Konfigurieren von standortspezifischer SAML
Verwenden Sie die Site-spezifische SAML in einer Umgebung mit mehreren Sites, wenn Sie Single Sign-On (SSO) aktivieren möchten und gleichzeitig mehrere SAML-Identitätsanbieter (IdPs) oder IdP-Anwendungen verwenden. Bei aktivierter Site-SAML können Sie den IdP oder die IdP-Anwendung für jede Site angeben oder einige Sites für die Verwendung von SAML konfigurieren, während Sie andere Sites für die Verwendung der serverweiten Standard-Authentifizierungsmethode konfigurieren.
Sollen alle Serverbenutzer SAML verwenden und sich über dieselbe IdP-Anwendung anmelden, lesen Sie die Informationen unter Konfigurieren der serverweiten SAML.
Voraussetzungen für die Aktivierung der Site-spezifischen SAML
Bevor Sie SAML Single Sign-On auf Site-Ebene aktivieren können, müssen die folgenden Anforderungen erfüllt sein:
Der Identitätsspeicher von Tableau Server muss für den lokalen Identitätsspeicher konfiguriert sein.
Sie können keine standortspezifische SAML konfigurieren, wenn Tableau Server mit einem externen Identitätsspeicher wie Active Directory oder OpenLDAP konfiguriert ist.
Vergewissern Sie sich, dass Ihre Umgebung und Ihr IdP die allgemeinen SAML-Anforderungen erfüllen.
Einige Funktionen werden nur in serverweiten SAML-Bereitstellungen unterstützt, einschließlich, aber nicht begrenzt auf:
- Kennwortgeschützte Schlüsseldateien, die in Site-spezifischen SAML-Bereitstellungen nicht unterstützt werden.
Sie müssen serverweites SAML konfigurieren, bevor Sie Site-spezifisches SAML konfigurieren. Sie müssen serverweites SAML nicht aktivieren, aber das Site-spezifische SAML erfordert die serverweite Konfiguration. Siehe Konfigurieren der serverweiten SAML.
Notieren Sie sich den Speicherort der SAML-Zertifikatsdateien. Sie geben ihn beim Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML an.
Weitere Informationen finden Sie unter Ablegen der Metadaten- und Zertifikatdateien im vorgesehenen Ordner im Thema zum Konfigurieren einer serverweiten SAML.
Fügen Sie Tableau Server als Dienstanbieter Ihrem IdP hinzu. Sie können diese Informationen in der vom IdP bereitgestellten Dokumentation finden.
Bestätigen Sie, dass die Systemuhren des Computers, auf dem der SAML IdP für die Site gehostet wird, und des Computers, auf dem Tableau Server gehostet wird, weniger als 59 Sekunden auseinanderliegen. Tableau Serer verfügt nicht über eine Konfigurationsoption, um die Antwortschiefe (Zeitdifferenz) zwischen dem Tableau Server-Computer und dem IdP anzupassen.
Serverweite Einstellungen für Site-spezifische SAML
In den Einstellungen zum Konfigurieren der Site-spezifischen SAML stellt Tableau basierend auf diesen Einstellungen eine Site-spezifische Rückgabe-URL und Entitäts-ID bereit. Die Site-spezifische Rückgabe-URL und die Entitäts-ID können nicht geändert werden. Diese Konfigurationen sind von TSM festgelegt wie in Konfigurieren der serverweiten SAML beschrieben.
Serverweite Einstellungen, maximales Authentifizierungsalter und Antwortschiefe gelten nicht für Site-spezifische SAML. Diese Konfigurationen sind vorprogrammiert:
- Das maximale Authentifizierungsalter gibt an, wie lange ein Authentifizierungstoken vom IdP nach seiner Ausstellung gültig ist. Die vorprogrammierte Site-spezifische SAML für das maximale Authentifizierungsalter beträgt 24 Tage.
- Die Antwortschiefe legt die Anzahl der Sekunden für die maximale Differenz zwischen Tableau Server-Zeit und dem Zeitpunkt der Assertion-Erstellung (auf Basis der IdP-Serverzeit) fest, in der die Meldung noch verarbeitet werden darf. Der vorprogrammierte Site-spezifische Wert hierfür beträgt 59 Sekunden.
Benutzername: Erforderlich. Zusätzlich zum serverweiten SAML-Konfigurationsattribut muss das Site-spezifische SAML-Konfigurationsattribut auf "username" festgelegt werden.
Hinweis: Damit sitespezifisches SAML erfolgreich mit einem serverweiten SAML-Standard funktioniert, muss das username-Attribut, das für serverweites SAML mit dem Konfigurationsschlüssel "wgserver.saml.idpattribute.username" konfiguriert wurde, "username" sein. Der IdP, der für serverweites SAML verwendet wird, muss den Benutzernamen in einem Attribut namens "username" bereitstellen.
Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML
Wenn alle zuvor aufgeführten Voraussetzungen erfüllt sind, können Sie die folgenden Befehle zur Konfiguration des Servers ausführen, um die Site-spezifische SAML zu unterstützen.
Konfigurieren der serverweiten SAML Sie müssen zumindest den folgenden TSM-Befehl ausführen (wenn Sie bereits serverweite SAML konfiguriert haben, fahren Sie mit Schritt 2 fort):
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- Aktivieren Sie die Website-SAML. Führen Sie die folgenden Befehle aus:
tsm authentication sitesaml enable
tsm pending-changes apply
Informationen zu den Befehlen
Der Befehl sitesaml enable
zeigt die Registerkarte Authentifizierung auf der Seite Einstellungen von jeder Site auf der Tableau Server-Web-Benutzeroberfläche an. Nachdem Sie den Server für die Site-spezifische SAML konfiguriert haben, können Sie mit dem Schritt Konfigurieren von SAML für eine Site fortfahren, um die Einstellungen auf der Registerkarte Authentifizierung vorzunehmen.
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Wenn Sie überprüfen möchten, welche Befehle mit dem Befehl pending-changes apply
ausgeführt und welche Einstellungen dabei vorgenommen werden, können Sie zunächst den folgenden Befehl ausführen:
tsm pending-changes list --config-only
Konfigurieren von SAML für eine Site
In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die auf der Seite Authentifizierung in der Tableau Server-Webschnittstelle angezeigt werden. Bei einer selbstgehosteten Tableau Server-Installation wird diese Seite nur dann angezeigt, wenn die Unterstützung der Site-spezifischen SAML auf Serverebene aktiviert ist. In Tableau Cloud ist sie standardmäßig aktiviert.
Hinweis: Für diesen Vorgang benötigen Sie auch die von Ihrem IdP bereitgestellte Dokumentation. Suchen Sie nach Themen, die sich auf das Konfigurieren oder Definieren eines Dienstanbieters für eine SAML-Verbindung und das Hinzufügen einer Anwendung beziehen.
Zum Herstellen der SAML-Verbindung zwischen Tableau Server und Ihrem IdP müssen Sie die erforderlichen Metadaten zwischen den beiden Diensten austauschen. Führen Sie zum Abrufen von Metadaten aus Tableau Server einen der folgenden Schritte aus. Wählen Sie die richtige Option entsprechend der SAML-Konfigurationsdokumentation des ldP aus.
Wählen Sie die Option Metadaten exportieren aus, um eine XML-Datei herunterzuladen, die die SAML-Entitäts-ID Tableau Server, die Assertion Consumer Service-URL (ACS) und das X.509-Zertifikat enthält.
Die Entitäts-ID ist Site-spezifisch und basiert auf der serverweiten Entitäts-ID, die Sie bei der Aktivierung der Site-SAML auf dem Server angegeben haben. Wenn Sie beispielsweise
https://tableau_server
im Tableau Server-Konfigurationsdienstprogramm eingegeben haben, wird möglicherweise die folgende Einheiten-ID für die Site angezeigt:https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0
Die von Tableau generierte Entitäts-ID oder ACS-URL kann nicht geändert werden.
Wählen Sie Zertifikat zum Signieren und Verschlüsseln herunterladen aus, wenn Ihr IdP die erforderlichen Angaben auf andere Weise erwartet. Beispielsweise dann, wenn Sie Entitäts-ID, ACS URL und X.509-Zertifikat von Tableau Server an verschiedenen Stellen eingeben müssen.
Das folgende Bild wurde so bearbeitet, dass erkennbar ist, dass diese Einstellungen in Tableau Cloud und Tableau Server gleich sind.
Schritt 2: Importieren Sie die Metadaten, die Sie in Schritt 1 exportiert haben, melden Sie sich bei Ihrem IdP-Konto an, und übermitteln Sie die Tableau Server-Metadaten gemäß den Anweisungen in der Dokumentation des IdPs.
Bei Schritt 3 hilft Ihnen die Dokumentation Ihres Identitätsanbieters auch in Bezug auf das Bereitstellen von Metadaten für einen Dienstanbieter. Sie werden darin aufgefordert, eine Metadatendatei herunterzuladen, oder sie wird in XML-Code angezeigt. Wenn sie XML-Code anzeigt, kopieren Sie den Code, und fügen Sie ihn in eine neue Textdatei ein. Speichern Sie die Datei mit einer .xml-Erweiterung.
Importieren Sie auf der Seite Authentifizierung in Tableau Server die Metadatendatei, die Sie vom IdP heruntergeladen oder manuell von der zur Verfügung gestellten XML konfiguriert haben.
Attribute enthalten die Authentifizierung, Autorisierung und weitere Informationen für einen Benutzer. Geben Sie in der Spalte Assertionsname des Identitätsanbieters die Attribute an, die die Informationen enthalten, die für Tableau Server erforderlich sind.
Benutzername oder E-Mail: (Erforderlich) Geben Sie den Namen des Attributs ein, das Benutzernamen oder E-Mail-Adressen speichert.
Anzeigename: (optional) Einige Identitätsanbieter verwenden separate Attribute für Vor- und Nachnamen, andere speichern den gesamten Namen in einem Attribut. Wenn Sie SAML mit lokaler Authentifizierung verwenden, wird das Anzeigenamensattribut nicht mit dem SAML-IdP synchronisiert.
Wählen Sie die Schaltfläche aus, die der Vorgehensweise entspricht, wie Ihr Identitätsanbieter die Namen speichert. Wenn beispielsweise der Identitätsanbieter Vor- und Nachname in einem Attribut kombiniert, wählen Sie Anzeigename, und geben Sie anschließend den Attributnamen ein.
Tableau ServerWählen Sie vorhandene -Benutzer aus, oder fügen Sie neue Benutzer hinzu, denen Sie das einmalige Anmelden gestatten möchten.
Wenn Sie Benutzer hinzufügen oder importieren, legen Sie auch deren Authentifizierungstyp fest. Auf der Seite "Benutzer" können Sie den Authentifizierungstyp der Benutzer jederzeit ändern, nachdem Sie sie hinzugefügt haben.
Weitere Informationen finden Sie unter Hinzufügen von Benutzern zu einer Site oder Importieren von Benutzern und Festlegen des Benutzerauthentifizierungstyps für SAML.
Wichtig: Benutzer, die sich mit dem Site-spezifischen SAML-Verfahren authentifizieren, dürfen nur zu einer Site gehören. Falls ein Benutzer Zugriff auf mehrere Sites benötigt, wählen Sie die Server-Standardeinstellung als dessen Authentifizierungstyp aus. Abhängig von der Art und Weise, wie das Site-spezifische SAML-Verfahren vom Serveradministrator konfiguriert wurde, handelt es sich bei der Standardeinstellung des Servers um eine lokale Authentifizierung oder eine serverweite SAML-Authentifizierung.
Beginnen Sie mit den auf der Authentifizierungsseite vorgeschlagenen Schritten zur Problembehandlung. Wenn Sie die Probleme dadurch nicht beheben können, finden Sie unter Problembehebung für SAML weitere Informationen.