Konfigurera SAML med AD FS

Du kan konfigurera Active Directory Federation Services (AD FS) som en SAML-identitetsleverantör och lägga till Tableau Cloud i dina program med stöd för enkel inloggning. När du integrerar AD FS med SAML och Tableau Cloud kan dina användare logga in på Tableau Cloud med sina standardautentiseringsuppgifter för nätverket.

Obs! 

  • De här stegen gäller ett program från en utomstående tillverkare och kan ändras utan vår vetskap. Om de steg som beskrivs här inte motsvarar vad du ser med ditt IdP-konto kan du använda de allmänna konfigurationsstegen för SAML och i kombination med IdP-dokumentationen.
  • Från och med februari 2022 krävs flerfaktorsautentisering (MFA) via er SAML-identitetsprovider (IdP) för enkel inloggning för Tableau Cloud.

Förutsättningar

Innan du kan konfigurera Tableau Cloud och SAML med AD FS måste din miljö ha följande:

  • En server som kör Microsoft Windows Server 2008 R2 (eller senare) med AD FS 2.0 (eller senare) och som har IIS installerat.

  • Vi rekommenderar att du säkrar din AD FS-server (med exempelvis en omvänd proxy). När din AD FS-server är tillgänglig utanför din brandvägg kan Tableau Cloud omdirigera användare till inloggningssidan som AD FS är värd för.

  • Ett platsadministratörskonto som använder TableauID-autentisering. Om enkel inloggning med SAML misslyckas kan du fortfarande logga in på Tableau Cloud som platsadministratör.

Steg 1: Exportera metadata från Tableau Cloud

  1. Logga in på Tableau Cloud som platsadministratör.

    Om du har mer än en plats för Tableau Cloud, väljer du platsen där du vill aktivera SAML i platsens listruta.

  2. Välj Inställningar > Autentisering.
  3. På fliken Autentisering markerar du kryssrutan Aktivera ytterligare en autentiseringsmetod. Välj sedan SAML och klicka på listrutan Konfiguration (obligatoriskt).

    Autentiseringsinställningar

  4. I steg 1, Metod 1: Exportera metadata , klickar du på knappen Exportera metadata för att ladda ner en XML-fil som innehåller SAML-entitets-ID:t för Tableau Cloud, ACS-webbadressen (Assertion Consumer Service) och X.509-certifikatet.

Steg 2: Konfigurera AD FS för att acceptera inloggningsförfrågningar från Tableau Cloud

Att konfigurera AD FS att acceptera Tableau Cloudinloggningsförfrågningar är en flerstegsprocess, som börjar med att Tableau Cloud importera XML-metadatafilen till AD FS.

  1. Gör något av följande för att öppna guiden Lägg till tillförlitlig part:

  2. Windows Server 2008 R2:

    1. Välj Startmeny> till Administrativa verktyg> AD FS 2.0.

    2. I AD FS 2.0, under Betrodda relationer, högerklickar du på mappen Betrodda parter och klickar sedan på Lägg till betrodd part.

    Windows Server 2012 R2:

    1. Öppna Server Manager och klicka sedan på AD FS ManagementVerktyg-menyn.

    2. I AD FS Managmentåtgärdsmenyn klickar du på Lägg till betrodd part.

  3. I guiden för Lägg till betrodd part, klicka på Start.

  4. På sidan Välj datakälla väljer du Importera data om den betrodda parten från en fil och klickar sedan på Bläddra för att Tableau Cloud hitta din XML-metadatafil. Som standard heter den här filen samlspmetadata.xml.

  5. Klicka på Nästa och på sidan Ange visningsnamn anger du ett namn och en beskrivning för den betrodda parten i rutorna Visningsnamn och Anteckningar.

  6. Klicka på Nästa för att hoppa över sidan Konfigurera flerfaktorsautentisering nu.

  7. Klicka på Nästa för att hoppa över sidan Regler för utfärdande av auktorisation.

  8. Klicka på Nästa för att hoppa över sidan Redo att lägga till förtroende.

  9. På sidan Slutför markerar du dialogrutan Redigera anspråksregler för den betrodda parten när guiden stänger kryssrutan, klicka sedan på Stäng.

Därefter kommer du att arbeta i dialogrutan Redigera anspråksregler för att lägga till en regel som säkerställer att kontrollerna som skickats av AD FS matchar de kontroller som Tableau Cloud förväntas. Tableau CloudBehöver minst en e-postadress. Men om du inkluderar för- och efternamn utöver e-post kommer användarnamnen som visas i Tableau Cloud att vara desamma som i ditt AD-konto.

  1. I dialogrutan Redigera anspråksregler, klicka på Lägg till regel.

  2. På sidan Välj regeltyp väljer du Skicka LDAP-attribut som anspråk för Regelmall för anspråk och klickar sedan på Nästa.

  3. På sidan Konfigurera anspråksregel anger du ett namn för regeln som är begriplig för dig.

  4. För Attributlagring väljer du Active Directory, sedan slutför du mappningen enligt nedan och klickar på Slutför.

  5. Mappningen är skiftlägeskänslig och kräver exakt stavning, dubbelkontrollera därför dina poster. Tabellen här visar vanliga attribut och mappningar av anspråk. Verifiera attribut med din specifika Active Directory-konfiguration.

    Obs! Tableau Cloud kräver attributet NameID i SAML-svaret. Du kan ange andra attribut för att mappa användarnamn i Tableau Cloud, men svarsmeddelandet måste innehålla attributet NameID.

    LDAP-attributUtgående anspråkstyp

    Beroende på AD FS-versionen:

    Användare-huvudnamn
    eller
    e-postadresser

     

    e-post
    eller
    e-postadress

    TilltalsnamnfirstName
    EfternamnlastName

Om du kör AD FS 2016 eller senare måste du lägga till en regel för att gå igenom alla anspråksvärden. Om du kör en äldre version av AD FS, gå till nästa procedur för att exportera AD FS metadata.

  1. Klicka på Lägg till regel.
  2. Under Regelmall för anspråk väljer du Skicka igenom eller Filtrera ett inkommande anspråk.
  3. Ange Windows under namn på anspråksregeln.
  4. På popup-fönstret Redigera regel - Windows:
    • Under Inkommande anspråk väljer du Windows-kontonamn.
    • Välj Skicka igenom alla anspråksvärden.
    • Klicka på OK.

Nu exporterar du AD FS metadata som du importerar till Tableau Cloud senare. Du kommer också att se till att metadata är konfigurerade och kodade korrekt för Tableau Cloud, och verifiera andra AD FS-krav för din SAML-konfiguration.

  1. Exportera AD FS Federation-metadata till en XML-fil och ladda sedan ner filen från https://<namn på adfs-server>/FederationMetadata/2007- 06/FederationMetadata.xml.

  2. Öppna metadatafilen i en textredigerare som Sublime Text eller Notepad++ och kontrollera att den är korrekt kodad som UTF-8 utan BOM.

    Om filen visar någon annan kodningstyp, spara den från textredigeraren med rätt kodning.

  3. Kontrollera att AD FS använder formulärbaserad autentisering. Inloggningar utförs i ett webbläsarfönster, så du behöver AD FS som standard för denna typ av autentisering.

    Redigera c:\inetpub\adfs\ls\web.config, sök efter taggen och flytta raden så att den visas först i listan. Spara filen så att IIS automatiskt kan ladda om den.

    Obs! Om du inte ser filen c:\inetpub\adfs\ls\web.config installeras och konfigureras inte IIS på din AD FS-server.

  4. Konfigurera ytterligare en AD FS beroende partidentifierare. Detta gör att ditt system kan arbeta runt alla AD FS problem med SAML-utloggning.

    Gör något av följande:

    Windows Server 2008 R2:

    1. I AD FS 2.0 högerklickar du på den betrodda part du skapat för Tableau Cloud tidigare och klickar på Egenskaper.

    2. På fliken Identifierare i rutan för identifieraren för betrodda parter anger du https://<tableauservername>/public/sp/metadata och klickar sedan på Lägg till.

    Windows Server 2012 R2:

    1. I AD FS 2.0-hanteraren, i listan över Betrodda parter, högerklicka på den betrodda part som skapades för Tableau Cloud tidigare och klicka på Egenskaper.

    2. På fliken Identifierare i rutan för identifieraren för betrodda parter anger du https://<tableauservername/public/sp/metadata och klickar sedan på Lägg till.

    Obs! AD FS kan användas med Tableau Server för en enda betrodd part till samma instans. AD FS kan inte användas för flera betrodda parter till samma instans, till exempel SAML-platser med flera platser eller serveromfattande och platsspecifika SAML-konfigurationer.

Steg 3: Importera AD FS-metadata till Tableau Cloud

  1. I Tableau Cloud går du tillbaka till InställningarAutentisering.

  2. I steg 4. Ladda upp metadata till Tableau anger du namnet på den fil du exporterade från AD FS (FederationMetadata.xml) i rutan för IdP-metadatafil.

  3. Hoppa över steg 5. Matcha attribut.

    Du har redan skapat en anspråksregel i AD FS för att matcha attributnamnen med vad som förväntas av Tableau Cloud.

  4. Klicka på knappen Spara ändringar.

  5. Hantera användare genom att göra något av följande:

    • Om du inte har lagt till några användare på platsen än går du till sidan Användare från den vänstra rutan och klickar på Lägg till användare. Du kan sedan lägga till användare manuellt eller importera en CSV-fil som innehåller användarinformation. Mer information finns i Lägga till användare på en plats eller Importera användare.

    • Om du redan har lagt till användare på platsen går du till sidan Användare från den vänstra rutan, klickar på Åtgärder bredvid en specifik användare och klickar på Autentisering. Ändra autentiseringsmetoden till SAML och klicka på knappen Uppdatera.

  6. (Valfritt) Gå tillbaka till sidan Autentisering och testa SAML-inloggningen under 7. Testa konfigurationen genom att klicka på knappen Testa konfiguration.

    Vi rekommenderar starkt att du testar SAML-konfigurationen för att undvika låsta scenarier. Testa konfigurationen för att säkerställa att du har konfigurerat SAML korrekt innan du ändrar autentiseringstypen för dina användare till SAML. För att kunna testa konfigurationen måste det finnas minst en användare som du kan logga in som, som redan är tillagd hos identitetsprovidern och som lagts till i Tableau Cloud med SAML-autentiseringstyp konfigurerad.

Din Tableau Cloud-plats är nu redo för användare att logga in med AD FS och SAML. De går fortfarande till https://online.tableau.com, men när de har angett sina användarnamn omdirigeras de till inloggningssidan för AD FS (som i det valfria teststeget ovan) och användarna tillfrågas om sina AD-inloggningsuppgifter.

Obs! Om du råkar ut för fel vid test av SAML-inloggningen klickar du på Ladda ner logg i steg 7. Testa konfiguration i SAML-konfigurationsstegen för Tableau Cloud och använder informationen där för att felsöka.

Ytterligare krav och tips

  • När du har ställt in SAML-integrering mellan AD FS och Tableau Cloud måste du uppdatera Tableau Cloud för att återspegla särskilda användarändringar som du gör i Active Directory. Till exempel lägga till eller ta bort användare.

    Du kan lägga till användare automatiskt eller manuellt:

    • Lägga till användare automatiskt: Skapa ett skript (med PowerShell, Python eller batch-fil) för att trycka AD-ändringar till Tableau Cloud. Skriptet kan använda tabcmd eller REST API för att interagera med Tableau Cloud.

    • Lägga till användare manuellt: Logga in på Tableau Cloud i webbgränssnittet, gå till sidan Användare, klicka på Lägg till användare och ange användarnas användarnamn eller ladda upp en CSV-fil som innehåller deras information.

    Obs! Om du vill ta bort en användare men behålla innehållet de äger ska du byta ägare till innehållet innan du tar bort användaren. Om du tar bort en användare raderas också innehåll som den äger.

  • I Tableau Cloud är en användares användarnamn deras unika identifierare. Som beskrivs i stegen för att konfigurera AD FS att acceptera inloggningsförfrågningar från Tableau Cloud, måste en användares användarnamn i Tableau Cloud matcha det användarnamn som lagras i AD.

  • I Steg 2: Konfigurera AD FS för att acceptera inloggningsförfrågningar från Tableau Cloud lade du till en anspråksregel i AD FS för att matcha förnamns-, efternamns- och användarnamnsattribut mellan AD FS och Tableau Cloud. Alternativt kan du använda steg 5. Matcha attribut i Tableau Cloud för att göra detsamma.

Tack för din feedback!Din feedback har skickats in. Tack!