Options=SAMEORIGIN" in PingFederate deaktiviert(Link wird in neuem Fenster geöffnet).

OneLogin-IdP

Siehe Framing-Schutz im OneLogin Knowledge Base Artikel Kontoeinstellungen für Kontobesitzer(Link wird in neuem Fenster geöffnet).

ADFS und EntraID-IdP

Microsoft hat die gesamte Inframe-Authentifizierung blockiert, und diese kann nicht aktiviert werden. Stattdessen unterstützt Microsoft nur die Popup-Authentifizierung in einem zweiten Fenster. Zusammenfassend kann das Popup-Verhalten von einigen Browsern blockiert werden; die Benutzer müssen Popups für die Sites force.com und visualforce.com akzeptieren.

Mobile Salesforce-Anwendung

Wenn Ihre Benutzer in erster Linie mit Lightning in der mobilen Salesforce-Anwendung interagieren, sollten Sie die folgenden Szenarien kennen:

  • In der mobilen Salesforce-Anwendung müssen Sie SSO/SAML konfigurieren, um eingebettete Tableau-Daten anzeigen zu können.
  • In der mobilen Salesforce-Anwendung ist eine Inframe-Authentifizierung erforderlich. Die Popup-Authentifizierung funktioniert nicht. Stattdessen sehen Benutzer in der mobilen Salesforce-Anwendung die Tableau-Anmeldeschaltfläche, können sich jedoch nicht bei Tableau anmelden.
  • Die mobile Anwendung funktioniert nicht mit einem ADFS- und Azure AD-IdP.
  • Die mobile Anwendung verwendet OAuth-Token, um SSO zu ermöglichen. Es gibt Szenarien, in denen das OAuth-Token Benutzer aktualisiert und abmeldet, sodass sich Benutzer erneut anmelden müssen. Weitere Informationen finden Sie im Tableau KB-Artikel Tableau Viz Lightning Web Component On Salesforce – Aufforderungen der mobilen App zur Anmeldung(Link wird in neuem Fenster geöffnet).
  • Das SSO-Verhalten unterscheidet sich je nach Version der mobilen Salesforce-Anwendung (iOS oder Android) und dem IdP:
    IdPBetriebssystem des mobilen GerätsSSO-Verhalten
    Salesforce-IdPAndroidSSO funktioniert zunächst, aber Benutzer müssen sich nach einiger Zeit erneut anmelden.
    iOS
    Externer IdPAndroidSSO funktioniert nicht. Benutzer müssen sich manuell anmelden. (SSO muss weiterhin konfiguriert sein, damit Benutzer auf eingebettete Tableau-Ansichten zugreifen können).
    iOSSSO funktioniert zunächst, aber Benutzer müssen sich nach einiger Zeit erneut anmelden.
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.