Configurare SAML specifico del sito
Utilizza lo standard SAML specifico del sito in un ambiente multisito quando vuoi abilitare il Single Sign-On e utilizzare più identity provider (IdP) SAML o applicazioni IdP. Quando attivi lo standard SAML del sito, puoi specificare l’IdP o l’applicazione IdP per ogni sito oppure configurare alcuni siti perché utilizzino SAML mentre gli altri utilizzano il metodo di autenticazione predefinito a livello di server.
Se desideri che tutti gli utenti del server utilizzino SAML e accedano tramite la stessa applicazione IdP, vedi Configurare SAML a livello di server.
Prima di poter abilitare l’accesso Single Sign-On SAML specifico del sito, soddisfa i requisiti seguenti:
L’archivio identità di Tableau Server deve essere configurato per l’archivio identità locale.
Non è possibile configurare SAML specifico del sito se Tableau Server è configurato con un archivio identità esterna come Active Directory o OpenLDAP.
Verifica che il tuo ambiente e il tuo IdP soddisfino i Requisiti SAML generali.
Alcune funzionalità sono supportate solo nelle implementazioni SAML a livello di server, incluse a titolo esemplificativo:
- I file chiave protetti da password, che non sono supportati nelle distribuzioni SAML specifiche del sito.
Devi configurare SAML a livello di server prima di configurare SAML specifico del sito. Non è necessario abilitare SAML a livello di server, ma SAML specifico del sito richiede la configurazione a livello di server. Consulta Configurare SAML a livello di server.
Prendi nota del percorso dei file di certificato SAML. Dovrai fornirlo per Configurare il server per il supporto dello standard SAML specifico del sito.
Per maggiori informazioni, consulta Introdurre i file di certificato e dei metadati IdP nell’argomento sulla configurazione di SAML su tutto il server.
Aggiungi Tableau Server come provider di servizi al tuo IdP. Queste informazioni sono disponibili nella documentazione fornita dall’IdP.
Conferma che gli orologi di sistema del computer che ospita l’IdP del SAML del sito e il computer che ospita Tableau Server abbiano una differenza inferiore a 59 secondi. Tableau Serer non ha un’opzione di configurazione per regolare l’inclinazione della risposta (differenza di tempo) tra il computer Tableau Server e l’IdP.
URL restituito e ID entità: nelle impostazioni per la configurazione dell’autenticazione SAML specifica del sito, Tableau fornisce un URL restituito specifico del sito e ID entità basato su tali impostazioni. Non puoi modificare l’URL restituito e l’ID entità specifici del sito. Queste configurazioni sono impostate da TSM come descritto in Configurare SAML a livello di server.
Durata dell’autenticazione e sfasamento della risposta: le impostazioni a livello di server, la durata massima dell’autenticazione e lo sfasamento della risposta non si applicano a SAML specifico del sito. Queste configurazioni sono hardcoded:
- La durata massima dell’autenticazione si riferisce al periodo di validità di un token di autenticazione dall’IdP dopo l’emissione. La durata massima dell’autenticazione hardcoded per SAML specifico del sito è di 24 giorni.
- Lo sfasamento della risposta consente di impostare il numero massimo di secondi di differenza tra l’ora di Tableau Server e l’ora della creazione dell’asserzione (basata sull’ora del server IdP) che continua a consentire l’elaborazione del messaggio. Il valore hardcoded specifico del sito per questa opzione è 59 secondi.
Nome utente: obbligatorio. Oltre all’attributo di configurazione SAML a livello di server, l’attributo di configurazione SAML specifico del sito deve essere impostato su "username".
Nota: affinché SAML specifico del sito funzioni correttamente con un SAML predefinito a livello di server, l’attributo username configurato per SAML a livello di server con la chiave di configurazione wgserver.saml.idpattribute.username deve essere "username". L’IdP utilizzato per SAML a livello di server deve fornire il nome utente in un attributo denominato "username".
HTTP POST and HTTP REDIRECT: per SAML specifico per il sito, Tableau Server supporta HTTP-POST, HTTP-REDIRECT e HTTP-POST-SimpleSign.
Dopo aver completato i prerequisiti precedentemente indicati, puoi eseguire i comandi seguenti per configurare il server in modo che supporti lo standard SAML specifico del sito.
Configurare SAML a livello di server. Devi eseguire almeno il comando TSM indicato di seguito (se hai già configurato SAML a livello di server, procedi con la fase 2):
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- Abilita lo standard SAML del sito. Esegui questi comandi:
tsm authentication sitesaml enable
tsm pending-changes apply
Informazioni sui comandi
Il comando sitesaml enable
espone la scheda Autenticazione sulla pagina Impostazioni di ogni sito nell’interfaccia utente Web di Tableau Server. Dopo aver configurato il server in modo che supporti lo standard SAML del sito, puoi continuare a Configurare lo standard SAML per un sito in modo da passare in rassegna le impostazioni della scheda Autenticazione.
Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply
visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt
, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.
Se desideri esaminare i comandi e le impostazioni che verranno eseguiti quando esegui pending-changes apply
, puoi eseguire innanzitutto il comando seguente:
tsm pending-changes list --config-only
Questa sezione illustra le fasi di configurazione visualizzate nella scheda Autenticazione nella pagina Impostazioni di Tableau Server.
Nota: per completare questo processo avrai anche bisogno della documentazione fornita dal tuo IdP. Cerca gli argomenti inerenti alla configurazione o definizione di un provider di servizi per una connessione SAML o all’aggiunta di un’applicazione.