标注的博客| 安全研究| 渗透测试| APT

首页

关于tableau online的saml要求

作者 olanna 时间 2021-02-15
all

在Tableau Online配置SAML之前,请确认需要满足的要求。

构成Tableau的ID提供者(IdP)要求事项

SAML兼容性参考事项及要求事项

在Tableau客户端应用程序中使用SAML SSO

认证类型变更对Tableau Bridge的影响

XML数据要求

构成Tableau的ID提供者(IdP)要求事项

为了使用SAML,构建Tableau Online需要以下内容。

对Tableau Online网站的管理权限。您必须访问设置使用SAML的Tableau Online网站。

使用SSO访问Tableau Online的用户列表。您必须收集允许您访问Tableau Online的Single Sign-On的电子邮件地址。

支持SAML 2.0的IdP账户。需要外部ID提供者的账号。有几个例子是PingFedeate SiteMinder和Open AMIdP需要支持SAML 2.0,并有权访问该账户。

支持XML元数据导入和导出的IdP提供者。虽然手动生成的文件可以启动,但是Tableau技术支持部门不提供文件生成或解决相关问题的支持。

对Tableau Online网站的管理权限。您必须访问设置使用SAML的Tableau Online网站。

使用SSO访问Tableau Online的用户列表。您必须收集允许您访问Tableau Online的Single Sign-On的电子邮件地址。

支持SAML 2.0的IdP账户。需要外部ID提供者的账号。有几个例子是PingFedeate SiteMinder和Open AMIdP需要支持SAML 2.0,并有权访问该账户。

支持XML元数据导入和导出的IdP提供者。虽然手动生成的文件可以启动,但是Tableau技术支持部门不提供文件生成或解决相关问题的支持。

重要:最好使用与这些要求一起,TableauID认证总是构成的专用网站管理者账户。发生SAML或IdP相关问题时,使用专用TableauID账户可经常访问网站。

SAML兼容性参考事项及要求事项

SP或IdP初始化:Tableau Online支持从IdP(ID提供者)或SP(服务提供者)开始的SAML认证。

无法使用Kerberos:Tableau Online不支持SAML和Kerberos。

使用tabcmd及REST API:tabcmd或REST API时,用户必须使用Tableau ID账号登录Tableau Online。

Tableau Bridge需要重构:Tableau Bridge支持SAML认证,但要更改认证,需要重新组成Bridge客户端。详细内容请参阅认证类型变更对Tableau Bridge的影响。

SP或IdP初始化:Tableau Online支持从IdP(ID提供者)或SP(服务提供者)开始的SAML认证。

无法使用Kerberos:Tableau Online不支持SAML和Kerberos。

使用tabcmd及REST API:tabcmd或REST API时,用户必须使用Tableau ID账号登录Tableau Online。

Tableau Bridge需要重构:Tableau Bridge支持SAML认证,但要更改认证,需要重新组成Bridge客户端。详细内容请参阅认证类型变更对Tableau Bridge的影响。

在Tableau客户端应用程序中使用SAML SSO

Tableau Online用户有SAML资格证明时,也可以在Tableau Desktop或Tableau Mobile应用程序上登录网站。为了最好的兼容性,Tableau客户端应用程序版本必须与Tableau Online版本一致。

从Tableau Desktop或Tableau Mobile连接到Tableau Online时,使用服务提供者开始的连接。

将被认证的用户重新打印到Tableau客户端

当用户登录Tableau Online时,Tableau Online向IdP发送SAML请求(AuthnRequest),该请求包括Tableau应用程序的RelayState值。如果用户从Tableau Desktop或Tableau Mobile等Tableau客户端登录到Tableau Online,那么在对Tableau的IdP SAML响应中,RelayState值必须返还。

AuthnRequest AuthnRequest

如果该剧本中的RelayState值不及时返还,那么不是通过用户登录的应用程序进行重定向,而是从网络浏览器移动到用户的Tableau Online主页。

与ID提供者及内部IT组合作,确认IdP的SAML响应是否包含该值。

认证类型变更对Tableau Bridge的影响

更改网站的认证类型后,在预定的提取刷新中使用Tableau Bridge的发布者必须解除Bridge客户端的连接,并使用新的方法再次认证。

如果解除Bridge客户端的连接,所有的数据源都会被删除,因此用户必须重新设置所有的刷新日程。在Tableau Online网站上直接运行的Bridge LIVE查询或刷新(例如:对云的基础数据的实时查询或刷新)中,即使变更认证类型也不会产生影响。

在更改认证类型之前,最好向Bridge用户告知网站认证的变更内容。否则,Bridge客户端显示认证错误或打开空数据源区域时,会发现认证类型发生了变化。

XML数据要求

使用Tableau Online和IdP生成的XML元数据文档构成SAML。在认证过程中,IdP和Tableau Online使用这些XML文档交换认证信息。如果XML不满足这些要求,在配置SAML时或用户试图登录时可能会发生错误。