Configurar SAML com AD FS

Você pode configurar o Active Directory Federation Services (AD FS) como um provedor de identidade de SAML e adicionar o Tableau Cloud aos aplicativos de logon único suportados. Ao integrar o AD FS com o SAML e o Tableau Cloud, seus usuários poderão fazer logon no Tableau Cloud usando suas credenciais de rede padrão.

Observações: 

  • Essas etapas refletem um aplicativo de terceiros e estão sujeitas a alteração sem o nosso conhecimento. Se as etapas descritas aqui não corresponderem às telas que você visualiza na sua conta do IdP, use as Etapas de configuração do SAML, em conjunto com a documentação do IdP.
  • A partir de fevereiro de 2022, a autenticação multifator (MFA) por meio do seu provedor de identidade SSO (IdP) SAML é um requisito do Tableau Cloud.

Pré-requisitos

Antes de configurar o Tableau Cloud e o SAML com o AD FS, seu ambiente deve ter o seguinte:

  • Um servidor que executa Microsoft Windows Server 2008 R2 (ou posterior) com AD FS 2.0 (ou posterior) e IIS instalados.

  • Recomenda-se que você proteja o seu servidor AD FS (por exemplo, utilizando um proxy reverso). Quando o seu servidor AD FS puder ser acessado fora do firewall, o Tableau Cloud poderá redirecionar os usuários à página de logon hospedada pelo AD FS.

  • Uma conta de administrador de site que usa autenticação TableauID. Se o logon único do SAML falhar, você ainda pode fazer logon no Tableau Cloud como um administrador do site.

Etapa 1: exportar metadados do Tableau Cloud

  1. Entre no Tableau Cloud como administrador do site.

    Se você tiver mais de um site para o Tableau Cloud, selecione o site para o qual deseja habilitar o SAML na lista suspensa dos sites.

  2. Selecione Configurações > Autenticação.
  3. Na guia Autenticação, marque a caixa de seleção Habilitar um método de autenticação adicional, selecione SAML e, em seguida, clique na seta suspensa Configuração (obrigatório).

    Configurações de autenticação

  4. Na etapa 1, Método 1: exportar metadados, clique no botão Exportar metadados para baixar um arquivo XML que contém o ID da entidade SAML do Tableau Cloud, o URL do Assertion Consumer Service (ACS) e o certificado X.509.

Etapa 2: configurar o AD FS para aceitar solicitações de logon do Tableau Cloud

A configuração do AD FS para aceitar as solicitações de logon do Tableau Cloud é um processo de várias etapas, iniciando com a importação do arquivo de metadados XML do Tableau Cloud para o AD FS.

  1. Realize uma das seguintes ações para abrir o Assistente de confiança de terceira parte confiável:

  2. Windows Server 2008 R2:

    1. Selecione menu Iniciar > para Ferramentas administrativas> AD FS 2.0.

    2. No AD FS 2.0, em Relacionamentos Confiáveis, clique com o botão direito do mouse na pasta Confianças de Terceira Parte Confiável e, em seguida, clique em Adicionar Confiança de Terceira Parte Confiável.

    Windows Server 2012 R2:

    1. Abra o Gerenciador de servidores e, em seguida, no menu Ferramentas, clique em Gerenciamento do AD FS.

    2. Em Gerenciamento do AD FS, no menu Ação, clique em Adicionar Confiança de Terceira Parte Confiável.

  3. No Assistente Adicionar Terceira Parte Confiável, clique em Iniciar.

  4. Na página Selecionar fonte de dados, selecione Importar dados sobre a parte confiável de um arquivo e clique em Procurar para encontrar o arquivo de metadados XML do Tableau Cloud. Por padrão, esse arquivo é chamado samlspmetadata.xml.

  5. Clique em Avançar e na página Especificar nome de exibição, digite um nome e uma descrição para a confiança da parte confiável nas caixas Nome de exibição e Observações.

  6. Clique em Avançar para ignorar a página Configurar autenticação multifator agora.

  7. Clique em Avançar para ignorar a página Escolher regras de autorização de emissão.

  8. Clique em Avançar para ignorar a página Pronto para incluir confiança.

  9. Na página Concluir, selecione a caixa de seleção Abrir a caixa de diálogo Editar Regras de Declarações para esta confiança de terceira parte confiável quando o assistente fechar, e clique em Fechar.

O próximo passo é trabalhar na caixa de diálogo Editar regras de declaração para adicionar uma regra que garanta que as afirmações enviadas pelo AD FS coincidam com as afirmações esperadas pelo Tableau Cloud. No mínimo, o Tableau Cloud precisa de um endereço de e-mail. No entanto, incluir o nome e o sobrenome, além do e-mail, garantirá que os nomes de usuário exibidos no Tableau Cloud sejam os mesmos que os da sua conta AD.

  1. Na caixa de diálogo Editar regras de declaração, clique em Adicionar regra.

  2. Na página Escolher tipo de regra, para Modelo da regra de declaração, selecione Enviar atributos LDAP como declarações e, em seguida, clique em Avançar.

  3. Na página Configurar regra de declaração, para Nome da regra de declaração, insira um nome que fizer sentido para você.

  4. Para Repositório de atributos, selecione Active Directory, complete o mapeamento conforme mostrado abaixo e clique em Concluir.

  5. O mapeamento diferencia maiúsculas de minúsculas, portanto verifique suas entradas. Esta tabela mostra atributos comuns e mapeamentos de declaração. Verifique os atributos com a configuração específica do Active Directory.

    Observação: o Tableau Cloud requer o atributo NameID na resposta SAML. Você pode fornecer outros atributos para mapear nomes de usuário no Tableau Cloud, mas a mensagem de resposta deve incluir o atributo NameID.

    Atributo LDAPTipo de declaração de saída

    Dependendo da versão do AD FS:

    Nome-Principal-Usuário
    ou
    Endereço de e-mail

     

    email
    ou
    Endereço de email

    NomefirstName
    SobrenomelastName

Se você estiver executando o AD FS 2016 ou posterior, deverá adicionar uma regra para transmitir todos os valores de solicitação. Se você estiver executando uma versão antiga do AD FS, vá para o próximo procedimento para exportar metadados do AD FS.

  1. Clique em Adicionar regra.
  2. Em Solicitar modelo de regra, escolha Transmitir ou Filtrar uma solicitação de entrada.
  3. Em Solicitar nome da regra, digite Windows.
  4. Na janela pop-up Editar Regra - Windows:
    • Em Tipo de solicitação de entrada, selecione Nome da conta do Windows.
    • Selecione Transmitir todos os valores de solicitação.
    • Clique em OK.

O próximo passo é exportar os metadados do AD FS que serão importados posteriormente para o Tableau Cloud. Verifique também se os metadados estão configurados e codificados corretamente para Tableau Cloud e verifique outros requisitos do AD FS para a sua configuração SAML.

  1. Exporte os metadados de AD FS Federation para um arquivo XML e, em seguida, baixe o arquivo em https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Abra o arquivo de metadados em um editor de texto como Sublime Text ou Notepad++ e verifique se ele está corretamente codificado como UTF-8 sem BOM.

    Se o arquivo mostrar algum outro tipo de codificação, salve-o no editor de texto com a codificação correta.

  3. Verifique se o AD FS está usando a autenticação com base em formulários. Os logons são realizados em uma janela do navegador, então você precisa que o AD FS tenha esse tipo de autenticação como padrão.

    Edite c:\inetpub\adfs\ls\web.config, pesquise pela marca , e mova a linha, de modo que ela apareça em primeiro na lista. Salve o arquivo para que o IIS possa recarregá-lo automaticamente.

    Observação: se você não visualizar o arquivo c:\inetpub\adfs\ls\web.config, o IIS não é instalado e configurado no servidor AD FS.

  4. Configure um identificador de parte confiável AD FS adicional. Isso permite que o seu sistema solucione qualquer problema do AD FS ao sair do SAML.

    Execute um destes procedimentos:

    Windows Server 2008 R2:

    1. No AD FS 2.0, clique com o botão direito do mouse na parte confiável criada anteriormente para o Tableau Cloud e em clique em Propriedades.

    2. Na guia Identificadores, na caixa Identificador da parte confiável, insira https://<tableauservername>/public/sp/metadata e clique em Adicionar.

    Windows Server 2012 R2:

    1. Em Gerenciamento de AD FS na lista Confianças de parte confiável, clique com o botão direito do mouse na parte confiável criada anteriormente para o Tableau Cloud e clique em Propriedades.

    2. Na guia Identificadores, na caixa Identificador da parte confiável, insira https://<tableauservername>/public/sp/metadata e clique em Adicionar.

    Observação: o AD FS pode ser usado com o Tableau Server de uma única parte confiável para a mesma instância. O AD FS não pode ser usado para várias partes confiáveis na mesma instância, por exemplo, vários sites SAML do site ou configurações SAML do site e do servidor.

Etapa 3: importar os metadados do AD FS para o Tableau Cloud

  1. No Tableau Cloud, retorne para ConfiguraçõesAutenticação.

  2. Na etapa 4. Upload do arquivo para o Tableau, na caixa de arquivo de metadados de IdP, especifique o nome do arquivo que você exportou do AD FS (FederationMetadata.xml).

  3. Pule a Etapa 5. Corresponder atributos.

    Você já criou uma regra de recuperação no AD FS para corresponder os nomes do atributo ao esperado pelo Tableau Cloud.

  4. Clique no botão Salvar alterações.

  5. Gerencie os usuários de uma das seguintes maneiras:

    • Se você ainda não adicionou usuários ao site, no painel esquerdo, navegue até a página Usuários e clique em Adicionar usuários. Em seguida, você pode adicionar usuários manualmente ou importar um arquivo CSV que contenha informações do usuário. Para obter mais informações, consulte Adicionar usuários a um site ou Importar usuários.

    • Se você já adicionou usuários ao site, no painel esquerdo, navegue até a página Usuários, clique em Ações ao lado de um usuário específico e clique em Autenticação. Altere o método de autenticação para SAML e clique no botão Atualizar.

  6. (Opcional) Volte para a página Autenticação e teste o login SAML em 7. Configuração de teste clicando no botão Configuração de teste.

    É altamente recomendável testar a configuração SAML para evitar cenários de bloqueio. Testar a configuração ajuda a garantir a configuração correta de SAML antes de alterar o tipo de autenticação de seus usuários para SAML. Para testar a configuração com êxito, certifique-se de que haja pelo menos um usuário com quem você possa fazer login e que já esteja provisionado no IdP e adicionado ao Tableau Cloud com o tipo de autenticação SAML configurado.

O site do Tableau Cloud agora está pronto para que os usuários façam logon usando o AD FS e o SAML. Eles ainda navegam para o https://online.tableau.com, mas após inserir o nome de usuário , a página é redirecionada para a página de logon do AD FS (como na etapa de teste opcional acima) e solicita aos usuários suas credenciais do AD.

Observação: caso ocorram erros ao testar o logon de SAML na etapa 7. Configuração de teste das etapas de configuração de SAML do Tableau Cloud, clique em Baixar arquivo de registro e use as informações para solucionar o erro.

Requisitos e dicas adicionais

  • Depois de configurar a integração de SAML entre o AD FS e o Tableau Cloud, você deve atualizar o Tableau Cloud para refletir alterações específicas do usuário feitas no Active Directory. Por exemplo, adicionar ou remover usuários.

    Você pode adicionar usuários automaticamente ou manualmente:

    • Para adicionar usuários de forma automática: crie um script (usando PowerShell, Python ou arquivo de lote) para enviar as alterações do AD para Tableau Cloud. O script pode usar tabcmd ou REST API para interagir com Tableau Cloud.

    • Para adicionar usuários manualmente: faça logon na interface de usuário da Web do Tableau Cloud, acesse a página Usuários, clique em Adicionar usuários insira nome de usuário dos usuários ou faça o upload do arquivo CSV que contenha suas informações.

    Observação: para remover um usuário e manter os ativos de conteúdo que ele possui, altere o proprietário do conteúdo antes de removê-lo. Excluir um usuário também exclui o conteúdo dele.

  • Em Tableau Cloud, um nome de usuário do usuário é seu identificador exclusivo. Conforme descrito nas etapas de configuração do AD FS para aceitar solicitações de logon do Tableau Cloud, nomes de usuário Tableau Cloud do usuário devem corresponder ao nome de usuário armazenado no AD.

  • Na Etapa 2: configurar o AD FS para aceitar solicitações de logon do Tableau Cloud, você adicionou uma regra de declaração no AD FS para corresponder aos atributos de nome, sobrenome e nome de usuário entre o AD FS e o Tableau Cloud. Como alternativa, use a etapa 5. Corresponda os atributos no Tableau Cloud para fazer o mesmo.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!