SAML
SAML(安全断言标记语言)是一种 XML 标准,此标准允许安全的 Web 域交换用户身份验证和授权数据。您可以将 Tableau Server 配置为使用外部身份提供程序 (IdP) 通过 SAML 2.0 对用户进行身份验证。不会与 Tableau Server 一起存储任何用户凭据,而使用 SAML 使您能够将 Tableau 添加到组织的单点登录环境。
您可以在服务器范围内使用 SAML 服务器,也可以单独配置站点。以下是这些选项的概述:
Server 范围的 SAML 身份验证。单一 SAML IdP 应用程序处理所有 Tableau Server 用户的身份验证。如果服务器只有“默认”站点,请使用此选项,因为在这种情况下,无需配置特定于站点的 SAML。您也可以在多站点环境中使用服务器范围 SAML,但用户仅限于跨所有站点的单个 IdP。
Server 范围的本地身份验证和特定站点的 SAML 身份验证。在多站点环境中,没有启用站点级别 SAML 身份验证的用户可以使用本地身份验证登录。
Server 范围的 SAML 身份验证和特定站点的 SAML 身份验证。在多站点环境中,所有用户都通过在站点级别配置的 SAML IdP 进行身份验证,并且您将为属于多个站点的用户指定服务器范围默认 SAML IdP。
如果要使用特定于站点的 SAML,您必须在配置单独站点之前先配置服务器范围 SAML。特定于站点的 SAML 不需要启用服务器端 SAML 也能正常工作,但必须对其进行配置。
通过 SAML 进行的用户身份验证不适用于 Tableau Server 内容(例如数据源和工作簿)的许可和授权。也不会控制对工作簿和数据源连接的基础数据的访问。
注意:
- Tableau Server 在浏览器和 Tableau Mobile 应用软件中仅支持由服务提供程序和 IdP 启动的 SAML。来自Tableau Desktop 的 SAML 连接必须是服务提供程序启动的。
- 身份池是一种工具,旨在补充和支持您在组织中可能需要的其他用户预置和身份验证选项,它仅支持 OpenID Connect (OIDC) 身份验证。有关详细信息,请参见使用身份池预置和验证用户。
身份验证概述
下图显示了在典型的服务提供程序启动的流程中使用单点登录对用户进行身份验证的步骤:
用户导航到 Tableau Server 登录页面或单击已发布的工作簿 URL。
Tableau Server 通过将客户端重定向到已配置的 IdP 启动身份验证过程。
IdP 向用户请求用户的用户名和密码。用户提交有效凭据后,IdP 对用户进行身份验证。
IdP 以 SAML 响应的形式将成功的身份验证返回到客户端。客户端将 SAML 响应传递到 Tableau Server。
Tableau Server 验证 SAML 响应中的用户名是否与