创建本地组
本地组是使用 Tableau Server 内部用户管理系统创建的。创建组后,可以添加和删除用户,以及设置最低站点角色,以在用户登录时授予组中的用户。
在站点中,单击“组”,然后单击“本地组”。
为组键入一个名称。
若要为组设置最低站点角色,请选择“登录时授予站点角色”,然后从下拉列表中选择最低站点角色。
单击“创建”。
使用断言的动态组成员身份
从 Tableau Server 2024.2 开始,如果您配置了 SAML 身份验证或使用 Tableau 已连接应用来嵌入工作流,则您可以通过断言动态控制组成员身份。配置后,在运行时用户身份验证期间,Tableau 会收到断言,然后评估组中的成员身份,从而评估权限依赖于这些组的内容。
通过断言动态控制组成员身份的过程需要 1) 启用设置和 2) 确保组成员身份声明包含在断言中。
步骤 1:启用设置
此功能有两种设置:服务器范围设置和站点级别设置。仅当首先启用服务器范围设置时,才可以启用站点级别设置。如果您已配置站点 SAML 或已连接应用,请考虑启用站点级别设置。
出于安全目的,仅当设置处于启用状态时,才会在身份验证工作流中验证组成员身份。
登录到 Tableau Server,并导航到“设置””页面。
注意:对于多站点服务器,请导航到所有站点的“设置”页面。
在“组成员身份断言”标题下,选中“允许组断言以通过 SAML 或 JWT 断言启用组成员身份”复选框。
(可选)如果您在站点级别配置了站点 SAML 或已连接应用,请导航到该站点,转到“设置”页面,然后在“组成员身份断言”标题下,选中“允许组断言通过 SAML 或 JWT 断言启用组成员身份”复选框。
有关设置的详细信息,请参见以下主题之一:
- 服务器范围 - 服务器设置(常规和自定义)
- 站点级别 - 站点设置参考
步骤 2:确保断言中包含组成员身份声明
必须在相应的 SAML、OIDC 或 JWT 断言中包含两个自定义组成员身份声明才能指定组成员身份。这两个自定义组成员身份声明为:
组:
https://tableau.com/groups组名:这些名称应该与 Tableau Server 中的本地组名称完全匹配。
有关断言的示例,请参阅以下部分之一:
- 使用 SAML 断言的动态组成员身份:
- 已连接应用 - 直接信任:动态组成员身份(仅限嵌入工作流)
- 已连接应用 - OAuth 2.0 信任:动态组成员身份(仅限嵌入工作流)