Konfigurieren von SAML mit Azure AD IdP auf Tableau Server
Sie können Azure AD als SAML-Identitätsanbieter (IdP) konfigurieren und Tableau Server zu Ihren unterstützten Single Sign-on-Anwendungen (SSO) hinzufügen. Wenn Sie Azure AD mit SAML und Tableau Server integrieren, können sich Ihre Benutzer mit ihren Standardnetzwerk-Anmeldeinformationen bei Tableau Server anmelden.
Voraussetzungen
Bevor Sie Tableau Server und SAML mit Azure AD konfigurieren können, ist für Ihre Umgebung Folgendes erforderlich:
SSL-Zertifikat mit SHA-2-Verschlüsselung (256 oder 512 Bit), das die zusätzlichen Anforderungen in den folgenden Abschnitten erfüllt:
Wenn sich Ihre Benutzer von einer Domäne aus anmelden, die nicht die Standarddomäne ist, lesen Sie SAML-Anforderungen und Benutzerverwaltung in Bereitstellungen mit externen Identitätsspeichern, um sicherzustellen, dass der Wert des Domänenattributs festgelegt und definiert ist, um spätere Probleme bei der Anmeldung zu vermeiden.
Schritt 1: Überprüfen der SSL-Verbindung zu Azure AD
Azure AD benötigt eine SSL-Verbindung. Sofern noch nicht erfolgt, führen Sie die im Abschnitt Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server beschriebenen Schritte mit einem Zertifikat aus, das die oben genannten Anforderungen erfüllt.
Wenn Tableau Server alternativ so konfiguriert ist, dass er mit einem Reverse-Proxy oder Load Balancer arbeitet, bei dem SSL beendet wird (allgemein als SSL-Offloading bezeichnet), müssen Sie kein externes SSL konfigurieren.
Wenn Ihre Organisation Azure AD App-Proxy verwendet, lesen Sie unten den Abschnitt Azure AD App-Proxy.
Schritt 2: Konfigurieren von SAML in Tableau Server
Führen Sie die Schritte unter Konfigurieren der serverweiten SAML aus, indem Sie die Tableau Server-Metadaten in eine XML-Datei herunterladen. Kehren Sie anschließend hierher zurück und fahren Sie mit dem nächsten Abschnitt fort.
Schritt 3: Konfigurieren von Azure AD-Anspruchsregeln
Bei der Zuordnung wird die Groß-/Kleinschreibung beachtet. Die Schreibweise muss exakt erfolgen. Daher sollten Sie Ihre Einträge gegenprüfen. Die Tabelle hier zeigt allgemeine Attribute und Anspruchszuordnungen. Überprüfen Sie die Attribute mit Ihrer spezifischen Azure AD-Konfiguration.
LDAP-Attribut | Typ des ausgehenden Anspruchs |
---|---|
onpremisessamaccountname | username |
Given-Name | firstName Hinweis: Dies ist optional. |
Surname | lastName Hinweis: Dies ist optional. |
netbiosname | domain Hinweis: Dies ist nur erforderlich, wenn sich Benutzer von einer Domäne anmelden, die nicht die Standarddomäne ist. |
In einigen Organisationen wird Azure AD als SAML-IdP in Active Directory als Identitätsspeicher für Tableau Server verwendet. In diesem Fall ist username
in der Regel der Name für sAMAccountName. In der Microsoft-Dokumentation finden Sie Informationen zum Identifizieren des sAMAccountName-Attributs in Azure AD, das dem username
-Attribut zugeordnet werden soll.
Schritt 4: Bereitstellen der Azure AD-Metadaten in Tableau Server
Kehren Sie zur TSM-Webschnittstelle zurück und navigieren Sie zur Registerkarte Konfiguration > Benutzeridentität und Zugriff > Authentifizierungsmethode.
Geben Sie in Schritt 4 des SAML-Konfigurationsbereichs den Speicherort der XML-Datei ein, die Sie aus Azure AD exportiert haben, und wählen Sie Hochladen aus.
Führen Sie die verbleibenden Schritte aus (übereinstimmende Aussagen und Festlegen des Clienttyp-Zugriffs), wie in Konfigurieren der serverweiten SAML angegeben. Speichern und übernehmen Sie die Änderungen.
Führen Sie die folgenden Schritte aus, wenn Sie SAML nicht zum ersten Mal konfigurieren:
Beenden Sie Tableau Server, öffnen Sie die TSM-Befehlszeile, und führen Sie die folgenden Befehle aus.
tsm configuration set -k wgserver.saml.sha256 -v true
tsm authentication saml configure -a 7776000
Wenden Sie die Änderungen an:
tsm pending-changes apply
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl
pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option--ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Azure AD App-Proxy
Wenn Sie Azure AD App-Proxy vor Tableau Server ausführen und SAML aktiviert ist, müssen Sie eine zusätzliche Konfiguration für den Azure AD App-Proxy vornehmen.
Tableau Server kann Datenverkehr von einer URL nur akzeptieren, wenn SAML aktiviert ist. Standardmäßig legt Azure AD App-Proxy jedoch eine externe URL und eine interne URL fest.
Sie müssen beide Werte auf dieselbe URL in Ihrer benutzerdefinierten Domäne festlegen. Weitere Informationen finden Sie in der Microsoft-Dokumentation unter Konfigurieren benutzerdefinierter Domänen mit Azure AD-Anwendungsproxy(Link wird in neuem Fenster geöffnet).
Problembehebung
Azure AD App-Proxy
In einigen Fällen werden Verknüpfungen zu Ansichten intern gerendert, schlagen jedoch extern fehl, wenn der Datenverkehr einen Azure AD App-Proxy kreuzt. Das Problem tritt auf, wenn ein Pfund-Zeichen (#) in der URL vorhanden ist und Benutzer mit einem Browser auf den Link zugreifen. Die Tableau Mobile-App kann mit einem Pfund-Zeichen auf URLs zugreifen.
Zeitüberschreitungen von Benutzersitzungen werden anscheinend ignoriert
Wenn Tableau Server für SAML konfiguriert ist, kann es bei Benutzern zu Anmeldefehlern kommen, weil die Einstellung für das maximale Authentifizierungsalter des Identitätsanbieters auf einen Wert gesetzt ist, der größer ist als die Einstellung für das maximale Authentifizierungsalter von Tableau. Um dieses Problem zu beheben, können Sie die TSM-Konfigurationsoption wgserver.saml.forceauthn
verwenden, um den Identitätsanbieter zur erneuten Authentifizierung des Benutzers zu veranlassen, wenn Tableau die Authentifizierungsanfrage umleitet, selbst wenn die Identitätsanbieter-Sitzung für den Benutzer noch aktiv ist.
Wenn beispielsweise die Azure AD-Einstellung maxInactiveTime
größer ist als die Einstellung maxAuthenticationAge
von Tableau Server, leitet Tableau die Authentifizierungsanforderung an den Identitätsanbieter weiter, der Tableau anschließend eine Bestätigung sendet, dass der Benutzer bereits authentifiziert ist. Da der Benutzer jedoch außerhalb des maxAuthenticationAge
von Tableau Server authentifiziert wurde, lehnt Tableau die Benutzerauthentifizierung ab. In solchen Fällen können Sie eine oder beide der folgenden Aktionen durchführen:
- Aktivieren Sie die Option
wgserver.saml.forceauthn
, damit der Identitätsanbieter den Benutzer jedes Mal neu authentifizieren muss, wenn Tableau die Authentifizierungsanfrage umleitet. Weitere Informationen finden Sie unter wgserver.saml.forceauthn. - Erhöhen Sie die Einstellung
maxAuthenticationAge
von Tableau Server. Weitere Informationen finden Sie unter "-a, --max-auth-age <max-auth-age>" im Thema tsm authentication.
Nichtübereinstimmung von AppID
Beim Überprüfen der Datei vizportal.log sehen Sie möglicherweise den Fehler "Die beabsichtigte Zielgruppe stimmt nicht mit dem Empfänger überein".
Um dieses Problem zu beheben, stellen Sie sicher, dass die appID mit der gesendeten übereinstimmt. Azure fügt automatisch „SPN“ an die App-ID an, wenn die Anwendungs-ID mit der verwendeten App verwendet wird. Sie können den Wert in den SAML-Einstellungen von Tableau ändern, indem Sie der Anwendungs-ID das Präfix „SPN:“ hinzufügen.
Beispiel: SPN:myazureappid1234