Configurare SAML con Okta


Se si utilizza Okta come provider di identità SAML (IdP), puoi utilizzare le informazioni contenute in questo argomento per configurare l’autenticazione SAML per il tuo sito Tableau Cloud. Puoi anche utilizzare l’argomento Come configurare SAML 2.0 per Tableau Cloud(Il collegamento viene aperto in una nuova finestra) (in inglese) nella documentazione di Okta.

L’integrazione SAML di Tableau Cloud con Okta supporta SSO avviato dal provider di servizi (SP), SSO avviato dal provider di identità (IdP) e single logout (SLO).

Note: 

  • Questi passaggi riflettono un’applicazione di terze parti e sono soggette a modifiche a nostra insaputa. Se i passaggi qui descritti non corrispondono alle schermate che vedi nel tuo account IdP, usa i passaggi generali di configurazione di SAML, i insieme alla documentazione dell’IdP.
  • A partire da febbraio 2022, l’autenticazione a più fattori (MFA) tramite il tuo provider di identità (IdP) SSO SAML è un requisito di Tableau Cloud.
  • I passaggi di configurazione nell’IdP potrebbero seguire un ordine diverso rispetto a quello indicato in Tableau Cloud.

Passaggio 1. Inizio

In Tableau Cloud, esegui le seguenti operazioni:

  1. Accedi al tuo sito Tableau Cloud come amministratore e seleziona Impostazioni > Autenticazione.

  2. Nella scheda Autenticazione fai clic sul pulsante Nuova configurazione, seleziona SAML dall’elenco a discesa Autenticazione, quindi immetti un nome per la configurazione.

    Screenshot della pagina delle impostazioni di autenticazione del sito Tableau Cloud - pagina Nuova configurazione

    Nota: Le configurazioni create prima di novembre 2024 (Tableau 2024.3) non possono essere rinominate.

Nella console di amministrazione di Okta procedi come segue: 

  1. Apri una nuova scheda o finestra del browser e accedi alla tua console di amministrazione Okta.

  2. Dal riquadro di sinistra seleziona Applicazioni > Applicazioni, quindi fai clic sul pulsante Sfoglia catalogo app.

  3. Cerca e fai clic su “Tableau Cloud”, quindi fai clic sul pulsante Aggiungi integrazione. Visualizzerai la scheda Impostazioni generali.

  4. (Facoltativo) Se disponi di più siti Tableau Cloud, modifica il nome del sito nel campo Etichetta applicazione in modo da distinguere le istanze dell’applicazione Tableau Cloud.

  5. Vai alla scheda Accedi fai clic su Modifica e procedi come segue:

    1. In Dettagli sui metadati copia l’URL dei metadati.

    2. Incolla l’URL in un nuovo browser e salva i risultati in un file utilizzando il file “metadata.xml” predefinito.

Passaggio 2. Configurare SAML in Tableau Cloud

Dopo aver salvato il file di metadati SAML da Okta, come descritto nella sezione precedente, completa la seguente procedura.

  1. Torna in Tableau Cloud, nella pagina Nuova configurazione, sotto 2. Carica i metadati in Tableau, fai clic sul pulsante Scegli un file e seleziona il file di metadati SAML che hai salvato da Okta. I valori ID entità IdP e URL del servizio Single Sign-On verranno compilati automaticamente.

  2. Mappa i nomi degli attributi (asserzioni) in 3. Mappa gli attributi abbinandoli ai nomi degli attributi corrispondenti (asserzioni) nella pagina Mapping dei profili utente di Tableau Cloud della console di amministrazione di Okta.

  3. In 4. Scegli l’impostazione predefinita per le viste incorporate (facoltativo), seleziona l’esperienza che desideri abilitare quando gli utenti accedono al contenuto incorporato. Per maggiori informazioni, consulta la sezione Informazioni sull’abilitazione dell’incorporamento di iFrame di seguito.

  4. Fai clic sul pulsante Salva e continua.

Passaggio 3. Configurare l’applicazione Tableau Cloud nel tuo IdP

Per la procedura descritta questa sezione verranno utilizzate le informazioni fornite in 5. Ottieni i metadati di Tableau Cloud, in Metodo 2: copia i metadati e scarica il certificato nella pagina Nuova configurazione in Tableau Cloud.

  1. Nella console di amministrazione di Okta fai clic sulla scheda Assegnazioni per aggiungere utenti o gruppi.

  2. Al termine, fai clic su Fine.

  3. Fai clic sulla scheda Accesso e nella sezione Impostazioni fai clic su Modifica.

  4. (Facoltativo) Se desideri abilitare il single logout (SLO), procedi come segue:

    1. Seleziona la casella di controllo Abilita single logout.

    2. Copia il valore “URL single logout” dal file di metadati di Tableau Cloud. Ad esempio, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Per maggiori informazioni, consulta Configurare il single logout utilizzando SAML con Okta(Il collegamento viene aperto in una nuova finestra) nella Knowledge Base di Tableau.

    3. Nella casella di testo Impostazioni di accesso avanzate immetti il valore copiato nel passaggio b.

    4. Accanto a Certificato di firma, fai clic sul pulsante Sfoglia e passa al file di certificato scaricato nella sezione precedente.

    5. Seleziona il file e fai clic sul pulsante Carica.

    6. Al termine, fai clic su Salva.

  5. Seleziona Applicazioni > Applicazioni, fai clic sull’applicazione Tableau Cloud, quindi seleziona la scheda Accesso e procedi come segue:

    1. Fai clic su Modifica.

    2. In Impostazioni di accesso avanzate, nella casella di testo ID entità Tableau Cloud della console di amministrazione di Okta incolla il valore di ID entità Tableau Cloud da Tableau Cloud.

    3. Nella casella di testo URL ACS Tableau Cloud della console di amministrazione di Okta, incolla il valore di URL ACS di Tableau Cloud da Tableau Cloud.

    Nota: le impostazioni di configurazione SAML di Tableau Cloud vengono visualizzate in un ordine diverso rispetto alla pagina delle impostazioni di Okta. Per evitare problemi di autenticazione SAML, assicurati che l’ID entità di Tableau Cloud e l’URL ACS Tableau Cloud siano immessi nei campi corretti in Okta.

  6. Al termine, fai clic su Salva.

Passaggio 4. Verificare la configurazione SAML in Tableau Cloud

In Okta, esegui le seguenti operazioni:

  • Aggiungi un utente di esempio a Okta e assegnalo all’applicazione Tableau Cloud.

In Tableau Cloud, esegui le seguenti operazioni:

  1. Aggiungi l’utente Okta a Tableau Cloud per verificare la configurazione SAML. Per aggiungere utenti in Tableau Cloud, consulta l’argomento Aggiungere utenti a un sito.

  2. Nella pagina Nuova configurazione, in 7. Verifica configurazione fai clic sul pulsante Verifica configurazione.

È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud con il tipo di autenticazione SAML configurato.

Nota: se la connessione non riesce, valuta se mantenere l’attributo NameID in Tableau così com’è.

Passaggio 5. Aggiungere altri utenti al sito Tableau Cloud con SAML abilitato

Se prevedi di utilizzare SCIM per effettuare il provisioning degli utenti da Okta, non aggiungere manualmente gli utenti a Tableau Cloud. Per maggiori informazioni, consulta Configurare SCIM con Okta. Se non utilizzi SCIM, procedi come segue per aggiungere altri utenti al tuo sito.

La procedura descritta in questa sezione viene eseguita nella pagina Utenti di Tableau Cloud.

  1. Dopo aver completato la procedura sopra descritta, dal riquadro di sinistra, vai alla pagina Utenti.

  2. Segui la procedura descritta nell’argomento Aggiungere utenti a un sito.

Informazioni sull’abilitazione dell’incorporamento di iFrame

Quando abiliti SAML sul tuo sito, devi specificare come gli utenti accedono per entrare nelle viste incorporate nelle pagine Web. Questa procedura configura Okta per consentire l’autenticazione tramite un frame inline (iFrame) per una visualizzazione incorporata. L’incorporamento del frame inline può fornire un’esperienza utente più fluida quando accedi a visualizzazioni incorporate. Ad esempio, se un utente è già autenticato con il provider di identità e l’incorporamento di iFrame è abilitato, l’utente esegue l’autenticazione senza soluzione di continuità con Tableau Cloud durante la navigazione in pagine che contengono visualizzazioni incorporate.

Attenzione: gli IFrame possono essere vulnerabili a un attacco di clickjacking. Il clickjacking è un tipo di attacco alle pagine Web in cui l’utente malintenzionato cerca di attrarre i normali utenti affinché facciano clic o inseriscano contenuti, visualizzando la pagina che intende attaccare in un livello trasparente applicato al di sopra di una pagina non correlata. Nel contesto di Tableau Cloud, un aggressore potrebbe tentare di utilizzare un attacco di clickjacking per acquisire le credenziali dell’utente o per ottenere l’autenticazione di un utente al fine di modificare le impostazioni. Per maggiori informazioni sugli attacchi di clickjacking, consulta Clickjacking(Il collegamento viene aperto in una nuova finestra) sul sito Web di Open Web Application Security Project.

  1. Accedi alla console di amministrazione di Okta.

  2. Dal riquadro di sinistra seleziona Personalizzazioni > Altro e passa alla sezione Incorporamento IFrame.

  3. Fai clic su Modifica, seleziona la casella di controllo Consenti l’incorporamento di iFrame, quindi fai clic su Salva.

Torna in alto