Configurare SAML con AD FS

Puoi configurare Active Directory Federation Services (AD FS) come fornitore di identità SAML e aggiungere Tableau Cloud alle applicazioni di Single Sign-On supportate. Quando si integra AD FS con SAML e Tableau Cloud, gli utenti possono accedere a Tableau Cloud utilizzando le loro credenziali di rete standard.

Note: 

  • Questi passaggi riflettono un’applicazione di terze parti e sono soggette a modifiche a nostra insaputa. Se i passaggi qui descritti non corrispondono alle schermate che vedi nel tuo account IdP, usa i passaggi generali di configurazione di SAML, i insieme alla documentazione dell’IdP.
  • A partire da febbraio 2022, l’autenticazione a più fattori (MFA) tramite il tuo provider di identità (IdP) SSO SAML è un requisito di Tableau Cloud.

Prerequisiti

Prima di poter configurare Tableau Cloud e SAML con AD FS, il tuo ambiente deve avere le seguenti caratteristiche:

  • Un server su cui è installato Microsoft Windows Server 2008 R2 (o successivo) con AD FS 2.0 (o successivo) e IIS.

  • Ti consigliamo di proteggere il server AD FS (ad esempio tramite un reverse proxy). Quando il server AD FS è accessibile dall’esterno del firewall, Tableau Cloud può reindirizzare gli utenti alla pagina di accesso ospitata da AD FS.

  • Un account di amministratore del sito che utilizza l’autenticazione TableauID. Se l’accesso singolo SAML non riesce, puoi comunque accedere a Tableau Cloud come amministratore del sito.

Passaggio 1: esportazione dei metadati da Tableau Cloud

  1. Accedi a Tableau Cloud come amministratore del sito.

    Se disponi di più siti per Tableau Cloud, seleziona il sito per cui desideri abilitare SAML nell’elenco a discesa dei siti.

  2. Seleziona Impostazioni > Autenticazione.
  3. Nella scheda Autenticazione seleziona la casella di controllo Abilita un metodo di autenticazione aggiuntivo, seleziona SAML, quindi fai clic sulla freccia dell’elenco a discesa Configurazione (obbligatorio).

    Impostazioni di autenticazione

  4. Durante la fase 1, Metodo 1: esportazione dei metadati, fai clic sul pulsante Esporta metadati per scaricare un file XML che contiene l’ID entità SAML Tableau Cloud, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.

Passaggio 2: configurazione di AD FS in modo che accetti le richieste di accesso da Tableau Cloud

Configurazione di AD FS per accettare le richieste di accesso di Tableau Cloud come un processo in più fasi, a partire dall’importazione del file di metadati Tableau Cloud in AD FS.

  1. Esegui una delle seguenti operazioni per avviare l’Aggiunta guidata attendibilità componente:

  2. Windows Server 2008 R2:

    1. Seleziona menu Start > Strumenti di amministrazione> AD FS 2.0.

    2. In AD FS 2.0, all’interno di Relazioni di attendibilità, fai clic con il pulsante destro del mouse sulla cartella Attendibilità componente e scegli Aggiungi attendibilità componente.

    Windows Server 2012 R2:

    1. Apri Server Manager, quindi fai clic su Gestione AD FS nel menu Strumenti.

    2. In Gestione AD FS fai clic su Aggiungi attendibilità componente nel menu Azione.

  3. Nell’Aggiunta guidata attendibilità componente, fai clic su Avvia.

  4. Nella pagina Seleziona origine dati, seleziona Importa dati sul componente da un file, quindi fai clic su Sfoglia per cercare il file di metadati XML di Tableau Cloud. Per impostazione predefinita, il file è denominato samlspmetadata.xml.

  5. Fai clic su Avanti e nella pagina Specifica nome visualizzato, digita un nome e una descrizione per l’attendibilità componente nelle caselle Nome visualizzato e Note.

  6. Fai clic su Avanti per saltare la pagina Configura l’autenticazione a più fattori.

  7. Fai clic su Avanti per saltare la pagina Scegli regole di autorizzazione rilascio.

  8. Fai clic su Avanti per saltare la pagina Aggiunta attendibilità.

  9. Nella pagina Fine, seleziona la casella di controllo Apri la finestra di dialogo Modifica regole attestazione per l’attendibilità componente alla chiusura della procedura guidata, quindi fai clic su Chiudi.

Successivamente, lavorerai nella finestra di dialogo Modifica regole attestazione, per aggiungere una regola che assicuri che le asserzioni inviate da AD FS corrispondano alle asserzioni attese da Tableau Cloud. Per Tableau Cloud è necessario almeno un indirizzo e-mail. Tuttavia, l’inserimento del nome e del cognome in aggiunta all’e-mail garantirà che i nomi utente visualizzati in Tableau Cloud corrispondano a quelli del tuo account AD.

  1. Nella finestra di dialogo Modifica regole attestazione, fai clic su Aggiungi regola.

  2. Nella pagina Scegli tipo di regola, per Modello di regola attestazione, seleziona Inviare attributi LDAP come attestazioni e fai clic su Avanti.

  3. Nella pagina Configura regola attestazione, per Nome regola attestazione, inserisci un nome significativo per la regola.

  4. Per Archivio attributi, seleziona Active Directory, completa il mapping come indicato di seguito, quindi fai clic su Fine.

  5. Il mapping è sensibile alla differenza tra maiuscole e minuscole e richiede un’ortografia esatta, quindi ricontrolla le voci immesse. La tabella mostra gli attributi comuni e il mapping dell’attestazione. Verifica gli attributi con la configurazione specifica di Active Directory.

    Nota: Tableau Cloud richiede l’attributo NameID nella risposta SAML. Puoi fornire altri attributi per mappare i nomi utente in Tableau Cloud, ma il messaggio di risposta deve includere l’attributo NameID.

    Attributo LDAPTipo di attestazione in uscita

    A seconda della versione di AD FS:

    Nome-entità-utente
    oppure
    Indirizzi-e-mail

     

    e-mail
    oppure
    Indirizzo e-mail

    Nomenome
    Cognomecognome

Se stai utilizzando AD FS 2016 o versione più recente, devi aggiungere una regola per passare per tutti i valori di richiesta. Se stai utilizzando una versione precedente di AD FS, passa alla procedura successiva per esportare i metadati di AD FS.

  1. Clicca su Aggiungi regola.
  2. In Modello regola di richiesta, scegli Passa per o Filtra una richiesta in arrivo.
  3. In Nome regola di richiesta, immetti Windows.
  4. Nella finestra pop-up Modifica regola - Windows:
    • In Tipo richiesta in arrivo, seleziona Nome dell’account Windows.
    • Seleziona Passa per tutti i valori delle richieste.
    • Fare clic su OK.

Ora esporterai i metadati di AD FS che successivamente importerai in Tableau Cloud. Assicurati anche che i metadati siano configurati e codificati correttamente per Tableau Cloud e verifica altri requisiti di AD FS per la vostra configurazione SAML.

  1. Esporta i metadati di federazione di AD FS in un file XML, quindi scarica il file da https://<nome server adfs> federationmetadata/2007-06/FederationMetadata.xml.

  2. Apri il file di metadati in un editor di testo come Sublime Text o Notepad++ e verifica che sia correttamente codificato come UTF-8 senza BOM.

    Se il file riporta un altro tipo di codifica, salvalo dall’editor di testo con la codifica corretta.

  3. Verifica che AD FS utilizzi l’autenticazione basata su moduli. Gli accessi vengono eseguiti in una finestra del browser, quindi è necessario che AD FS abbia come impostazione predefinita questo tipo di autenticazione.

    Modifica c:\inetpub\adfs\ls\web.config, cerca il tag , e sposta la linea in modo che appaia per prima nella lista. Salva il file in modo che IIS possa ricaricarlo automaticamente.

    Nota: se non vedi il file c:\inetpub\adfs\ls\web.config, IIS non è installato e configurato sul server AD FS.

  4. Configura un ulteriore identificatore di componente di AD FS. Questo permette al sistema di risolvere qualsiasi problema di AD FS con l’uscita da SAML.

    Esegui una di queste operazioni:

    Windows Server 2008 R2:

    1. In AD FS 2.0, fai clic con il pulsante destro del mouse sul componente creato in precedenza per Tableau Cloud e scegli Proprietà.

    2. Nella scheda Identificatori, all’interno della casella Identificatore del componente, immetti https://<nometableauserver>/public/sp/metadata e fai clic su Aggiungi.

    Windows Server 2012 R2:

    1. In Gestione AD FS, nell’elenco Attendibilità componente fai clic con il pulsante destro del mouse sul componente creato in precedenza per Tableau Cloud e scegli Proprietà.

    2. Nella scheda Identificatori, all’interno della casella Identificatore del componente, immetti https://<nometableauserver/public/sp/metadata e fai clic su Aggiungi.

    Nota: AD FS può essere utilizzato con Tableau Server per un singolo componente sulla stessa istanza. AD FS non può essere utilizzato per più componenti della stessa istanza, ad esempio, per più siti SAML-sito o configurazioni SAML a livello di server e sito.

Passaggio 3: importazione dei metadati di AD FS in Tableau Cloud

  1. In Tableau Cloud, torna a Impostazioni > Autenticazione.

  2. Durante la fase 4. Caricamento dei file di metadati in Tableau, nella casella del file di metadati IdP specifica il nome del file esportato da AD FS (FederationMetadata.xml).

  3. Ignora il passaggio 5. Associa attributi.

    Hai già creato una regola di attestazione in AD FS in modo da associare i nomi degli attributi alle aspettative di Tableau Cloud.

  4. Fai clic sul pulsante Salva modifiche.

  5. Gestisci gli utenti eseguendo una delle seguenti operazioni:

    • Se non hai ancora aggiunto utenti al sito, dal riquadro di sinistra passa alla pagina Utenti e fai clic su Aggiungi utenti. È quindi possibile aggiungere manualmente gli utenti oppure importare un file CSV contenente informazioni sugli utenti. Per ulteriori informazioni vedi Aggiungere utenti a un sito o Importare utenti.

    • Se hai già aggiunto utenti al tuo sito, dal riquadro di sinistra passa alla pagina Utenti, fai clic su Azioni accanto a un utente specifico, quindi fai clic su Autenticazione. Modifica il metodo di autenticazione in SAML, quindi fai clic sul pulsante Aggiorna.

  6. (Facoltativo) Torna alla pagina Autenticazione e verifica l’accesso SAML in 7. Verifica configurazione facendo clic sul pulsante Verifica configurazione.

    È consigliabile testare la configurazione SAML per evitare eventuali scenari di blocco. La verifica della configurazione ti consente di assicurarti di aver configurato SAML correttamente prima di modificare il tipo di autenticazione degli utenti in SAML. Per testare correttamente la configurazione, assicurati che sia presente almeno un utente che puoi utilizzare per l’accesso, di cui è stato eseguito il provisioning nell’IdP e che è stato aggiunto a Tableau Cloud con il tipo di autenticazione SAML configurato.

Il sito di Tableau Cloud è ora pronto per l’accesso degli utenti tramite ADFS e SAML. Passano comunque a https://online.tableau.com, ma dopo l’immissione del nome utente, la pagina reindirizza alla pagina di accesso AD FS (come nel passaggio di test facoltativo precedente) e richiede agli utenti le credenziali AD FS.

Nota: se rilevi errori durante il test dell’accesso SAML, nel passaggio 7. Verifica configurazione delle fasi di configurazione SAML di Tableau Cloud, fai clic su Scarica il log e utilizza le informazioni per risolvere l’errore.

Ulteriori requisiti e suggerimenti

  • Dopo aver configurato l’integrazione SAML tra AD FS e Tableau Cloud, è necessario eseguire l’aggiornamento di Tableau Cloud per riflettere modifiche utente specifiche in Active Directory. Ad esempio, l’aggiunta o la rimozione di utenti.

    Puoi aggiungere utenti automaticamente o manualmente:

    • Per aggiungere automaticamente utenti: crea uno script (utilizzando PowerShell, Python o file batch) per immettere le modifiche di AD in Tableau Cloud. Lo script può usare tabcmd o l’API REST per interagire con Tableau Cloud.

    • Per aggiungere manualmente gli utenti: accedi all’interfaccia Web di Tableau Cloud, vai alla pagina Utenti, fai clic su Aggiungi utenti e immetti il nome utente degli utenti oppure carica un file CSV contenente le informazioni.

    Nota: se desideri rimuovere un utente ma conservare le risorse di contenuto, modifica il proprietario del contenuto prima di rimuovere l’utente. L’eliminazione di un utente comporta l’eliminazione del suo contenuto.

  • In Tableau Cloud, il nome utente di un utente è il suo identificatore univoco. Come descritto nelle fasi per la configurazione di AD FS, per accettare le richieste di accesso da Tableau Cloud, i nomi utente di Tableau Cloud degli utenti devono corrispondere al nome utente memorizzato in AD.

  • Nella Passaggio 2: configurazione di AD FS in modo che accetti le richieste di accesso da Tableau Cloud, hai aggiunto una regola di richiesta in AD FS per far corrispondere gli attributi nome, cognome e nome utente tra AD FS e Tableau Cloud. In alternativa, è possibile utilizzare il passaggio 5. Associa gli attributi a Tableau Cloud per la stessa finalità.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!