为 Tabbleau Viz Lightning Web 组件配置 SAML
- 版本 :2022.1 及更高版本
Tableau 提供了一个 Lightning Web 组件 (LWC),用于在 Salesforce Lightning 页面中嵌入 Tableau 可视化项。
Tableau 提供了一个 Lightning Web 组件 (LWC),用于在 Salesforce Lightning 页面中嵌入 Tableau 可视化项。
本主题介绍如何为 Salesforce Lightning 页面中的嵌入式 Tableau 可视化项 SSO 体验。Tableau 可视化项 LWC 方案的 SSO 需要 SAML 配置。用于 Tableau 身份验证的 AML IdP 必须是 alesforce IdP 或用于 Salesforce 实例的同一 IdP。
在这种情况下,Salesforce 管理员将 Tableau 可视化项 LWC 拖到要嵌入可视化项的 Lightning 页面中。Tableau Server 上可供他们使用的任何视图都可以通过输入视图的嵌入 URL 显示在仪表板中。
在 Tableau Server 上为 Tableau 可视化项 LWC 配置单点登录 (SSO) 时,用户体验是无缝的:用户登录 Salesforce 后,嵌入式 Tableau 视图将无需向 Tableau Server 进行进一步身份验证即可工作。
如果未配置 SSO,则用户将需要使用 Tableau Server 重新进行身份验证,以通过 Tableau Server 查看嵌入式可视化项。
要求
用于 Tableau 身份验证的 AML IdP 必须是 alesforce IdP 或用于 Salesforce 实例的同一 IdP。请参见在 Tableau Server 上使用 Salesforce IdP 配置 SAML。
必须在 Tableau Server 上配置 SAML。请参见配置服务器范围 SAML或配置特定于站点的 SAML。
必须为 Salesforce 配置 SAML。
安装 Tableau Viz Lightening Web 组件。请参见将 Tableau 视图嵌入 Salesforce。
配置身份验证工作流
您可能需要进行其他配置,以优化使用嵌入式 Tableau 视图访问 Lightning 的用户的登录体验。
如果无缝身份验证用户体验很重要,则需要进行一些其他配置。在此上下文中,“无缝”意味着访问已启用 Tableau 可视化项 LWC SSO 的 Salesforce Lightning 页面的用户无需执行任何操作来查看嵌入的 Tableau 视图。在无缝方案中,如果用户登录到 Salesforce,则嵌入的 Tableau 视图将显示,无需执行其他用户操作。此方案通过框架内身份验证启用。
要获得无缝的用户体验,您需要在 Tableau Server 和您的 IdP 处启用框架内身份验证。以下部分介绍如何配置框架内身份验证。
另一方面,有些情况下,用户正在与 Lightning 页面交互,需要他们单击“登录”按钮以查看嵌入的 Tableau 视图。在此方案中,用户必须执行其他操作才能查看嵌入的 Tableau 视图,因此称为弹出式身份验证。
如果不启用框架内身份验证,则弹出式身份验证是默认用户体验。
在 Tableau Server 上启用框架内身份验证
在 Tableau Server 上启用框架内身份验证之前,您必须已在 Tableau Server 上配置和启用 SAML。
运行以下 TSM 命令以启用框架内身份验证:
tsm configuration set -k wgserver.saml.iframed_idp.enabled -v true
tsm pending-changes apply
注意:默认情况下,Tableau Server 上已启用单击劫持保护。当您启用框架内身份验证时,会为框架内身份验证会话暂时禁用单击劫持保护。您应该评估禁用单击劫持保护的风险。请参见单击劫持保护。
Tableau Server 版本控制
为了获得最佳用户体验,请运行 Tableau Server 的最新维护版本。
如果您未运行最新的维护版本,并且您的用户正在运行 Chrome 浏览器以访问 Salesforce Lightning,请查看 Tableau 知识库文章更新到 Chrome 80 后嵌入视图无法加载。
使用 SAML IDP 启用框架内身份验证
如上所述,使用 Salesforce Mobile 实现无缝身份验证用户体验需要 IdP 支持框架内身份验证。此功能在 IdP 处也称为“iframe 嵌入”或“框架保护”
Salesforce 安全列表域
在某些情况下,IdP 只允许按域启用框架内身份验证。在这种情况下,在启用框架内身份验证时设置以下 Salesforce 通配符域:
*.force
*.visualforce
Salesforce IdP
默认情况下,Salesforce IdP 支持框架内身份验证。您无需在 Salesforce 配置中启用或配置框架内身份验证。但是,您必须在 Tableau Server 上运行 TSM 命令,如上所述。
Okta IdP
请参见 Okta 帮助中心主题常规自定义选项中的“在 iframe 中嵌入 Okta”。
Ping IdP
请参阅 Ping 支持主题如何禁用 PingFederate 中的“X-Frame-Options=SAMEORIGIN”标头。
OneLogin IdP
请参见 OneLogin 知识库文章帐户所有者的帐户设置中的“框架保护”。
ADFS 和 Azure AD IdP
Microsoft 已阻止所有框架内身份验证,无法将其启用。相反,Microsoft 在第二个窗口中仅支持弹出式身份验证。因此,某些浏览器可能会阻止弹出窗口行为,这将要求用户接受 force.com 和 visualforce.com 站点的弹出窗口。
Salesforce 移动应用软件
如果您的用户主要在 Salesforce 移动应用软件中与 Lightning 进行交互,则您应该了解以下情况:
Salesforce 移动应用软件要求您配置 SSO/SAML 以查看嵌入式 Tableau。
Salesforce 移动应用软件需要框架内身份验证。弹出式身份验证不起作用。相反,Salesforce 移动应用软件上的用户将看到 Tableau 登录按钮,但无法登录到 Tableau。
移动应用软件在 ADFS 和 Azure AD IdP 上不起作用。
移动应用软件使用 OAuth 令牌启用 SSO。在某些情况下,OAuth 令牌会刷新并注销用户,同时要求用户重新登录。若要了解详细信息,请参见 Tableau 知识库文章 Salesforce Mobile App 上的 Tableau Viz Lightning Web 组件提示登录。
SSO 行为因 Salesforce 移动应用软件(iOS 与 Android) 和 IdP 而不同:
IdP 移动操作系统 SSO 行为 Salesforce IdP Android SSO 最初会工作,但用户一段时间后需要登录。 iOS 外部 IdP Android SSO 不工作。用户需要手动登录。(仍必须配置 SSO 以允许用户访问嵌入的 Tableau 视图)。 iOS SSO 最初会工作,但用户一段时间后需要登录。