Tableau Online 的 SAML 要求
- 版本 :2022.1 及更高版本
Tableau Online 的 SAML 要求的相关内容。
在为 Tableau Online 配置 SAML 之前,请获取满足相关要求所需的内容。
Tableau 配置的身份提供程序 (IdP) 要求
若要将 Tableau Online 配置为使用 SAML,您需要以下内容:
Tableau Online 站点的管理员访问权限。 在想要启用 SAML 的站点上,您必须具有 Tableau Online 站点的管理员访问权限。
将使用 SSO 来访问 Tableau Online 的用户的列表。 您应收集想要为其授予 Tableau Online 单点登录访问权限的用户的电子邮件地址。
支持 SAML 2.0 的 IdP 帐户。 您需要一个外部身份提供程序帐户。一些示例包括 PingFederate、SiteMinder 和 Open AM。IdP 必须支持 SAML 2.0。您必须具有该帐户的管理员访问权限。
SHA256 用作签名算法。自 2020 年 5 月起,Tableau Online 会阻止使用 SHA-1 算法签名的 IdP 断言和证书。
支持导入和导出 XML 元数据的 IdP 提供程序。 尽管手动创建的元数据文件可以工作,但 Tableau 技术支持无法协助进行生成该文件或排除其问题。
强制将最大令牌期限设置为 24 天或更少(2073600 秒)的 IdP 提供程序。如果 IdP 允许令牌的最大期限大于 Tableau Online 上的最大期限设置(2073600 秒),则 Tableau Online 不会将令牌识别为有效令牌。在这种情况下,用户将在尝试登录到 Tableau Online 时收到错误消息(The sign-in was unsuccessful.Try again.(登录未成功,请重试。))。
重要信息:除了这些要求之外,我们建议您专门指定一个始终为 TableauID 身份验证配置的站点管理员帐户。如果 SAML 或 IdP 出现问题,专用的 TableauID 帐户可确保您始终能够访问站点。
SAML 兼容性注意事项和要求
SP 或 IdP 已启动:Tableau Online 支持在身份提供程序 (IdP) 或服务提供程序 (SP) 处开始的 SAML 身份验证。
单点注销 (SLO) : Tableau Online 支持服务提供商 (SP) 发起的 SLO 和身份提供程序 (IdP) 发起的 SLO。
Tabcmd 和 REST API:若要使用 tabcmd 或 REST API,用户必须使用 TableauID 帐户登录到 Tableau Online。
明文断言:Tableau Online 不支持加密的断言。
需要重新配置 Tableau Bridge :Tableau Bridge 支持 SAML 身份验证,但身份验证更改需要重新配置 Bridge 客户端。有关信息,请参见更改身份验证类型对 Tableau Bridge 的影响。
必需的签名算法:对于所有新的 SAML 证书,Tableau Online 需要 SHA256(或更高)的签名算法。
NameID 属性:Tableau Online 需要 SAML 响应中的 NameID 属性。
在 Tableau 客户端应用程序中使用 SAML SSO
Tableau Online 用户(具有 SAML 凭据)也可以从 Tableau Desktop 或 Tableau Mobile 应用中登录到其站点。为了实现最佳兼容性,我们建议 Tableau 客户端应用程序的版本与 Tableau Online 的版本匹配。
从 Tableau Desktop 或 Tableau Mobile 连接到 Tableau Online 时,将使用服务提供程序发起的连接。
将经过身份验证的用户重定向回 Tableau 客户端
用户登录到 Tableau Online 时,Tableau Online 会向 IdP 发送一个 SAML 请求 (AuthnRequest
),其中包括 Tableau 应用程序的 RelayState 值。如果用户已通过诸如 Tableau Desktop 或 Tableau Mobile 等 Tableau 客户端登录到 Tableau Online,则在 IdP 对 Tableau 的 SAML 响应内返回 RelayState 值至关重要。
如果在此情形下未正确返回 RelayState 值,则会在 Web 浏览器中将用户转向其 Tableau Online 主页,而不是重定向回他们从中登录的应用程序。
与身份提供商和内部 IT 团队合作,确认此值将包括在 IdP 的 SAML 响应内 之间的任何网络设备(例如代理或负载平衡器)保留。
更改身份验证类型对 Tableau Bridge 的影响
当您更改站点的身份验证类型时,为计划的数据提取刷新使用 Tableau Bridge 的发布者将需要取消链接 Bridge 客户端,并使用新方法重新进行身份验证。
取消链接 Bridge 客户端会移除所有数据源,因此用户还将需要再次设置其所有刷新计划。身份验证类型的更改不会影响直接从 Tableau Online 站点中运行的 Bridge 实时查询或刷新(比如对于云中的基础数据就是如此)。
我们建议在对用户的站点身份验证进行更改之前将相关更改通知用户。否则,只有当用户从 Bridge 客户端中收到身份验证错误或者客户端打开时包含空白数据源区域时,他们才会意识到更改。
XML 数据要求
可以使用 Tableau Online 和 IdP 生成的元数据 XML 文档来配置 SAML。在身份验证过程中,IdP 和 Tableau Online 使用这些 XML 文档来交换身份验证信息。如果 XML 未满足这些要求,则在您配置 SAML 或在用户尝试登录时会发生错误。
Tableau Online 只为 SAML 通信支持 HTTP POST 请求。不支持 HTTP 重定向。在由 IdP 导出的 SAML 元数据 XML 文档中,Binding 属性必须设置为 HTTP-POST。