使用 Okta 設定 SAML


如果使用 Okta 作為 SAML 身分識別提供者 (IdP),您可以使用本主題中的資訊來為 Tableau Cloud 網站設定 SAML 驗證。也可以使用 Okta 文件中的如何為 Tableau Cloud 設定 SAML 2.0(連結在新視窗開啟) 主題。

Tableau Cloud 與 Okta 的 SAML 整合支援服務提供者 (SP) 啟動的 SSO、身分提供程式 (IdP) 啟動的 SSO 和單一登出 (SLO)。

附註: 

  • 這些步驟可反映協力廠商應用程式,可能會在我們不知情的情況下進行變更。如果此處描述的步驟與您在您的 IdP 帳戶中看到的螢幕不符,您可以使用一般 SAML 設定步驟,以及 IdP 的文件。
  • 從 2022 年 2 月開始,Tableau Cloud 要求透過 SAML SSO 身分提供者 (IdP) 進行多重要素驗證 (MFA)。
  • IdP 中的設定步驟的順序可能與您在 Tableau Cloud 中看到的順序不同。

步驟 1:開始使用

在 Tableau Cloud 中執行以下動作:

  1. 以網站管理員身分登入到 Tableau Cloud 網站,並選取「設定」 >「驗證」

  2. 驗證索引標籤上,按一下新增設定按鈕,從「驗證」下拉式清單中選取 SAML,然後輸入設定名稱。

    Tableau Cloud 站台驗證設定頁面的螢幕擷取畫面

    附註:無法重新命名 2024 年 11 月 (Tableau 2024.3) 之前建立的設定。

在 Okta 管理員主控台中,執行以下動作: 

  1. 開啟一個新瀏覽器索引標籤或視窗,並登入到 Okta 管理員主控台。

  2. 從左側窗格中,選取應用程式 > 應用程式,然後按一下瀏覽應用程式目錄按鈕。

  3. 搜尋並按一下「Tableau Cloud」,然後按一下新增整合按鈕。開啟 [一般設定] 索引標籤。

  4. (可選)若您有多個 Tableau Cloud 站台,請在應用程式標籤欄位中編輯站台名稱,以協助您區分 Tableau Cloud 應用程式執行個體。

  5. 尋覽至登入索引標籤,按一下編輯,並執行以下動作:

    1. 中繼資料詳細資料下,複製中繼資料 URL。

    2. 將 URL 貼上到新瀏覽器中,並使用預設的「metadata.xml」將結果儲存為檔案。

步驟 2:在 Tableau Cloud 中設定 SAML

從 Okta 儲存 SAML 中繼資料檔案後,請完成以下程序,如上一區段所述。

  1. 返回 Tableau Cloud,在「新增設定」頁面上的 2.將中繼資料上傳到 Tableau 下,按一下選擇檔案按鈕,並瀏覽至從 Okta 儲存的 SAML 中繼資料檔案。這會自動填入 IdP 實體 ID 和 SSO 服務 URL 值。

  2. 將屬性名稱(判斷提示)對應到 3. 下方對應屬性到 Okta 管理員主控台中對應的屬性名稱(判斷提示)Tableau Cloud 使用者設定檔對應頁面。

  3. 4. 下方選擇內嵌檢視的預設值(可選),選取使用者存取內嵌內容時要啟用的體驗。有關詳情,請參閱下方的關於啟用 iFrame 內嵌區段。

  4. 按一下儲存並繼續按鈕。

步驟 3。設定 IdP 中的 Tableau Cloud 應用程式

本區段中的程序將使用來自 5. 的資訊取得 Tableau Cloud 中繼資料,在Tableau Cloud 中的方法 2:複製中繼資料並下載認證下,新增設定頁面上。

  1. 在 Okta 管理員主控台中,按一下指派索引標籤,以新增您的使用者或群組。

  2. 完成後,按一下完成

  3. 按一下登入索引標籤,然後在「設定」區段中按一下編輯

  4. (可選)若您想要啟用單一登出 (SLO),請執行下列動作:

    1. 選取啟用單一登出核取方塊。

    2. 從 Tableau Cloud 中繼資料檔案中複製「單一登出 URL」值。例如,<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx - xxxxxxxxxxxx"/>。有關詳情,請參閱 Tableau 知識庫中的透過 Okta 使用 SAML 設定單一登出(連結在新視窗開啟)

    3. 進階登入設定文字方塊中,輸入在步驟 b 中複製的值。

    4. CA 憑證旁,按一下瀏覽按鈕並巡覽到在上一區段中下載的憑證檔案。

    5. 選取檔案,並按一下上傳按鈕。

    6. 完成後,按一下儲存

  5. 選取應用程式 > 應用程式,按一下 Tableau Cloud 應用程式,選取登入索引標籤,然後執行相同動作。

    1. 按一下編輯

    2. 在進階登入設定下,對於在 Okta 管理員主控台中的 Tableau Cloud 實體 ID 文字方塊,貼上來自 Tableau Cloud 的 Tableau Cloud 實體 ID 值 。

    3. 對於在 Okta 管理員主控台中的 Tableau Cloud ACS URL 文字方塊,貼上來自 Tableau Cloud 的 Tableau Cloud ACS URL 值。

    附註:Tableau Cloud SAML 組態設定的順序與 Okta 設定頁面上的順序不同。為防止 SAML 驗證問題,請確保在 Okta 中的正確欄位中輸入 Tableau Cloud 實體識別碼和 Tableau Cloud ACS URL。

  6. 完成後,按一下儲存

步驟 4:測試 Tableau Cloud 中的 SAML 設定

在 Okta 中,執行以下操作:

  • 在 Okta 中新增範例使用者並將其指派給 Tableau Cloud 應用程式。

在 Tableau Cloud 中執行以下動作:

  1. 在 Tableau Cloud 中新增此 Okta 使用者以測試 SAML 設定。要在 Tableau Cloud 中新增使用者,請參閱向網站新增使用者主題。

  2. 在「新增設定」頁面上的 7. 下方測試設定,按一下測試設定按鈕。

我們強烈建議測試 SAML 設定以避免任何封鎖情境。測試設定有助於確保您在將使用者的驗證類型變更為 SAML 之前已正確設定 SAML。若要成功測試設定,請確保至少有一名使用者可以作為已在 IdP 中佈建並已新增至設定為 SAML 驗證類型的 Tableau Cloud 的使用者進行登入。

附註:若連線失敗,請考慮按原樣保留 Tableau 中的 NameID 屬性。

步驟 5:將使用者新增至啟用 SAML 的 Tableau Cloud 站台

若您打算使用 SCIM 從 Okta 佈建使用者,請勿手動將使用者新增至 Tableau Cloud。有關更多資訊,請參閱使用 Okta 設定 SCIM。若不使用 SCIM,請使用下列步驟將額外使用者新增至站台。

本區段所述的程序在 Tableau Cloud使用者頁面上執行。

  1. 完成上述步驟後,從左側窗格巡覽至使用者頁面。

  2. 請遵循向網站新增使用者主題中所述的程序。

關於啟用 iFrame 內嵌

在網站上啟用 SAML 時,您需要指定使用者如何登入來存取網頁中內嵌的檢視。這些步驟會對 Okta 進行設定,以允許為內嵌視覺效果使用內嵌框架 (iFrame) 進行驗證。登入檢視內嵌視覺效果時,內嵌框架內嵌可以提供更無縫的使用者體驗。例如,若使用者已透過身分提供程式進行驗證,並且啟用了 iFrame 內嵌,則使用者在瀏覽包含內嵌視覺效果的頁面時,將透過 Tableau Cloud 無縫進行驗證。

注意:IFrame 可能容易受到點擊劫持攻擊。Clickjacking 是一種針對網頁的攻擊,在這種攻擊中,攻擊者會試圖在一個不相關頁面上的透明層中顯示攻擊頁面,從而誘騙使用者按一下或輸入內容。在 Tableau Cloud 的背景下,攻擊者可能會試圖用點擊劫持攻擊來獲取使用者認證,或讓已驗證的使用者變更設定。有關 Clickjack 攻擊的詳情,請參閱開放式 Web 應用程式安全專案網站上的 Clickjacking(連結在新視窗開啟)

  1. 登入 Okta 管理員主控台。

  2. 從左側窗格中,選取自訂>其他,並巡覽至 IFrame 內嵌區段。

  3. 按一下編輯,選取允許 iFrame 內嵌核取方塊,然後按一下儲存

返回頂端