กำหนดค่า SAML ด้วย Okta


หากคุณใช้ Okta เป็นผู้ให้บริการข้อมูลประจำตัว SAML (IdP) ของคุณ คุณสามารถใช้ข้อมูลในหัวข้อนี้เพื่อตั้งค่าการตรวจสอบสิทธิ์ SAML สำหรับไซต์ Tableau Cloud ได้ คุณยังสามารถดูหัวข้อวิธีกำหนดค่า SAML 2.0 สำหรับ Tableau Cloud(ลิงก์จะเปิดในหน้าต่างใหม่) ในเอกสารประกอบของ Okta ได้อีกด้วย

การผสานรวม SAML ของ Tableau Cloud กับ Okta รองรับ SSO ที่เริ่มต้นโดยผู้ให้บริการ (SP), ผู้ให้บริการข้อมูลประจำตัว (IdP) ที่เริ่มต้นโดย SSO และการออกจากระบบเพียงครั้งเดียว (SLO)

หมายเหตุ: 

  • ขั้นตอนเหล่านี้จะแสดงแอปพลิเคชันของบุคคลที่สาม และอาจเปลี่ยนแปลงได้ทุกเมื่อโดยที่เราไม่ทราบ หากขั้นตอนที่อธิบายไว้ที่นี่ไม่ตรงกับหน้าจอที่คุณเห็นในบัญชี IdP คุณสามารถใช้ขั้นตอนการกำหนดค่า SAML ทั่วไปและร่วมกับเอกสารประกอบของ IdP ได้
  • ตั้งแต่เดือนกุมภาพันธ์ 2022 เป็นต้นไป การตรวจสอบสิทธิ์หลายปัจจัย (MFA) ผ่านผู้ให้บริการข้อมูลประจำตัว SAML SSO (IdP) ของคุณถือเป็นข้อกำหนดของ Tableau Cloud
  • ขั้นตอนการกำหนดค่าใน IdP อาจอยู่ในลำดับที่แตกต่างไปจากที่คุณเห็นใน Tableau Cloud

ขั้นที่ 1: เริ่มต้น

ใน Tableau Cloud ให้ทำดังต่อไปนี้

  1. เข้าสู่ระบบเว็บไซต์ Tableau Cloud ของคุณในฐานะผู้ดูแลเว็บไซต์ แล้วเลือก การตั้งค่า > การรับรองสิทธิ์

  2. บนแท็บการตรวจสอบสิทธิ์ คลิกปุ่มการกำหนดค่าใหม่ เลือก OpenID Connect (OIDC) ใหม่ จากรายการดรอปดาวน์การตรวจสอบสิทธิ์ จากนั้นป้อนชื่อสำหรับการกำหนดค่า

    ภาพหน้าจอของหน้าการตั้งค่าการตรวจสอบสิทธิ์เว็บไซต์ Tableau Cloud -- หน้าการกำหนดค่าใหม่

    หมายเหตุ: การกำหนดค่าที่สร้างก่อนเดือนพฤศจิกายน 2024 (Tableau 2024.3) ไม่สามารถเปลี่ยนชื่อได้

ในคอนโซลผู้ดูแล Okta ให้ทำดังนี้: 

  1. เปิดแท็บหรือหน้าต่างเบราว์เซอร์ใหม่ แล้วเข้าสู่ระบบคอนโซลผู้ดูแลระบบ Okta

  2. จากแผงด้านซ้าย ให้เลือกแอปพลิเคชัน > แอปพลิเคชัน และคลิกปุ่มเรียกดูแคตตาล็อกแอป

  3. ค้นหาและคลิก "Tableau Cloud" จากนั้นคลิกปุ่มเพิ่มการผสานรวม การดำเนินการนี้จะเป็นการเปิดแท็บการตั้งค่าทั่วไป

  4. (ไม่บังคับ) หากคุณมีไซต์ Tableau Cloud มากกว่าหนึ่งรายการ ให้แก้ไขชื่อไซต์ในฟิลด์ป้ายกำกับแอปพลิเคชัน เพื่อช่วยคุณแยกแยะระหว่างอินสแตนซ์แอปพลิเคชัน Tableau Cloud ของคุณ

  5. ไปที่แท็บเข้าสู่ระบบ คลิกแก้ไขและทำสิ่งต่อไปนี้

    1. ภายใต้รายละเอียดเมตาดาต้า ให้คัดลอก URL เมตาดาต้า

    2. วาง URL ลงในเบราว์เซอร์ใหม่และบันทึกผลลัพธ์เป็นไฟล์โดยใช้ค่าเริ่มต้น “metadata.xml”

ขั้นตอนที่ 2: กำหนดค่า SAML ใน Tableau Cloud

ดำเนินการตามขั้นตอนต่อไปนี้ให้ครบถ้วนหลังจากคุณบันทึกไฟล์เมตาดาต้า Okta จาก Entra ตามที่อธิบายไว้ในส่วนด้านบน

  1. กลับไปที่ Tableau Cloud บนหน้าการกำหนดค่าใหม่ ภายใต้ 2. อัปโหลดเมตาดาต้าไปยัง Tableau คลิกปุ่มเลือกไฟล์และไปยังไฟล์เมตาดาต้า SAML ที่คุณบันทึกจาก Okta วิธีนี้จะป้อนค่า ID เอนทิตี IdP และ URL บริการ SSO โดยอัตโนมัติ

  2. แมปชื่อแอตทริบิวต์ (การยืนยัน) ภายใต้ 3. แมปแอตทริบิวต์ไปยังชื่อแอตทริบิวต์ที่สอดคล้องกัน (การยืนยัน) ในหน้าคอนโซลผู้ดูแล Okta การแมปโปรไฟล์ผู้ใช้ Tableau Cloud

  3. ในส่วนที่ 4. เลือกค่าเริ่มต้นสำหรับการฝังมุมมอง (ไม่บังคับ) เลือกประสบการณ์ที่คุณต้องการเปิดใช้งานเมื่อผู้ใช้เข้าถึงเนื้อหาแบบฝัง หากต้องการข้อมูลเพิ่มเติม โปรดดูส่วน เกี่ยวกับการเปิดใช้งานการฝัง iFrame ด้านล่าง

  4. คลิกที่ปุ่มบันทึกและดำเนินการต่อ

ขั้นตอนที่ 3 กำหนดค่าแอปพลิเคชัน Tableau Cloud ใน IdP ของคุณ

ขั้นตอนในส่วนนี้จะใช้ข้อมูลจาก 5. รับเมตาดาต้า Tableau Cloud ภายใต้วิธีที่ 2: คัดลอกเมตาดาต้าและดาวน์โหลดใบรับรองในหน้า การกำหนดค่าใหม่ใน Tableau Cloud

  1. ในคอนโซลผู้ดูแล Okta ให้คลิกแท็บการมอบหมายเพื่อเพิ่มผู้ใช้หรือกลุ่มของคุณ

  2. เมื่อเสร็จแล้ว ให้คลิกเสร็จสิ้น

  3. คลิกลงชื่อเข้าใช้ และในส่วนการตั้งค่า ให้คลิกแก้ไข

  4. (ไม่บังคับ) หากคุณต้องการเปิดใช้งานการออกจากระบบเพียงครั้งเดียว (SLO) ให้ทำดังต่อไปนี้

    1. เลือกช่องทำเครื่องหมายการออกจากระบบเพียงครั้งเดียว

    2. คัดลอกค่า “URL การออกจากระบบเพียงครั้งเดียว” จากไฟล์เมตาดาต้าของ Tableau Cloud ตัวอย่างเช่น <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/> หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดค่าการออกจากระบบเพียงครั้งเดียวโดยใช้ SAML กับ Okta(ลิงก์จะเปิดในหน้าต่างใหม่) ในฐานความรู้ของ Tableau

    3. ในกล่องข้อความการตั้งค่าการลงชื่อเข้าใช้ขั้นสูง ให้ป้อนค่าที่คุณคัดลอกไว้ในขั้นตอน b

    4. ถัดจากใบรับรองการลงนาม คลิกที่ปุ่มค้นหาและนำทางไปยังไฟล์ใบรับรองที่คุณดาวน์โหลดในส่วนด้านบน

    5. เลือกไฟล์และคลิกปุ่มอัปโหลด

    6. เมื่อเสร็จแล้ว ให้คลิกบันทึก

  5. เลือกแอปพลิเคชัน > แอปพลิเคชัน คลิกแอปพลิเคชัน Tableau Cloud จากนั้นเลือกแท็บลงชื่อเข้าใช้และทำตามขั้นตอนต่อไปนี้

    1. คลิกแก้ไข

    2. ภายใต้การตั้งค่าการเข้าสู่ระบบขั้นสูง สำหรับกล่องข้อความ ID เอนทิตี้ Tableau Cloud ในคอนโซลผู้ดูแล Okta ให้วางค่า ID เอนทิตี้ Tableau Cloud จาก Tableau Cloud

    3. สำหรับกล่องข้อความ URL ของ Tableau Cloud ACS ในคอนโซลผู้ดูแล Okta ให้พิมพ์ค่า URL ของ Tableau Cloud ACS จาก Tableau Cloud

    หมายเหตุ: การตั้งค่าการกำหนดค่า SAML ของ Tableau Cloud จะปรากฏในลำดับที่แตกต่างออกไปจากในหน้าการตั้งค่า Okta หากต้องการป้องกันปัญหาการตรวจสอบสิทธิ์ SAML โปรดตรวจสอบว่าได้ป้อน ID เอนทิตีสำหรับ Tableau Cloud และ URL สำหรับ ACS ของ Tableau Cloud ลงในฟิลด์ที่ถูกต้องใน Okta

  6. เมื่อเสร็จแล้ว ให้คลิกบันทึก

ขั้นตอนที่ 4: ทดสอบการกำหนดค่า SAML ใน Tableau Cloud

ใน Okta ให้ทำดังต่อไปนี้

  • เพิ่มผู้ใช้ตัวอย่างให้กับ Okta และมอบหมายให้กับแอปพลิเคชัน Tableau Cloud

ใน Tableau Cloud ให้ทำดังต่อไปนี้

  1. เพิ่มผู้ใช้ Okta ลงใน Tableau Cloud เพื่อทดสอบการกำหนดค่า SAML หากต้องการเพิ่มผู้ใช้ใน Tableau Cloud โปรดดูหัวข้อเพิ่มผู้ใช้ไปยังไซต์

  2. บนหน้าการกำหนดค่าใหม่ ภายใต้ 7. ทดสอบการกำหนดค่า คลิกปุ่มทดสอบการกำหนดค่า

เราขอแนะนำอย่างยิ่งให้คุณทดสอบการกำหนดค่า SAML เพื่อหลีกเลี่ยงสถานการณ์ที่ถูกล็อก การทดสอบการกำหนดค่าช่วยให้แน่ใจว่าคุณได้กำหนดค่า SAML อย่างถูกต้องก่อนที่จะเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้เป็น SAML หากต้องการทดสอบการกำหนดค่าให้สำเร็จ ตรวจสอบว่ามีผู้ใช้อย่างน้อยหนึ่งรายที่คุณสามารถเข้าสู่ระบบได้เนื่องจากได้รับการจัดเตรียมไว้ใน IdP แล้ว และเพิ่มลงใน Tableau Cloud ของคุณด้วยประเภทการตรวจสอบสิทธิ์ SAML ที่กำหนดค่าไว้

หมายเหตุ: หากการเชื่อมต่อล้มเหลว ให้พิจารณาเก็บแอตทริบิวต์ NameID ใน Tableau ตามที่เป็นอยู่

ขั้นตอนที่ 5: เพิ่มผู้ใช้ไปยังไซต์ Tableau Cloud ที่เปิดใช้งาน SAML

หากคุณวางแผนที่จะใช้ SCIM เพื่อจัดเตรียมผู้ใช้ของคุณจาก Okta อย่าเพิ่มผู้ใช้ของคุณไปยัง Tableau Cloud ด้วยตนเอง หากต้องการข้อมูลเพิ่มเติม โปรดดูกำหนดค่า SCIM ด้วย Okta หากคุณไม่ได้ใช้ SCIM ให้ใช้ขั้นตอนด้านล่างเพื่อเพิ่มผู้ใช้ไปยังไซต์ของคุณ

ขั้นตอนที่อธิบายไว้ในส่วนนี้ดำเนินการบนหน้าผู้ใช้ของ Tableau Cloud

  1. หลังจากที่คุณทำตามขั้นตอนข้างต้นเสร็จแล้ว จากแผงด้านซ้าย ให้ไปที่หน้าผู้ใช้

  2. ทำตามขั้นตอนที่อธิบายไว้ในหัวข้อเพิ่มผู้ใช้ไปยังไซต์

เกี่ยวกับการเปิดใช้งานการฝัง iFrame

เมื่อคุณเปิดใช้งาน SAML ในไซต์ของคุณ คุณต้องระบุว่าผู้ใช้จะลงชื่อเข้าใช้ด้วยวิธีใดเพื่อเข้าถึงมุมมองที่ฝังไว้ในหน้าเว็บ ขั้นตอนเหล่านี้กำหนดค่า Okta ให้อนุญาตการตรวจสอบสิทธิ์โดยใช้เฟรมอินไลน์ (iFrame) สำหรับการแสดงเป็นภาพแบบฝัง การฝังเฟรมอินไลน์อาจมอบประสบการณ์ผู้ใช้ที่ราบรื่นขึ้นเมื่อลงชื่อเข้าใช้เพื่อดูการแสดงเป็นภาพแบบฝัง ตัวอย่างเช่น หากผู้ใช้ได้รับการตรวจสอบสิทธิ์ด้วยผู้ให้บริการข้อมูลประจำตัวแล้วและเปิดใช้งานการฝัง iFrame อยู่ ผู้ใช้จะตรวจสอบสิทธิ์ด้วย Tableau Cloud อย่างราบรื่นเมื่อเรียกดูหน้าที่มีการแสดงเป็นภาพที่ฝังไว้

ข้อควรระวัง: การฝังเฟรมอินไลน์อาจมีความเสี่ยงต่อการโจมตีแบบหลอกให้คลิก การหลอกให้คลิก เป็นประเภทของการโจมตีหน้าเว็บอย่างหนึ่งที่ผู้โจมตีพยายามหลอกล่อให้ผู้ใช้คลิกหรือป้อนเนื้อหาโดยแสดงหน้าเพื่อโจมตีในเลเยอร์แบบโปร่งใสบนหน้าที่ไม่เกี่ยวข้อง ในบริบทของ Tableau Cloud ผู้โจมตีอาจพยายามใช้การโจมตีแบบหลอกให้คลิกเพื่อดักจับข้อมูลเข้าสู่ระบบของผู้ใช้หรือเพื่อให้ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์เปลี่ยนการตั้งค่า หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับการโจมตีแบบหลอกให้คลิก โปรดดูการหลอกให้คลิก(ลิงก์จะเปิดในหน้าต่างใหม่)บนเว็บไซต์ Open Web Application Security Project

  1. เข้าสู่ระบบคอนโซลผู้ดูแล Okta ของคุณ

  2. จากแผงด้านซ้าย ให้เลือกการปรับแต่ง > อื่นๆ และไปยังส่วนการฝัง IFrame

  3. คลิกแก้ไข ให้เลือกช่องทำเครื่องหมายอนุญาตให้ฝัง iFrame จากนั้นคลิกบันทึก

ย้อนกลับไปด้านบน