Entità samlSettings
In questo articolo sono contenuti un modello e un riferimento per la configurazione di SAML per l’intero server su Tableau Server, utilizzando un file di configurazione con le chiavi e i valori per l’entità samlSettings
. Queste informazioni integrano i passaggi di configurazione SAML riportati in Configurare SAML a livello di server.
Per creare un modello di configurazione SAML e applicarlo a Tableau Server, completa i passaggi indicati di seguito:
Esamina le due sezioni seguenti che descrivono il modello e il modo in cui viene strutturato (Categorie e definizioni del modello e Modello di configurazione samlSettings).
Incolla in un nuovo file di testo il codice JSON mostrato nel modello, quindi salvalo utilizzando un’estensione .json.
Consulta il Riferimento dell’entità di configurazione SAML per i valori necessari.
Aggiungi le coppie di chiave/valore facoltative specifiche per l’ambiente in uso. Ad esempio, se il file della chiave del certificato SAML richiede una passphrase, dovrai specificare la password nel parametro
wgserver.saml.key.passphrase
utilizzando il comando di set di tsm configuration set.
Categorie e definizioni del modello
Il modello utilizza i segnaposto per ogni valore chiave. Questi segnaposto sono classificati come segue:
Obbligatorio: gli attributi con il valore
"required"
devono essere sostituiti con dati validi prima di eseguire il comando di configurazione. Per conoscere i valori validi, esamina il riferimento al file di configurazione.Hard-coded: nomi degli attributi che sono preceduti da un carattere di sottolineatura (_), ad esempio
"_type"
presentano valori hard-coded. Non modificare questi valori.Valori predefiniti: gli attributi impostati su un valore non
"required"
sono valori predefiniti. Questi attributi sono obbligatori e li puoi modificare secondo le necessità del tuo ambiente.Insiemi vuoti: i valori vuoti (
""
) possono essere passati come tali, oppure è possibile specificare un valore per la tua installazione.
Importante: per tutte le opzioni di entità viene applicata la distinzione tra maiuscole e minuscole.
Modello di configurazione samlSettings
Incolla questo codice in un file di testo e personalizzalo per il tuo ambiente utilizzando il riferimento riportato di seguito.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Riferimento dell’entità di configurazione SAML
L’elenco seguente comprende tutte le opzioni che possono essere incluse nell’insieme di entità "samlSettings"
.
idpMetadataFile
Obbligatorio. Percorso e nome di file del file XML, generato dal IdP. I metadati XML devono includere l’attributo nome utente (asserzione).
Se è stata completata la procedura descritta in Configurare SAML a livello di server, il valore immesso qui sarà:
/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>
enabled
true | false
Obbligatorio. Indica se l’autenticazione SAML è abilitata. Non impostare questa opzione su
true
prima di impostare altre opzioni di configurazione SAML necessarie.
returnURL
Si tratta in genere dell’URL esterno che gli utenti di Tableau Server inseriscono nel browser per accedere al server, ad esempio
https://tableau_server.example.com
. Questo valore viene utilizzato per creare l’attributo URL ACS durante la configurazione dell’IdP.
entityId
Obbligatorio. Valore ID entità del provider di servizi (in questo caso, Tableau Server).
Identifica la configurazione di Tableau Server per l’IdP. È consigliabile immettere lo stesso valore dell’opzione
returnURL
.
idpUsernameAttribute
Obbligatorio. Nei metadati IdP individua l’attributo utilizzato per specificare i valori del nome utente e immetti il nome dell’attributo. L’impostazione predefinita è
username
.
certFile
Obbligatorio. Immetti il percorso e il nome file del file di certificato x509 (.crt) per SAML. Ad esempio:
/var/opt/tableau/tableau_server/data/saml/<file.crt>
Per maggiori informazioni, consulta Requisiti SAML e Configurare SAML a livello di server.
keyFile
Obbligatorio. Specifica il percorso del file di chiave privata (.key) che accompagna il file di certificato. Ad esempio:
/var/opt/tableau/tableau_server/data/saml/<file.key>
Nota: se utilizzi una chiave RSA PKCS#8 che richiede una passphrase, devi impostare la passphrase tramite un’entità configKey (vedi Esempio di file di configurazione) o con tsm configuration set. Utilizzando questi metodi, la chiave per la passphrase è
wgserver.saml.key.passphrase
. Il valore deve essere una stringa Non null.
idpDomainAttribute
Per le organizzazioni che utilizzano LDAP o Active Directory, questo valore specifica l’attributo SAML a cui Tableau Server farà riferimento per determinare il nome di dominio. Ad esempio, se l’IdP specifica il nome di dominio nell’attributo
domain
, devi specificaredomain
per questo valore. Nota: per le organizzazioni con utenti che accedono da più domini, questo valore è obbligatorio.Se non specifichi un valore per questa chiave, il valore utilizzato dipende dall’impostazione dell’archivio di identità di Tableau Server:
Per l’archivio di identità locale, il valore
idpDomainAttribute
viene ignorato.Per gli archivi di identità Active Directory o LDAP, Tableau utilizza l’FQDN dell’impostazione di configurazione
wgserver.domain.default
.Per ottenere il valore per
wgserver.domain.default
, puoi eseguire il comando seguente:tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Facoltativo. Consenti agli utenti di utilizzare l’autenticazione SAML quando accedono da Tableau Desktop.
Per impostazione predefinita, questo valore non è configurato, pertanto il comportamento effettivo equivale a impostarlo su false. Se l’accesso Single Sign-On dalle applicazioni client di Tableau non funziona con il tuo IdP, puoi impostare questo valore su true per disabilitare l’autenticazione SAML tramite Tableau Desktop.
appNoSAML
true | false
Facoltativo. Consenti l’utilizzo di SAML per l’accesso da versioni precedenti dell’applicazione Tableau Mobile. Questa opzione viene ignorata dai dispositivi che eseguono l’app Tableau Mobile versione 19.225.1731 e superiori. Per disabilitare i dispositivi che eseguono l’app Tableau Mobile versione 19.225.1731 e superiori, disabilita SAML come opzione di accesso client su Tableau Server.
logoutEnabled
true | false
Facoltativo. Abilita la disconnessione singola per gli utenti che hanno effettuato l’accesso con SAML. Il valore predefinito è
true
.I metadati di configurazione dell’IdP devono includere un singolo endpoint di disconnessione con binding POST.
Questa impostazione si applica solo per SAML a livello di server
Se impostato su
false
, Tableau Server non tenterà la disconnessione singola.
logoutUrl
Facoltativo. Immetti l’URL a cui reindirizzare gli utenti dopo essersi disconnessi dal server. La configurazione di questa opzione richiede che
logoutEnabled
sia impostato sutrue
.Per impostazione predefinita, questa è la pagina di accesso di Tableau Server. Puoi specificare un URL assoluto o relativo.
maxAuthenticationAge
Facoltativo. Specifica il numero massimo di secondi consentiti tra l’autenticazione di un utente con l’IdP e l’elaborazione del messaggio AuthNResponse. Il valore predefinito è -1, il che significa che maxAuthenticationAge non è impostato o viene ignorato per impostazione predefinita. Prima di febbraio 2022, il valore predefinito era 7200 (2 ore).
Per ottimizzare la durata della sessione, utilizza lo stesso valore di timeout impostato sull’IdP.
maxAssertionTime
Facoltativo. Specifica il numero massimo di secondi dalla creazione, per cui un’asserzione SAML è utilizzabile. Il valore predefinito è 3000 (50 minuti).
sha256Enabled
true | false
Facoltativo. Tipo di firma che verrà utilizzata da Tableau Server quando si inviano messaggi all’IdP. Se impostato su
true
, Tableau Server firmerà i messaggi con l’algoritmo di firma SHA 256. Se impostato sufalse
, Tableau Server firmerà i messaggi con SHA 1. L’impostazione predefinita ètrue
.Questa opzione imposta l’algoritmo di firma sui seguenti messaggi firmati da Tableau Server:
- Messaggi AuthnRequest quando
signRequests
è abilitato. - Messaggi LogoutRequest se
logoutEnabled
è abilitato.
- Messaggi AuthnRequest quando
signRequests
true | false
Facoltativo. Specifica se Tableau Server firmerà le richieste AuthnRequest inviate all’IdP. Le richieste firmate non sono sempre necessarie per tutti gli IdP. È consigliabile firmare le richieste per garantire l’opzione più sicura durante la configurazione di SAML. Per verificare se l’IdP accetta la richiesta firmata, esamina i metadati dell’IdP: se
wantAuthnRequestsSigned
è impostato sutrue
, l’IDP accetterà le richieste firmate.Il valore predefinito è
true
. Per disabilitare le richieste firmate, imposta questa opzione sufalse
.
acceptableAuthnContexts
Facoltativo. Imposta l’attributo SAML
AuthNContextClassRef
. Questo attributo facoltativo applica la convalida di determinati "contesti" di autenticazione nei flussi avviati dall’IdP. Imposta un insieme di valori separati da virgole per questo attributo. Quando questo attributo è impostato, Tableau Server verifica che la risposta SAML contenga almeno uno dei valori elencati. Se la risposta SAML non contiene uno dei valori configurati, l’autenticazione verrà rifiutata, anche se l’utente ha eseguito correttamente l’autenticazione con l’IdP.Se si lascia vuota questa opzione, verrà applicato il comportamento predefinito: qualsiasi risposta SAML autenticata correttamente comporterà la concessione a un utente di una sessione in Tableau Server.
iFramedIdpEnabled
true | false
Facoltativo. Il valore predefinito è
false
, ovvero quando gli utenti selezionano il pulsante di accesso in una vista incorporata, il modulo di accesso dell’IdP si apre in una finestra popup.Quando lo imposti su true e un utente SAML del server che ha già effettuato l’accesso visita una pagina Web con una vista integrata, non dovrà eseguire l’accesso per visualizzare la vista.
Puoi impostarlo su true solo se l’IdP supporta l’accesso all’interno di un iframe. L’opzione iframe è meno sicura rispetto all’uso di un pop-up, quindi non tutti gli IdP lo supportano. Se la pagina di accesso IdP implementa la protezione clickjack, come la maggior parte, la pagina di accesso non può essere visualizzata in un iframe e l’utente non può accedere.
Se il tuo IdP supporta l’accesso tramite un iframe, potrebbe essere necessario abilitarlo esplicitamente. Sebbene sia possibile utilizzare questa opzione, essa disabilita la protezione contro il clickjacking di Tableau Server per SAML, presentando quindi comunque un rischio per la sicurezza.
Passare il file di configurazione in Tableau Server
Dopo aver fornito un valore appropriato per ogni entità inclusa nel modello di configurazione, utilizza i comandi seguenti per passare il file .json e applicare le impostazioni a Tableau Server.
tsm settings import -f path-to-file.json
tsm pending-changes apply
Vedi anche
Dopo aver completato la configurazione iniziale di SAML, utilizza tsm authentication mutual-ssl <comandi> per impostare valori aggiuntivi.
Per il riferimento della riga di comando per la configurazione di SAML, consulta tsm authentication saml <comandi>.