Problembehebung für SAML
Dieses Thema enthält Informationen zum Beheben von Problemen, die auftreten können, wenn Sie die SAML-Authentifizierung konfigurieren.
SAML und "Automatische Anmeldung aktivieren"
Wenn Sie SAML verwenden und Tableau Server außerdem für die Verwendung von Active Directory konfiguriert ist, dürfen Sie nicht gleichzeitig die Option Automatische Anmeldung aktivieren wählen. Automatische Anmeldung aktivieren und SAML können nicht auf derselben Serverinstallation verwendet werden.
HTTP-Statusfehler 500 beim Konfigurieren von SAML
Unter bestimmten Umständen tritt nach der Aktivierung von SAML und der Navigation zu der Tableau Server-URL im Browser der HTTP-Statusfehler 500 auf und folgende Fehlermeldung wird angezeigt:
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
Zur Behebung des Fehlers muss Folgendes gegeben sein:
Auf der Registerkarte "SAML" ist die richtige IdP-URL für das SSO-Profil angegeben.
Beim Erstellen des Dienstanbieters im IdP wurde die richtige IdP-URL für das SSO-Profil angegeben.
Der IdP ist für die Verwendung von
HTTP-POST
-Anforderungen konfiguriert. (Weiterleitungen und SOAP werden nicht unterstützt.)
Falls eine Einstellung nicht fehlerfrei ist, nehmen Sie die erforderlichen Änderungen vor, und wiederholen Sie dann die Schritte zur SAML-Konfiguration ab dem Erzeugen und Exportieren des XML-Metadaten-Dokuments vom Tableau Server.
Wenn diese Einstellungen korrekt sind und der Fehler dennoch weiterhin besteht, prüfen Sie die Metadaten-XML, die von Tableau Server und vom IdP erzeugt wurden, gemäß den Anweisungen unter SAML-Anforderungen.
Anmelden über die Befehlszeile
SAML wird nicht für die Authentifizierung verwendet, wenn Sie sich mithilfe von tabcmd oder des (in Tableau Desktop integrierten) Tableau Data Extract-Befehlszeilenprogramms(Link wird in neuem Fenster geöffnet) bei Tableau Server anmelden, selbst wenn Tableau Server für die Verwendung von SAML konfiguriert ist. Für diese Tools muss die Konfiguration der Authentifizierung bei der initialen Installation von Tableau Server (lokale Authentifizierung oder Active Directory) vorgenommen werden.
Anmeldung fehlgeschlagen: Der Benutzer konnte nicht gefunden werden
Die Anmeldung schlägt mit der folgenden Meldung fehl:
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
Dieser Fehler weist in der Regel darauf hin, dass die Benutzernamen in Tableau Server und die vom IdP bereitgestellten Benutzernamen nicht übereinstimmen. Zur Fehlerbehebung tragen Sie jeweils dieselben Benutzernamen ein. Wenn beispielsweise der Benutzername von Jane Smith beim Identitätsprovider als jsmith
gespeichert ist, muss er in Tableau Server ebenfalls als jsmith
gespeichert sein.
Die Anmeldung schlägt fehl: SSL-Entladung
Die Anmeldung schlägt mit der folgenden Meldung fehl:
Unable to Sign In - Invalid username or password.
Zusätzlich enthalten die Vizportal-Protokolle (auf den Modus debug
eingestellt) die folgende Meldung:
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
Hinweis: Um mit SAML in Zusammenhang stehende Ereignisse zu protokollieren, muss vizportal.log.level
auf debug
festgelegt sein. Weitere Informationen finden Sie unter Ändern von Protokollstufen.
Diese Kombination von Nachrichten weist auf eine Fehlkonfiguration eines externen Proxyservers hin, der SSL für die Verbindung zu Tableau Server ausgibt. Um dieses Problem zu beheben, lesen Sie den KB-Artikel "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading(Link wird in neuem Fenster geöffnet).
SAML-Fehlerprotokoll
Die SAML-Authentifizierung wird außerhalb von Tableau Server abgelegt, daher kann sich die Problembehandlung bei Authentifizierungsproblemen schwierig gestalten. Anmeldeversuche werden jedoch durch Tableau Server protokolliert. Sie können einen Schnappschuss der Protokolldateien erstellen und ihn für die Behandlung von Problemen verwenden. Weitere Informationen hierzu finden Sie unter Protokolldatei-Momentaufnahmen (Archivprotokolle).
Hinweis: Um mit SAML in Zusammenhang stehende Ereignisse zu protokollieren, muss vizportal.log.level
auf debug
festgelegt sein. Weitere Informationen finden Sie unter Ändern von Protokollstufen.
Suchen Sie im entpackten Schnappschuss der Protokolldatei in den folgenden Dateien nach SAML-Fehlern.
\vizportal\vizportal-<n>.log
Der Anwendungsprozess (vizportal.exe) verarbeitet die Authentifizierung. Daher werden SAML-Antworten durch diesen Prozess protokolliert.
Nachgestellter Schrägstrich
Überprüfen Sie auf der Registerkarte "SAML", dass die Tableau Server-Rückgabe-URL nicht mit einem nachgestellten Schrägstrich endet.
Richtig: http://tableau_server
Falsch: http://tableau_server/
Überprüfen der Konnektivität
Vergewissern Sie sich, dass der Tableau Server, den Sie konfigurieren, entweder über eine routingfähige IP-Adresse oder ein NAT an der Firewall verfügt, das bidirektionalen Verkehr direkt zum Server zulässt.
Sie können Ihre Konnektivität testen, indem Sie telnet in Tableau Server ausführen und versuchen, eine Verbindung mit dem SAML-IdP herzustellen. Beispiel: C:\telnet 12.360.325.10 80
Der oben genannte Test sollte Sie mit dem HTTP-Port (80) auf dem IdP verbinden, und Sie sollten eine HTTP-Kopfzeile erhalten.
Mehrere Domänen
Überprüfen Sie auf der Registerkarte "SAML", dass das Tableau Server-Domänenattribut die Domäne im Format domain\username
in der SAML-Assertion erkennt, indem Sie es leer lassen.
Korrekt: <leer>
Falsch: ihredomain.com