Configurare SAML per Tableau Viz Lightning Web Component
Tableau fornisce Lightning Web Component (LWC) per incorporare una visualizzazione Tableau all’interno di una pagina Salesforce Lightning.
In questo argomento viene descritto come abilitare un’esperienza SSO per le visualizzazioni Tableau incorporate in una pagina Salesforce Lightning. La funzionalità SSO per lo scenario Tableau Viz LWC richiede la configurazione di SAML. L’IdP SAML utilizzato per l’autenticazione Tableau deve essere l’IdP Salesforce o lo stesso IdP utilizzato per l’istanza Salesforce.
In questo scenario, gli amministratori di Salesforce possono trascinare e rilasciare Tableau Viz LWC nella pagina Lightning per incorporare una visualizzazione. Qualsiasi vista disponibile in
Quando Single Sign-On (SSO) è configurato per Tableau Viz LWC su
Quando l’accesso SSO non è configurato, gli utenti dovranno eseguire nuovamente l’autenticazione con
Requisiti
- L’IdP SAML utilizzato per l’autenticazione Tableau deve essere l’IdP Salesforce o lo stesso IdP utilizzato per l’istanza Salesforce. Consulta Configurare SAML con l’IdP di Salesforce su Tableau Server.
- SAML deve essere configurato su Tableau Server. Consulta Configurare SAML a livello di server o Configurare SAML specifico del sito.
- SAML deve essere configurato per Salesforce.
- Installa Tableau Viz Lightning Web Component. Consulta Incorporare viste di Tableau in Salesforce(Il collegamento viene aperto in una nuova finestra).
Configurazione del flusso di lavoro di autenticazione
Potrebbe essere necessario creare configurazioni aggiuntive per ottimizzare l’esperienza di accesso per gli utenti che accedono a Lightning con viste di Tableau incorporate.
Se è importante garantire un’esperienza utente di autenticazione senza soluzione di continuità, sarà necessario effettuare alcune configurazioni aggiuntive. In questo contesto, "senza soluzione di continuità" significa che gli utenti che accedono alla pagina Salesforce Lightning in cui è stata abilitata la funzionalità SSO di Tableau Viz LWC non dovranno eseguire alcuna azione per visualizzare la vista Tableau incorporata. Nello scenario senza soluzione di continuità, se l’utente è connesso a Salesforce, le viste di Tableau incorporate verranno visualizzate senza alcuna azione aggiuntiva da parte dell’utente. Questo scenario è abilitato dall’autenticazione in-frame.
Per un’esperienza utente senza soluzione di continuità, è necessario abilitare l’autenticazione in-frame in
D’altra parte, esistono scenari in cui gli utenti interagiscono con una pagina Lightning che richiede loro di fare clic su un pulsante "Accedi" per vedere la vista di Tableau incorporata. Questo scenario, in cui un utente deve eseguire un’altra azione per vedere la vista di Tableau incorporata, è denominato autenticazione popup.
L’autenticazione popup è l’esperienza utente predefinita se non si abilita l’autenticazione in-frame.
Abilitare l’autenticazione in-frame in Tableau Server
Prima di abilitare l’autenticazione in-frame in Tableau Server, è necessario aver già configurato e abilitato SAML su Tableau Server.
Esegui questi comandi TSM per abilitare l’autenticazione in-frame:
tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true
tsm pending-changes apply
Nota: la protezione contro il clickjacking è abilitata per impostazione predefinita in Tableau Server. Quando abiliti l’autenticazione in-frame, la protezione contro il clickjacking viene temporaneamente disabilitata per la sessione di autenticazione in-frame. È necessario valutare il rischio di disattivare la protezione contro il clickjacking. Consulta Protezione contro il clickjacking.
Versioni di Tableau Server
Per un’esperienza utente ottimale, esegui la versione di manutenzione più recente di Tableau Server.
Se non esegui la versione di manutenzione più recente e gli utenti utilizzano browser Chrome per accedere a Salesforce Lightning, consulta l’articolo della Knowledge Base di Tableau Impossibile caricare le viste incorporate dopo l’aggiornamento a Chrome 80(Il collegamento viene aperto in una nuova finestra).
Abilitare l’autenticazione in-frame con l’IdP SAML
Come descritto in precedenza, un’esperienza utente di autenticazione senza soluzione di continuità con Salesforce Mobile richiede il supporto IdP per l’autenticazione in-frame. Questa funzionalità può anche essere definita "incorporamento iframe" o "protezione del framing" dagli IdP.
Domini Salesforce nell’elenco di sicurezza
In alcuni casi, gli IdP consentono solo l’abilitazione dell’autenticazione in-frame in base al dominio. In questi casi, imposta i seguenti domini con caratteri jolly Salesforce quando abiliti l’autenticazione in-frame:
*.force
*.visualforce
IdP Salesforce
L’IdP Salesforce supporta l’autenticazione in-frame per impostazione predefinita. Non è necessario abilitare o configurare l’autenticazione in-frame nella configurazione di Salesforce.
IdP Okta
Consulta la sezione Embed Okta in an iframe nell’argomento della documentazione di Okta General customization options(Il collegamento viene aperto in una nuova finestra).
IdP Ping
Consulta l’argomento del supporto di Ping How to Disable the "X-Frame-Options=SAMEORIGIN" Header in PingFederate(Il collegamento viene aperto in una nuova finestra).
IdP OneLogin
Consulta la sezione Framing protection nell’articolo della Knowledge Base di OneLogin Account Settings for Account Owners(Il collegamento viene aperto in una nuova finestra).
IdP ADFS ed Entra ID
Microsoft ha bloccato completamente l’autenticazione in-frame e non può essere abilitata. Microsoft supporta solo l’autenticazione popup in una seconda finestra. Il comportamento dei popup può essere bloccato da alcuni browser. Ciò richiederà agli utenti di accettare i popup per i siti force.com
e visualforce.com
.
App per dispositivi mobili Salesforce
Se gli utenti interagiscono principalmente con Lightning nell’app per dispositivi mobili Salesforce, è necessario tenere presenti i seguenti scenari:
- L’app per dispositivi mobili Salesforce richiede la configurazione di SSO/SAML per visualizzare contenuti Tableau incorporati.
- L’app per dispositivi mobili Salesforce richiede l’autenticazione in-frame. L’autenticazione popup non funziona. Gli utenti dell’app per dispositivi mobili Salesforce vedranno il pulsante di accesso a Tableau, ma non potranno accedere a Tableau.
- L’app per dispositivi mobili non funzionerà per l’IdP di ADFS e Azure AD.
- L’app per dispositivi mobili utilizza i token OAuth per abilitare SSO. Esistono scenari in cui il token OAuth viene aggiornato e disconnette gli utenti, richiedendo agli utenti di eseguire nuovamente l’accesso. Per maggiori informazioni, consulta l’articolo della Knowledge Base di Tableau Tableau Viz Lightning Web Component nell’app per dispositivi mobili Salesforce richiede l’accesso(Il collegamento viene aperto in una nuova finestra).
- Il comportamento di SSO varia a seconda della versione dell’app per dispositivi mobili Salesforce (iOS o Android) e dell’IdP:
IdP Sistema operativo per dispositivi mobili Comportamento di SSO IdP Salesforce Android SSO funziona inizialmente, ma gli utenti devono accedere dopo un certo periodo di tempo. iOS IdP esterno Android SSO non funziona. Gli utenti dovranno eseguire manualmente l’accesso (SSO deve comunque essere configurato per consentire agli utenti l’accesso alle viste di Tableau incorporate). iOS SSO funziona inizialmente, ma gli utenti devono accedere dopo un certo periodo di tempo.