Configurar SAML em todo o servidor
Configure o SAML em todo o servidor, quando desejar que todos os usuários de logon único (SSO) no Tableau Server sejam autenticados por meio de um único provedor de identidade (IdP) do SAML ou como a primeira etapa para configurar um SAML específico do site em um ambiente de vários sites.
Se você configurou o SAML em todo o servidor e está pronto para configurar um site, consulte Configurar SAML para um site específico.
As etapas de configuração do SAML que fornecemos pressupõem que:
Você está familiarizado com as opções de configuração da autenticação SAML no Tableau Server, como descrito no tópico SAML.
Você certificou-se de que seu ambiente atende os Requisitos do SAML e obteve os arquivos de certificado do SAML descritos nos requisitos.
Antes de começar
Como parte do seu plano de recuperação de desastres, recomendamos manter um backup de arquivos de certificado e IdP em um local seguro fora do Tableau Server. Os arquivos de ativos SAML que você carrega no Tableau Server serão armazenados e distribuídos a outros nós pelo Serviço de arquivos do cliente. No entanto, esses arquivos não são armazenados em um formato recuperável. Consulte Serviço de arquivo do cliente do Tableau Server.
Observação: se você usa os mesmos arquivos de certificado para o SSL, é possível usar, alternativamente, a localização do certificado existente para configurar o SAML e adicionar o arquivo de metadados do IdP àquele diretório ao baixá-lo mais tarde neste procedimento. Para obter mais informações, consulte Uso do certificado SSL e arquivos-chave para SAML nos requisitos do SAML.
Se você estiver executando o Tableau Server em um cluster, os certificados SAML, as chaves e o arquivo de metadados serão automaticamente distribuídos nos nós quando você habilitar o SAML.
Este procedimento exige que você carregue os certificados SAML para o TSM, de forma que eles sejam armazenados e distribuídos corretamente na configuração do servidor. Os arquivos SAML devem estar disponíveis no navegador do computador local onde você executa a interface na Web do TSM neste procedimento.
Se você tiver coletado e salvado os arquivos SAML no Tableau Server conforme recomendado na seção anterior, execute a interface na Web do TSM no computador do Tableau Server onde você copiou os arquivos.
Se estiver executando a interface na Web do TSM a partir de um computador diferente, será necessário copiar todos os arquivos SAML localmente antes de continuar. Ao seguir o procedimento abaixo, navegue até os arquivos no computador local para carregá-los para o TSM.
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Na guia Configuração, selecione Identidade e acesso do usuário e, em seguida, a guia Método de autenticação.
Para Método de autenticação, selecione SAML.
Na seção SAML exibida, conclua a Etapa 1 na interface de usuário, inserindo as seguintes configurações (não marque ainda a caixa de seleção para habilitar o SAML para o servidor):
URL de retorno do Tableau Server—A URL que os usuários do Tableau Server vão acessar, como https://tableau-server.
O uso de https://localhost ou uma URL com um barra à direita (por exemplo, http://tableau_server/) não é compatível.
ID de entidade do SAML—A ID de entidade que identifica a instalação do Tableau Server para o IdP.
Você pode inserir a URL do Tableau Server novamente aqui. Se você planeja habilitar o SAML específico do site posteriormente, essa URL também serve como base para cada ID exclusiva do site.
Certificado SAML e arquivos-chave- clique em Selecionar arquivo para carregar cada um desses arquivos.
Se estiver usando um arquivo de chave protegido por frase secreta PKCS#8, será necessário inserir a frase com o TSM CLI.
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
Após fornecer as informações necessárias na Etapa 1 na interface de usuário, o botão Baixar arquivo de metadados XML na Etapa 2 na interface de usuário será disponibilizado.
Agora, selecione a caixa de seleção Ativar autenticação de SAML para o servidor acima da Etapa 1 na interface de usuário.
Preencha as configurações restantes do SAML.
Para as Etapas 2 e 3 na interface de usuário, troque os metadados entre o Tableau Server e o IdP. (Aqui talvez seja necessário verificar a documentação de IdP.)
Selecione Baixar arquivo de metadados XML e especifique o local do arquivo.
Para outros IdPs, acesse a conta do IdP para adicionar o Tableau Server a seus aplicativos (como um provedor de serviços), fornecendo os metadados do Tableau, conforme necessário.
Siga as instruções no site ou na documentação do IdP para baixar os metadados de IdP. Salve o arquivo .xml no mesmo local que contém o certificado SAML e os arquivos-chave. Por exemplo:
/var/opt/tableau/tableau_server/data/saml/idp-metadata.xml
Retorne para a interface do usuário da Web no TSM. Na Etapa 4 na interface de usuário, insira o caminho para o arquivo de metadados de IdP e, em seguida, clique em Selecionar arquivo.
Para a Etapa 5 na interface de usuário: em alguns casos, talvez seja necessário alterar os valores da asserção na configuração do Tableau Server para corresponder aos nomes da asserção que são transmitidos pelo IdP.
Você pode encontrar nomes de asserção na configuração SAML do IdP. Se diferentes nomes de asserção forem enviados de seu IdP, atualize o Tableau Server para usar o mesmo valor de asserção.
Dica: "asserções" são um componente-chave do SAML e o conceito de asserções de mapeamento pode ser complicado no começo. Colocar isso em um contexto de dados tabulares, no qual o nome de asserção (atributo) é equivalente a um cabeçalho de coluna na tabela, pode ajudar. Você insere o nome de "título", em vez de um exemplo de um valor que pode ser exibido nessa coluna.
Para a Etapa 6 na interface de usuário, selecione os aplicativos do Tableau nos quais você deseja fornecer aos usuários uma experiência de logon único.
Observação: a opção para desabilitar o acesso móvel é ignorada por dispositivos que executam a versão 19.225.1731 do aplicativo Tableau Mobile e superior. Para desabilitar o SAML nos dispositivos que executam essas versões, desabilite o SAML como uma opção de logon do cliente no Tableau Server.
Para o redirecionamento de saída do SAML, se o IdP oferecer suporte ao logout único (SLO), insira a página para qual deseja redirecionar os usuários após se desconectarem, em relação ao caminho inserido para a URL de retorno do Tableau Server.
(Opcional) Para a Etapa 7 na GUI, faça o seguinte:
Adicione um valor separado por vírgula para o atributo
AuthNContextClassRef
. Para obter mais informações sobre como esse atributo é usado, consulte Notas e requisitos de compatibilidade do SAML.Especifique um atributo de domínio se não enviar o domínio como parte do nome de usuário (ou seja,
domain\username
). Para obter mais informações, consulte Ao executar vários domínios.
Clique em Salvar alterações pendentes após ter inserido as informações de configuração.
Clique em Alterações pendentes na parte superior da página:
Clique em Aplicar alterações e reiniciar.
Antes de começar
Depois de começar, faça o seguinte:
Vá para o site ou aplicativo do seu IdP e exporte o arquivo XML de metadados do IdP.
Confirme se o XML de IdP inclui um elemento SingleSignOnService, no qual a associação é definida para
HTTP-POST
, conforme o exemplo a seguir:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
Reúna os arquivos de certificado e coloque-os no Tableau Server.
Na pasta Tableau Server, crie uma nova pasta chamada SAML e coloque as cópias do certificado SAML nela. Por exemplo:
/var/opt/tableau/tableau_server/data/saml
Etapa 1: configurar URL de retorno, ID da entidade SAML e especificar arquivos de chave e certificado
Abra o shell de prompt de comando e defina as configurações de SAML para o servidor (substituindo valores de espaço reservado por nomes de arquivo e caminho de ambiente).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>
Para obter mais informações, consulte
tsm authentication saml configure
.Se estiver usando a chave PKCS#8 protegida por uma frase secreta, insira essa frase da seguinte forma:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
Se o SAML ainda não estiver habilitado no Tableau Server, por exemplo, você está configurando-o pela primeira vez ou desabilitou-o, habilite-o agora:
tsm authentication saml enable
Aplique as alterações:
tsm pending-changes apply
Se as alterações pendentes exigirem uma reinicialização do servidor, o comando
pending-changes apply
exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção--ignore-prompt
, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
Etapa 2: gerar os metadados do Tableau Server e configurar o IdP
Execute o comando a seguir para gerar o arquivo de metadados XML do Tableau Server.
tsm authentication saml export-metadata -f <file-name.xml>
Você pode especificar um nome de arquivo ou omitir o parâmetro
-f
para criar um arquivo padrão chamadosamlmetadata.xml
.No site do seu IdP ou em seu aplicativo:
Adicione o Tableau Server como um Provedor de serviços.
Consulte a documentação do seu IdP para obter informações sobre como fazer isso. Como parte do processo de configuração do Tableau Server como um Provedor de serviços, você importará o arquivo de metadados do Tableau Server que gerou do comando
export-metadata
.Confirme se o seu IdP usa nome de usuário como o atributo para verificar os usuários.
Etapa 3: corresponder asserções
Em alguns casos, talvez seja necessário alterar os valores da asserção na configuração do Tableau Server para corresponder aos nomes da asserção que são transmitidos pelo IdP.
Você pode encontrar nomes de asserção na configuração SAML do IdP. Se diferentes nomes de asserção forem enviados de seu IdP, atualize o Tableau Server para usar o mesmo valor de asserção.
Dica: "asserções" são um componente-chave do SAML e o conceito de asserções de mapeamento pode ser complicado no começo. Colocar isso em um contexto de dados tabulares, no qual o nome de asserção (atributo) é equivalente a um cabeçalho de coluna na tabela, pode ajudar. Você insere o nome de "título", em vez de um exemplo de um valor que pode ser exibido nessa coluna.
A tabela a seguir mostra os valores de asserção padrão e a chave de configuração que armazena o valor.
Asserção | Valor padrão | Chave |
---|---|---|
Username | username | wgserver.saml.idpattribute.username |
Nome de exibição | displayName | O Tableau não oferece suporte a esse tipo de atributo. |
email | O Tableau não oferece suporte a esse tipo de atributo. | |
Domínio | (não mapeado por padrão) | wgserver.saml.idpattribute.domain |
Para alterar um determinado valor, execute o comando tsm configuration set
com o par de chave:valor apropriado.
Por exemplo, para alterar a asserção de username
para o valor, name
, execute os comandos a seguir:
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
Como alternativa, você pode usar o comando tsm authentication saml map-assertions
para alterar um determinado valor.
Por exemplo, para definir a asserção de domínio para um valor chamado domain
e especificar valor como "example.myco.com", execute os seguintes comandos:
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
Opcional: desabilitar tipos de cliente usando SAML
Por padrão, o Tableau Desktop e o aplicativo Tableau Mobile permitem a autenticação SAML.
Caso seu IdP não suporte esta funcionalidade, é possível desabilitar o logon com SAML para clientes do Tableau usando os comandos a seguir:
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
Observação: a opção --mobile-access disable
é ignorada por dispositivos que executam a versão 19.225.1731 do aplicativo Tableau Mobile e superior. Para desabilitar o SAML nos dispositivos que executam essas versões, desabilite o SAML como uma opção de logon do cliente no Tableau Server.
tsm pending-changes apply
Opcional: adicionar valor AuthNContextClassRef
Adicione um valor separado por vírgula para o atributo AuthNContextClassRef
. Para obter mais informações sobre como esse atributo é usado, consulte Notas e requisitos de compatibilidade do SAML.
Para definir esse atributo, execute os comandos a seguir:
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
Testar a configuração
No navegador da Web, abra uma nova página ou guia e insira a URL do Tableau Server.
O navegador o direciona para o formulário de logon do IdP.
Insira seu nome de usuário do logon único e senha.
O IdP verifica suas credenciais e o redireciona para a página inicial do Tableau Server.