Help bij Tableau Cloud

U kunt Active Directory Federation Services (AD FS) configureren als SAML-identiteitsprovider en Tableau Cloud toevoegen aan uw ondersteunde toepassingen met eenmalige aanmelding. Wanneer u AD FS integreert met SAML en Tableau Cloud, kunnen uw gebruikers zich aanmelden bij Tableau Cloud met hun standaard netwerkreferenties.

Voordat u Tableau Cloud en SAML met AD FS kunt configureren, moet uw omgeving over het volgende beschikken:

• Een server waarop Microsoft Windows Server 2008 R2 (of hoger) wordt uitgevoerd met AD FS 2.0 (of hoger) en waarop IIS is geïnstalleerd.

• We raden aan uw AD FS-server te beveiligen (bijvoorbeeld met een reverse proxy). Wanneer uw AD FS-server toegankelijk is van buiten uw firewall, kan Tableau Cloud kan gebruikers omleiden naar de aanmeldpagina die wordt gehost door AD FS.

• Een sitebeheeraccount dat Tableau gebruikt met MFA-verificatie. Als eenmalige SAML-aanmelding mislukt, kunt u zich nog steeds bij Tableau Cloud aanmelden als sitebeheerder.

Ga als volgt te werk in Tableau Cloud:

1. Meld u aan bij uw Tableau Cloud-site als sitebeheerder en selecteer Instellingen > Verificatie.

2. Klik op het tabblad Verificatie op de knop Nieuwe configuratie, selecteer SAML in de vervolgkeuzelijst Verificatie en voer vervolgens een naam in voor de configuratie.

   

   Opmerking: Van configuraties die vóór november 2024 zijn gemaakt (Tableau 2024.3), kan de naam niet worden gewijzigd.

Ga als volgt te werk in AD FS:

Met de onderstaande procedure exporteert u AD FS-metadata die u in Tableau Cloud gaat importeren. Zorg er voor dat de metadata correct geconfigureerd en versleuteld zijn voor Tableau Cloud. Controleer ook andere AD FS-vereisten voor uw SAML-configuratie.

1. Exporteer AD FS Federation-metadata naar een XML-bestand. Download het bestand vervolgens van https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

2. Open het metadatabestand in een teksteditor zoals Sublime Text of Kladblok++ en controleer of het correct is versleuteld als UTF-8 zonder BOM.

   Als het bestand een ander type versleuteling heeft, sla het dan op vanuit de teksteditor met de juiste versleuteling.

3. Controleer of AD FS op formulieren gebaseerde verificatie gebruikt. Aanmeldingen worden uitgevoerd in een browservenster. Daarom moet AD FS dit type verificatie standaard gebruiken.

   Bewerk c:\inetpub\adfs\ls\web.config, zoek naar de tag , en verplaats de regel zodat deze als eerste in de lijst wordt getoond. Sla het bestand op, zodat IIS het automatisch opnieuw kan laden.

   Opmerking: als u het bestand c:\inetpub\adfs\ls\web.config niet ziet, is IIS niet geïnstalleerd en geconfigureerd op uw AD FS-server.

4. Configureer een extra AD FS Relying Party-ID. Hiermee kunt u AD FS-problemen met SAML-afmelding omzeilen.

   Voer een van de volgende handelingen uit:

   Windows Server 2008 R2:

   1. Klik in AD FS 2.0 met de rechtermuisknop op de Relying Party die u eerder hebt gemaakt voor Tableau Cloud en klik daarna op Eigenschappen.

   2. Voer op het tabblad Identifiers (Identificatiecodes), in het vakje Relying Party-identifier (Identificatiecode relying party), https://<tableauservername>/public/sp/metadata in en klik dan op Add (Toevoegen).

   Windows Server 2012 R2:

   1. Klik in AD FS Management (AD FS-beheer), in de lijst Relying Party-trusts, met de rechtermuisknop op de Relying Party die u eerder hebt gemaakt voor Tableau Cloud. Klik dan op Properties (Eigenschappen).

   2. Voer op het tabblad Identifiers (Identificatiecodes), in het vakje Relying Party-identifier (Identificatiecode relying party), https://<tableauservername/public/sp/metadata in en klik dan op Add (Toevoegen).

Voer de volgende procedure uit nadat u het SAML-metadatabestand vanuit AD FS hebt opgeslagen, zoals hierboven beschreven.

1. Terug in Tableau Cloud klikt u op de pagina Nieuwe configuratie onder 2. Metadata uploaden naar Tableau op de knop Een bestand kiezen en gaat u naar het SAML-metadatabestand (FederationMetadata.xml) dat u in AD FS hebt gedownload. Hiermee worden de waarden ID van IdP-entiteit en URL voor SSO-service automatisch ingevuld.

2. Sla stap 3. Kenmerken toewijzen over omdat u een claimregel in AD FS gaat maken die overeenkomt met de kenmerknamen die Tableau Cloud verwacht in het onderstaande gedeelte.

3. Onder 4. Standaardinstelling kiezen voor insluiten van weergaven (optioneel) selecteert u de ervaring die u wilt inschakelen wanneer gebruikers ingesloten inhoud openen.

4. Klik op de knop Opslaan en doorgaan.

5. Onder 5. Tableau Cloud-metadata ophalen klikt u op de knop Metadata exporteren en slaat u het Tableau-metadatabestand op uw computer op.

   Standaard is de bestandsnaam saml_sp_metadata.xml.

Het configureren van AD FS voor het accepteren van aanmeldingsverzoeken van Tableau Cloud is een proces met meerdere stappen dat begint met het importeren van het Tableau Cloud -XML-metadatabestand naar AD FS.

1. Voer een van de volgende handelingen uit voor het openen van de Add Relying Party Trust Wizard (wizard Relying Party-trust toevoegen):

Windows Server 2008 R2:

1. Selecteer menu Start> naar Administratieve hulpmiddelen> ADFS 2.0.

2. Klik in AD FS 2.0, onder Relaties van trust, met de rechtermuisknop op de map Relying Party-trusts en klik dan op Relying Party-trust toevoegen.

Windows Server 2012 R2:

1. Open Serverbeheerder, en klik dan in het menu Hulpmiddelen op AD FS-beheer.

2. Klik in AD FS-beheer, in het menu Actie, op Relying Party-trust toevoegen.

2. Klik in de Wizard Relying Party toevoegen op Start.

3. Selecteer op de pagina Databron selecteren de optie Data over de relying party importeren uit een bestand. Klik vervolgens op Bladeren om uw Tableau Cloud-metadatabestand te vinden.

   Standaard is de bestandsnaam saml_sp_metadata.xml.

4. Klik op Volgende en typ op de pagina Weergavenaam opgeven een naam en beschrijving voor de Relying Party-trust in de vakjes Weergavenaam en Opmerkingen.

5. Klik op Volgende om de pagina Nu meervoudige verificatie configureren over te slaan.

6. Klik op Volgende om de pagina Autorisatieregels voor uitgifte kiezen over te slaan.

7. Klik op Volgende om de pagina Klaar om trust toe te voegen over te slaan.

8. Vink op de pagina Afronden het selectievakje Het dialoogvenster claimregels bewerken voor deze Relying Party-trust wanneer wizard wordt afgesloten aan en klik vervolgens op Afsluiten.

Vervolgens gaat u aan de slag in het dialoogvenster Claimregels bewerken. Voeg een regel toe die zorgt dat de claims die door AD FS worden verzonden, overeenkomen met de claims die Tableau Cloud verwacht. Tableau Cloud heeft minimaal een gebruikersnaam nodig (in de vorm van een e-mailadres). Als u naast uw e-mailadres echter ook uw voor- en achternaam opneemt, zorgt u dat de weergegeven gebruikersnamen in Tableau Cloud overeenkomen met die in uw AD-account.

1. Klik in het dialoogvenster Claimregels bewerken op Regel toevoegen.

2. Selecteer op de pagina Regeltype kiezen, voor Sjabloon voor claimregel, LDAP-kenmerken als claims verzenden. Klik vervolgens op Volgende.

3. Voer op de pagina Claimregel configureren, voor Claimregelnaam, een logische naam in voor de regel.

4. Selecteer voor Kenmerk opslaan Actieve Directory, voltooi de toewijzing zoals hieronder weergegeven en klik vervolgens op Afronden.

De toewijzing is hoofdlettergevoelig en vereist exacte spelling. Dus controleer uw invoer grondig. In de tabel hier worden algemene kenmerken en claimtoewijzingen weergegeven. Controleer de kenmerken met uw specifieke Active Directory-configuratie.

Opmerking: Tableau Cloud vereist het kenmerk NameID in de SAML-reactie. U kunt andere kenmerken opgeven om gebruikersnamen in Tableau Cloud toe te wijzen. Maar het reactiebericht moet de volgende data bevatten: kenmerk NameID.

LDAP-kenmerk	Type uitgaande claim
Afhankelijk van de versie van AD FS: User-Principal-Name of E-mailadressen	e-mailadres of E-mailadres
Given-Name	firstName
Achternaam	lastName

Als u AD FS 2016 of later gebruikt, moet u een regel toevoegen om alle claimwaarden door te geven. Als u een oudere versie van AD FS gebruikt, gaat u verder met de volgende procedure om AD FS-metadata te exporteren.

1. Klik op Regel toevoegen.
2. Kies onder Claimregelsjabloon Een binnenkomende claim doorsturen of filteren.
3. Voer onder Claimregelnaam Windows in.
4. In het pop-upvenster Regel bewerken - Windows:
   • Selecteer onder Inkomend claimtype Windows-accountnaam.
   • Selecteer Alle claimwaarden doorgeven.
   • Klik op OK.

Ga als volgt te werk in Tableau Cloud:

1. Ga terug naar de pagina Nieuwe configuratie in Tableau Cloud en vul onder 3. Kenmerken toewijzen de claimwaarden van AD FS in Tableau Cloud in.

2. Klik op de knop Opslaan en doorgaan.

1. Voeg in Tableau Cloud een voorbeeldgebruiker toe aan zowel AD FS als Tableau Cloud om de SAML-configuratie te testen. Zie het onderwerp Gebruikers aan een site toevoegen voor meer informatie over het toevoegen van gebruikers aan Tableau Cloud.

2. Ga terug naar de pagina Nieuwe configuratie en klik onder 7. Configuratie testen op de knop Configuratie testen.

We raden u ten zeerste aan de SAML-configuratie te testen om vergrendelde scenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u SAML correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt naar SAML. Om de configuratie succesvol te testen, moet u ervoor zorgen dat er ten minste één gebruiker is bij wie u zich kunt aanmelden, die al is ingericht in de IdP en is toegevoegd aan uw Tableau Cloud met het geconfigureerde SAML-verificatietype.

Voer de onderstaande stappen uit om extra gebruikers aan uw site toe te voegen. De procedure die in deze sectie wordt beschreven, wordt uitgevoerd op de pagina Gebruikers van Tableau Cloud.

1. Nadat u de bovenstaande stappen hebt voltooid, navigeert u vanuit het linkerdeelvenster naar de pagina Gebruikers.

2. Volg de procedure die wordt beschreven in het onderwerp Gebruikers aan een site toevoegen. U kunt ook gebruikers toevoegen met behulp van een .csv-bestand. Volg dan de procedure die wordt beschreven in Gebruikers importeren.

• Nadat u SAML-integratie tussen AD FS en Tableau Cloud hebt ingesteld, moet u Tableau Cloud bijwerken om specifieke wijzigingen weer te geven die u als gebruiker in Active Directory aanbrengt. Bijvoorbeeld het toevoegen of verwijderen van gebruikers.

  U kunt gebruikers automatisch of handmatig toevoegen:

  • Gebruikers automatisch toevoegen: maak een script (met PowerShell, Python of een batchbestand) om AD-wijzigingen door te voeren in Tableau Cloud. Het script kan tabcmd of de REST-API gebruiken voor interactie met Tableau Cloud.

  • Handmatig gebruikers toevoegen: meld u aan bij de webinterface van Tableau Cloud, ga naar de pagina Gebruikers en klik op Gebruikers toevoegen. Voer de gebruikersnaam van de gebruikers in () of upload een CSV-bestand met hun informatie.

  Opmerking: als u een gebruiker wilt verwijderen, maar de inhoud die deze bezit wilt behouden, wijzigt u eerst de eigenaar van de inhoud voordat u de gebruiker verwijdert. Wanneer u een gebruiker verwijdert, wordt ook de inhoud van die gebruiker verwijderd.

• In Tableau Cloud vormt de gebruikersnaam in de vorm van het van een gebruiker diens unieke identificatie. Zoals beschreven in de stappen voor het configureren van AD FS om aanmeldingsverzoeken te accepteren van Tableau Cloud, moeten Tableau Cloud gebruikersnamen van de gebruikers overeenkomen met de gebruikersnaam die is opgeslagen in AD.

• Stap 3. Tableau Cloud-toepassing configureren in uw IdP hebt u een claimregel in AD FS toegevoegd om de voor- en achternaam en kenmerken van de gebruikersnaam af te stemmen tussen AD FS en Tableau Cloud. Als alternatief kunt u kiezen voor stap 5. Wijs kenmerken toe in Tableau Cloud om hetzelfde effect te bereiken.