SAML configureren met AD FS

U kunt Active Directory Federation Services (AD FS) configureren als SAML-identiteitsprovider en Tableau Cloud toevoegen aan uw ondersteunde toepassingen met eenmalige aanmelding. Wanneer u AD FS integreert met SAML en Tableau Cloud, kunnen uw gebruikers zich aanmelden bij Tableau Cloud met hun standaard netwerkreferenties.

Opmerkingen: 

  • Deze stappen weerspiegelen een toepassing van derden en kunnen zonder ons medeweten worden gewijzigd. Als de hier beschreven stappen niet overeenkomen met de schermen die u in uw IdP-account ziet, kunt u de algemene SAML-configuratiestappen, , samen met de documentatie van de IdP.
  • Vanaf februari 2022 is meervoudige verificatie (MFA) via uw SAML SSO identity provider (IdP) een vereiste voor Tableau Cloud.

Vereisten

Voordat u Tableau Cloud en SAML met AD FS kunt configureren, moet uw omgeving over het volgende beschikken:

  • Een server waarop Microsoft Windows Server 2008 R2 (of hoger) wordt uitgevoerd met AD FS 2.0 (of hoger) en waarop IIS is geïnstalleerd.

  • We raden aan uw AD FS-server te beveiligen (bijvoorbeeld met een reverse proxy). Wanneer uw AD FS-server toegankelijk is van buiten uw firewall, kan Tableau Cloud kan gebruikers omleiden naar de aanmeldpagina die wordt gehost door AD FS.

  • Een account als sitebeheerder dat TableauID-verificatie gebruikt. Als eenmalige SAML-aanmelding mislukt, kunt u zich nog steeds bij Tableau Cloud aanmelden als sitebeheerder.

Stap 1: metadata exporteren vanuit Tableau Cloud

  1. Meld u aan bij Tableau Cloud als sitebeheerder.

    Als u meer dan één site heeft voor Tableau Cloud, selecteert u in de vervolgkeuzelijst Sites de site waarvoor u SAML wilt inschakelen.

  2. Selecteer Instellingen > Verificatie.
  3. Vink op het tabblad Verificatie het selectievakje Een aanvullende verificatiemethode inschakelen een, selecteer SAML en klik vervolgens op het vervolgkeuzepijltje Configuratie (verplicht).

    Verificatie-instellingen

  4. Klik onder stap 1 Methode 1: metadata exporteren, op de knop Metadata exporteren om een XML-bestand te downloaden met de Tableau Cloud SAML-entiteits-ID, de Assertion Consumer Service (ACS)-URL en het X.509-certificaat.

Stap 2: AD FS configureren om aanmeldingsverzoeken van Tableau Cloud te accepteren

AD FS configureren om aanmeldingsverzoeken van Tableau Cloud te accepteren is een proces met meerdere stappen. Dit begint met het importeren van de Tableau Cloud XML-metadatabestand naar AD FS.

  1. Voer een van de volgende handelingen uit voor het openen van de Wizard Relying Party toevoegen:

  2. Windows Server 2008 R2:

    1. Selecteer menu Start> naar Administratieve hulpmiddelen> ADFS 2.0.

    2. Klik in AD FS 2.0, onder Relaties van trust, met de rechtermuisknop op de map Relying Party-trusts en klik dan op Relying Party-trust toevoegen.

    Windows Server 2012 R2:

    1. Open Serverbeheerder, en klik dan in het menu Hulpmiddelen op AD FS-beheer.

    2. Klik in AD FS-beheer, in het menu Actie, op Relying Party-trust toevoegen.

  3. Klik in de Wizard Relying Party toevoegen op Start.

  4. Selecteer op de pagina Databron Data over de vertrouwende partij importeren uit een bestand. Klik vervolgens op Bladeren om uw Tableau Cloud XML-metadatabestand te vinden. Standaard heeft dit bestand de naam samlspmetadata.xml.

  5. Klik op Volgende en typ op de pagina Geef Weergavenaam opgeven een naam en beschrijving voor de trust van de Relying Party in de vakjes Weergavenaam en Opmerkingen.

  6. Klik op Volgende om de pagina Nu meervoudige verificatie configureren over te slaan.

  7. Klik op Volgende om de pagina Autorisatieregels voor uitgifte kiezen over te slaan.

  8. Klik op Volgende om de pagina Klaar om trust toe te voegen over te slaan.

  9. Vink op de pagina Afronden het selectievakje Het dialoogvenster claimregels bewerken voor deze Relying Party-trust wanneer wizard wordt afgesloten aan en klik vervolgens op Afsluiten.

Vervolgens gaat u aan de slag in het dialoogvenster Claimregels bewerken. Voeg een regel toe die zorgt dat de claims die door AD FS worden verzonden, overeenkomen met de claims die Tableau Cloud verwacht. Tableau Cloud heeft minimaal een e-mailadres nodig. Als u naast uw e-mailadres echter ook uw voor- en achternaam opneemt, zorgt u dat de weergegeven gebruikersnamen in Tableau Cloud dezelfde zijn als die in uw AD-account.

  1. Klik in het dialoogvenster Claimregels bewerken op Regel toevoegen.

  2. Selecteer op de pagina Regeltype kiezen, voor Sjabloon voor claimregel, LDAP-kenmerken als claims verzenden. Klik vervolgens op Volgende.

  3. Voer op de pagina Claimregel configureren, voor Claimregelnaam, een logische naam in voor de regel.

  4. Selecteer voor Kenmerk opslaan Actieve Directory, voltooi de toewijzing zoals hieronder weergegeven en klik vervolgens op Afronden.

  5. De toewijzing is hoofdlettergevoelig en vereist exacte spelling. Dus controleer uw invoer grondig. In de tabel hier worden algemene kenmerken en claimtoewijzingen weergegeven. Controleer de kenmerken met uw specifieke Active Directory-configuratie.

    Opmerking: Tableau Cloud vereist het kenmerk NameID in de SAML-reactie. U kunt andere kenmerken opgeven om gebruikersnamen in Tableau Cloud toe te wijzen. Maar het reactiebericht moet de volgende data bevatten: kenmerk NameID.

    LDAP-kenmerkType uitgaande claim

    Afhankelijk van de versie van AD FS:

    User-Principal-Name
    of
    E-mailadressen

     

    e-mailadres
    of
    E-mailadres

    Given-NamefirstName
    AchternaamlastName

Als u AD FS 2016 of later gebruikt, moet u een regel toevoegen om alle claimwaarden door te geven. Als u een oudere versie van AD FS gebruikt, gaat u verder met de volgende procedure om AD FS-metadata te exporteren.

  1. Klik op Regel toevoegen.
  2. Kies onder Claimregelsjabloon Een binnenkomende claim doorsturen of filteren.
  3. Voer onder Claimregelnaam Windows in.
  4. In het pop-upvenster Regel bewerken - Windows:
    • Selecteer onder Inkomend claimtype Windows-accountnaam.
    • Selecteer Alle claimwaarden doorgeven.
    • Klik op OK.

Nu exporteert u AD FS-metadata die u later in Tableau Cloud gaat importeren. Zorg er voor dat de metadata correct geconfigureerd en versleuteld is voor Tableau Cloud. Controleer ook andere AD FS-vereisten voor uw SAML-configuratie.

  1. Exporteer AD FS Federation-metadata naar een XML-bestand. Download het bestand vervolgens van https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Open het metadatabestand in een teksteditor zoals Sublime Text of Kladblok++ en controleer of het correct is versleuteld als UTF-8 zonder BOM.

    Als het bestand een ander type versleuteling heeft, sla het dan op vanuit de teksteditor met de juiste versleuteling.

  3. Controleer of AD FS op formulieren gebaseerde verificatie gebruikt. Aanmeldingen worden uitgevoerd in een browservenster. Daarom moet AD FS dit type verificatie standaard gebruiken.

    Bewerk c:\inetpub\adfs\ls\web.config, zoek naar de tag , en verplaats de regel zodat deze als eerste in de lijst wordt getoond. Sla het bestand op, zodat IIS het automatisch opnieuw kan laden.

    Opmerking: als u het bestand c:\inetpub\adfs\ls\web.config niet ziet, is IIS niet geïnstalleerd en geconfigureerd op uw AD FS-server.

  4. Configureer een extra AD FS Relying Party-ID. Hiermee kunt u AD FS-problemen met SAML-afmelding omzeilen.

    Voer een van de volgende handelingen uit:

    Windows Server 2008 R2:

    1. Klik in ADFS 2.0 met de rechtermuisknop op de Relying Party die u eerder hebt gemaakt voor Tableau Cloud en daarna op Eigenschappen.

    2. Voer op het tabblad Identificaties, in het vakje Relying Party-identificatie, https://<tableauservername>/public/sp/metadata in en klik dan op Toevoegen.

    Windows Server 2012 R2:

    1. Klik in AD FS-beheer, in de lijst Relying Party-trusts, met de rechtermuisknop op de Relying Party die u eerder hebt gemaakt voor Tableau Cloud. Klik nu op Eigenschappen.

    2. Voer op het tabblad Identificaties, in het vakje Relying Party-identificatie, https://<tableauservername/public/sp/metadata in en klik dan op Toevoegen.

    Opmerking: AD FS kan worden gebruikt met Tableau Server voor één enkele Relying Party op dezelfde instantie. AD FS kan niet worden gebruikt voor meerdere Relying Parties bij hetzelfde exemplaar. Bijvoorbeeld SAML-sites met meerdere sites of serverbrede en SAML-configuraties voor sites.

Stap 3: de AD FS-metadata importeren in Tableau Cloud

  1. Ga in Tableau Cloud terug naar InstellingenVerificatie.

  2. Onder step 4. Metadata uploaden naar Tableau geeft u in het vakje IdP-metadatabestand de naam op van het bestand dat u vanuit AD FS hebt geëxporteerd (FederationMetadata.xml).

  3. Sla stap 5. Kenmerken afstemmen over.

    U hebt al een claimregel in AD FS gemaakt om de kenmerknamen af te stemmen met wat Tableau Cloud verwacht.

  4. Klik op de knop Wijzigingen opslaan.

  5. Beheer gebruikers door een van de volgende handelingen uit te voeren:

    • Als u nog geen gebruikers aan uw site hebt toegevoegd, gaat u vanuit het linkerdeelvenster naar de pagina Gebruikers en klikt u op Gebruikers toevoegen. Vervolgens kunt u gebruikers handmatig toevoegen of een .csv-bestand met gebruikersdata importeren. Zie Gebruikers aan een site toevoegen of Gebruikers importeren voor meer informatie.

    • Als u al gebruikers aan uw site hebt toegevoegd, gaat u vanuit het linkerdeelvenster naar de pagina Gebruikers, klikt u op Acties naast een specifieke gebruiker en klikt u op Verificatie. Wijzig de verificatiemethode naar SAML en klik op de knop Bijwerken.

  6. (Optioneel) Ga terug naar de pagina Verificatie en test SAML-aanmelding onder 7. Configuratie testen door te klikken op de knop Configuratie testen.

    We raden u ten zeerste aan de SAML-configuratie te testen om vergrendelde scenario's te voorkomen. Door de configuratie te testen, weet u zeker dat u SAML correct hebt geconfigureerd voordat u het verificatietype van uw gebruikers wijzigt naar SAML. Om de configuratie succesvol te testen, moet u ervoor zorgen dat er ten minste één gebruiker is bij wie u zich kunt aanmelden, die al is ingericht in de IdP en is toegevoegd aan uw Tableau Cloud met het geconfigureerde SAML-verificatietype.

Uw Tableau Cloud-site is nu gereed voor gebruikers om zich aan te melden via AD FS en SAML. Ze gaan nog steeds naar https://online.tableau.com. Maar nadat ze hun gebruikersnaam voor hun hebben ingevoerd, worden ze door de pagina omgeleid naar de AD FS-aanmeldpagina (zoals in de optionele teststap hierboven). Daar worden gebruikers gevraagd hun Ad-referenties in te voeren.

Opmerking: als u fouten krijgt bij het testen van SAML-aanmelding, kunt u in stap 7. Configuratie testen van de Tableau Cloud SAML-configuratiestappen klikken op Logboek downloaden en de daar verstrekte informatie gebruiken om de fout op te lossen.

Aanvullende vereisten en tips

  • Nadat u SAML-integratie tussen AD FS en Tableau Cloud hebt ingesteld, moet u Tableau Cloud bijwerken om specifieke wijzigingen weer te geven die u als gebruiker in Active Directory aanbrengt. Bijvoorbeeld het toevoegen of verwijderen van gebruikers.

    U kunt gebruikers automatisch of handmatig toevoegen:

    • Om gebruikers automatisch toe te voegen: maak een script (met PowerShell, Python of een batchbestand) om AD-wijzigingen door te voeren Tableau Cloud. Het script kan tabcmd of de REST-API gebruiken voor interactie met Tableau Cloud.

    • Om handmatig gebruikers toe te voegen: meld u aan bij de webinterface van Tableau Cloud, ga naar de pagina Gebruikers en klik op Gebruikers toevoegen. Voer de gebruikersnaam van gebruikers in in of upload een .csv-bestand met hun informatie.

    Opmerking: als u een gebruiker wilt verwijderen, maar de inhoud die deze bezit wilt behouden, wijzigt u eerst de eigenaar van de inhoud voordat u de gebruiker verwijdert. Wanneer u een gebruiker verwijdert, wordt ook de inhoud van die gebruiker verwijderd.

  • In Tableau Cloud vormt de gebruikersnaam van het van een gebruiker diens unieke identificatie. Zoals beschreven in de stappen voor het configureren van AD FS om aanmeldingsverzoeken te accepteren van Tableau Cloud, moeten gebruikersnamen van de Tableau Cloud van gebruikers overeenkomen met de gebruikersnaam voor het dat is opgeslagen in AD.

  • In Stap 2: AD FS configureren om aanmeldingsverzoeken van Tableau Cloud te accepteren, hebt u een claimregel in AD FS toegevoegd om de voor- en achternaam en kenmerken van gebruikersnamen voor het af te stemmen tussen AD FS en Tableau Cloud. Als alternatief kunt u kiezen voor stap 5. Kenmerken afstemmen in Tableau Cloud om hetzelfde uit te voeren.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.