Konfigurieren von SAML mit AD FS

Sie können die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) als SAML-Identitätsanbieter konfigurieren und Tableau Cloud zu Ihren unterstützten Single Sign-On-Anwendungen hinzufügen. Wenn Sie AD FS mit SAML und Tableau Cloud integrieren, können sich Ihre Benutzer mit ihren Standardnetzwerk-Anmeldeinformationen bei Tableau Cloud anmelden.

Hinweis: Diese Schritte repräsentieren die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden. Wenn die hier beschriebenen Schritte nicht mit den in Ihrem IdP-Konto angezeigten Bildschirmen übereinstimmen, können Sie die allgemeinen SAML-Konfigurationsschritte in Verbindung mit der IdP-Dokumentation verwenden.

Voraussetzungen

Bevor Sie Tableau Cloud und SAML mit AD FS konfigurieren können, ist für Ihre Umgebung Folgendes erforderlich:

  • Ein Server unter Microsoft Windows Server 2008 R2 (oder höher) mit installiertem AD FS 2.0 (oder höher) und IIS.

  • Es wird empfohlen, Ihren AD FS-Server zu schützen (z. B. durch Verwendung eines Reverse-Proxys). Wenn der Zugriff auf Ihren AD FS-Server von außerhalb Ihrer Firewall möglich ist, kann Tableau Cloud Benutzer zur von AD FS gehosteten Anmeldeseite weiterleiten.

  • Ein Site-Administrator-Konto, das die TableauID-Authentifizierung verwendet Wenn die einmalige Anmeldung mit SAML fehlschlägt, können Sie sich als Site-Administrator weiterhin bei Tableau Cloud anmelden.

Schritt 1: Exportieren von Metadaten aus Tableau Cloud

  1. Melden Sie sich bei Tableau Cloud als Site-Administrator an.

    Wenn Sie über mehr als eine Site für Tableau Cloud verfügen, wählen Sie in der Dropdown-Liste "Sites" die Site aus, für die Sie SAML aktivieren wollen.

  2. Wählen Sie Einstellungen > Authentifizierung.
  3. Wählen Sie auf der Registerkarte Authentifizierung Zusätzliche Authentifizierung verwenden, dann SAML und klicken Sie anschließend auf Verbindung bearbeiten.

    Einstellungen für die Authentifizierung

  4. Klicken Sie unter Schritt 1 Exportieren von Metadaten aus Tableau Online auf Metadaten exportieren, um eine XML-Datei herunterzuladen, die die Tableau Cloud-SAML-Entitäten-ID, die ACS (Assertion Consumer Service)-URL und das X.509-Zertifikat enthält.

Schritt 2: Konfigurieren von AD FS zum Akzeptieren von Anmeldeanforderungen von Tableau Cloud

Die Konfiguration von AD FS zum Akzeptieren von Tableau Cloud-Anmeldeanforderungen ist ein mehrstufiger Prozess, der mit dem Importieren der Tableau Cloud XML-Metadatendatei in AD FS beginnt.

  1. Gehen Sie wie folgt vor, um den Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite zu öffnen:

  2. Windows Server 2008 R2:

    1. Wählen Sie Startmenü > Verwaltung > AD FS 2.0 aus.

    2. Klicken Sie in AD FS 2.0 unter Vertrauensstellungen mit der rechten Maustaste auf den Ordner Relying Party Trusts und klicken Sie dann auf Vertrauensstellung der vertrauenden Seite hinzufügen.

    Windows Server 2012 R2:

    1. Öffnen Sie denServer-Manager und klicken Sie dann im Menü Extras auf AD FS-Verwaltung.

    2. Klicken Sie in AD FS-Verwaltung im Menü Aktion auf Vertrauensstellung der vertrauenden Seite hinzufügen.

  3. Klicken Sie im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite auf Start.

  4. Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die vertrauende Seite aus einer Datei importieren aus und klicken Sie dann auf Durchsuchen, um IhreTableau Cloud XML-Metadatendatei zu finden. Diese Datei heißt standardmäßig samlspmetadata.xml.

  5. Klicken Sie auf Weiter und geben Sie dann auf der Seite Anzeigename angeben in den Feldern Anzeigename und Hinweise einen Namen und eine Beschreibung für die Vertrauensstellung der vertrauenden Seite ein.

  6. Klicken Sie auf "Weiter", um die Seite Möchten Sie jetzt die Multi-Faktor-Authentifizierung konfigurieren? zu überspringen.

  7. Klicken Sie auf "Weiter", um die Seite Ausstellungsautorisierungsregeln wählen zu überspringen.

  8. Klicken Sie auf "Weiter", um die Seite Bereit zum Hinzufügen der Vertrauensstellung zu überspringen.

  9. Aktivieren Sie auf der Seite Fertigstellen das Kontrollkästchen Nach Abschluss des Assistenten das Dialogfeld "Anspruchsregeln bearbeiten" für diese Anspruchsanbieter-Vertrauensstellung öffnen und klicken Sie dann auf Schließen.

Als Nächstes navigieren Sie zum Dialogfeld Anspruchsregeln bearbeiten, um eine Regel hinzuzufügen, die sicherstellt, dass von AD FS gesendete Assertionen mit den Assertionen übereinstimmen, die von Tableau Cloud erwartet werden. Für Tableau Cloud ist zumindest eine E-Mail-Adresse erforderlich. Durch das Hinzufügen des Vor- und Nachnamens neben der E-Mail-Adresse wird jedoch sichergestellt, dass die in Tableau Cloud angezeigten Benutzernamen mit denen des AD-Kontos übereinstimmen.

  1. Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf Regel hinzufügen.

  2. Wählen Sie auf der Seite Regeltyp auswählen für Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie dann auf Weiter.

  3. Geben Sie auf der Seite Anspruchsregel konfigurieren in das Feld Anspruchsregelname einen Namen für die Regel ein, der für Sie sinnvoll ist.

  4. Wählen Sie unter Attributspeicher die Option Active Directory aus. Vervollständigen Sie die Zuordnung wie unten gezeigt und klicken Sie dann auf Fertigstellen.

  5. Bei der Zuordnung wird die Groß-/Kleinschreibung beachtet. Die Schreibweise muss exakt erfolgen. Daher sollten Sie Ihre Einträge gegenprüfen. Die Tabelle hier zeigt allgemeine Attribute und Anspruchszuordnungen. Überprüfen Sie die Attribute mit Ihrer spezifischen Active Directory-Konfiguration.

    Hinweis: Tableau Cloud erfordert das Attribut NameID in der SAML-Antwort. Sie können andere Attribute bereitstellen, um Benutzernamen in Tableau Cloud zuzuordnen, aber die Antwortnachricht muss das Attribut NameID enthalten.

    LDAP-AttributTyp des ausgehenden Anspruchs

    Abhängig von der Version von AD FS:

    User-Principal-Name
    oder
    E-Mail-Adressen

     

    E-Mail
    oder
    E-Mail-Adresse

    Given-NamefirstName
    SurnamelastName

Wenn Sie AD FS 2016 oder höher ausführen, müssen Sie eine Regel hinzufügen, um alle Anspruchswerte zu durchlaufen. Wenn Sie eine ältere Version von AD FS verwenden, fahren Sie mit dem nächsten Verfahren zum Exportieren von AD FS-Metadaten fort.

  1. Klicken Sie auf Regel hinzufügen.
  2. Unter Anspruchsregelvorlage wählen Sie Durchlaufen oder Filtern eines eingehenden Anspruchs.
  3. Geben Sie unter Name der Anspruchsregel "Windows" ein.
  4. In dem Pop-up-Fenster Regel bearbeiten - Windows:
    • Wählen Sie unter Typ von eingehendem Anspruch die Option Windows-Kontoname aus.
    • Wählen Sie Alle Anspruchswerte durchlaufen.
    • Klicken Sie auf OK.

Nun exportieren Sie AD FS-Metadaten, die Sie später in Tableau Cloud importieren werden. Stellen Sie zudem sicher, dass die Metadaten ordnungsgemäß für Tableau Cloud konfiguriert und codiert sind, und überprüfen Sie weitere AD FS-Anforderungen für Ihre SAML-Konfiguration.

  1. Exportieren Sie die AD FS-Verbundmetadaten in eine XML-Datei und laden Sie diese Datei dann von https://<adfs server name>/FederationMetadata/2007-06/FederationMetadata.xml herunter.

  2. Öffnen Sie die Metadatendatei in einem Texteditor wie Sublime Text oder Notepad++ und überprüfen Sie, ob sie korrekt als UTF-8, ohne BOM, verschlüsselt ist.

    Wenn die Datei einen anderen Verschlüsselungstyp enthält, speichern Sie sie im Texteditor mit der richtigen Verschlüsselung.

  3. Stellen Sie sicher, dass AD FS die formularbasierte Authentifizierung verwendet. Anmeldungen werden über ein Browserfenster ausgeführt. Sie benötigen demnach AD FS, um standardmäßig diesen Authentifizierungstyp zu verwenden.

    Bearbeiten Sie c:\inetpub\adfs\ls\web.config, suchen Sie nach dem Tag , und verschieben Sie die Zeile, damit sie als erstes Element in der Liste angezeigt wird. Speichern Sie die Datei, sodass IIS sie automatisch erneut laden kann.

    Hinweis: Wenn die Datei c:\inetpub\adfs\ls\web.config nicht angezeigt wird, ist IIS auf Ihrem AD FS-Server weder installiert noch konfiguriert.

  4. Konfigurieren Sie einen zusätzlichen Bezeichner für die abhängige Seite in AD FS. Dadurch kann Ihr System jegliche AD FS-Probleme bei der SAML-Abmeldung umgehen.

    Führen Sie einen der folgenden Schritte aus:

    Windows Server 2008 R2:

    1. Klicken Sie in AD FS 2.0 mit der rechten Maustaste auf die vertrauende Seite, die Sie zuvor für Tableau Cloud erstellt haben, und klicken Sie auf Eigenschaften.

    2. Geben Sie auf der Registerkarte Bezeichner im Feld Bezeichner der vertrauenden Seite die URL https://<tableauservername>/public/sp/metadata ein und klicken Sie dann auf Hinzufügen.

    Windows Server 2012 R2:

    1. Klicken Sie in AD FS-Verwaltung in der Liste Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die vertrauende Seite, die Sie zuvor für Tableau Cloud erstellt haben, und klicken Sie auf Eigenschaften.

    2. Geben Sie auf der Registerkarte Bezeichner im Feld Bezeichner der vertrauenden Seite die URL https://<tableauservername/public/sp/metadata ein und klicken Sie dann auf Hinzufügen.

    Hinweis: AD FS kann mit Tableau Server für eine einzelne vertrauende Seite derselben Instanz verwendet werden. AD FS kann nicht für mehrere vertrauende Seiten derselben Instanz verwendet werden, z.B. für mehrere Site-SAML-Sites oder serverweite und Site-SAML-Konfigurationen.

Schritt 3: Importieren der AD FS-Metadaten in Tableau Cloud

  1. Wechseln Sie in Tableau Cloud zur Seite Einstellungen > Authentifizierung zurück.

  2. Geben Sie unter 4 Metadatendatei in Tableau Cloud importieren im Feld "IdP-Metadatendatei" den Namen der Datei an, die Sie aus AD FS (FederationMetadata.xml) exportiert haben.

  3. Überspringen Sie 5. Übereinstimmende Attribute.

    Sie haben bereits eine Anspruchsregel in AD FS erstellt, mit der die Attributnamen gemäß den Erwartungen von Tableau Cloud zugeordnet werden.

  4. Klicken Sie unter 6. Benutzer verwalten: Führen Sie eine der folgenden Aktionen aus: 

    • Wenn Sie noch keine Tableau Cloud-Benutzer hinzugefügt haben, klicken Sie auf Benutzer hinzufügen.

      Anschließend können Sie mithilfe des Formulars manuell Benutzer hinzufügen oder eine CSV-Datei mit Benutzerinformationen importieren.

    • Wenn Sie Ihrer Site bereits Benutzer hinzugefügt haben, klicken Sie auf Benutzer auswählen.

      Aktivieren Sie das Kontrollkästchen neben den Benutzern, denen Sie die Verwendung der SAML-Anmeldung gestatten möchten. Wählen Sie dann im Menü Aktionen die Option Authentifizierung aus. Ändern Sie die Authentifizierungsmethode in SAML.

  5. (Optional) Testen Sie anhand der folgenden Schritte die SAML-Anmeldung:

    1. Öffnen Sie in Ihrem Webbrowser ein privates Fenster oder eine private Sitzung.

      Klicken Sie zum Beispiel in Google Chrome in der oberen rechten Ecke des Fensters auf Google Chrome anpassen und einstellen > Neues Inkognito-Fenster und navigieren Sie dann zu https://online.tableau.com.

    2. Geben Sie die E-Mail-Adresse des Benutzers ein. Tableau Cloud entfernt das Kennwortfeld, wenn das Konto des Benutzers korrekt für die SAML-Authentifizierung eingerichtet ist.

    3. Klicken Sie auf Anmelden und geben Sie auf der AD FS-Anmeldeseite Ihre AD-Anmeldeinformationen ein.

      Nachdem Sie authentifiziert sind, leitet Sie AD FS zu Tableau Cloud um.

Ihre Tableau Cloud-Site ist nun bereit für die Benutzeranmeldung mit AD FS und SAML. Sie navigieren zwar weiterhin zu https://online.tableau.com, nach der Eingabe ihrer E-Mail-Adresse erfolgt jedoch eine Umleitung zur AD FS-Anmeldeseite (wie zuvor im optionalen Testschritt), und die Benutzer werden zur Eingabe ihrer AD-Anmeldeinformationen aufgefordert.

Hinweis: Wenn Sie beim Testen der SAML-Anmeldung unter Schritt 7. Problembehandlung für Single Sign-On (SSO) der Tableau Cloud-SAML-Konfigurationsschritte Fehler erhalten, klicken Sie auf Protokolldatei herunterladen und beheben Sie den Fehler mithilfe der dort angezeigten Informationen.

Zusätzliche Anforderungen und Tipps

  • Nachdem Sie die SAML-Integration zwischen AD FS und Tableau Cloud eingerichtet haben, müssen Sie Tableau Cloud aktualisieren, damit sich bestimmte, in Active Directory vorgenommene Benutzeränderungen widerspiegeln. Dazu zählt beispielsweise das Hinzufügen oder Entfernen von Benutzern.

    Sie können Benutzer automatisch oder manuell hinzufügen:

    • So fügen Sie Benutzer automatisch hinzu: Erstellen Sie ein Skript (mithilfe von PowerShell, Python oder einer Batch-Datei) zum Übertragen der AD-Änderungen auf Tableau Cloud. Das Skript kann tabcmd oder die REST-API für die Interaktion mit Tableau Cloud verwenden.

    • So fügen Sie Benutzer manuell hinzu: Melden Sie sich bei der Tableau Cloud-Webschnittstelle an, navigieren Sie zur Seite Benutzer, klicken Sie auf Benutzer hinzufügen und geben Sie die E-Mail-Adressen der Benutzer ein oder laden Sie eine CSV-Datei mit den Informationen der Benutzer hoch.

    Hinweis: Wenn Sie einen Benutzer entfernen, dessen Inhaltselemente jedoch beibehalten möchten, ändern Sie vor dem Entfernen des Benutzers den Eigentümer des Inhalts. Durch das Löschen eines Benutzers wird auch der Inhalt gelöscht, der ihm gehört.

  • In Tableau Cloud ist die E-Mail-Adresse eines Benutzers sein eindeutiger Bezeichner. Wie unter den Schritten zum Konfigurieren von AD FS für das Akzeptieren von Anmeldeanforderungen aus Tableau Cloud beschrieben, müssen die Tableau Cloud-E-Mail-Adressen der Benutzer mit der in AD gespeicherten E-Mail-Adresse übereinstimmen.

  • In Schritt 2: Konfigurieren von AD FS zum Akzeptieren von Anmeldeanforderungen von Tableau Cloud haben Sie in AD FS eine Anspruchsregel hinzugefügt, um die Attribute für den Vornamen, Nachnamen und die E-Mail-Adresse zwischen AD FS und Tableau Cloud zuzuordnen. Alternativ können Sie Schritt 5. Attribute zuordnen in Tableau Cloud verwenden, um dasselbe zu erreichen.

Vielen Dank für Ihr Feedback!