SAML configureren voor Tableau Viz Lightning-webcomponent

Tableau levert een Lightning-webcomponent (LWC) waarmee u een Tableau-visualisatie kunt insluiten in een Salesforce Lightning-pagina.

In dit onderwerp wordt beschreven hoe u een SSO-ervaring inschakelt voor ingesloten Tableau-visualisaties op een Salesforce Lightning-pagina. Voor SSO voor het Tableau Viz LWC-scenario is SAML-configuratie vereist. De SAML IdP die voor Tableau-verificatie wordt gebruikt, moet de Salesforce IdP zijn of dezelfde IdP die wordt gebruikt voor uw Salesforce-instantie.

In dit scenario kunnen Salesforce-beheerders Tableau Viz LWC naar de Lightning-pagina slepen om een visualisatie in te sluiten. Elke weergave die voor hen beschikbaar is in Tableau Server kan worden weergegeven in het dashboard door de ingesloten URL naar de weergave in te voeren.

Wanneer eenmalige aanmelding (SSO) is geconfigureerd voor Tableau Viz LWC in Tableau Server is de gebruikerservaring naadloos: nadat de gebruiker zich heeft aangemeld bij Salesforce, werken de ingesloten Tableau-weergaven zonder verdere verificatie bij Tableau Server.

Wanneer SSO niet is geconfigureerd, moeten gebruikers zich opnieuw verifiëren met Tableau Server om ingesloten visualisaties te bekijken van Tableau Server.

Vereisten

De verificatieworkflow configureren

Mogelijk moet u aanvullende configuraties maken om de aanmeldervaring te optimaliseren voor gebruikers die Lightning openen met ingesloten Tableau-weergaven.

Als een gebruikerservaring met naadloze verificatie belangrijk is, moet u een aantal aanvullende configuraties uitvoeren. In deze context betekent 'naadloos' dat gebruikers die toegang hebben tot de Salesforce Lightning-pagina waar Tableau Viz LWC SSO is ingeschakeld, geen actie hoeven te ondernemen om de ingesloten Tableau-weergave te bekijken. In het naadloze scenario worden ingesloten Tableau-weergaven weergegeven als de gebruiker is aangemeld bij Salesforce, zonder dat de gebruiker hiervoor iets hoeft te doen. Dit scenario wordt mogelijk gemaakt door in-frame-verificatie.

Voor een naadloze gebruikerservaring moet u in-frame-verificatie inschakelen in Tableau Server en bij uw IdP. In de onderstaande secties wordt beschreven hoe u in-frame-verificatie configureert.

Aan de andere kant zijn er scenario's waarbij gebruikers met de Lightning-pagina communiceren en waarbij ze op de knop Aanmelden moeten klikken om de ingesloten Tableau-weergave te bekijken. Dit scenario, waarbij een gebruiker nog een actie moet uitvoeren om de ingesloten Tableau-weergave te bekijken, wordt pop-upverificatie genoemd.

Pop-upverificatie is de standaardgebruikerservaring als u in-frame-verificatie niet inschakelt.

In-frame-verificatie inschakelen op Tableau Server

Voordat u in-frame-verificatie op Tableau Server inschakelt, moet u SAML op Tableau Server al hebben geconfigureerd en ingeschakeld.

Voer de volgende TSM-opdrachten uit om in-frame verificatie in te schakelen:

tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true

tsm pending-changes apply

Opmerking: bescherming tegen clickjacking is standaard ingeschakeld op Tableau Server. Wanneer u in-frame-verificatie inschakelt, wordt de bescherming tegen clickjacking tijdelijk uitgeschakeld voor de in-frame-verificatiesessie. U moet het risico evalueren van het uitschakelen van de bescherming tegen clickjacking. Zie Bescherming tegen clickjacking.

Tableau Server-versies

Voor de beste gebruikerservaring voert u de nieuwste onderhoudsrelease van Tableau Server uit.

Als u de nieuwste onderhoudsrelease niet gebruikt en uw gebruikers Chrome-browsers gebruiken voor toegang tot Salesforce Lightning, raadpleeg dan het Tableau KB-artikel: Ingesloten weergaven kunnen niet worden geladen na update naar Chrome 80(Link wordt in een nieuw venster geopend).

In-frame-verificatie inschakelen met uw SAML IdP

Zoals hierboven beschreven, vereist een gebruikerservaring met naadloze verificatie met Salesforce Mobile IdP-ondersteuning voor in-frame-verificatie. Deze functionaliteit kan bij IdP's ook wel 'iframe-insluiting' of 'framing-bescherming' worden genoemd.

Domeinen op Salesforce-acceptatielijst

In sommige gevallen staan IdP's alleen in-frame-verificatie per domein toe. In die gevallen stelt u de volgende Salesforce-jokerdomeinen in wanneer u in-frame-verificatie inschakelt:

*.force

*.visualforce

Salesforce IdP

Salesforce IdP ondersteunt standaard in-frame-verificatie. U hoeft in-frame-verificatie niet in te schakelen of te configureren in de Salesforce-configuratie. U moet echter de TSM-opdracht uitvoeren op Tableau Server zoals hierboven beschreven.

Okta IdP

Zie Okta in een iframe insluiten in het Okta Helpcentrum-onderwerp Algemene aanpassingsopties(Link wordt in een nieuw venster geopend).

Ping IdP

Zie het Ping-ondersteuningsonderwerp De koptekst 'X-Frame-Options=SAMEORIGIN' in PingFederate uitschakelen(Link wordt in een nieuw venster geopend).

OneLogin IdP

Zie Framing-bescherming in het OneLogin Knowledgebase-artikel Accountinstellingen voor accounteigenaren(Link wordt in een nieuw venster geopend).

ADFS en EntraID IdP

Microsoft heeft alle in-frame-verificatie geblokkeerd en deze kan niet worden ingeschakeld. Microsoft ondersteunt alleen pop-upverificatie in een tweede venster. Als gevolg hiervan kan het pop-upgedrag door sommige browsers worden geblokkeerd, waardoor gebruikers pop-ups moeten accepteren voor de sites force.com en visualforce.com.

Mobiele Salesforce-app

Als uw gebruikers voornamelijk met Lightning communiceren via de mobiele Salesforce-app, moet u rekening houden met de volgende scenario's:

  • Voor de mobiele Salesforce-app is het nodig dat u SSO/SAML configureert om ingesloten Tableau te kunnen bekijken.
  • Voor de mobiele Salesforce-app is in-frame-verificatie vereist. Pop-upverificatie werkt niet. In plaats daarvan zien gebruikers van de mobiele Salesforce-app de Tableau-aanmeldknop, maar kunnen ze zich niet aanmelden bij Tableau.
  • De mobiele app werkt niet op ADFS en Azure AD IdP.
  • De mobiele app maakt gebruik van OAuth-tokens om SSO in te schakelen. Er zijn scenario's waarbij het OAuth-token wordt vernieuwd en gebruikers worden afgemeld, waardoor gebruikers zich opnieuw moeten aanmelden. Zie het Tableau KB-artikel Tableau Viz Lightning-webcomponent in de mobiele Salesforce-app vraagt om aanmelding(Link wordt in een nieuw venster geopend) voor meer informatie.
  • Het SSO-gedrag verschilt afhankelijk van de versie van de mobiele Salesforce-app (iOS versus Android) en de IdP:
    IdPMobiel besturingssysteemSSO-gedrag
    Salesforce IdPAndroidSSO werkt in eerste instantie, maar gebruikers moeten zich na enige tijd opnieuw aanmelden.
    iOS
    Externe IdPAndroidSSO werkt niet. Gebruikers moeten zich handmatig aanmelden. (SSO moet nog steeds worden geconfigureerd om gebruikers toegang te geven tot ingesloten Tableau-weergaven).
    iOSSSO werkt in eerste instantie, maar gebruikers moeten zich na enige tijd opnieuw aanmelden.