กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์เมื่อคุณต้องการให้ผู้ใช้การลงชื่อเพียงครั้งเดียว (SSO) ทุกคนใน Tableau Server ให้ตรวจสอบสิทธิ์ผ่านผู้ให้บริการระบุตัวตน (IdP) SAML หรือเป็นขั้นตอนแรกในการกำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์ในสภาพแวดล้อมหลายไซต์

หากคุณได้กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์และพร้อมที่จะกำหนดค่าไซต์แล้ว ให้ดูที่ กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์.

ขั้นตอนการกำหนดค่า SAML ที่เรามีให้จะทำการอนุมานดังนี้:

  • คุณมีความคุ้นเคยอยู่แล้วกับตัวเลือกต่างๆ ในการกำหนดค่าการตรวจสอบสิทธิ์ SAML ใน Tableau Server ตามที่อธิบายไว้ในหัวข้อ SAML

  • คุณได้ตรวจสอบยืนยันแล้วว่าสภาพแวดล้อมของคุณเป็นไปตาม ข้อกำหนดของ SAML และรับไฟล์ใบรับรอง SAML ที่อธิบายไว้ในข้อกำหนดเหล่านั้น

ก่อนที่คุณจะเริ่มต้น

เพื่อเป็นขั้นตอนหนึ่งในแผนการกู้คืนในกรณีภัยพิบัติ เราขอแนะนำให้เก็บการสำรองข้อมูลใบรับรองและไฟล์ IdP ในตำแหน่งที่ปลอดภัยภายนอก Tableau Server ไฟล์เนื้อหา SAML ที่คุณอัปโหลดไปยัง Tableau Server จะจัดเก็บและกระจายไปยังโหนดอื่นๆ โดยบริการไฟล์ไคลเอ็นต์ อย่างไรก็ตาม ไฟล์เหล่านี้จะไม่ถูกจัดเก็บในรูปแบบที่สามารถกู้คืนได้ โปรดดู บริการไฟล์ไคลเอ็นต์ของ Tableau Server

หมายเหตุ: หากคุณใช้ไฟล์ใบรับรองเดียวกันสำหรับ SSL คุณสามารถใช้ตำแหน่งเดียวกันกับใบรับรองที่มีอยู่เพื่อกำหนดค่า SAML และเพิ่มไฟล์ข้อมูลเมตา IdP ไปยังไดเรกทอรีดังกล่าวเมื่อคุณดาวน์โหลดภายหลังในกระบวนการนี้ หากต้องการข้อมูลเพิ่มเติม โปรดดู การใช้ใบรับรอง SSL และไฟล์สำคัญสำหรับ SAML ในข้อกำหนด SAML

หากคุณเรียกใช้ Tableau Server ในคลัสเตอร์ ใบรับรอง คีย์ และไฟล์ข้อมูลเมตา SAML จะกระจายโดยอัตโนมัติไปยังโหนดต่างๆ เมื่อคุณเปิดใช้งาน SAML

กระบวนการนี้กำหนดให้คุณต้องอัปโหลดใบรับรอง SAML ไปยัง TSM เพื่อให้นำไปจัดเก็บและกระจายอย่างถูกต้องในการกำหนดค่าเซิร์ฟเวอร์ ไฟล์ SAML จะต้องพร้อมใช้งานสำหรับเบราว์เซอร์ในคอมพิวเตอร์ภายในเมื่อคุณเรียกใช้อินเทอร์เฟซเว็บ TSM ในกระบวนการนี้

หากคุณได้รวบรวมและบันทึกไฟล์ SAML ไปยัง Tableau Server ตามที่แนะนำในหมวดก่อนหน้านี้ ให้เรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์ Tableau Server ที่คุณคัดลอกไฟล์

หากคุณเรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์เครื่องอื่น คุณก็จะต้องคัดลอกไฟล์ SAML ทั้งหมดไว้ในเครื่องก่อนดำเนินการต่อ ขณะที่คุณดำเนินตามกระบวนการด้านล่าง ให้เรียกดูไฟล์ในคอมพิวเตอร์ภายในเพื่ออัปโหลดไปยัง TSM

  1. เปิด TSM ในเบราว์เซอร์:

    https://<tsm-computer-name>:8850. หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI

  2. บนแท็บการกำหนดค่า ให้เลือกข้อมูลประจำตัวผู้ใช้และการเข้าถึง แล้วเลือกแท็บเมธอดการตรวจสอบสิทธิ์

    การตั้งค่าการตรวจสอบสิทธิ์ผู้ใช้ Tableau Services Manager

  3. สำหรับเมธอดการตรวจสอบสิทธิ์ ให้เลือก SAML

  4. ในหมวด SAML ที่ปรากฎขึ้น ให้ทำขั้นตอนที่ 1 ใน GUI ให้เสร็จสิ้นแล้วป้อนการตั้งค่าต่อไปนี้ (อย่าเพิ่งเลือกกล่องทำเครื่องหมายเพื่อเปิดใช้งาน SAML สำหรับเซิร์ฟเวอร์):

    • URL การส่งคืนของ Tableau Server— URL ที่ผู้ใช้ Tableau Server จะเข้าถึง เช่น https://tableau-server

      โดยจะไม่รองรับการใช้ https://localhost หรือ URL ที่มีเครื่องหมายทับต่อท้าย (เช่น http://tableau_server/)

    • ID เอนทิตี SAML—ID เอนทิตีที่ระบุการติดตั้ง Tableau Server ของคุณแบบไม่ซ้ำไปยัง IdP

      คุณสามารถป้อน URL Tableau Server ของคุณอีกครั้งได้ที่นี่ หากคุณวางแผนที่จะเปิดใช้งาน SAML ที่เฉพาะเจาะจงสำหรับไซต์ภายหลัง URL นี้ก็จะทำหน้าที่เป็นฐานสำหรับ ID ที่ไม่ซ้ำของแต่ละไซต์เช่นกัน

    • ไฟล์ใบรับรองและคีย์ของ SAML— คลิก เลือกไฟล์ เพื่ออัปโหลดแต่ละไฟล์เหล่านี้

      หากคุณกำลังใช้ไฟล์คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านด้วย CLI ของ TSM ดังนี้:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      หลังจากที่คุณให้ข้อมูลที่จำเป็นในขั้นตอนที่ 1 ใน GUI แล้ว ปุ่ม ดาวน์โหลดไฟล์ข้อมูลเมตา XML ในขั้นตอนที่ 2 ใน GUI จะพร้อมใช้งาน

  5. ต่อไปให้เลือกกล่องทำเครื่องหมายเปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับเซิร์ฟเวอร์ด้านบนขั้นตอนที่ 1 ใน GUI

  6. ดำเนินการตั้งค่า SAML ที่เหลือให้เสร็จสิ้น

    1. สำหรับขั้นตอนที่ 2 และ 3 ให้แลกเปลี่ยนข้อมูลเมตาระหว่าง Tableau Server กับ IdP (ต่อไปนี้เป็นจุดที่คุณควรตรวจสอบกับเอกสารประกอบของ IdP)

      เลือก ดาวน์โหลดไฟล์ข้อมูลเมตา XML และระบุตำแหน่งของไฟล์

      หากคุณกำลังกำหนดค่า SAML ด้วย AD FS, คุณสามารถกลับไปที่ ขั้นตอนที่ 3: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Server ของ “กำหนดค่า SAML ด้วย AD FS ใน Tableau Server”

      สำหรับ IdP อื่นๆ ให้ไปยังบัญชี IdP ของคุณเพื่อเพิ่ม Tableau Server ไปยังแอปพลิเคชัน (ในฐานะผู้ให้บริการ) และระบุข้อมูลเมตา Tableau ตามความเหมาะสม

      ทำตามคำแนะนำในเว็บไซต์หรือเอกสารประกอบของ IdP เพื่อดาวน์โหลดข้อมูลเมตาของ IdP บันทึกไฟล์ .xml ไปยังตำแหน่งเดียวกันที่เก็บไฟล์ใบรับรองและคีย์ SAML ของคุณไว้ ตัวอย่าง:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. กลับไปยัง UI เว็บของ TSM สำหรับขั้นตอนที่ 4 ใน GUI ให้ป้อนพาธไปยังไฟล์ข้อมูลเมตา IdP แล้วคลิก เลือกไฟล์

      ภาพหน้าจอที่ไฮไลต์พื้นที่ของ TSM UI ที่คุณอัปโหลดข้อมูลเมตา SAML IDP

    3. สำหรับขั้นตอนที่ 5 ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง

      คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน

      เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น

    4. สำหรับขั้นตอนที่ 6 ให้เลือกแอปพลิเคชัน Tableau ที่คุณต้องการมอบประสบการณ์การลงชื่อเพียงครั้งเดียวแก่ผู้ใช้

      หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือกในการปิดใช้งานการเข้าถึงแบบพกพา หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server

    5. สำหรัการเปลี่ยนเส้นทางการออกจากระบบ SAML หาก IdP ของคุณรองรับการออกจากระบบเพียงครั้งเดียว (SLO) ให้ป้อนหน้าที่คุณต้องการเปลี่ยนเส้นทางผู้ใช้หลังจากที่ผู้ใช้ออกจากระบบ ซึ่งเกี่ยวข้องกันกับพาธที่คุณป้อนสำหรับ URL การส่งคืนของ Tableau Server

    6. (ไม่บังคับ) สำหรับขั้นตอนที่ 7 ให้ดำเนินการต่อไปนี้

    7. (ไม่บังคับ) สําหรับขั้นตอนที่ 8 ให้เลือกช่องทําเครื่องหมายเปิดใช้งานการรวบรวมแอตทริบิวต์ผู้ใช้ระหว่างการตรวจสอบสิทธิ์ SAML หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับแอตทริบิวต์ผู้ใช้ โปรดดู ปรับแต่งและควบคุมการเข้าถึงข้อมูลโดยใช้แอตทริบิวต์ผู้ใช้

  7. คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ หลังจากที่คุณได้ป้อนข้อมูลการกำหนดค่าแล้ว

  8. คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:

    แถบเครื่องมือ Tableau Server Manager แสดงให้เห็นว่ามีการเปลี่ยนแปลงที่รอดำเนินการอยู่

  9. คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท

ก่อนที่คุณจะเริ่มต้น

ก่อนที่จะเริ่มต้น ให้ตรวจสอบสิ่งต่อไปนี้:

  • ไปยังเว็บไซต์หรือแอปพลิเคชันของ IdP ของคุณ และส่งออกไฟล์ XML ข้อมูลเมตาของ IdP

    ยืนยันว่า XML ข้อมูลเมตาจาก IdP มีองค์ประกอบ SingleSignOnService ซึ่งมีการตั้งค่าการผูกโยงเป็น HTTP-POST ตามตัวอย่างต่อไปนี้:

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

  • รวบรวมไฟล์ใบรับรองและนำไปไว้ใน Tableau Server

    ในโฟลเดอร์ Tableau Server สร้างโฟลเดอร์ใหม่ที่ชื่อว่า SAML และนำสำเนาของไฟล์ใบรับรอง SAML ไปไว้ในโฟลเดอร์ดังกล่าว ตัวอย่าง:

    C:\Program Files\Tableau\Tableau Server\SAML

    นี่คือตำแหน่งที่แนะนำเนื่องจากบัญชีผู้ใช้ที่เรียกใช้ Tableau Server มีสิทธิ์ที่จำเป็นต่อการเข้าถึงโฟลเดอร์นี้

ขั้นตอนที่ 1: กำหนดค่า URL ส่งคืน, ID เอนทิตี SAML และระบุไฟล์ใบรับรองและคีย์

  1. เปิดเชลล์ข้อความแจ้งคำสั่งและกำหนดค่าการตั้งค่า SAML สำหรับเซิร์ฟเวอร์ (แทนค่าตัวยึดตำแหน่งด้วยพาธสภาพแวดล้อมและชื่อไฟล์)

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"

    หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm authentication saml configure

  2. หากคุณกำลังใช้คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านดังนี้:

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. หากไม่ได้เปิดใช้งาน SAML ไว้ใน Tableau Server เช่น คุณทำการกำหนดค่าเป็นครั้งแรกหรือคุณได้ปิดใช้งานไว้ ให้เปิดใช้งานตอนนี้เลย:

    tsm authentication saml enable

  4. ปรับใช้การเปลี่ยนแปลง:

    tsm pending-changes apply

    หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ขั้นตอนที่ 2: สร้างข้อมูลเมตา Tableau Server และกำหนดค่า IdP

  1. เรียกใช้คำสั่งต่อไปนี้เพื่อสร้างไฟล์ข้อมูลเมตา XML ที่จำเป็นสำหรับ Tableau server

    tsm authentication saml export-metadata -f <file-name.xml>

    คุณสามารถระบุชื่อไฟล์หรือละพารามิเตอร์ -f เพื่อสร้างไฟล์ที่เป็นค่าเริ่มต้นที่ชื่อว่า samlmetadata.xml

  2. ในเว็บไซต์ IdP ของคุณหรือในแอปพลิเคชัน:

    • เพิ่ม Tableau Server เป็นผู้ให้บริการ

      อ้างอิงเอกสารประกอบของ IdP ของคุณเพื่อดูวิธีในการทำเช่นนี้ โดยส่วนหนึ่งของกระบวนการในการกำหนดค่า Tableau Server ให้เป็นผู้ให้บริการ คุณจะต้องนำเข้าไฟล์ข้อมูลเมตา Tableau Server ที่คุณสร้างจากคำสั่ง export-metadata

    • ยืนยันว่า IdP ของคุณใช้ username เป็นแอตทริบิวต์เพื่อตรวจสอบยืนยันผู้ใช้

ขั้นตอนที่ 3: จับคู่การยืนยัน

ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง

คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน

เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น

ตารางต่อไปนี้แสดงค่าการยืนยันที่เป็นค่าเริ่มต้นและคีย์การกำหนดค่าที่เก็บค่าดังกล่าว

การยืนยันค่าเริ่มต้นคีย์
ชื่อผู้ใช้usernamewgserver.saml.idpattribute.username
ชื่อที่แสดงdisplayName

Tableau ไม่รองรับประเภทแอตทริบิวต์นี้

อีเมลemail

Tableau ไม่รองรับประเภทแอตทริบิวต์นี้

โดเมน(ไม่ได้แมปไว้โดยค่าเริ่มต้น)wgserver.saml.idpattribute.domain

วิธีการเปลี่ยนค่าที่มีให้ ให้เรียกใช้คำสั่ง tsm configuration set พร้อมคู่คีย์ค่าที่เหมาะสม

ตัวอย่างเช่น หากต้องการเปลี่ยนการยืนยัน username ให้เป็นค่า name ให้เรียกใช้คำสั่งต่อไปนี้:

tsm configuration set -k wgserver.saml.idpattribute.username -v name

tsm pending-changes apply

หรือคุณสามารถใช้คำสั่ง tsm authentication saml map-assertions เพื่อเปลี่ยนค่าที่มีให้

เช่น วิธีการเปลี่ยนการยืนยันโดเมนให้เป็นค่าที่ชื่อว่า domain และระบุค่าให้เป็น "example.myco.com" ให้เรียกใช้คำสั่งต่อไปนี้:

tsm authentication saml map-assertions --domain example.myco.com

tsm pending-changes apply

ไม่บังคับ: ปิดใช้งานประเภทไคลเอ็นต์จากการใช้ SAML

โดยค่าเริ่มต้น ทั้ง Tableau Desktop และแอป Tableau Mobile จะอนุญาตการตรวจสอบสิทธิ์ SAML

หาก IdP ของคุณไม่รองรับฟังก์ชันนี้ คุณสามารถปิดใช้งานการเข้าสู่ระบบ SAML สำหรับไคลเอ็นต์ Tableau ด้วยการใช้คำสั่งต่อไปนี้:

tsm authentication saml configure --desktop-access disable

tsm authentication saml configure --mobile-access disable

หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือก --mobile-access disable หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server

tsm pending-changes apply

ไม่บังคับ: เพิ่มค่า AuthNContextClassRef

เพิ่มค่าที่คั่นด้วยจุลภาคสำหรับแอตทริบิวต์ AuthNContextClassRef หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้แอตทริบิวต์นี้ โปรดดู บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML

วิธีการตั้งค่าแอตทริบิวต์นี้ ให้เรียกใช้คำสั่งต่อไปนี้:

tsm configuration set -k wgserver.saml.authcontexts -v <value>

tsm pending-changes apply

ทดสอบการกำหนดค่า

  1. ในเว็บเบราว์เซอร์ของคุณ ให้เปิดหน้าหรือแท็บใหม่แล้วป้อน URL Tableau Server

    หน้าต่างเว็บเบราว์เซอร์เปล่าจะแสดง “http://tableau_server” ในแถบที่อยู่

    เบราว์เซอร์จะเปลี่ยนเส้นทางคุณไปยังฟอร์มการเข้าสู่ระบบของ IdP

  2. ป้อนชื่อผู้ใช้และรหัสผ่านการลงชื่อเพียงครั้งเดียว

    กล่องโต้ตอบการเข้าสู่ระบบ SAML ที่มีฟิลด์สำหรับชื่อผู้ใช้และรหัสผ่าน

    IdP จะตรวจสอบยืนยันข้อมูลเข้าสู่ระบบของคุณและเปลี่ยนเส้นทางให้คุณกลับมาที่หน้าเริ่มต้น Tableau Server ของคุณ

ปรับแต่งและควบคุมการเข้าถึงข้อมูลโดยใช้แอตทริบิวต์ผู้ใช้

แอตทริบิวต์ผู้ใช้คือเมตาดาต้าของผู้ใช้ที่กําหนดโดยองค์กรของคุณ แอตทริบิวต์ผู้ใช้สามารถใช้เพื่อกําหนดการเข้าถึงในรูปแบบการให้สิทธิ์การควบคุมการเข้าถึงตามแอตทริบิวต์ทั่วไป (ABAC) แอตทริบิวต์ผู้ใช้จะเป็นแง่มุมใดก็ได้ในโปรไฟล์ผู้ใช้ รวมถึงบทบาทงาน การเป็นสมาชิกแผนก ระดับการจัดการ ฯลฯ นอกจากนี้ยังอาจเชื่อมโยงกับบริบทของผู้ใช้รันไทม์ เช่น ตําแหน่งที่ผู้ใช้เข้าสู่ระบบหรือการตั้งค่าภาษาของผู้ใช้

การรวมแอตทริบิวต์ผู้ใช้ไว้ในเวิร์กโฟลว์ของคุณจะช่วยให้คุณสามารถควบคุมและปรับแต่งประสบการณ์ผู้ใช้ผ่านการเข้าถึงข้อมูลและการปรับให้เหมาะกับเฉพาะบุคคลได้

  • การเข้าถึงข้อมูล: แอตทริบิวต์ผู้ใช้สามารถใช้เพื่อบังคับใช้นโยบายการรักษาความปลอดภัยของข้อมูลได้ วิธีการนี้ช่วยให้มั่นใจได้ว่าผู้ใช้สามารถดูได้เฉพาะข้อมูลที่ตนได้รับอนุญาตให้ดูเท่านั้น
  • การปรับให้เหมาะกับเฉพาะบุคคล: เมื่อส่งแอตทริบิวต์ผู้ใช้ เช่น ตําแหน่งและบทบาท เนื้อหาของคุณจะสามารถปรับแต่งให้แสดงเฉพาะข้อมูลที่เกี่ยวข้องกับผู้ใช้ที่เข้าถึงเนื้อหาดังกล่าว ซึ่งช่วยให้ผู้ใช้ค้นหาข้อมูลที่ต้องการได้ง่ายขึ้น

สรุปขั้นตอนในการส่งแอตทริบิวต์ผู้ใช้

กระบวนการเปิดใช้งานแอตทริบิวต์ผู้ใช้ในเวิร์กโฟลว์สามารถสรุปได้เป็นขั้นตอนต่อไปนี้:

  1. เปิดใช้งานการตั้งค่าแอตทริบิวต์ผู้ใช้
  2. ระบุแอตทริบิวต์ผู้ใช้ในการยืนยัน
  3. ตรวจสอบว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์ผู้ใช้และตัวกรองที่เกี่ยวข้อง
  4. ตรวจสอบเนื้อหา

ขั้นตอนที่ 1: เปิดใช้งานการตั้งค่าแอตทริบิวต์ผู้ใช้

เพื่อวัตถุประสงค์ด้านความปลอดภัย แอตทริบิวต์ผู้ใช้จะได้รับการตรวจสอบในเวิร์กโฟลว์การตรวจสอบสิทธิ์เฉพาะเมื่อผู้ดูแลไซต์เปิดใช้งานการตั้งค่าแอตทริบิวต์ผู้ใช้เท่านั้น

  1. เปิด TSM ในเบราว์เซอร์:

    https://<tsm-computer-name>:8850. หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI

  2. ในแท็บการกำหนดค่า ให้เลือกข้อมูลเข้าสู่ระบบของผู้ใช้และการเข้าถึง > วิธีการตรวจสอบสิทธิ

  3. ใต้วิธีการตรวจสอบสิทธิ ให้เลือก SAML ในเมนูดรอปดาวน์

  4. ในส่วนขั้นตอนที่ 8 ให้เลือกช่องทําเครื่องหมายเปิดใช้งานการรวบรวมแอตทริบิวต์ผู้ใช้ระหว่างการตรวจสอบสิทธิ์ SAML

  5. เมื่อเสร็จสิ้นให้ดำเนินการดังต่อไปนี้

    1. คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ

    2. คลิกปุ่มการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:

    3. คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท

ขั้นตอนที่ 2: ระบุแอตทริบิวต์ผู้ใช้ในการยืนยัน

ตรวจสอบว่าการยืนยันมีแอตทริบิวต์ผู้ใช้

หมายเหตุ: แอตทริบิวต์ในการตอบกลับ SAML จะจํากัดตัวอักษร 4096 ตัว ยกเว้นแอตทริบิวต์ scope หรือ scp หากแอตทริบิวต์ในการตอบกลับ รวมถึงแอตทริบิวต์ผู้ใช้เกินขีดจํากัดดังกล่าว Tableau จะลบแอตทริบิวต์และส่งอตทริบิวต์ ExtraAttributesRemoved แทน จากนั้นผู้เขียนเนื้อหาสามารถสร้างการคํานวณโดยใช้แอตทริบิวต์ ExtraAttributesRemoved เพื่อกําหนดวิธีแสดงเนื้อหาให้แก่ผู้ใช้เมื่อตรวจพบแอตทริบิวต์

ตัวอย่าง

สมมติว่าคุณมีพนักงานชื่อ Fred Suzuki ซึ่งเป็นผู้จัดการในภาคใต้ คุณต้องการให้แน่ใจว่าเมื่อ Fred ตรวจสอบรายงาน เขาจะสามารถดูข้อมูลได้เฉพาะสําหรับภาคใต้เท่านั้น ในสถานการณ์เช่นนี้ คุณอาจระบุแอตทริบิวต์ผู้ใช้ Region ในการตอบกลับ SAML ดังในตัวอย่างด้านล่าง

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

ขั้นตอนที่ 3: ตรวจสอบว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์

ตรวจสอบให้แน่ใจว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์ผู้ใช้และตัวกรองที่เกี่ยวข้องเพื่อควบคุมข้อมูลที่สามารถแสดงในเนื้อหาได้ เพื่อให้แน่ใจว่ามีการส่งการยืนยันแอตทริบิวต์ผู้ใช้ไปยัง Tableau เนื้อหาจะต้องมีฟังก์ชันแอตทริบิวต์ผู้ใช้อย่างใดอย่างหนึ่งต่อไปนี้:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

ฟังก์ชันที่ผู้เขียนเนื้อหาใช้นั้นจะขึ้นอยู่กับว่า คุณคาดว่าแอตทริบิวต์ผู้ใช้จะส่งคืนค่าเดียวหรือหลายค่า หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชันเหล่านี้และตัวอย่างของแต่ละฟังก์ชัน โปรดดูฟังก์ชันของผู้ใช้(ลิงก์จะเปิดในหน้าต่างใหม่)ในความช่วยเหลือของ Tableau

หมายเหตุ:

  • จะไม่สามารถดูตัวอย่างเนื้อหาด้วยฟังก์ชันเหล่านี้ได้เมื่อเขียนใน Tableau Desktop หรือ Tableau Cloud ฟังก์ชันนี้จะแสดงผลค่า NULL หรือ FALSE เพื่อให้แน่ใจว่าฟังก์ชันของผู้ใช้ทํางานตามที่คาดไว้ เราขอแนะนําให้ผู้เขียนตรวจสอบฟังก์ชันหลังจากเผยแพร่เนื้อหาแล้ว
  • เพื่อให้แน่ใจว่าเนื้อหาแสดงผลตามที่คาดไว้ ผู้เขียนเนื้อหาอาจพิจารณาระบุการคํานวณที่ใช้ ExtraAttributesRemoved ซึ่ง 1) ตรวจสอบแอตทริบิวต์นี้ และ 2) กําหนดว่าจะทําอย่างไรกับเนื้อหาหากเป็นเช่นนั้น เช่น แสดงข้อความ Tableau จะเพิ่มเฉพาะแอตทริบิวต์ ExtraAttributesRemoved และลบแอตทริบิวต์อื่นๆ ทั้งหมด (ยกเว้น scp หรือ scope) เมื่อแอตทริบิวต์ใน SAML XML มีตัวอักษรยาวเกิน 4096 ตัว ทั้งนี้เพื่อให้มั่นใจถึงประสิทธิภาพสูงสุดและเป็นไปตามข้อจํากัดในการจัดเก็บ

ตัวอย่าง

ต่อจากตัวอย่างที่แนะนําใน ขั้นตอนที่ 2: ระบุแอตทริบิวต์ผู้ใช้ในการยืนยัน ข้างต้น ในการส่งการยืนยันแอตทริบิวต์ผู้ใช้ "ภูมิภาค" ไปยังเวิร์กบุ๊กนั้น ผู้เขียนสามารถระบุ USERATTRIBUTEINCLUDES ได้ ตัวอย่างเช่น USERATTRIBUTEINCLUDES('Region', [Region]) โดยที่ “Region” เป็นแอตทริบิวต์ผู้ใช้และ [Region] เป็นคอลัมน์ในข้อมูล ผู้เขียนสามารถสร้างตารางที่มีข้อมูลผู้จัดการและยอดขายได้โดยใช้การคํานวณใหม่ เมื่อเพิ่มการคํานวณแล้ว เวิร์กบุ๊กจะส่งแสดงค่า “False” ตามที่คาดไว้

หากต้องการแสดงเฉพาะข้อมูลที่เกี่ยวข้องกับภาคใต้ในเวิร์กบุ๊กที่ฝังไว้ ผู้เขียนสามารถสร้างตัวกรองและปรับแต่งเพื่อให้แสดงค่าเมื่อภาคใต้เป็น “True” เมื่อใช้ตัวกรอง เวิร์กบุ๊กจะว่างเปล่าตามที่คาดไว้ เนื่องจากฟังก์ชันนี้แสดงค่า “False” และตัวกรองได้รับการปรับแต่งให้แสดงค่า “True” เท่านั้น

ขั้นตอนที่ 4: ตรวจสอบเนื้อหา

ตรวจสอบและยืนยันความถูกต้องของเนื้อหา

ตัวอย่าง

เพื่อสรุปตัวอย่างจาก ขั้นตอนที่ 3: ตรวจสอบว่าผู้เขียนเนื้อหาระบุฟังก์ชันแอตทริบิวต์ ด้านบน คุณจะเห็นว่าข้อมูลยอดขายในมุมมองได้รับการปรับแต่งให้เหมาะกับ Fred Suzuki เนื่องจากบริบทของผู้ใช้ของเขาคือภาคใต้

ผู้จัดการจากภูมิภาคต่างๆ ที่แสดงอยู่ในเวิร์กบุ๊กควรเห็นค่าที่เกี่ยวข้องกับภูมิภาคของตน ตัวอย่างเช่น Sawdie Pawthorne จากภูมิภาคตะวันตกจะเห็นข้อมูลเฉพาะในภูมิภาคของตน

ผู้จัดการจากภูมิภาคต่างๆ ที่ไม่ได้แสดงอยู่ในเวิร์กบุ๊ก จะเห็นเวิร์กบุ๊กเปล่า

ปัญหาและข้อจำกัดที่ทราบ

มีปัญหาและข้อจํากัดบางประการที่คุณควรพิจารณาเมื่อทํางานกับฟังก์ชันแอตทริบิวต์ผู้ใช้

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ