Configurare SAML specifico del sito

Utilizza lo standard SAML specifico del sito in un ambiente multisito quando vuoi abilitare il Single Sign-On e utilizzare più identity provider (IdP) SAML o applicazioni IdP. Quando attivi lo standard SAML del sito, puoi specificare l’IdP o l’applicazione IdP per ogni sito oppure configurare alcuni siti perché utilizzino SAML mentre gli altri utilizzano il metodo di autenticazione predefinito a livello di server.

Se desideri che tutti gli utenti del server utilizzino SAML e accedano tramite la stessa applicazione IdP, vedi Configurare SAML a livello di server.

Prerequisiti per l’abilitazione dello standard SAML specifico del sito

Prima di poter abilitare l’accesso Single Sign-On SAML specifico del sito, soddisfa i requisiti seguenti:

  • L’archivio di identità di Tableau Server deve essere configurato per l’archivio di identità locale.

     Non è possibile configurare SAML specifico del sito se Tableau Server è configurato con un archivio di identità esterna come Active Directory o OpenLDAP.

  • Verifica che il tuo ambiente e il tuo IdP soddisfino i Requisiti SAML generali.

    Alcune funzionalità sono supportate solo nelle implementazioni SAML a livello di server, incluse a titolo esemplificativo:

    • I file chiave protetti da password, che non sono supportati nelle distribuzioni SAML specifiche del sito.
  • Devi configurare SAML a livello di server prima di configurare SAML specifico del sito. Non è necessario abilitare SAML a livello di server, ma SAML specifico del sito richiede la configurazione a livello di server. Consulta Configurare SAML a livello di server.

  • Prendi nota del percorso dei file di certificato SAML. Dovrai fornirlo per Configurare il server per il supporto dello standard SAML specifico del sito.

    Per maggiori informazioni, consulta Introdurre i file di certificato e dei metadati IdP nell’argomento sulla configurazione di SAML su tutto il server.

  • Aggiungi Tableau Server come provider di servizi al tuo IdP. Queste informazioni sono disponibili nella documentazione fornita dall’IdP.

  • Conferma che gli orologi di sistema del computer che ospita l’IdP del SAML del sito e il computer che ospita Tableau Server abbiano una differenza inferiore a 59 secondi. Tableau Serer non ha un’opzione di configurazione per regolare l’inclinazione della risposta (differenza di tempo) tra il computer Tableau Server e l’IdP.

Impostazioni per tutto il server correlate a SAML specifico del sito

URL restituito e ID entità: nelle impostazioni per la configurazione dell’autenticazione SAML specifica del sito, Tableau fornisce un URL restituito specifico del sito e ID entità basato su tali impostazioni. Non puoi modificare l’URL restituito e l’ID entità specifici del sito. Queste configurazioni sono impostate da TSM come descritto in Configurare SAML a livello di server.

Durata dell’autenticazione e sfasamento della risposta: le impostazioni a livello di server, la durata massima dell’autenticazione e lo sfasamento della risposta non si applicano a SAML specifico del sito. Queste configurazioni sono hardcoded:

  • La durata massima dell’autenticazione si riferisce al periodo di validità di un token di autenticazione dall’IdP dopo l’emissione. La durata massima dell’autenticazione hardcoded per SAML specifico del sito è di 24 giorni.
  • Lo sfasamento della risposta consente di impostare il numero massimo di secondi di differenza tra l’ora di Tableau Server e l’ora della creazione dell’asserzione (basata sull’ora del server IdP) che continua a consentire l’elaborazione del messaggio. Il valore hardcoded specifico del sito per questa opzione è 59 secondi.

Nome utente: obbligatorio. Oltre all’attributo di configurazione SAML a livello di server, l’attributo di configurazione SAML specifico del sito deve essere impostato su "username".

Nota: affinché SAML specifico del sito funzioni correttamente con un SAML predefinito a livello di server, l’attributo username configurato per SAML a livello di server con la chiave di configurazione wgserver.saml.idpattribute.username deve essere "username". L’IdP utilizzato per SAML a livello di server deve fornire il nome utente in un attributo denominato "username".

HTTP POST and HTTP REDIRECT: per SAML specifico per il sito, Tableau Server supporta HTTP-POST, HTTP-REDIRECT e HTTP-POST-SimpleSign.

Configurare il server per il supporto dello standard SAML specifico del sito

Dopo aver completato i prerequisiti precedentemente indicati, puoi eseguire i comandi seguenti per configurare il server in modo che supporti lo standard SAML specifico del sito.

  1. Configurare SAML a livello di server. Devi eseguire almeno il comando TSM indicato di seguito (se hai già configurato SAML a livello di server, procedi con la fase 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Abilita lo standard SAML del sito. Esegui questi comandi:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Informazioni sui comandi

Il comando sitesaml enable espone la scheda Autenticazione sulla pagina Impostazioni di ogni sito nell’interfaccia utente Web di Tableau Server. Dopo aver configurato il server in modo che supporti lo standard SAML del sito, puoi continuare a Configurare lo standard SAML per un sito in modo da passare in rassegna le impostazioni della scheda Autenticazione.

Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Se desideri esaminare i comandi e le impostazioni che verranno eseguiti quando esegui pending-changes apply, puoi eseguire innanzitutto il comando seguente:

tsm pending-changes list --config-only

Configurare lo standard SAML per un sito

Questa sezione illustra le fasi di configurazione visualizzate nella scheda Autenticazione nella pagina Impostazioni di Tableau Server. In un’installazione di Tableau Server in hosting autonomo, questa pagina viene visualizzata solo quando il supporto per il protocollo SAML specifico del sito è abilitato a livello di server.

Nota: per completare questo processo avrai anche bisogno della documentazione fornita dal tuo IdP. Cerca gli argomenti inerenti alla configurazione o definizione di un provider di servizi per una connessione SAML o all’aggiunta di un’applicazione.

Passaggio 1: Esportare metadati da Tableau

Per creare la connessione SAML tra Tableau Server e l’IdP, è necessario scambiare i metadati richiesti tra i due servizi. Per ottenere i metadati da Tableau Server, scegli uno dei seguenti metodi. Consulta la documentazione di configurazione SAML dell’IdP per confermare l’opzione corretta.

  • Seleziona il pulsante Esporta metadati per scaricare un file XML che contiene l’ID entità SAML Tableau Server, l’URL di ACS (Assertion Consumer Service) e il certificato X.509.

    L’ID entità è specifico del sito e si basa sull’ID entità a livello di server che hai specificato al momento dell’abilitazione del protocollo SAML del sito sul server. Ad esempio, se hai specificato https://tableau_server, potresti vedere il seguente ID entità per il sito:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Non è possibile modificare l’ID entità specifico del sito o l’URL di ACS generato da Tableau.

  • Seleziona Scarica il certificato se l’IdP richiede che le informazioni vengano fornite in modo diverso. Ad esempio, richiede che l’ID entità Tableau Server, l’URL di ACS e il certificato X.509 siano inseriti in posizioni separate.

    L’immagine seguente è stata modificata per mostrare che queste impostazioni sono le stesse in Tableau Cloud e Tableau Server.

Passaggi 2 e 3: Passaggi esterni

Per la fase 2, per importare i metadati esportati nella fase 1, accedi al tuo account IdP e utilizza le istruzioni fornite dalla documentazione dell’IdP per inviare i metadati di Tableau Server.

Per la fase 3, la documentazione dell’IdP ti illustrerà anche come fornire metadati a un provider di servizi. Ti chiederà di scaricare un file di metadati o visualizzerà il codice XML. Nel secondo caso, copia e incolla il codice XML in un nuovo file di testo e salva il file con un’estensione .xml.

Passaggio 4: Importare i metadati IdP nel sito di Tableau

Nella pagina di Autenticazione in Tableau Server, importa il file di metadati scaricato dall’IdP o configurato manualmente dall’XML fornito.

Passaggio 5: Associare gli attributi

Gli attributi contengono l’autenticazione, l’autorizzazione e altre informazioni su un utente. Nella colonna Nome dell’asserzione dell’Identity Provider (IdP), fornisci gli attributi che contengono le informazioni richieste da Tableau Server.

  • Nome utente o e-mail: (obbligatorio) inserisci il nome dell’attributo che memorizza i nomi utenti o gli indirizzi e-mail degli utenti.

  • Nome visualizzato: (facoltativo) alcuni IdP utilizzano attributi separati per nome e cognome, mentre altri memorizzano il nome completo in un solo attributo. Se utilizzi SAML con l’autenticazione locale, l’attributo del nome visualizzato non è sincronizzato con l’IdP SAML.

    Seleziona il pulsante che corrisponde alla modalità di memorizzazione dei nomi del tuo IdP. Ad esempio, se l’IdP combina nome e cognome in un solo attributo, seleziona Nome visualizzato e inserisci il nome dell’attributo.

    Schermata del passaggio 5 per la configurazione di SAML del sito per Tableau Server - attributi corrispondenti

Passaggio 6: Gestire gli utenti

Seleziona utenti Tableau Server esistenti o aggiungi nuovi utenti che desideri approvare per l’accesso Single Sign-On.

Quando aggiungi o importi utenti, specifichi anche il loro tipo di autenticazione. Nella pagina Utenti puoi modificare il tipo di autenticazione degli utenti in qualsiasi momento dopo averli aggiunti.

Per ulteriori informazioni vedi Aggiungere utenti a un sito o Importare utenti e Impostare il tipo di autenticazione utente per SAML.

Importante: gli utenti che si autenticano con protocollo SAML specifico del sito possono essere associati a un solo sito. Se un utente deve accedere a più siti, imposta il suo tipo di autenticazione sull’impostazione predefinita del server. A seconda di come il protocollo SAML specifico del sito è stato configurato dall’amministratore del server, l’impostazione predefinita del server può essere l’autenticazione locale o il protocollo SAML a livello di server.

Passaggio 7: Risoluzione dei problemi

Inizia dalla procedura di risoluzione dei problemi suggerita nella pagina di autenticazione. Se questa non consente di risolvere i problemi, consulta Risoluzione dei problemi di SAML.

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!