Configurare SAML per Tableau Viz Lightning Web Component

Tableau fornisce Lightning Web Component (LWC) per incorporare una visualizzazione Tableau all’interno di una pagina Salesforce Lightning.

In questo argomento viene descritto come abilitare un’esperienza SSO per le visualizzazioni Tableau incorporate in una pagina Salesforce Lightning. La funzionalità SSO per lo scenario Tableau Viz LWC richiede la configurazione di SAML. L’IdP SAML utilizzato per l’autenticazione Tableau deve essere l’IdP Salesforce o lo stesso IdP utilizzato per l’istanza Salesforce.

In questo scenario, gli amministratori di Salesforce possono trascinare e rilasciare Tableau Viz LWC nella pagina Lightning per incorporare una visualizzazione. Qualsiasi vista disponibile in Tableau Server può essere visualizzata nella dashboard immettendo l’URL incorporato della vista.

Quando Single Sign-On (SSO) è configurato per Tableau Viz LWC su Tableau Server, l’esperienza utente è senza soluzione di continuità: dopo l’accesso dell’utente a Salesforce, le viste di Tableau incorporate funzioneranno senza un’ulteriore autenticazione in Tableau Server.

Quando l’accesso SSO non è configurato, gli utenti dovranno eseguire nuovamente l’autenticazione con Tableau Server per visualizzare le visualizzazioni incorporate da Tableau Server.

Requisiti

Configurazione del flusso di lavoro di autenticazione

Potrebbe essere necessario creare configurazioni aggiuntive per ottimizzare l’esperienza di accesso per gli utenti che accedono a Lightning con viste di Tableau incorporate.

Se è importante garantire un’esperienza utente di autenticazione senza soluzione di continuità, sarà necessario effettuare alcune configurazioni aggiuntive. In questo contesto, "senza soluzione di continuità" significa che gli utenti che accedono alla pagina Salesforce Lightning in cui è stata abilitata la funzionalità SSO di Tableau Viz LWC non dovranno eseguire alcuna azione per visualizzare la vista Tableau incorporata. Nello scenario senza soluzione di continuità, se l’utente è connesso a Salesforce, le viste di Tableau incorporate verranno visualizzate senza alcuna azione aggiuntiva da parte dell’utente. Questo scenario è abilitato dall’autenticazione in-frame.

Per un’esperienza utente senza soluzione di continuità, è necessario abilitare l’autenticazione in-frame in Tableau Server e nel tuo IdP. Nelle sezioni seguenti viene descritto come configurare l’autenticazione in-frame.

D’altra parte, esistono scenari in cui gli utenti interagiscono con una pagina Lightning che richiede loro di fare clic su un pulsante "Accedi" per vedere la vista di Tableau incorporata. Questo scenario, in cui un utente deve eseguire un’altra azione per vedere la vista di Tableau incorporata, è denominato autenticazione popup.

L’autenticazione popup è l’esperienza utente predefinita se non si abilita l’autenticazione in-frame.

Abilitare l’autenticazione in-frame in Tableau Server

Prima di abilitare l’autenticazione in-frame in Tableau Server, è necessario aver già configurato e abilitato SAML su Tableau Server.

Esegui questi comandi TSM per abilitare l’autenticazione in-frame:

tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true

tsm pending-changes apply

Nota: la protezione contro il clickjacking è abilitata per impostazione predefinita in Tableau Server. Quando abiliti l’autenticazione in-frame, la protezione contro il clickjacking viene temporaneamente disabilitata per la sessione di autenticazione in-frame. È necessario valutare il rischio di disattivare la protezione contro il clickjacking. Consulta Protezione contro il clickjacking.

Versioni di Tableau Server

Per un’esperienza utente ottimale, esegui la versione di manutenzione più recente di Tableau Server.

Se non esegui la versione di manutenzione più recente e gli utenti utilizzano browser Chrome per accedere a Salesforce Lightning, consulta l’articolo della Knowledge Base di Tableau Impossibile caricare le viste incorporate dopo l’aggiornamento a Chrome 80(Il collegamento viene aperto in una nuova finestra).

Abilitare l’autenticazione in-frame con l’IdP SAML

Come descritto in precedenza, un’esperienza utente di autenticazione senza soluzione di continuità con Salesforce Mobile richiede il supporto IdP per l’autenticazione in-frame. Questa funzionalità può anche essere definita "incorporamento iframe" o "protezione del framing" dagli IdP.

Domini Salesforce nell’elenco di sicurezza

In alcuni casi, gli IdP consentono solo l’abilitazione dell’autenticazione in-frame in base al dominio. In questi casi, imposta i seguenti domini con caratteri jolly Salesforce quando abiliti l’autenticazione in-frame:

*.force

*.visualforce

IdP Salesforce

L’IdP Salesforce supporta l’autenticazione in-frame per impostazione predefinita. Non è necessario abilitare o configurare l’autenticazione in-frame nella configurazione di Salesforce. È tuttavia necessario eseguire il comando TSM su Tableau Server come descritto in precedenza.

IdP Okta

Consulta la sezione Embed Okta in an iframe nell’argomento della documentazione di Okta General customization options(Il collegamento viene aperto in una nuova finestra).

IdP Ping

Consulta l’argomento del supporto di Ping How to Disable the "X-Frame-Options=SAMEORIGIN" Header in PingFederate(Il collegamento viene aperto in una nuova finestra).

IdP OneLogin

Consulta la sezione Framing protection nell’articolo della Knowledge Base di OneLogin Account Settings for Account Owners(Il collegamento viene aperto in una nuova finestra).

IdP ADFS ed Entra ID

Microsoft ha bloccato completamente l’autenticazione in-frame e non può essere abilitata. Microsoft supporta solo l’autenticazione popup in una seconda finestra. Il comportamento dei popup può essere bloccato da alcuni browser. Ciò richiederà agli utenti di accettare i popup per i siti force.com e visualforce.com.

App per dispositivi mobili Salesforce

Se gli utenti interagiscono principalmente con Lightning nell’app per dispositivi mobili Salesforce, è necessario tenere presenti i seguenti scenari:

  • L’app per dispositivi mobili Salesforce richiede la configurazione di SSO/SAML per visualizzare contenuti Tableau incorporati.
  • L’app per dispositivi mobili Salesforce richiede l’autenticazione in-frame. L’autenticazione popup non funziona. Gli utenti dell’app per dispositivi mobili Salesforce vedranno il pulsante di accesso a Tableau, ma non potranno accedere a Tableau.
  • L’app per dispositivi mobili non funzionerà per l’IdP di ADFS e Azure AD.
  • L’app per dispositivi mobili utilizza i token OAuth per abilitare SSO. Esistono scenari in cui il token OAuth viene aggiornato e disconnette gli utenti, richiedendo agli utenti di eseguire nuovamente l’accesso. Per maggiori informazioni, consulta l’articolo della Knowledge Base di Tableau Tableau Viz Lightning Web Component nell’app per dispositivi mobili Salesforce richiede l’accesso(Il collegamento viene aperto in una nuova finestra).
  • Il comportamento di SSO varia a seconda della versione dell’app per dispositivi mobili Salesforce (iOS o Android) e dell’IdP:
    IdPSistema operativo per dispositivi mobiliComportamento di SSO
    IdP SalesforceAndroidSSO funziona inizialmente, ma gli utenti devono accedere dopo un certo periodo di tempo.
    iOS
    IdP esternoAndroidSSO non funziona. Gli utenti dovranno eseguire manualmente l’accesso (SSO deve comunque essere configurato per consentire agli utenti l’accesso alle viste di Tableau incorporate).
    iOSSSO funziona inizialmente, ma gli utenti devono accedere dopo un certo periodo di tempo.