Configuration de SSO SAP HANA
Vous pouvez configurer Tableau Server de manière à ce qu’il utilise la délégation SAML pour fournir une expérience d’authentification unique (SSO) pour SAP HANA. Ce scénario n’est pas dépendant de l’authentification SAML sur Tableau Server. Vous n’avez pas besoin d’utiliser l’authentification SAML avec Tableau Server pour utiliser la délégation HANA SAML. Vous pouvez vous connecter à Tableau Server à l’aide de la méthode de votre choix.
Avec la délégation SAML pour SAP HANA, Tableau Server fonctionne comme fournisseur d’identité (IdP).
Avant de commencer
La configuration de la délégation SAML avec SAP HANA requiert la configuration à la fois sur Tableau Server et sur SAP HANA. Cette rubrique fournit des informations de configuration relatives à la configuration de Tableau Server. Avant de configurer Tableau Server, vous devez effectuer les opérations suivantes :
- Acquérir un fichier de certificat et de clé SAML pour Tableau Server.
Le fichier de certificat doit être un certificat x509 encodé PEM portant l’extension de fichier .crt ou .cert. Ce fichier est utilisé par Tableau Server et doit également être installé sur HANA.
La clé privée doit être une clé privée codée DER non protégée par un mot de passe, au format PKCS#8, et portant l’extension de fichier .der. Ce fichier est uniquement utilisé par Tableau Server.
Installez le certificat dans HANA. Pour éviter les erreurs
libxmlsec
dans HANA, nous vous recommandons de configurer le magasin de certificats en mémoire sur SAP HANA. Pour plus d’informations, consultez cette rubrique du support SAP(Le lien s’ouvre dans une nouvelle fenêtre).Installez la dernière version du pilote SAP HANA (la version minimum est 1.00.9) sur Tableau Server.
Configurez le chiffrement réseau de Tableau Server sur SAP HANA (recommandé).
Pour plus d’informations sur la génération de la paire certificat/clé, le chiffrement de la connexion SAML et la configuration de SAP HANA, consultez Comment configurer SAP HANA pour l’authentification unique SAML avec Tableau Server(Le lien s’ouvre dans une nouvelle fenêtre) dans la communauté Tableau.
Configurer SAML pour SAP HANA sur Tableau Server
La procédure suivante décrit comment configurer SAML pour SAP HANA sur Tableau Server à l’aide de la commande tsm data-access
. Vous pouvez également configurer SAML pour SAP HANA à l’aide de Entité sapHanaSettings.
Si vous exécutez Tableau Server dans un environnement distribué, exécutez la procédure suivante sur le nœud initial.
Placez les fichiers de certificat dans un dossier appelé
saml
. Par exemple :/var/opt/saml
Exécutez les commandes suivantes pour spécifier l’emplacement des fichiers de certificat et de clé :
tsm data-access set-saml-delegation configure --cert-key <cert-key> --cert-file <cert-file>
Où
<cert-key>
et<cert-file>
sont des chemins d’accès du fichier au fichier de clé et de certificat privé, respectivement.Par exemple,
tsm data-access set-saml-delegation configure --cert-key /var/opt/saml/hana_pkey_pkcs8.der --cert-file /var/opt/saml/hana_cert.pem
Vous pouvez spécifier d’autres options. Par exemple, vous pouvez spécifier le format du nom d’utilisateur et la manière dont les informations d’identification sont normalisées. Consultez tsm data-access.
Exécutez les commandes suivantes pour activer la délégation :
tsm data-access set-saml-delegation enable
tsm configuration set -k wgserver.sap_hana_sso.enabled -v true
tsm configuration set -k wgserver.delegation.enabled -v true
Une fois que vous avez terminé, exécutez
tsm pending-changes apply
.Si les modifications en attente nécessitent un redémarrage du serveur, la commande
pending-changes apply
affichera une invite pour vous informer qu’un redémarrage va avoir lieu. Cette invite s’affiche même si le serveur est arrêté, mais dans ce cas, il n’y a pas de redémarrage. Vous pouvez supprimer l’invite à l’aide de l’option--ignore-prompt
, mais cela ne modifiera pas le comportement de redémarrage. Si les modifications ne nécessitent pas de redémarrage, les modifications sont appliquées sans invite. Pour plus d’informations, consultez tsm pending-changes apply.