Guida di Tableau Cloud

Puoi configurare Active Directory Federation Services (AD FS) come fornitore di identità SAML e aggiungere Tableau Cloud alle applicazioni di Single Sign-On supportate. Quando si integra AD FS con SAML e Tableau Cloud, gli utenti possono accedere a Tableau Cloud utilizzando le loro credenziali di rete standard.

Prima di poter configurare Tableau Cloud e SAML con AD FS, il tuo ambiente deve avere le seguenti caratteristiche:

• Un server su cui è installato Microsoft Windows Server 2008 R2 (o successivo) con AD FS 2.0 (o successivo) e IIS.

• Ti consigliamo di proteggere il server AD FS (ad esempio tramite un reverse proxy). Quando il server AD FS è accessibile dall’esterno del firewall, Tableau Cloud può reindirizzare gli utenti alla pagina di accesso ospitata da AD FS.

• Account amministratore del sito che utilizza Tableau con autenticazione MFA. Se l’accesso singolo SAML non riesce, puoi comunque accedere a Tableau Cloud come amministratore del sito.

In Tableau Cloud, esegui le seguenti operazioni:

1. Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.

2. Nella scheda Autenticazione fai clic sul pulsante Nuova configurazione, seleziona SAML dall’elenco a discesa Autenticazione, quindi immetti un nome per la configurazione.

   

   Nota: Le configurazioni create prima di novembre 2024 (Tableau 2024.3) non possono essere rinominate.

In AD FS esegui queste operazioni:

Nella procedura seguente verranno esportati i metadati di AD FS che importerai in Tableau Cloud. Assicurati anche che i metadati siano configurati e codificati correttamente per Tableau Cloud e verifica altri requisiti di AD FS per la tua configurazione SAML.

1. Esporta i metadati di federazione di AD FS in un file XML, quindi scarica il file da https://<nome server adfs> federationmetadata/2007-06/FederationMetadata.xml.

2. Apri il file di metadati in un editor di testo come Sublime Text o Notepad++ e verifica che sia correttamente codificato come UTF-8 senza BOM.

   Se il file riporta un altro tipo di codifica, salvalo dall’editor di testo con la codifica corretta.

3. Verifica che AD FS utilizzi l’autenticazione basata su moduli. Gli accessi vengono eseguiti in una finestra del browser, quindi è necessario che AD FS abbia come impostazione predefinita questo tipo di autenticazione.

   Modifica c:\inetpub\adfs\ls\web.config, cerca il tag , e sposta la linea in modo che appaia per prima nell’elenco. Salva il file in modo che IIS possa ricaricarlo automaticamente.

   Nota: se non vedi il file c:\inetpub\adfs\ls\web.config, IIS non è installato e configurato sul server AD FS.

4. Configura un ulteriore identificatore di componente di AD FS. Questo permette al sistema di risolvere qualsiasi problema di AD FS con l’uscita da SAML.

   Esegui una di queste operazioni:

   Windows Server 2008 R2:

   1. In AD FS 2.0 fai clic con il pulsante destro del mouse sul componente creato in precedenza per Tableau Cloud e scegli Proprietà.

   2. Nella scheda Identificatori, all’interno della casella Identificatore del componente, immetti https://<nometableauserver>/public/sp/metadata e fai clic su Aggiungi.

   Windows Server 2012 R2:

   1. In Gestione AD FS, nell’elenco Attendibilità componente fai clic con il pulsante destro del mouse sul componente creato in precedenza per Tableau Cloud e scegli Proprietà.

   2. Nella scheda Identificatori, all’interno della casella Identificatore del componente, immetti https://<nometableauserver/public/sp/metadata e fai clic su Aggiungi.

Dopo aver salvato il file di metadati SAML da AD FS, come descritto nella sezione precedente, completa la seguente procedura.

1. Torna in Tableau Cloud, nella pagina Nuova configurazione, sotto 2. Carica i metadati in Tableau, fai clic sul pulsante Scegli un file e seleziona il file di metadati SAML (FederationMetadata.xml) esportato da AD FS. I valori ID entità IdP e URL del servizio Single Sign-On verranno compilati automaticamente.

2. Salta il passaggio 3. Mappa gli attributi perché in AD FS creerai una regola di attestazione per abbinare i nomi degli attributi previsti da Tableau Cloud nella sezione seguente.

3. In 4. Scegli l’impostazione predefinita per le viste incorporate (facoltativo), seleziona l’esperienza che desideri abilitare quando gli utenti accedono al contenuto incorporato.

4. Fai clic sul pulsante Salva e continua.

5. In 5. Ottieni i metadati di Tableau Cloud, fai clic sul pulsante Esporta metadati e salva il file di metadati di Tableau sul computer.

   Per impostazione predefinita, il nome file è saml_sp_metadata.xml.

La configurazione di AD FS per accettare le richieste di accesso di Tableau Cloud come un processo in più passaggi, a partire dall’importazione del file di metadati Tableau Cloud in AD FS.

1. Esegui una delle seguenti operazioni per avviare l’Aggiunta guidata attendibilità componente:

Windows Server 2008 R2:

1. Seleziona menu Start > Strumenti di amministrazione> AD FS 2.0.

2. In AD FS 2.0, all’interno di Relazioni di attendibilità, fai clic con il pulsante destro del mouse sulla cartella Attendibilità componente e scegli Aggiungi attendibilità componente.

Windows Server 2012 R2:

1. Apri Server Manager, quindi fai clic su Gestione AD FS nel menu Strumenti.

2. In Gestione AD FS fai clic su Aggiungi attendibilità componente nel menu Azione.

2. Nell’Aggiunta guidata attendibilità componente, fai clic su Avvia.

3. Nella pagina Seleziona origine dati, seleziona Importa dati sul componente da un file, quindi fai clic su Sfoglia per cercare il file di metadati di Tableau Cloud.

   Per impostazione predefinita, il nome file è saml_sp_metadata.xml.

4. Fai clic su Avanti e nella pagina Specifica nome visualizzato, digita un nome e una descrizione per l’attendibilità componente nelle caselle Nome visualizzato e Note.

5. Fai clic su Avanti per saltare la pagina Configura l’autenticazione a più fattori.

6. Fai clic su Avanti per saltare la pagina Scegli regole di autorizzazione rilascio.

7. Fai clic su Avanti per saltare la pagina Aggiunta attendibilità.

8. Nella pagina Fine, seleziona la casella di controllo Apri la finestra di dialogo Modifica regole attestazione per l’attendibilità componente alla chiusura della procedura guidata, quindi fai clic su Chiudi.

Successivamente, lavorerai nella finestra di dialogo Modifica regole attestazione, per aggiungere una regola che assicuri che le asserzioni inviate da AD FS corrispondano alle asserzioni attese da Tableau Cloud. Per Tableau Cloud è necessario almeno un nome utente (nel formato dell’indirizzo e-mail). Tuttavia, l’inserimento del nome e del cognome in aggiunta all’e-mail garantirà che i nomi utente visualizzati in Tableau Cloud corrispondano a quelli del tuo account AD.

1. Nella finestra di dialogo Modifica regole attestazione, fai clic su Aggiungi regola.

2. Nella pagina Scegli tipo di regola, per Modello di regola attestazione, seleziona Inviare attributi LDAP come attestazioni e fai clic su Avanti.

3. Nella pagina Configura regola attestazione, per Nome regola attestazione, immetti un nome significativo per la regola.

4. Per Archivio attributi, seleziona Active Directory, completa il mapping come indicato di seguito, quindi fai clic su Fine.

Il mapping è sensibile alla differenza tra maiuscole e minuscole e richiede un’ortografia esatta, quindi ricontrolla le voci immesse. La tabella mostra gli attributi comuni e il mapping dell’attestazione. Verifica gli attributi con la configurazione specifica di Active Directory.

Nota: Tableau Cloud richiede l’attributo NameID nella risposta SAML. Puoi fornire altri attributi per mappare i nomi utente in Tableau Cloud, ma il messaggio di risposta deve includere l’attributo NameID.

Attributo LDAP	Tipo di attestazione in uscita
A seconda della versione di AD FS: Nome-entità-utente oppure Indirizzi-e-mail	e-mail oppure Indirizzo e-mail
Nome	nome
Cognome	cognome

Se stai utilizzando AD FS 2016 o versione più recente, devi aggiungere una regola per passare per tutti i valori di richiesta. Se stai utilizzando una versione precedente di AD FS, passa alla procedura successiva per esportare i metadati di AD FS.

1. Clicca su Aggiungi regola.
2. In Modello regola di richiesta, scegli Passa per o Filtra una richiesta in arrivo.
3. In Nome regola di richiesta, immetti Windows.
4. Nella finestra pop-up Modifica regola - Windows:
   • In Tipo richiesta in arrivo, seleziona Nome dell’account Windows.
   • Seleziona Passa per tutti i valori delle richieste.
   • Fai clic su OK.

In Tableau Cloud, esegui le seguenti operazioni:

1. Torna in Tableau Cloud, nella pagina Nuova configurazione, in 3. Mappa gli attributi, compila i valori della richiesta da AD FS in Tableau Cloud.

2. Fai clic sul pulsante Salva e continua.

1. In Tableau Cloud, aggiungi un utente di esempio sia in ADFS che in Tableau Cloud per testare la configurazione SAML. Per aggiungere utenti in Tableau Cloud, consulta l’argomento Aggiungere utenti a un sito.

2. Torna alla pagina Nuova configurazione, in 7. Verifica configurazione fai clic sul pulsante Verifica configurazione.

È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud con il tipo di autenticazione SAML configurato.

Per aggiungere altri utenti al tuo sito, segui i passaggi indicati di seguito. La procedura descritta in questa sezione viene eseguita nella pagina Utenti di Tableau Cloud.

1. Dopo aver completato la procedura sopra descritta, dal riquadro di sinistra, vai alla pagina Utenti.

2. Segui la procedura descritta nell’argomento Aggiungere utenti a un sito. In alternativa, puoi aggiungere utenti utilizzando un file CSV seguendo la procedura descritta nell’argomento Importare utenti.

• Dopo aver configurato l’integrazione SAML tra AD FS e Tableau Cloud, devi eseguire l’aggiornamento di Tableau Cloud in modo che rispecchi le modifiche utente specifiche apportate in Active Directory. Ad esempio, l’aggiunta o la rimozione di utenti.

  Puoi aggiungere utenti automaticamente o manualmente:

  • Per aggiungere utenti automaticamente: crea uno script (utilizzando PowerShell, Python o file batch) per eseguire il push delle modifiche di AD in Tableau Cloud. Lo script può utilizzare tabcmd o l’API REST per interagire con Tableau Cloud.

  • Per aggiungere utenti manualmente: accedi all’interfaccia Web di Tableau Cloud, vai alla pagina Utenti, fai clic su Aggiungi utenti e immetti il nome utente degli utenti oppure carica un file CSV contenente le relative informazioni.

  Nota: se desideri rimuovere un utente ma conservare le risorse di contenuto, modifica il proprietario del contenuto prima di rimuovere l’utente. L’eliminazione di un utente comporta l’eliminazione del suo contenuto.

• In Tableau Cloud, il nome utente di un utente è il suo identificatore univoco. Come descritto nella procedura per la configurazione di AD FS per accettare le richieste di accesso da Tableau Cloud, i nomi utente di Tableau Cloud degli utenti devono corrispondere al nome utente memorizzato in AD.

• Nel Passaggio 3. Configurare l’applicazione Tableau Cloud nel tuo IdP, hai aggiunto una regola di richiesta in AD FS per abbinare nome, cognome e attributo del nome utente tra AD FS e Tableau Cloud. In alternativa, è possibile utilizzare il passaggio 5. Mappa gli attributi in Tableau Cloud per la stessa finalità.