使用 Okta 配置 SAML
如果使用 Okta 作为 SAML 身份提供程序 (IdP),您可以使用本主题中的信息来为 Tableau Cloud 站点设置 SAML 身份验证。您还可以使用 Okta 文档中的如何为 Tableau Cloud 配置 SAML 2.0(链接在新窗口中打开)主题。
Tableau Cloud 与 Okta 的 SAML 集成支持服务提供商 (SP) 发起的 SSO、身份提供程序 (IdP) 发起的 SSO 和单点注销 (SLO)。
注意:
- 这些步骤反映第三方应用程序,并且会在我方不知道的情况下发生更改。如果此处描述的步骤与您在您的 IdP 帐户中看到的屏幕不符,您可以使用一般
- 自 2022 年 2 月起,Tableau Cloud 要求通过 SAML SSO 身份提供程序 (IdP) 进行多重身份验证 (MFA)。
- IdP 中的配置步骤的顺序可能与您在 Tableau Cloud 中看到的顺序不同。
在 Tableau Cloud 中,执行以下操作:
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
在“身份验证”选项卡上,单击“新配置”按钮,从“身份验证”下拉菜单中选择“SAML”,然后输入配置的名称。
注意:2024 年 11 月(Tableau 2024.3)之前创建的配置无法重命名。
在 Okta 管理员控制台中,执行以下操作:
打开一个新浏览器选项卡或窗口并登录到 Okta 管理员控制台。
从左侧窗格中,选择“Application”(应用程序)>“Applications”(应用程序),然后单击“Browse App Catalog”(浏览应用程序目录)按钮。
搜索并单击“Tableau Cloud”,然后单击“Add Integration”(添加集成)按钮。这将打开“General Settings”(常规设置)选项卡。
(可选)如果有多个 Tableau Cloud 站点,请在“Application label”(应用程序标签)字段中编辑站点名称,帮助您区分 Tableau Cloud 应用程序实例。
导航至“登录”选项卡,单击“编辑”,然后执行以下操作:
在“Metadata details”(元数据详细信息)下,复制元数据 URL。
将 URL 粘贴到新浏览器中,并使用默认的“metadata.xml”将结果保存为文件。
步骤 2:在 Tableau Cloud 中配置 SAML
按照上一部分所述,保存来自 Okta 的 SAML 元数据文件后,完成以下过程。
返回 Tableau Cloud,在“新配置”页面的“2.将元数据上载到 Tableau”下,单击“选择文件”按钮,并导航到从 Okta 保存的 SAML 元数据文件。这会自动填充“IdP 实体 ID”和“SSO 服务 URL”值。
将“3.地图属性”下的属性名称(断言)映射到 Okta 管理员控制台的“Tableau Cloud 用户配置文件映射”页面中的相应属性名称(断言)。
在“4.选择嵌入视图的默认设置(可选)”下,选择您要在用户访问嵌入内容时启用的体验。有关详细信息,请参见下面的关于启用 iFrame 嵌入部分。
单击“保存并继续”按钮。
步骤 3.在您的 IdP 中配置 Tableau Cloud 应用程序
本节中的程序将使用“5.获取 Tableau Cloud 元数据”(位于 Tableau Cloud 中“新配置”页面上的“方法 2:复制元数据并下载证书”)中的信息。
在 Okta 管理员控制台中,单击“Assignments”(分配)选项卡以添加您的用户或组。
完成后,单击“Done”(完成)。
单击“Sign On”(登录)选项卡,然后在“Settings”(设置)部分中单击“Edit”(编辑) 。
(可选)如果您想要启用单点注销 (SLO),请执行以下操作:
选中“Enable Single Logout”(启用单点注销)复选框。
从 Tableau Cloud 元数据文件中复制“Single Logout URL”(单点注销 URL)值。例如, <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>。有关详细信息,请参见 Tableau 知识库中的使用 SAML 与 Okta,配置单点注销(链接在新窗口中打开)。
在“Advanced Sign-on Settings”(高级登录设置)文本框中,输入您在步骤 b 中复制的值。
在“Signature Certificate”(签名证书)旁,单击“Browse”(浏览)按钮并导航到您在上一节下载的证书文件。
选择文件并单击“Upload”(上传)按钮。
完成后,单击“Save”(保存)。
选择“Applications”(应用程序)>“Application”(应用程序),单击“Tableau Cloud application”(Tableau Cloud 应用程序),选择“Sign On”(登录)选项卡,并执行以下操作:
单击“Edit”(编辑)。
在“Advanced Sign-on Settings”(高级登录设置)下,对于 Okta 管理员控制台中的“Tableau Cloud entity ID”(Tableau Cloud 实体 ID)文本框,粘贴来自 Tableau Cloud 的 Tableau Cloud 实体 ID 值。
对于 Okta 管理员控制台中的“Tableau Cloud ACS URL”文本框,单击来自 Tableau Cloud 的 Tableau Cloud ACS URL 值。
注意:Tableau Cloud SAML 配置设置以不同于 Okta 设置页面的顺序显示。为了防止 SAML 身份验证问题,请确保已在 Okta 中的正确字段中输入了“Tableau Cloud 实体 ID” 和“Tableau Cloud ACS URL”。
完成后,单击“保存”。
步骤 4:在 Tableau Cloud 中测试 SAML 配置
在 Okta 中,执行以下操作:
将示例用户添加到 Okta 并将其分配给 Tableau Cloud 应用程序。
在 Tableau Cloud 中,执行以下操作:
将该 Okta 用户添加到 Tableau Cloud 以测试 SAML 配置。若要在 Tableau Cloud 中添加用户,请参见 向站点添加用户主题。
在“新配置”页面的“7.测试配置”下,单击“测试配置”按钮。
我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud 中,并配置了 SAML 身份验证类型。
NameID 属性保留原样。如果您计划使用 SCIM 从 Okta 预置用户,请勿手动将用户添加到 Tableau Cloud。有关详细信息,请参见使用 Okta 配置 SCIM。如果您不使用 SCIM,请使用以下步骤将附加用户添加到您的站点。
本部分中描述的程序是在 Tableau Cloud 的“用户”页面上执行的。
完成上述步骤后,从左侧窗格导航至“用户”页面。
按照向站点添加用户主题中描述的过程进行操作。
在站点上启用 SAML 时,您需要指定用户如何登录来访问网页中嵌入的视图。这些步骤对 Okta 进行配置,以允许为嵌入可视化项使用嵌入式框架 (iFrame) 进行身份验证。嵌入式框架嵌入可以在登录以查看嵌入式可视化项时提供更加完美的用户体验。例如,如果用户已经向您的身份提供程序进行了身份验证,并且启用了 iFrame 嵌入,则当浏览到包含嵌入式可视化项的页面时,用户将无缝地向 Tableau Cloud 进行身份验证。
警告:IFrame 框架可能容易受到单击劫持攻击。单击劫持是一种针对网页的攻击,在这种攻击中,攻击者会试图在一个不相关页面上的透明层中显示攻击页面,从而诱骗用户单击或输入内容。在 Tableau Cloud 的上下文中,攻击者可能会试图使用单击劫持攻击来捕获用户凭据,或让授权用户更改设置。有关单击劫持攻击的详细信息,请参见开放式 Web 应用程序安全项目网站上的单击劫持(链接在新窗口中打开)。
登录到 Okta 管理员控制台。
从左侧窗格中,选择“Customizations”(自定义项) > “Other”(其他),并导航到“IFrame Embedding”(IFrame 嵌入)部分。
单击“Edit”(编辑) ,选中“Allow iFrame embedding”(允许 iFrame 嵌入)复选框,然后单击“Save”(保存) 。