Résoudre les problèmes liés à SAML
Cette rubrique fournit des informations sur la résolution des problèmes qui peuvent se produire lorsque vous configurez l’authentification SAML.
Authentification SAML et activation de la connexion automatique
Si vous utilisez l’authentification SAML et que Tableau Server est également configuré pour utiliser Active Directory, veillez à ne pas sélectionner l’option Activer la connexion automatique. L’option Activer la connexion automatique et l’authentification SAML ne peuvent pas utilisées sur la même installation serveur.
Erreur d’état 500 HTTP lors de la configuration de SAML
Dans certains cas, il se peut que vous obteniez une erreur d’état HTTP 500 et que l’erreur suivante s’affiche après l’activation de SAML et l’accès à l’URL de Tableau Server dans un navigateur :
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
Pour corriger cette erreur, procédez comme suit :
L’URL d’IdP pour le profil SSO spécifié dans l’onglet SAML est correct.
L’URL IdP pour le profil SSO fourni lors de la création du fournisseur de services dans l’IdP est correct.
L’IdP est configuré pour utiliser les demandes
HTTP-POST
. (Redirect et SOAP ne sont pas pris en charge.)
Si l’un de ces paramètres n’était pas correct, effectuez les mises à jour appropriées, puis exécutez à nouveau les étapes de configuration SAML, en commençant par générer et exporter le document de métadonnées XML depuis Tableau Server.
Si ces paramètres sont corrects mais que vous voyez toujours l’erreur, examinez le XML de métadonnées produit pas Tableau Server et par IdP, comme décrit dans Exigences en matière d’authentification SAML.
Connexion à partir de la ligne de commande
SAML n’est pas utilisé pour l’authentification lorsque vous vous connectez à Tableau Server à l’aide de tabcmd ou de l’utilitaire de ligne de commande Tableau Data Extract(Le lien s’ouvre dans une nouvelle fenêtre) (fourni avec Tableau Desktop), même si Tableau Server est configuré pour utiliser SAML. Ces outils nécessitent l’authentification configurée lors de l’installation initiale de Tableau Server (soit l’authentification locale, soit AD).
Échec de la connexion : impossible de trouver l’utilisateur
La connexion échoue avec le message suivant :
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
Cette erreur signifie généralement que les noms d’utilisateur stockés sur Tableau Server et ceux fournis par l’IdP ne sont pas identiques. Pour corriger cette erreur, assurez-vous qu’ils correspondent. Par exemple, si le nom d’utilisateur de Jane Smith est stocké dans votre IdP sous la forme jsmith
, il doit également l’être dans Tableau Server sous la forme jsmith
.
Échec de la connexion : déchargement SSL
La connexion échoue avec le message suivant :
Unable to Sign In - Invalid username or password.
De plus, les fichiers journaux vizportal (définis sur le mode debug
) contiennent le message suivant :
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
Remarque : Pour l’enregistrement des événements liés à SAML, vizportal.log.level
doit être défini sur debug
. Pour plus d’informations, consultez Modifier les niveaux d’enregistrement.
Cette combinaison de messages indique une configuration incorrecte d’un serveur proxy externe qui décharge SSL pour la connexion à Tableau Server. Pour résoudre ce problème, consultez l’article de la Base de connaissances, Erreur « Unable to Sign In » et « Invalid username or password » avec SAML après la mise à niveau(Le lien s’ouvre dans une nouvelle fenêtre).
Fichier journal des erreurs SAML
L’authentification SAML intervient hors de Tableau Server, ce qui peut rendre la résolution des problèmes d’authentication difficile. Toutefois, les tentatives de connexion sont enregistrées par Tableau Server. Vous pouvez créer un instantané des fichiers journaux et les utiliser pour dépanner les problèmes. Pour plus d’informations, consultez Instantanés de fichiers journaux (archives de fichiers journaux).
Remarque : pour l’enregistrement des événements liés à SAML, vizportal.log.level
doit être défini sur debug
. Pour plus d’informations, consultez Modifier les niveaux d’enregistrement.
Vérifiez les erreurs SAML dans les fichiers suivants situés dans l’instantané du fichier journal décompressé :
\vizportal\vizportal-<n>.log
Le processus d’application (vizportal.exe) gère l’authentification et enregistre les réponses SAML.
Barre oblique de fin
Dans l’onglet SAML, confirmez que l’URL de renvoi de Tableau Server ne se finit pas par une barre oblique
Correct : http://tableau_server
Incorrect : http://tableau_server/
Confirmer la connectivité
Confirmez que le Tableau Server que vous configurez a bien une adresse IP accessible ou un NAT au niveau du pare-feu qui permet un trafic bidirectionnel directement vers le serveur.
Vous pouvez tester votre connectivité en exécutant telnet sur Tableau Server et en essayant de vous connecter au fournisseur d’identités SAML. Par exemple : C:\telnet 12.360.325.10 80
Le test ci-dessus doit vous connecter au port HTTP (80) sur l’IdP et vous renvoyer un en-tête HTTP.
Plusieurs domaines
Dans l’onglet SAML, confirmez que l’attribut Domaine de Tableau Server détectera le domaine dans le format domain\username
dans l’assertion SAML en le laissant vide.
Correct : <vide>
Incorrect : votredomaine.com