使用 AD FS 設定 SAML


您可以將 Active Directory 聯合服務 (AD FS) 設定為 SAML 身分識別提供者,並將 Tableau Cloud 新增到支援的單一登入應用程式。如果將 AD FS 與 SAML 和 Tableau Cloud 集成,使用者可以使用其標準網路認證登入到 Tableau Cloud

附註: 

  • 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般 SAML 設定步驟,以及 IdP 的文件。
  • 從 2022 年 2 月開始,Tableau Cloud 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。
  • IdP 中的設定步驟的順序可能與您在 Tableau Cloud 中看到的順序不同。

必要條件

您的環境必須具有以下各項,然後才能使用 AD FS 設定 Tableau Cloud 和 SAML:

  • 執行 Microsoft Windows Server 2008 R2(或更高版本)並安裝了 AD FS 2.0(或更高版本)及 IIS 的伺服器。

  • 我們建議您保護 AD FS 伺服器的安全(例如,使用反向 Proxy)。如果可從防火牆外部存取您的 AD FS 伺服器,則 Tableau Cloud 可將使用者重定向到 AD FS 託管的登入頁面。

  • 站台管理員帳戶,使用具有 MFA 的 Tableau 驗證。如果 SAML 單一登入失敗,您仍然能夠以網站管理員身分登入到 Tableau Cloud

步驟 1:開始

在 Tableau Cloud 中執行以下動作:

  1. 以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」

  2. 驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。

    Tableau Cloud 站台驗證設定頁面的螢幕擷取畫面

    附註:無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。

在 AD FS 中,執行以下動作:

以下步驟將匯出您將匯入 Tableau Cloud 的 AD FS 中繼資料。您還將確保已針對 Tableau Cloud 對中繼資料進行了正確設定和編碼,並驗證 SAML 設定的其他 AD FS 要求。

  1. 將 AD FS 聯合中繼資料匯出為 XML 檔案,然後從 https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml 下載該檔案。

  2. 在文字編輯器(如 Sublime Text 或 Notepad++)中開啟中繼資料檔,並驗證它是否正確編碼為無 BOM 的 UTF-8。

    如果檔案顯示某種其他編碼類型,請使用正確的編碼從文字編輯器中儲存該檔案。

  3. 驗證 AD FS 是否使用基於表單的驗證。登入是在瀏覽器視窗中執行的,因此您需要 AD FS 預設使用這種類型的驗證。

    編輯 c:\inetpub\adfs\ls\web.config,搜尋相關標記並移動行以使其顯示為清單中的第一行。儲存檔案,以便 IIS 能夠自動重新載入它。

    附註:如果未看到 c:\inetpub\adfs\ls\web.config 檔案,則 AD FS 伺服器上未安裝和設定 IIS。

  4. 設定其他 AD FS 信賴方識別字。這使得您的系統能夠解決 SAML 登出的任何 AD FS 問題。

    執行以下操作之一:

    Windows Server 2008 R2:

    1. AD FS 2.0 中,以右鍵按一下之前為 Tableau Cloud 建立的信賴方,並按一下「屬性」

    2. 「識別字」索引標籤上的「信賴方識別字」方塊中,輸入 https://<tableauservername>/public/sp/metadata,然後按一下「新增」

    Windows Server 2012 R2:

    1. 「AD FS 管理」「信賴方信任」清單中,以右鍵按一下之前為 Tableau Cloud 建立的信賴方,並按一下「屬性」

    2. 「識別字」索引標籤上的「信賴方識別字」方塊中,輸入 https://<tableauservername>/public/sp/metadata,然後按一下「新增」

步驟 2:在 Tableau Cloud 中設定 SAML

從 AD FS 儲存 SAML 中繼資料檔案後,請完成以下程序,如上一節所述。

  1. 返回 Tableau Cloud,在「新增設定」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 AD FS 匯出的 SAML 中繼資料檔案 (FederationMetadata.xml)。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。

  2. 跳過 3.地圖屬性因為將在 AD FS 中建立宣告規則來符合預期在下方區段的屬性名稱 Tableau Cloud

  3. 4. 下方選擇內嵌檢視的預設值(可選),選取使用者存取內嵌內容時要啟用的體驗。

  4. 按一下儲存並繼續按鈕。

  5. 5. 下方取得 Tableau Cloud 中繼資料,按一下匯出中繼資料按鈕並將 Tableau 中繼資料檔案儲存到電腦。

    預設情況下,此檔案名為 saml_sp_metadata.xml

步驟 3。設定 IdP 中的 Tableau Cloud 應用程式

設定 AD FS 以接受 Tableau Cloud 登入請求是一個多步驟過程,首先將 Tableau Cloud 中繼資料檔案匯入 AD FS。

  1. 執行以下操作之一以開啟新增依賴方信任精靈

    2. Windows Server 2008 R2:

    1. 按一下「開始」功能表>「管理工具」>「AD FS 2.0」

    2. 「AD FS 2.0」中的「信任關係」下,以右鍵按一下「信賴方信任」資料夾,然後按一下「新增信賴方信任」

    Windows Server 2012 R2:

    1. 開啟「伺服器管理器」,然後在「工具」功能表上按一下「AD FS 管理」

    2. 「AD FS 管理」中的「動作」功能表上,按一下「新增信賴方信任」

  2. 「新增信賴方信任精靈」中,按一下「開始」

  3. 「選取資料來源」頁面上,選取「從檔案匯入有關信賴方的資料」,然後按一下「瀏覽」找到 Tableau Cloud 中繼資料檔。

    預設情況下,此檔案名為 saml_sp_metadata.xml

  4. 按一下「下一步」,然後在「指定顯示名稱」頁面上的「顯示名稱」「備註」方塊中,為信賴方信任鍵入名稱和說明。

  5. 按一下「下一步」跳過「立即設定多重驗證」頁面。

  6. 按一下「下一步」跳過「選取頒發授權規則」頁面。

  7. 按一下「下一步」跳過「準備好新增信任」頁面。

  8. 「完成」頁面上,選中「精靈關閉時開啟此信賴方信任的編輯聲明規則對話方塊」核取方塊,然後按一下「關閉」

接下來,您將在「編輯聲明規則」對話方塊中進行操作,以新增一個規則,來確保 AD FS 傳送的判斷提示與 Tableau Cloud 需要的判斷提示匹配。Tableau Cloud 至少需要一個使用者名稱(電子郵件地址格式)。不過,如果除電子郵件之外還包括名字和姓氏,則可確保 Tableau Cloud 中顯示的使用者名與 AD 帳戶中的使用者名相同。

  1. 「編輯聲明規則」對話方塊中,按一下「新增規則」

  2. 「選取規則類型」頁面上,針對「聲明規則範本」,選取「以聲明方式傳送 LDAP 特性」,然後按一下「下一步」

  3. 「設定聲明規則」頁面上,針對「聲明規則名稱」,輸入對您有意義的規則名稱。

  4. 對於「特性存儲」,選取「Active Directory」,按如下所示方式完成映射,然後按一下「完成」

    5. 對應是區分大小寫的,需要準確的拼寫,所以請仔細檢查輸入的內容。此處的表格會顯示常用屬性及宣告對應。確認具有特定 Active Directory 組態的屬性。

    附註: Tableau Cloud 需要 SAML 回應中的 NameID 屬性。可以提供其他屬性來映像 Tableau Cloud 中的使用者名稱,但回應訊息必須包含 NameID 屬性。

    LDAP 屬性輸出信號類型:

    取決於 AD FS 的版本:

    使用者主體名稱

    E-Mail-Addresses

     

    email

    電子郵件地址

    firstName
    姓氏lastName

如果您執行 AD FS 2016 或更新版本,則必須新增規則以傳遞所有宣告值。如果您執行的是舊版 AD FS,請跳至下一個程序,以匯出 AD FS 中繼資料。

  1. 按一下「新增規則」
  2. 「宣告規則範本」下,選擇「傳遞或篩選傳入宣告」。
  3. 「宣告規則名稱」下,輸入 Windows。
  4. 「編輯規則 - Windows」快顯視窗上:
    • 「傳入宣告類型」下,選取「Windows 帳戶名稱」
    • 選取「傳遞所有宣告值」
    • 按一下「確定」

在 Tableau Cloud 中執行以下動作:

  1. 返回 Tableau Cloud,在「新增設定」頁面上的 3.地圖屬性,從 Tableau Cloud 中的 AD FS 填入宣告值。

  2. 按一下儲存並繼續按鈕。

步驟 4:測試 Tableau Cloud 中的 SAML 設定

  1. 在 Tableau Cloud 中,將範例使用者新增至 ADFS 和 Tableau Cloud 以測試 SAML 設定。要在 Tableau Cloud 中新增使用者,請參閱向網站新增使用者主題。

  2. 返回新增設定頁面,在 7. 下方測試設定,按一下測試設定按鈕。

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。若要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 的使用者進行登入。

步驟 5:將使用者新增至啟用 SAML 的 Tableau Cloud 站台

使用以下步驟將其他使用者新增至站台。本區段所述的程序在 Tableau Cloud 的使用者頁面上執行。

  1. 完成上述步驟後,從左側窗格巡覽至使用者頁面。

  2. 請遵循向網站新增使用者主題中所述的程序。或者,可以按照匯入使用者主題中描述的程序使用 .csv 檔新增使用者。

AD FS SAML 支援的其他要求和提示

  • 在 AD FS 和 Tableau Cloud 之間設定 SAML 整合之後,必須更新 Tableau Cloud 以反映在 Active Directory 中所做的特定使用者變更。例如,新增或移除使用者。

    您可以自動或手動新增使用者:

    • 自動新增使用者:(使用 PowerShell、Python 或批次檔)建立指令碼,將 AD 變更推送到 Tableau Cloud。指令碼可以使用 tabcmdREST APITableau Cloud 互動。

    • 手動新增使用者:登入到 Tableau Cloud Web UI,前往使用者頁面,按一下新增使用者,並輸入使用者的使用者頁面,按一下新增使用者,並輸入使用者的 使用者名稱或上傳包含其資訊的 CSV 檔案

    附註:如果要移除使用者但保留使用者擁有的內容資產,請在移除使用者之前變更內容的所有者。刪除使用者也會刪除他們擁有的內容。

  • Tableau Cloud 中,使用者的 使用者名稱是其唯一識別碼。如設定 AD FS 以接受來自 Tableau Cloud 的登入要求的步驟中所述,使用者的 Tableau Cloud 使用者名稱必須與 AD 中存放的 使用者名稱相符。

  • 步驟 3。設定 IdP 中的 Tableau Cloud 應用程式步驟 3。設定 IdP 中的 Tableau Cloud 應用程式,在 AD FS 中新增宣告規則,以和 AD FS 與 Tableau Cloud 之間的名字、姓氏和 使用者名稱屬性進行配對。或者,您可以使用使用 [步驟 5.地圖屬性(在 Tableau Cloud 中)執行相同的動作。

返回頂端