Konfigurieren der serverweiten SAML

Konfigurieren Sie die serverweite SAML, wenn alle SSO-Benutzer in Tableau Server über einen einzelnen SAML-Identitätsanbieter (IdP) authentifiziert werden sollen oder als ersten Schritt bei der Konfiguration der Site-spezifischen SAML in einer Umgebung mit mehreren Sites.

Wenn Sie die serverweite SAML konfiguriert haben und Sie bereit zum Konfigurieren einer Site sind, schlagen Sie unter Konfigurieren von standortspezifischer SAML nach.

Bei den von uns bereitgestellten SAML-Konfigurationsschritten wird von Folgendem ausgegangen:

  • Sie sind mit den Optionen zur Konfiguration der SAML-Authentifizierung in Tableau Server vertraut, die im Abschnitt SAML beschrieben werden.

  • Sie haben überprüft, ob Ihre Umgebung die SAML-Anforderungen erfüllt und sich die in diesen Anforderungen beschriebenen SAML-Zertifikatdateien beschafft.

Voraussetzungen

Als Teil Ihres Disaster Recovery-Plans empfehlen wir, eine Sicherung der Zertifikate und IdP-Dateien an einem sicheren Ort außerhalb des Tableau Servers vorzunehmen. Die SAML-Asset-Dateien, die Sie Tableau Server hinzufügen, werden vom Client-Dateidienst gespeichert und an andere Knoten verteilt. Diese Dateien werden jedoch nicht in einem wiederherstellbaren Format gespeichert. Siehe Tableau Server-Clientdateidienst.

Hinweis: Falls Sie dieselben Zertifikatdateien für SSL verwenden, könnten Sie alternativ den vorhandenen Zertifikatspeicherort zum Konfigurieren von SAML verwenden und die IdP-Metadatendatei in dieses Verzeichnis einfügen, wenn Sie diese später in diesem Verfahren herunterladen. Weitere Informationen finden Sie unter Verwendung von SSL-Zertifikat und Schlüsseldateien für SAML in den SAML-Anforderungen.

Wenn Sie Tableau Server in einem Cluster ausführen, werden die SAML-Zertifikate, -Schlüssel und -Metadatendateien automatisch auf die Knoten verteilt, wenn Sie SAML aktivieren.

Dieses Verfahren erfordert, dass Sie die SAML-Zertifikate zu TSM hochladen, damit sie in der Serverkonfiguration richtig gespeichert und verteilt werden. Die SAML-Dateien müssen für den Browser auf dem lokalen Computer verfügbar sein, auf dem Sie in diesem Verfahren die TSM-Webbenutzeroberfläche ausführen.

Wenn Sie die SAML-Dateien wie im vorherigen Abschnitt empfohlen auf Tableau Server gespeichert haben, führen Sie die TSM-Webbenutzeroberfläche auf dem Tableau Server-Computer aus, auf den Sie die Dateien kopiert haben.

Wenn Sie die TSM-Webbenutzeroberfläche von einem anderen Computer aus ausführen, müssen Sie alle SAML-Dateien lokal kopieren, bevor Sie fortfahren. Navigieren Sie wie folgt nach den Dateien auf dem lokalen Computer, um sie auf TSM hochzuladen.

  1. Öffnen Sie TSM in einem Browser:

    https://<tsm-computer-name>:8850. Weitere Informationen finden Sie unter Anmelden bei der Webschnittstelle von Tableau Services Manager.

  2. Wählen Sie auf der Registerkarte Konfiguration die Option Benutzeridentität und Access und dann die Registerkarte Authentifizierungsmethode.

    Benutzerauthentifizierungseinstellungen für Tableau Services Manager

  3. Wählen Sie für Authentifizierungsmethode die Option SAML aus.

  4. Schließen Sie im SAML-Abschnitt, der daraufhin angezeigt wird, auf der Benutzeroberfläche den ersten Schritt ab und geben Sie die folgenden Einstellungen ein (aktivieren Sie zu diesem Zeitpunkt noch nicht das Kontrollkästchen, um SAML für den Server zu aktivieren):

    • Tableau Server-Rückgabe-URL: Die URL, auf die Tableau Server-Benutzer zugreifen, z. B. http://tableau_server

      Die Nutzung von https://localhost oder einer URL mit einem nachgestellten Schrägstrich (Beispiel: http://tableau_server/) wird nicht unterstützt.

    • SAML-Entitäts-ID: Die Entitäts-ID kennzeichnet Ihre Tableau Server-Installation eindeutig beim IdP.

      Sie können Ihre Tableau Server-URL hier erneut eingeben. Wenn Sie sitespezifische SAML zu einem späteren Zeitpunkt aktivieren möchten, können Sie diese URL auch als Grundlage für die eindeutige ID jeder Site nutzen.

    • SAML-Zertifikat und Schlüsseldateien – Klicken Sie auf Datei auswählen, um alle diese Dateien hochzuladen.

      Wenn Sie eine per PKCS#8-Passphrase-geschützte Schlüsseldatei verwenden, müssen Sie die Passphrase über die TSM-Befehlszeile eingeben:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      Nachdem Sie die für Schritt 1 erforderlichen Informationen über die Benutzeroberfläche bereitgestellt haben, wird die Schaltfläche XML-Metadaten-Datei herunterladen in Schritt 2 auf der Benutzeroberfläche verfügbar.

  5. Sie können nun das Kontrollkästchen SAML-Authentifizierung für den Server aktivieren aus Schritt 1 auf der Benutzeroberfläche aktivieren.

  6. Schließen Sie die verbleibenden Einstellungen der SAML-Konfiguration ab.

    1. Für die Schritte 2 und 3 auf der Benutzeroberfläche ist der Austausch der Metadaten zwischen Tableau Server und dem IdP erforderlich. (Das ist der Zeitpunkt, an dem Sie ggf. die Dokumentation des IdP zurate ziehen müssen.)

      Wählen Sie XML-Metadaten-Datei herunterladen und geben Sie den Speicherort für die Datei an.

      Wenn Sie einen anderen IdP nutzen, rufen Sie Ihr IdP-Konto auf und fügen Sie Tableau Server (als Dienstanbieter) zu den Anwendungen hinzu. Geben Sie dabei die erforderlichen Tableau-Metadaten an.

      Befolgen Sie die Anweisungen auf der Website des IdP oder in der entsprechenden Dokumentation, um die IdP-Metadaten herunterzuladen. Speichern Sie die XML-Datei am gleichen Speicherort, an dem sich auch Ihr SAML-Zertifikat und die Schlüsseldateien befinden. Beispiel:

      /var/opt/tableau/tableau_server/data/saml/idp-metadata.xml

    2. Kehren Sie zur TSM-Webschnittstelle zurück. Geben Sie für Schritt 4 auf der Benutzeroberfläche den Pfad zur IdP-Metadaten-Datei an und klicken Sie dann auf Datei auswählen.

      Screenshot, der den Bereich der TSM-Benutzeroberfläche hervorhebt, in dem die SAML-IdP-Metadaten hochgeladen werden

    3. Für Schritt 5 auf der Benutzeroberfläche: In einigen Fällen müssen Sie unter Umständen die Assertionswerte in der Tableau Server-Konfiguration so ändern, dass sie mit den Assertionsnamen übereinstimmen, die von Ihrem IdP übergeben werden.

      Assertionsnamen finden Sie in der SAML-Konfiguration des IdP. Wenn von Ihrem IdP verschiedene Assertionsnamen übergeben werden, müssen Sie Tableau Server aktualisieren, um den gleichen Assertionswert zu verwenden.

      Tipp: "Assertionen" sind eine zentrale SAML-Komponente, und das Konzept der Zuordnung von Assertionen kann anfangs etwas kompliziert sein. Es ist ggf. hilfreich, hier auf einen Tabellendatenkontext zurückzugreifen, in dem der Assertionsname (Attribut) einer Spaltenüberschrift in der Tabelle entspricht. Sie geben den Namen der "Überschrift" anstelle eines Beispiels für einen Wert ein, der ggf. in dieser Spalte dargestellt wird.

    4. Für Schritt 6 auf der Benutzeroberfläche wählen Sie die Tableau-Anwendungen, in denen Sie Benutzern eine SSO-Erfahrung (Single Sign-on) ermöglichen möchten.

      Hinweis: Die Option zum Deaktivieren des mobilen Zugriffs wird von Geräten mit der Tableau Mobile-App ab Version 19.225.1731 ignoriert. Um SAML für Geräte mit diesen Versionen zu deaktivieren, müssen Sie SAML als Client-Anmeldeoption auf dem Tableau Server deaktivieren.

    5. Geben Sie für die SAML-Abmeldungsweiterleitung (sofern Ihr IdP SLO (Single Logout) unterstützt) die Seite ein, auf die Benutzer nach ihrer Abmeldung weitergeleitet werden sollen, und zwar in Bezug auf den Pfad, den Sie für die Tableau Server-Rückgabe-URL eingegeben haben.

    6. (Optional) Gehen Sie bei Schritt 7 in der grafischen Benutzeroberfläche wie folgt vor:

  7. Klicken Sie nach der Eingabe Ihrer Konfigurationsdaten auf Ausstehende Änderungen speichern.

  8. Klicken Sie oben auf der Seite auf Ausstehende Änderungen:

  9. Klicken Sie auf Änderungen anwenden und neu starten.

Voraussetzungen

Bevor Sie beginnen, führen Sie bitte Folgendes durch:

  • Rufen Sie die Website oder Anwendung Ihres IdP auf und exportieren Sie die Metadaten-XML-Datei des IdP.

    Vergewissern Sie sich, dass die vom IdP bereitgestellte Metadaten-XML ein SingleSignOnService-Element enthält, in dem die Bindung wie in dem folgenden Beispiel auf HTTP-POST festgelegt ist:

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

  • Sammeln Sie die Zertifikatsdateien und legen Sie sie in Tableau Server ab.

    Erstellen Sie im Tableau Server-Ordner einen neuen Ordner mit dem Namen "SAML" und speichern Sie darin Kopien der SAML-Zertifikatdateien. Beispiel:

    /var/opt/tableau/tableau_server/data/saml

Schritt 1: Rückgabe-URL und SAML-Entitäts-ID konfigurieren und Zertifikats- und Schlüsseldateien angeben

  1. Öffnen Sie die Eingabeaufforderungsshell und konfigurieren Sie die SAML-Einstellungen für den Server (ersetzen Sie die Platzhalterwerte durch den Umgebungspfad und die Dateinamen).

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

    Für weitere Informationen. siehe tsm authentication saml configure.

  2. Wenn Sie einen PKCS#8-Schlüssel verwenden, der mit einer Passphrase geschützt ist, geben Sie die Passphrase wie folgt ein:

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. Falls SAML nicht bereits für Tableau Server aktiviert ist, wenn Sie sie beispielsweise erstmals konfigurieren oder sie deaktiviert haben, sollten Sie sie nun aktivieren:

    tsm authentication saml enable

  4. Übernehmen Sie die Änderungen:

    tsm pending-changes apply

    Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Schritt 2: Tableau Server-Metadaten erzeugen und IdP konfigurieren

  1. Führen Sie den folgenden Befehl aus, um die erforderliche XML-Metadatendatei für Tableau Server zu erzeugen.

    tsm authentication saml export-metadata -f <file-name.xml>

    Sie können einen Dateinamen angeben oder den Parameter -f auslassen, um eine Standarddatei mit dem Namen samlmetadata.xml zu erstellen.

  2. Gehen Sie auf der Website Ihres IdP oder der entsprechenden Anwendung wie folgt vor:

    • Fügen Sie Tableau Server als Internetanbieter hinzu.

      Wie Sie dies tun, können Sie der Dokumentation Ihres IdP entnehmen. Im Rahmen der Konfiguration von Tableau Server als Internetanbieter importieren Sie die Tableau Server-Metadatendatei, die Sie mit dem Befehl export-metadata generiert haben.

    • Überprüfen Sie, ob der IdP username als Attribut für die Verifizierung der Benutzer verwendet.

Schritt 3: Assertionen zuordnen

In einigen Fällen müssen Sie die Assertionswerte in der Tableau Server-Konfiguration ändern, um sie an die Assertionsnamen anzupassen, die von Ihrem IdP übergeben werden.

Assertionsnamen finden Sie in der SAML-Konfiguration des IdP. Wenn von Ihrem IdP verschiedene Assertionsnamen übergeben werden, müssen Sie Tableau Server aktualisieren, um den gleichen Assertionswert zu verwenden.

Tipp: "Assertionen" sind eine zentrale SAML-Komponente, und das Konzept der Zuordnung von Assertionen kann anfangs etwas kompliziert sein. Es ist ggf. hilfreich, hier auf einen Tabellendatenkontext zurückzugreifen, in dem der Assertionsname (Attribut) einer Spaltenüberschrift in der Tabelle entspricht. Sie geben den Namen der "Überschrift" anstelle eines Beispiels für einen Wert ein, der ggf. in dieser Spalte dargestellt wird.

Die folgende Tabelle zeigt die Standard-Assertionswerte und den Konfigurationsschlüssel, der den Wert speichert.

AssertionStandardwertSchlüssel
Benutzernameusernamewgserver.saml.idpattribute.username
AnzeigenamedisplayName

Tableau unterstützt diesen Attributtyp nicht.

E-Mailemail

Tableau unterstützt diesen Attributtyp nicht.

Domäne(standardmäßig nicht zugeordnet)wgserver.saml.idpattribute.domain

Um einen bestimmten Wert zu ändern, führen Sie den Befehl tsm configuration set mit dem entsprechenden key:value-Paar aus.

Um beispielsweise die Assertion username auf den Wert name zu ändern, führen Sie die folgenden Befehle aus:

tsm configuration set -k wgserver.saml.idpattribute.username -v name

tsm pending-changes apply

Alternativ können Sie den Befehl tsm authentication saml map-assertions verwenden, um einen bestimmten Wert zu ändern.

Um beispielsweise die Domänen-Assertion auf einen Wert namens domain zu setzen und als Wert "example.myco.com" festzulegen, führen Sie die folgenden Befehle aus:

tsm authentication saml map-assertions --domain example.myco.com

tsm pending-changes apply

Optional: Deaktivieren Sie Clienttypen für die Verwendung von SAML

Standardmäßig ermöglichen sowohl Tableau Desktop als auch die Tableau Mobile App eine SAML-Authentifizierung.

Wenn Ihr Identitätsanbieter diese Funktionalität nicht unterstützt, können Sie die SAML-Anmeldung für Tableau-Clients mithilfe der folgenden Befehle deaktivieren:

tsm authentication saml configure --desktop-access disable

tsm authentication saml configure --mobile-access disable

Hinweis: Die Option --mobile-access disable wird von Geräten mit der Tableau Mobile App Version 19.225.1731 und höher ignoriert. Um SAML für Geräte mit diesen Versionen zu deaktivieren, müssen Sie SAML als Client-Anmeldeoption auf dem Tableau Server deaktivieren.

tsm pending-changes apply

Optional: Hinzufügen des AuthNContextClassRef-Werts

Fügen Sie einen durch Kommas getrennten Wert für das Attribut AuthNContextClassRefhinzu. Weitere Informationen zur Verwendung dieses Attributs finden Sie unter Anforderungen und Hinweise zur SAML-Kompatibilität.

Führen Sie zum Festlegen des Attributs die folgenden Befehle aus:

tsm configuration set -k wgserver.saml.authcontexts -v <value>

tsm pending-changes apply

Testen der Konfiguration

  1. Öffnen Sie eine neue Seite oder eine neue Registerkarte in Ihrem Webbrowser, und geben Sie die Tableau Server-URL-ein.

    Der Browser leitet Sie zum Anmeldeformular des IdP weiter.

  2. Geben Sie Ihren Single Sign-on-Benutzernamen und das Kennwort ein.

    Der IdP überprüft Ihre Anmeldeinformationen und leitet Sie zurück zu Ihrer Tableau Server-Startseite.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.