本主题介绍如何在站点上启用 SAML 和选择单点登录用户。它还提供了从 SAML 切换到默认 Tableau(也称为 TableauID)身份验证的步骤。在启用 SAML 之前,我们建议您查看Tableau Cloud 的 SAML 要求,包括更改身份验证类型对 Tableau Bridge 的影响。
本主题假定您熟悉身份验证以及 SAML 身份验证的工作原理中的信息。
本主题后面各节中的步骤提供了您可与 IdP 文档配合使用来为 Tableau Cloud 站点配置 SAML 的基本步骤。可以为以下 IdP 获取特定于 IdP 的配置步骤:
以站点管理员身份登录到 Tableau Cloud 站点,并选择“设置”>“身份验证”。
在“身份验证”选项卡上,单击“新配置”按钮,从“身份验证”下拉菜单中选择“SAML”,然后输入配置的名称。
注意:2024 年 11 月(Tableau 2024.3)之前创建的配置无法重命名。
此部分将引导您完成在 Tableau Cloud 设置页面的“身份验证”选项卡上出现的配置步骤。
注意:若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SAML 连接配置或定义服务提供程序或者添加应用程序的主题。
步骤 1:从 IdP 中导出元数据
转到您的 IdP,登录您的 IdP 帐户,然后使用 IdP 文档提供的说明下载您的 IdP 的元数据。IdP 的元数据使 Tableau Cloud 能够连接到您的 IdP。
对于步骤 1,IdP 的文档将也可在如何向服务提供程序提供元数据方面为您提供指导。它将指示您下载 SAML元数据文件,或者将显示 XML 代码。如果它显示 XML 代码,请将代码复制并粘贴到一个新文本文件中,并使用 .xml 扩展名保存文件。
步骤 2:将元数据上传到 Tableau
在 Tableau Cloud 中的“新配置”页面上,导入您从 IdP 下载或通过它提供的 XML 手动配置的元数据 (.xml) 文件。
注意:
- 上功 IdP 元数据后,“IdP 实体 ID”和“IdP SSO 服务 URL”字段将自动填充。
- 如果编辑配置,您将需要上载元数据文件,以便 Tableau 知道使用正确的 IdP 实体 ID 和 SSO 服务 URL。
- 如果您需要上载新的元数据文件,您可以使用 “清除 IdP 元数据”按钮。
步骤 3:映射属性
属性包含有关用户的身份验证、授权和其他信息。
注意:Tableau Cloud 需要 SAML 响应中的 NameID 属性。您可以提供其他属性来映射 Tableau Cloud 中的用户名,但响应消息必须包含 NameID 属性。
用户名:(必填)输入存储用户的用户名(电子邮件地址)的属性的名称。
电子邮件: (可选)输入包含 IdP 在身份验证过程中使用的电子邮件地址的属性名称,以便用户能够在不同于用户名的电子邮件地址上接收通知。电子邮件地址属性仅用于通知目的,不用于登录。
显示名称:(可选但建议使用)某些 IdP 为名和姓使用单独的属性,而另一些则将全名存储在一个属性中。
选择对您的 IdP 存储名称的方式对应的按钮。举例来说,如果 IdP 将名和姓合并在一个属性中,请选择“显示名称”,然后输入属性名称。
步骤 4:为嵌入视图选择默认值
选择用户用于登录到嵌入视图的方法。此选项将打开一个显示 IdP 登录表单的单独弹出式窗口,或者使用嵌入式框架 (iframe)。
重要信息:由于 iframe 可能容易受到点击劫持攻击,因此并非所有 IdP 都支持通过 iframe 登录。利用点击劫持,攻击者会尝试引诱用户点击或输入内容。通过将攻击页面显示在某个不相关页面上的透明层中,攻击者可以达到此目的。对于 Tableau Cloud,攻击者可能会试图捕获用户凭据,或让授权用户更改设置。有关详细信息,请参见开放式 Web 应用程序安全项目网站上的点击劫持(链接在新窗口中打开)。
如果您的 IdP 不支持通过 iframe 登录,请选择“在单独的弹出窗口中进行身份验证”。
步骤 5:获取 Tableau Cloud 元数据
要在 Tableau Cloud 与您的 IdP 之间创建 SAML 连接,需要在这两项服务之间交换必需的元数据。若要从 Tableau Cloud 中获取元数据,请选择以下方法之一:请参见 IdP 的 SAML 配置文档来确认正确的选项。
步骤 6:配置 IdP
对于步骤 6,请使用 IdP 文档提供的说明提交 Tableau Cloud 元数据。
步骤 7:测试配置并排查 SAML 问题
我们强烈建议您测试 SAML 配置以避免出现任何锁定情况。测试配置有助于确保在将用户的身份验证类型更改为 SAML 之前正确配置了 SAML。为了成功测试配置,请确保至少有一个您可以登录的用户,该用户已在 IdP 中预置并添加到 Tableau Cloud 中,并配置了 SAML 身份验证类型。
如果您无法成功登录 Tableau Cloud,请首先执行“身份验证”页面上建议的故障排除步骤。如果这些步骤无法解决问题,请参见 SAML 疑难解答。
管理用户
选择现有的 Tableau Cloud 用户,或者添加您想批准其进行单点登录的新用户。
在添加或导入用户时,还要指定用户的身份验证类型。在“用户”页面上,可以在添加用户后随时更改用户的身份验证类型。
有关详细信息,请参见向站点添加用户或导入用户。
嵌入视图的默认身份验证类型
允许用户选择其身份验证类型
当选择此选项时,仅支持弹出窗口。在此弹出窗口中,嵌入视图的位置将显示两个登录选项:一个登录按钮(使用单点登录 (SSO) 身份验证)和一个使用 Tableau 凭据作为替代方案的链接。
提示:对于此选项,用户需要知道要选择哪个登录选项。作为在将用户添加到单点登录站点后向用户发送的通知的一部分,请告知用户要为各种登录方案选择哪种身份验证类型。例如,嵌入视图、Tableau Desktop、Tableau Bridge、Tableau Mobile,诸如此类。
带有 MFA 的 Tableau
此选项要求用户使用 采用多重身份验证的 Tableau 凭据登录,即使在站点上启用了 SAML 也是如此。使用带有 MFA 的 Tableau 登录要求用户设置验证方法,以在用户每次登录 Tableau Cloud 时确认身份。有关详细信息,请参见多重身份验证和 Tableau Cloud。
身份验证配置列表
选择特定配置选项时,用户登录嵌入式视图的方式由您在上述步骤 6 中为指定配置配置的设置决定。
如果站点配置为使用 SAML,您可以更改站点设置以要求部分或全部用户 Tableau 凭据登录。
从 2024 年 11 月(Tableau 2024.3)开始,您可以在站点上启用多种身份验证类型和方法。若要更改您希望在站点上提供的身份验证,请启用或禁用身份验证配置。
以站点管理员身份登录到 Tableau Cloud 站点。
选择“设置”>“身份验证”。
通过单击“操作”菜单并选择“禁用”或“启用”,禁用或启用站点的身份验证配置。
将 SAML 配置设为非活动之后,会保留元数据和 IdP 信息因此,如果想再次启用它,您无需再次与 IdP 建立 SAML 连接。
用于 Tableau 站点元数据的证书由 Tableau 提供,不可配置。若要更新 SAML 证书,您必须将新证书上载到 IdP,并与 Tableau Cloud 重新交换元数据。
以站点管理员身份登录到站点,并选择“设置”>“身份验证”。
在“身份验证类型”下,转到要更新的 SAML 配置,然后单击“操作”菜单并选择“编辑”。
打开一个新选项卡或窗口,并登录到您的 IdP 帐户。
使用 IdP 文档提供的说明上载新的 SAML 证书。
下载新的 XML 元数据文件以提供给 Tableau Cloud。
返回到 Tableau Cloud 中的“编辑配置”页面,并在步骤 2 中上载您从 IdP 下载的元数据文件。
向下滚动页面并单击“保存并继续”按钮。
从连接的客户端中访问站点
