Konfigurieren von SAML mit AD FS

Sie können die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) als SAML-Identitätsanbieter konfigurieren und Tableau Cloud zu Ihren unterstützten Single Sign-On-Anwendungen hinzufügen. Wenn Sie AD FS mit SAML und Tableau Cloud integrieren, können sich Ihre Benutzer mit ihren Standardnetzwerk-Anmeldeinformationen bei Tableau Cloud anmelden.

Hinweise: 

  • Diese Schritte beziehen sich auf die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem IdP-Konto angezeigten Bildschirmen übereinstimmen, können Sie die allgemeinen SAML-Konfigurationsschritte in Verbindung mit der IdP-Dokumentation verwenden.
  • Ab Februar 2022 ist MFA (Multi-Faktor-Authentifizierung) über Ihren SAML-SSO-IdP (Identitätsanbieter) in Tableau Cloud erforderlich.

Voraussetzungen

Bevor Sie Tableau Cloud und SAML mit AD FS konfigurieren können, ist für Ihre Umgebung Folgendes erforderlich:

  • Ein Server unter Microsoft Windows Server 2008 R2 (oder höher) mit installiertem AD FS 2.0 (oder höher) und IIS.

  • Es wird empfohlen, Ihren AD FS-Server zu schützen (z. B. durch Verwendung eines Reverse-Proxys). Wenn der Zugriff auf Ihren AD FS-Server von außerhalb Ihrer Firewall möglich ist, kann Tableau Cloud Benutzer zur von AD FS gehosteten Anmeldeseite weiterleiten.

  • Ein Site-Administrator-Konto, das die TableauID-Authentifizierung verwendet Wenn die einmalige Anmeldung mit SAML fehlschlägt, können Sie sich als Site-Administrator weiterhin bei Tableau Cloud anmelden.

Schritt 1: Exportieren von Metadaten aus Tableau Cloud

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an.

    Wenn Sie über mehr als eine Site für Tableau Cloud verfügen, wählen Sie in der Dropdown-Liste "Sites" die Site aus, für die Sie SAML aktivieren wollen.

  2. Wählen Sie Einstellungen > Authentifizierung.
  3. Aktivieren Sie auf der Registerkarte Authentifizierung das Kontrollkästchen Zusätzliche Authentifizierungsmethode konfigurieren, wählen Sie SAML aus und klicken Sie dann auf den Dropdown-Pfeil Konfiguration (erforderlich).

    Einstellungen für die Authentifizierung

  4. Klicken Sie unter Schritt 1 (Methode 1: Exportieren von Metadaten) auf die Schaltfläche Metadaten exportieren, um eine XML-Datei herunterzuladen, die die Tableau Cloud-SAML-Entitäts-ID, die ACS-URL (Assertion Consumer Service) und das X.509-Zertifikat enthält.

Schritt 2: Konfigurieren von AD FS zum Akzeptieren von Anmeldeanforderungen von Tableau Cloud

Die Konfiguration von AD FS zum Akzeptieren von Tableau Cloud-Anmeldeanforderungen ist ein mehrstufiger Prozess, der mit dem Importieren der Tableau Cloud XML-Metadatendatei in AD FS beginnt.

  1. Gehen Sie wie folgt vor, um den Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite zu öffnen:

  2. Windows Server 2008 R2:

    1. Wählen Sie Startmenü > Verwaltung > AD FS 2.0 aus.

    2. Klicken Sie in AD FS 2.0 unter Vertrauensstellungen mit der rechten Maustaste auf den Ordner Relying Party Trusts und klicken Sie dann auf Vertrauensstellung der vertrauenden Seite hinzufügen.

    Windows Server 2012 R2:

    1. Öffnen Sie denServer-Manager und klicken Sie dann im Menü Extras auf AD FS-Verwaltung.

    2. Klicken Sie in AD FS-Verwaltung im Menü Aktion auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  3. Klicken Sie im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite auf Start.

  4. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die vertrauende Seite aus einer Datei importieren aus und klicken Sie dann auf Durchsuchen, um IhreTableau Cloud XML-Metadatendatei zu finden. Diese Datei heißt standardmäßig samlspmetadata.xml.

  5. Klicken Sie auf Weiter und geben Sie dann auf der Seite Anzeigename angeben in den Feldern Anzeigename und Hinweise einen Namen und eine Beschreibung für die Vertrauensstellung der vertrauenden Seite ein.

  6. Klicken Sie auf "Weiter", um die Seite Möchten Sie jetzt die Multi-Faktor-Authentifizierung konfigurieren? zu überspringen.

  7. Klicken Sie auf "Weiter", um die Seite Ausstellungsautorisierungsregeln wählen zu überspringen.

  8. Klicken Sie auf "Weiter", um die Seite Bereit zum Hinzufügen der Vertrauensstellung zu überspringen.

  9. Aktivieren Sie auf der Seite Fertigstellen das Kontrollkästchen Nach Abschluss des Assistenten das Dialogfeld "Anspruchsregeln bearbeiten" für diese Anspruchsanbieter-Vertrauensstellung öffnen und klicken Sie dann auf Schließen.

Als Nächstes navigieren Sie zum Dialogfeld Anspruchsregeln bearbeiten, um eine Regel hinzuzufügen, die sicherstellt, dass von AD FS gesendete Assertionen mit den Assertionen übereinstimmen, die von Tableau Cloud erwartet werden. Für Tableau Cloud ist zumindest eine E-Mail-Adresse erforderlich. Durch das Hinzufügen des Vor- und Nachnamens neben der E-Mail-Adresse wird jedoch sichergestellt, dass die in Tableau Cloud angezeigten Benutzernamen mit denen des AD-Kontos übereinstimmen.

  1. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf Regel hinzufügen.

  2. Wählen Sie auf der Seite Regeltyp auswählen für Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Anspruchsregel konfigurieren in das Feld Anspruchsregelname einen Namen für die Regel ein, der für Sie sinnvoll ist.

  4. Wählen Sie unter Attributspeicher die Option Active Directory aus. Vervollständigen Sie die Zuordnung wie unten gezeigt und klicken Sie dann auf Fertigstellen.

  5. Bei der Zuordnung wird die Groß-/Kleinschreibung beachtet. Die Schreibweise muss exakt erfolgen. Daher sollten Sie Ihre Einträge gegenprüfen. Die Tabelle hier zeigt allgemeine Attribute und Anspruchszuordnungen. Überprüfen Sie die Attribute mit Ihrer spezifischen Active Directory-Konfiguration.

    Hinweis: Tableau Cloud erfordert das Attribut NameID in der SAML-Antwort. Sie können andere Attribute bereitstellen, um Benutzernamen in Tableau Cloud zuzuordnen, aber die Antwortnachricht muss das Attribut NameID enthalten.

    LDAP-AttributTyp des ausgehenden Anspruchs

    Abhängig von der Version von AD FS:

    User-Principal-Name
    oder
    E-Mail-Adressen

     

    email
    oder
    E-Mail-Adresse

    Given-NamefirstName
    SurnamelastName

Wenn Sie AD FS 2016 oder höher ausführen, müssen Sie eine Regel hinzufügen, um alle Anspruchswerte zu durchlaufen. Wenn Sie eine ältere Version von AD FS verwenden, fahren Sie mit dem nächsten Verfahren zum Exportieren von AD FS-Metadaten fort.

  1. Klicken Sie auf Regel hinzufügen.
  2. Unter Anspruchsregelvorlage wählen Sie Durchlaufen oder Filtern eines eingehenden Anspruchs.
  3. Geben Sie unter Name der Anspruchsregel "Windows" ein.
  4. In dem Pop-up-Fenster Regel bearbeiten - Windows:
    • Wählen Sie unter Typ von eingehendem Anspruch die Option Windows-Kontoname aus.
    • Wählen Sie Alle Anspruchswerte durchlaufen.
    • Klicken Sie auf OK.

Nun exportieren Sie AD FS-Metadaten, die Sie später in Tableau Cloud importieren werden. Stellen Sie zudem sicher, dass die Metadaten ordnungsgemäß für Tableau Cloud konfiguriert und codiert sind, und überprüfen Sie weitere AD FS-Anforderungen für Ihre SAML-Konfiguration.

  1. Exportieren Sie die AD FS-Verbundmetadaten in eine XML-Datei und laden Sie diese Datei dann von https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml herunter.

  2. Öffnen Sie die Metadatendatei in einem Texteditor wie Sublime Text oder Notepad++ und überprüfen Sie, ob sie korrekt als UTF-8, ohne BOM, verschlüsselt ist.

    Wenn die Datei einen anderen Verschlüsselungstyp enthält, speichern Sie sie im Texteditor mit der richtigen Verschlüsselung.

  3. Stellen Sie sicher, dass AD FS die formularbasierte Authentifizierung verwendet. Anmeldungen werden über ein Browserfenster ausgeführt. Sie benötigen demnach AD FS, um standardmäßig diesen Authentifizierungstyp zu verwenden.

    Bearbeiten Sie c:\inetpub\adfs\ls\web.config, suchen Sie nach dem Tag , und verschieben Sie die Zeile, damit sie als erstes Element in der Liste angezeigt wird. Speichern Sie die Datei, sodass IIS sie automatisch erneut laden kann.

    Hinweis: Wenn die Datei c:\inetpub\adfs\ls\web.config nicht angezeigt wird, ist IIS auf Ihrem AD FS-Server weder installiert noch konfiguriert.

  4. Konfigurieren Sie einen zusätzlichen Bezeichner für die abhängige Seite in AD FS. Dadurch kann Ihr System jegliche AD FS-Probleme bei der SAML-Abmeldung umgehen.

    Führen Sie einen der folgenden Schritte aus:

    Windows Server 2008 R2:

    1. Klicken Sie in AD FS 2.0 mit der rechten Maustaste auf die vertrauende Seite, die Sie zuvor für Tableau Cloud erstellt haben, und klicken Sie auf Eigenschaften.

    2. Geben Sie auf der Registerkarte Bezeichner im Feld Bezeichner der vertrauenden Seite die URL https://<tableauservername>/public/sp/metadata ein und klicken Sie dann auf Hinzufügen.

    Windows Server 2012 R2:

    1. Klicken Sie in AD FS-Verwaltung in der Liste Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die vertrauende Seite, die Sie zuvor für Tableau Cloud erstellt haben, und klicken Sie auf Eigenschaften.

    2. Geben Sie auf der Registerkarte Bezeichner im Feld Bezeichner der vertrauenden Seite die URL https://<tableauservername/public/sp/metadata ein und klicken Sie dann auf Hinzufügen.

    Hinweis: AD FS kann mit Tableau Server für eine einzelne vertrauende Seite derselben Instanz verwendet werden. AD FS kann nicht für mehrere vertrauende Seiten derselben Instanz verwendet werden, z.B. für mehrere Site-SAML-Sites oder serverweite und Site-SAML-Konfigurationen.

Schritt 3: Importieren der AD FS-Metadaten in Tableau Cloud

  1. Wechseln Sie in Tableau Cloud wieder zurück zu Einstellungen > Authentifizierung.

  2. Geben Sie unter Schritt 4. (Hochladen von Metadaten in Tableau) im Feld "IdP-Metadatendatei" den Namen der Datei an, die Sie aus AD FS exportiert haben (FederationMetadata.xml).

  3. Überspringen Sie Schritt 5. Übereinstimmende Attribute.

    Sie haben bereits eine Anspruchsregel in AD FS erstellt, mit der die Attributnamen gemäß den Erwartungen von Tableau Cloud zugeordnet werden.

  4. Klicken Sie auf die Schaltfläche Änderungen speichern.

  5. Verwalten Sie Benutzer auf eine der folgenden Weisen:

    • Wenn Sie Ihrer Site noch keine Benutzer hinzugefügt haben, navigieren Sie im linken Bereich zu der Benutzerseite und klicken Sie auf Benutzer hinzufügen. Anschließend können Sie Benutzer manuell hinzufügen oder eine CSV-Datei importieren, die Benutzerinformationen enthält. Weitere Informationen finden Sie unter Hinzufügen von Benutzern zu einer Site oder Importieren von Benutzern.

    • Wenn Sie Ihrer Site bereits Benutzer hinzugefügt haben, navigieren Sie im linken Bereich zu der Benutzerseite, klicken Sie auf „Aktionen“ neben einem bestimmten Benutzer und klicken Sie auf Authentifizierung. Ändern Sie die Authentifizierungsmethode in SAML und klicken Sie auf die Schaltfläche Aktualisieren.

  6. (Optional) Gehen Sie wieder zurück zu der Seite „Authentifizierung“ und testen Sie die SAML-Anmeldung unter 7. Sie können nun die Konfiguration testen, indem Sie auf die Schaltfläche Konfiguration testen klicken.

    Wir empfehlen Ihnen dringend, die SAML-Konfiguration zu testen, um Sperrszenarien zu vermeiden. Durch das Testen der Konfiguration können Sie sicherstellen, dass Sie SAML korrekt konfiguriert haben, bevor Sie den Authentifizierungstyp Ihrer Benutzer auf SAML ändern. Um die Konfiguration erfolgreich zu testen, stellen Sie sicher, dass es mindestens einen Benutzer gibt, als der Sie sich anmelden können, der bereits im IdP bereitgestellt und mit konfiguriertem SAML-Authentifizierungstyp zu Ihrer Tableau Cloud hinzugefügt wurde.

Ihre Tableau Cloud-Site ist nun bereit für die Benutzeranmeldung mit AD FS und SAML. Diese navigieren zwar weiterhin zu https://online.tableau.com, werden aber nach Eingabe ihres -Benutzernamens von der Seite auf die AD FS-Anmeldeseite umgeleitet (wie in dem optionalen Testschritt oben), wo sie zur Eingabe ihrer AD-Anmeldeinformationen aufgefordert werden.

Hinweis: Wenn Sie beim Testen der SAML-Anmeldung unter Schritt 7. Testen der Konfiguration der Tableau Cloud-SAML-Konfiguration, Fehler erhalten, klicken Sie auf Protokolldatei herunterladen und verwenden Sie dort enthaltenen Informationen, um die gemeldeten Fehler zu beheben.

Zusätzliche Anforderungen und Tipps

  • Nachdem Sie die SAML-Integration zwischen AD FS und Tableau Cloud eingerichtet haben, müssen Sie Tableau Cloud aktualisieren, damit sich bestimmte, in Active Directory vorgenommene Benutzeränderungen widerspiegeln. Dazu zählt beispielsweise das Hinzufügen oder Entfernen von Benutzern.

    Sie können Benutzer automatisch oder manuell hinzufügen:

    • So fügen Sie Benutzer automatisch hinzu: Erstellen Sie ein Skript (mithilfe von PowerShell, Python oder einer Batch-Datei) zum Übertragen der AD-Änderungen auf Tableau Cloud. Das Skript kann tabcmd oder die REST-API für die Interaktion mit Tableau Cloud verwenden.

    • So fügen Sie Benutzer manuell hinzu: Melden Sie sich in der Tableau Cloud-Weboberfläche an, navigieren Sie zu der Seite Benutzer, klicken Sie auf Benutzer hinzufügen und geben Sie den -Benutzernamen des Benutzers ein oder laden Sie eine CSV-Datei hoch, die diese Informationen enthält.

    Hinweis: Wenn Sie einen Benutzer entfernen, dessen Inhaltselemente jedoch beibehalten möchten, ändern Sie vor dem Entfernen des Benutzers den Eigentümer des Inhalts. Durch das Löschen eines Benutzers wird auch der Inhalt gelöscht, der ihm gehört.

  • In Tableau Cloud ist der -Benutzername eines Benutzers sein eindeutiger Bezeichner. Wie unter den Schritten für das Konfigurieren von AD FS zum Akzeptieren von Anmeldeanforderungen aus Tableau Cloud beschrieben, müssen die Tableau Cloud -Benutzernamen von Benutzern mit dem in AD gespeicherten -Benutzernamen übereinstimmen.

  • In Schritt 2: Konfigurieren von AD FS zum Akzeptieren von Anmeldeanforderungen von Tableau Cloud haben Sie in AD FS eine Anspruchsregel zum Abgleichen der Attribute für den Vornamen, Nachnamen und -Benutzernamen zwischen AD FS und Tableau Cloud hinzugefügt. Alternativ können Sie Schritt 5. Attribute zuordnen in Tableau Cloud verwenden, um dasselbe zu erreichen.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.