為 Tableau Viz Lightning Web 元件設定 SAML

Tableau 提供的 Lightning Web 元件 (LWC) 可用於在 Salesforce Lightning 頁面中內嵌 Tableau 視覺效果。

本主題將介紹如何為 Salesforce Lightning 頁面中內嵌的 Tableau 視覺效果啟用 SSO 體驗。Tableau Viz LWC 情境的 SSO 需要進行 SAML 設定。用於 Tableau 驗證的 SAML IdP 必須為 Salesforce IdP 或與用於 Salesforce 執行個體的 IdP 相同。

在此情境中,Salesforce 管理員可以將 Tableau Viz LWC 拖放至 Lightning 頁面中,以內嵌視覺效果。透過在檢視中輸入內嵌的 URL,可以在儀表板中顯示管理員在 Tableau Server 上可用的任何檢視。

Tableau Server 上為 Tableau Viz LWC 設定單一登入 (SSO) 時,使用者體驗是無縫的:使用者登入 Salesforce 後,無需對 Tableau Server 進行進一步驗證即可使用內嵌的 Tableau 檢視。

未設定 SSO 時,使用者將需要對 Tableau Server 進行重新驗證,以從 Tableau Server 檢視內嵌的視覺效果。

需求

設定驗證工作流程

可能需要進行其他設定,以最佳化登入體驗,以便使用者使用內嵌 Tableau 檢視存取 Lightning。

如果無縫的驗證使用者體驗很重要,則需要設定一些額外組態。在這種情況下,「無縫」表示存取已啟用 Tableau Viz LWC SSO 的 Salesforce Lightning 頁面的使用者將不需要執行任何動作即可檢視內嵌 Tableau 檢視。在無縫情境中,如果使用者登入 Salesforce,則內嵌 Tableau 檢視畫面將會顯示,無需執行其他使用者動作。此情境由框架中驗證啟用。

要達成無縫的使用者體驗,您必須在 Tableau Server 及您的 IdP 上啟用框架中驗證。以下各節介紹如何設定框架中驗證。

另一方面,有些情況下,使用者互動的 Lightning 頁面要求他們點選「登入」按鈕,才能檢視內嵌 Tableau 畫面。使用者必須採取其他動作才能檢視內嵌 Tableau 檢視的這種情境稱為快顯驗證。

如果未啟用框架中證,預設的使用者體驗為快顯驗證。

在 Tableau Server 上啟用框架中驗證

在 Tableau Server 上啟用框架中驗證前,必須已在 Tableau Server 上設定並啟用 SAML。

請執行以下 TSM 命令以啟用框架中驗證:

tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true

tsm pending-changes apply

附註:預設情況下,Clickjack 保護在 Tableau Server 上處於啟用狀態。啟用框架中驗證時,框架中驗證工作階段會暫時停用 Clickjack 保護。應該評估停用 Clickjack 保護的風險。請參閱 Clickjack 保護

Tableau Server 版本設定

為取得最佳的使用者體驗,請執行 Tableau Server 的最新維護版本。

若未執行最新的維護版本,並且您的使用者正在執行 Chrome 瀏覽器以存取 Salesforce Lightning,請查看 Tableau 知識庫文章,更新至 Chrome 80 後無法載入內嵌檢視(連結在新視窗開啟)

使用 SAML IdP 啟用框架中驗證

如上所述,使用 Salesforce Mobile 實現無縫驗證使用者體驗需要 IdP 支援框架中驗證。此功能也在 IdP 中也被稱為「iframe 內嵌」或「框架保護」。

Saleforce 允許清單網域

在某些情況下,IdP 僅允許按照網域啟用框架中驗證。在這些情況下,啟用框架中驗證時,請設定以下 Salesforce 萬用字元網域:

*.force

*.visualforce

Salesforce IdP

預設情況下,Saleforce IdP 支援框架中驗證。不需要在 Salesforce 組態中啟用或設定框架中驗證。但是,必須在 Tableau Server 上執行 TSM 命令,如上所述。

Okta IdP

請參閱 Okta 說明中心主題「常規自訂選項」(連結在新視窗開啟)中的「在 iframe 中內嵌 Okta」

Ping IdP

請參閱 Ping 支援主題如何在 PingFederate 中停用「X-Frame-Options = SAMEORIGIN」標頭(連結在新視窗開啟)

OneLogin IdP

請參閱 OneLogin 知識庫文章「帳戶擁有者的帳戶設定」(連結在新視窗開啟)中的「框架保護」

ADFS 與 EntraID IdP

Microsoft 已封鎖所有框架中驗證,並且無法啟用該驗證。相反,Microsoft 僅支援第二個視窗中的快顯驗證。因此,某些瀏覽器可能會封鎖快顯行為,這將要求使用者接受 force.comvisualforce.com 網站的快顯行為。

Salesforce 行動應用程式

如果您的使用者主要在 Salesforce 行動應用程式中與 Lightning 互動,則應該瞭解以下情況:

  • Salesforce 行動應用程式要求設定 SSO/SAML,方可檢視內嵌 Tableau。
  • Salesforce 行動應用程式要求框架中驗證。彈出式驗證無法使用。相反,Salesforce 行動應用程式上的使用者將看到 Tableau 登入按鈕,但將無法登入 Tableau。
  • 行動應用程式在 ADFS 和 Azure AD IDP 上無法使用。
  • 行動應用程式使用 OAuth 權杖啟用 SSO。在某些情況下,OAuth 權杖會進行重新整理並讓使用者登出,從而要求使用者重新登入。有關詳情,請參閱 Tableau 知識庫文章 Salesforce 行動應用程式上的 Tableau Viz Lightning Web 元件提示登入(連結在新視窗開啟)
  • SSO 行為因 Salesforce 行動應用程式(iOS 相對於 Android)和 Idp 版本而不同:
    IdP行動作業系統SSO 行為
    Salesforce IdPAndroidSSO 一開始可以運作,但使用者在一段時間後必須登入。
    iOS
    外部 IdPAndroidSSO 無法作用。使用者需要手動登入(仍必須設定 SSO,才可讓使用者存取內嵌 Tableau 檢視畫面)。
    iOSSSO 一開始可以運作,但使用者在一段時間後必須登入。