Ajuda do Tableau Cloud

Você pode configurar o Active Directory Federation Services (AD FS) como um provedor de identidade de SAML e adicionar o Tableau Cloud aos aplicativos de logon único suportados. Ao integrar o AD FS com o SAML e o Tableau Cloud, seus usuários poderão fazer logon no Tableau Cloud usando suas credenciais de rede padrão.

Antes de configurar o Tableau Cloud e o SAML com o AD FS, seu ambiente deve ter o seguinte:

• Um servidor que executa Microsoft Windows Server 2008 R2 (ou posterior) com AD FS 2.0 (ou posterior) e IIS instalados.

• Recomenda-se que você proteja o seu servidor AD FS (por exemplo, utilizando um proxy reverso). Quando o seu servidor AD FS puder ser acessado fora do firewall, o Tableau Cloud poderá redirecionar os usuários à página de logon hospedada pelo AD FS.

• Uma conta de administrador de site que usa o Tableau com autenticação MFA. Se o logon único do SAML falhar, você ainda pode fazer logon no Tableau Cloud como um administrador do site.

No Tableau Cloud, faça o seguinte:

1. Entre no site Tableau Cloud como um administrador de site e selecione Configurações > Autenticação.

2. Na guia Autenticação, clique no botão Nova configuração, selecione SAML no menu suspenso Autenticação e insira um nome para a configuração.

   

   Observação: Configurações criadas antes de novembro de 2024 (Tableau 2024.3) não podem ser renomeadas.

No AD FS, faça o seguinte:

O procedimento abaixo exporta metadados do AD FS para os quais você importará Tableau Cloud. Verifique também se os metadados estão configurados e codificados corretamente para Tableau Cloud e verifique outros requisitos do AD FS para a sua configuração SAML.

1. Exporte os metadados de AD FS Federation para um arquivo XML e, em seguida, baixe o arquivo em https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

2. Abra o arquivo de metadados em um editor de texto como Sublime Text ou Notepad++ e verifique se ele está corretamente codificado como UTF-8 sem BOM.

   Se o arquivo mostrar algum outro tipo de codificação, salve-o no editor de texto com a codificação correta.

3. Verifique se o AD FS está usando a autenticação com base em formulários. Os logons são realizados em uma janela do navegador, então você precisa que o AD FS tenha esse tipo de autenticação como padrão.

   Edite c:\inetpub\adfs\ls\web.config, pesquise pela marca , e mova a linha, de modo que ela apareça em primeiro na lista. Salve o arquivo para que o IIS possa recarregá-lo automaticamente.

   Observação: se você não visualizar o arquivo c:\inetpub\adfs\ls\web.config, o IIS não é instalado e configurado no servidor AD FS.

4. Configure um identificador de parte confiável AD FS adicional. Isso permite que o seu sistema solucione qualquer problema do AD FS ao sair do SAML.

   Execute um destes procedimentos:

   Windows Server 2008 R2:

   1. No AD FS 2.0, clique com o botão direito do mouse na parte confiável criada anteriormente para o Tableau Cloud e em clique em Propriedades.

   2. Na guia Identificadores, na caixa Identificador da parte confiável, insira https://<tableauservername>/public/sp/metadata e clique em Adicionar.

   Windows Server 2012 R2:

   1. Em Gerenciamento de AD FS na lista Confianças de parte confiável, clique com o botão direito do mouse na parte confiável criada anteriormente para o Tableau Cloud e clique em Propriedades.

   2. Na guia Identificadores, na caixa Identificador da parte confiável, insira https://<tableauservername>/public/sp/metadata e clique em Adicionar.

Conclua o procedimento a seguir depois de salvar o arquivo de metadados SAML do AD FS, conforme descrito na seção acima.

1. De volta ao Tableau Cloud, na página Nova configuração, em 2. Carregar metadados no Tableau, clique no botão Escolher um arquivo e navegue até o arquivo de metadados SAML (FederationMetadata.xml) que você exportou no AD FS. Isso preenche automaticamente os valores de ID da entidade IdP e URL do serviço SSO.

2. Pule 3. Atributos do mapa porque você criará uma regra de reivindicação no AD FS para corresponder aos nomes de atributos que Tableau Cloud espera na seção abaixo.

3. Em 4. Escolher padrão para exibições inseridas (opcional), selecione a experiência que você deseja habilitar quando os usuários acessam o conteúdo inserido.

4. Clique no botão Salvar e continuar.

5. Em 5. Obter metadados do Tableau Cloud clique no botão Exportar metadados e salve o arquivo de metadados do Tableau no computador.

   Por padrão, o arquivo é chamado saml_sp_metadata.xml.

A configuração do AD FS para aceitar as solicitações de logon do Tableau Cloud é um processo de várias etapas, iniciando com a importação do arquivo de metadados do Tableau Cloud para o AD FS.

1. Realize uma das seguintes ações para abrir o Assistente de confiança de terceira parte confiável:

Windows Server 2008 R2:

1. Selecione menu Iniciar > para Ferramentas administrativas> AD FS 2.0.

2. No AD FS 2.0, em Relacionamentos Confiáveis, clique com o botão direito do mouse na pasta Confianças de Terceira Parte Confiável e, em seguida, clique em Adicionar Confiança de Terceira Parte Confiável.

Windows Server 2012 R2:

1. Abra o Gerenciador de servidores e, em seguida, no menu Ferramentas, clique em Gerenciamento do AD FS.

2. Em Gerenciamento do AD FS, no menu Ação, clique em Adicionar Confiança de Terceira Parte Confiável.

2. No Assistente Adicionar Terceira Parte Confiável, clique em Iniciar.

3. Na página Selecionar fonte de dados, selecione Importar dados sobre a parte confiável de um arquivo e clique em Procurar para encontrar o arquivo de metadados do Tableau Cloud.

   Por padrão, o arquivo é chamado saml_sp_metadata.xml.

4. Clique em Avançar e na página Especificar nome de exibição, digite um nome e uma descrição para a confiança da parte confiável nas caixas Nome de exibição e Observações.

5. Clique em Avançar para ignorar a página Configurar autenticação multifator agora.

6. Clique em Avançar para ignorar a página Escolher regras de autorização de emissão.

7. Clique em Avançar para ignorar a página Pronto para incluir confiança.

8. Na página Concluir, selecione a caixa de seleção Abrir a caixa de diálogo Editar Regras de Declarações para esta confiança de terceira parte confiável quando o assistente fechar, e clique em Fechar.

O próximo passo é trabalhar na caixa de diálogo Editar regras de declaração para adicionar uma regra que garanta que as afirmações enviadas pelo AD FS coincidam com as afirmações esperadas pelo Tableau Cloud. No mínimo, o Tableau Cloud precisa de um nome de usuário (no formato de endereço de e-mail). No entanto, incluir o nome e o sobrenome, além do e-mail, garantirá que os nomes de usuário exibidos no Tableau Cloud sejam os mesmos que os da sua conta AD.

1. Na caixa de diálogo Editar regras de declaração, clique em Adicionar regra.

2. Na página Escolher tipo de regra, para Modelo da regra de declaração, selecione Enviar atributos LDAP como declarações e, em seguida, clique em Avançar.

3. Na página Configurar regra de declaração, para Nome da regra de declaração, insira um nome que fizer sentido para você.

4. Para Repositório de atributos, selecione Active Directory, complete o mapeamento conforme mostrado abaixo e clique em Concluir.

O mapeamento diferencia maiúsculas de minúsculas, portanto verifique suas entradas. Esta tabela mostra atributos comuns e mapeamentos de declaração. Verifique os atributos com a configuração específica do Active Directory.

Observação: o Tableau Cloud requer o atributo NameID na resposta SAML. Você pode fornecer outros atributos para mapear nomes de usuário no Tableau Cloud, mas a mensagem de resposta deve incluir o atributo NameID.

Atributo LDAP	Tipo de declaração de saída
Dependendo da versão do AD FS: Nome-Principal-Usuário ou Endereço de e-mail	email ou Endereço de email
Nome	firstName
Sobrenome	lastName

Se você estiver executando o AD FS 2016 ou posterior, deverá adicionar uma regra para transmitir todos os valores de solicitação. Se você estiver executando uma versão antiga do AD FS, vá para o próximo procedimento para exportar metadados do AD FS.

1. Clique em Adicionar regra.
2. Em Solicitar modelo de regra, escolha Transmitir ou Filtrar uma solicitação de entrada.
3. Em Solicitar nome da regra, digite Windows.
4. Na janela pop-up Editar Regra - Windows:
   • Em Tipo de solicitação de entrada, selecione Nome da conta do Windows.
   • Selecione Transmitir todos os valores de solicitação.
   • Clique em OK.

No Tableau Cloud, faça o seguinte:

1. Retorne ao Tableau Cloud, na página Nova configuração, em 3. Atributos do mapa, preencha os valores de declaração do AD FS no Tableau Cloud.

2. Clique no botão Salvar e continuar.

1. No Tableau Cloud, adicione um usuário de amostra ao ADFS e ao Tableau Cloud para testar a configuração SAML. Para adicionar usuários no Tableau Cloud, consulte o tópico Adicionar usuários a um site.

2. Volte para a página Nova configuração, em 7. Configuração de teste, clique no botão Configuração de teste.

É altamente recomendável testar a configuração SAML para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de SAML antes de alterar o tipo de autenticação de seus usuários para SAML. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud com o tipo de autenticação SAML configurado.

Usar etapas abaixo para adicionar usuários ao seu site. O procedimento descrito nesta seção é executado na página Usuários do Tableau Cloud.

1. Depois de concluir as etapas acima, no painel esquerdo, navegue até a página Usuários.

2. Siga o procedimento descrito no tópico Adicionar usuários a um site. Como alternativa, você pode adicionar usuários usando um arquivo .csv seguindo o procedimento descrito no tópico Importar usuários.

• Depois de configurar a integração de SAML entre o AD FS e o Tableau Cloud, você deve atualizar o Tableau Cloud para refletir alterações específicas do usuário feitas no Active Directory. Por exemplo, adicionar ou remover usuários.

  Você pode adicionar usuários automaticamente ou manualmente:

  • Para adicionar usuários de forma automática: crie um script (usando PowerShell, Python ou arquivo de lote) para enviar as alterações do AD para Tableau Cloud. O script pode usar tabcmd ou REST API para interagir com Tableau Cloud.

  • Para adicionar usuários manualmente: faça logon na interface de usuário da Web do Tableau Cloud, acesse a página Usuários, clique em Adicionar usuários insira nome de usuário dos usuários ou faça o upload do arquivo CSV que contenha suas informações.

  Observação: para remover um usuário e manter os ativos de conteúdo que ele possui, altere o proprietário do conteúdo antes de removê-lo. Excluir um usuário também exclui o conteúdo dele.

• Em Tableau Cloud, um nome de usuário do usuário é seu identificador exclusivo. Conforme descrito nas etapas de configuração do AD FS para aceitar solicitações de logon dos usuários do Tableau Cloud, nomes de usuários do Tableau Cloud devem corresponder ao nome de usuário do armazenado no AD.

• Na Etapa 3. Configure o aplicativo Tableau Cloud no IdP, você adicionou uma regra de declaração no AD FS para corresponder aos atributos de nome, sobrenome e nome de usuário entre o AD FS e o Tableau Cloud. Como alternativa, use a etapa 5. Mapear atributos no Tableau Cloud para fazer o mesmo.