Entidade samlSettings
Este artigo contém um modelo e materiais de referência para a configuração de SAML para todo o servidor no Tableau Server, que é feita por meio de um arquivo de configuração com chaves e valores para a entidade samlSettings
. Essas informações complementam as etapas de configuração SAML em Configurar SAML em todo o servidor.
Para criar um modelo de configuração de SAML e aplicá-lo ao Tableau Server, conclua estas etapas:
Leia com atenção as duas seguintes seções que descrevem o modelo e sua estrutura (Definições e categorias de modelos e Modelo de configuração samlSettings).
Cole o código JSON contido no modelo em um novo arquivo de texto e salve-o usando a extensão .json.
Use a Referência de entidade de configuração de SAML para obter ajuda sobre como fornecer valores quando for necessário.
Adicione pares de chave/valor opcionais específicos ao seu ambiente. Por exemplo, se seu arquivo de chave do certificado SAML solicitar uma frase secreta, será necessário especificar a frase secreta no parâmetro
wgserver.saml.key.passphrase
usando o comando tsm configuration set.
Definições e categorias de modelos
O modelo usa placeholders para cada valor de chave. Esses placeholders são categorizados da seguinte maneira:
Obrigatório: atributos com o valor
"required"
devem ser substituídos pelos dados válidos, antes que o comando de configuração seja executado. Consulte a referência do arquivo de configuração para obter valores válidos.Inserido no código: nomes de atributos com um sublinhado (_) como prefixo, por exemplo
"_type"
têm valores inseridos no código. Não altere esses valores.Valores padrão: atributos que são definidos para um valor que não é
"required"
são valores padrão. Eles são atributos exigidos que você pode alterar de acordo com o que for adequado para o seu ambiente.Conjuntos vazios: valores vazios (
""
) podem ser passados como estão, ou você pode oferecer um valor para a sua instalação.
Importante: todas as opções de entidade diferenciam maiúsculas de minúsculas.
Modelo de configuração samlSettings
Cole este código em um arquivo de texto e faça as alterações relevantes para seu ambiente, usando a referência abaixo.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Referência de entidade de configuração de SAML
A lista a seguir inclui todas as opções que podem ser incluídas com o conjunto de entidades "samlSettings"
.
idpMetadataFile
Obrigatório. O caminho e o nome do arquivo para o arquivo XML gerado pelo IdP. Os metadados de XML devem incluir o atributo do nome do usuário (asserção).
Se as etapas descritas em Configurar SAML em todo o servidor foram seguidas, o valor a ser inserido aqui será:
/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>
enabled
true | false
Obrigatório. Indica se a autenticação SAML está ativada. Não defina esta opção para
true
antes de definir outras opções de configuração SAML necessárias.
returnURL
A URL que os usuários do Tableau Server digitam no navegador para acessar o servidor, como
https://tableau_server.example.com
. Esse valor é usado para criar o atributo URL ACS ao configurar o IdP.
entityId
Obrigatório. O valor da ID da entidade do provedor de serviços (neste caso, Tableau Server).
Identifica a configuração do Tableau Server para o IdP. Recomendamos que você digite o mesmo valor da opção
returnURL
.
idpUsernameAttribute
Obrigatório. Nos metadados do IdP, encontre o atributo usado para especificar os valores de nome de usuário e insira o nome desse atributo. O padrão é
username
.
certFile
Obrigatório. Digite o local e o nome do arquivo de certificado x509 (.crt) para SAML. Por exemplo:
/var/opt/tableau/tableau_server/data/saml/<file.crt>
Para obter mais informações, consulte Requisitos do SAML e Configurar SAML em todo o servidor.
keyFile
Obrigatório. Especifique o local do arquivo de chave privada (.key) que acompanha o arquivo de certificado. Por exemplo:
/var/opt/tableau/tableau_server/data/saml/<file.key>
Observação: se você estiver usando uma chave RSA PKCS#8 que requer uma frase secreta, você deve definir a senha usando uma entidade configKey (consulte Exemplo de arquivo de configuração) ou com tsm configuration set. A chave para a frase secreta que usa esses métodos é
wgserver.saml.key.passphrase
. O valor deve ser uma cadeia de caracteres não nula.
idpDomainAttribute
Para organizações que usam LDAP ou Active Directory, esse valor especifica qual atributo SAML que o Tableau Server consultará para determinar o nome de domínio. Por exemplo, se o IdP especificar o nome de domínio no atributo
domain
, então você especificariadomain
para esse valor. Observação : para empresas que têm usuários entrando em vários domínios, esse valor é obrigatório.Se você não fornecer um valor para esta chave, o valor usado depende da configuração de armazenamento de identidades do Tableau Server:
Para o armazenamento de identidades local, o valor
idpDomainAttribute
é ignorado.Para Active Directory ou armazenamentos de identidades LDAP, o Tableau usa o FQDN da definição de configuração
wgserver.domain.default
.Para obter o valor de
wgserver.domain.default
, é possível executar o seguinte comando:tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Opcional. Permitem que os usuários utilizem a autenticação SAML quando fazem logon no Tableau Desktop.
Por padrão, isso não é definido, portanto o comportamento efetivo é equivalente à configuração como false. Se o logon único dos aplicativos de cliente do Tableau não funcionar com seu IdP, é possível definir isso como verdadeiro para desabilitar a autenticação SAML por meio do Tableau Desktop.
appNoSAML
true | false
Opcional. Permita o uso de SAML para fazer logon de versões mais antigas do aplicativo Tableau Mobile. Os dispositivos que executam a versão 19.225.1731 do aplicativo Tableau Mobile e ignoram essa opção. Para desabilitar os dispositivos que executam a versão 19.225.1731 e posteriores do Tableau Mobile, desabilite o SAML como uma opção de logon do cliente no Tableau Server.
logoutEnabled
true | false
Opcional. Permite um logout único [SLO] para usuários que fizeram logon com o SAML. O padrão é
true
.Os metadados de configuração IdP devem incluir um único endpoint de logout com vinculação POST.
Esta configuração se aplica apenas para SAML em todo o servidor
Quando definida para
false
, o Tableau Server não tentará o logout único [SLO].
logoutUrl
Opcional. Insere a URL de redirecionamento usada depois que os usuários saem do servidor. Definir esta opção requer que
logoutEnabled
seja definido paratrue
.Por padrão, esta é a página de logon do Tableau Server. Você pode especificar uma URL absoluta ou relativa.
maxAuthenticationAge
Opcional. Especifica o número máximo de segundos permitidos entre a autenticação do usuário com o IdP e o processamento da mensagem AuthNResponse. O valor padrão é -1, o que significa que maxAuthenticationAge não está definido ou é ignorado por padrão. Antes de fevereiro de 2022, o valor padrão era 7200 (2 horas).
Para otimizar o comprimento da sessão, use o mesmo valor de tempo limite que é definido no IdP.
maxAssertionTime
Opcional. Determina o número máximo de segundos, desde a criação, em que uma asserção de SAML pode ser usada. O valor padrão é 3000 (50 minutos).
sha256Enabled
true | false
Opcional. O tipo de assinatura que o Tableau Server usará ao enviar mensagens para o IdP. Quando definido para
true
, o Tableau Server assinará mensagens com o algoritmo de assinatura SHA 256. Quando definido parafalse
, o Tableau Server assinará mensagens com SHA 1. O padrão étrue
.Esta opção define o algoritmo de assinatura para as seguintes mensagens que o Tableau Server assina:
- Mensagens AuthnRequest quando
signRequests
estiver habilitado. - Mensagens LogoutRequest se
logoutEnabled
estiver habilitado.
- Mensagens AuthnRequest quando
signRequests
true | false
Opcional. Especifica se o Tableau Server assinará os AuthnRequests enviados ao IdP. Os pedidos assinados nem sempre são necessários para todos os IDPs. Recomendamos assinar solicitações para garantir a opção mais segura ao configurar o SAML. Para verificar se seu IdP aceita solicitação assinada, inspecione os metadados do IdP: se
wantAuthnRequestsSigned
estiver definido paratrue
, então seu IdP aceitará solicitações assinadas.O valor padrão é:
true
. Para desativar as solicitações assinadas, defina essa opção comofalse
.
acceptableAuthnContexts
Opcional. Define o atributo SAML
AuthNContextClassRef
. Este atributo opcional impõe a validação de certos "contextos" de autenticação em fluxos iniciados pelo IdP. Defina um conjunto separado por vírgulas para este atributo. Quando esse atributo é definido, o Tableau Server valida que a resposta SAML contém pelo menos um dos valores listados. Se a resposta SAML não contiver um dos valores configurados, a autenticação será rejeitada, mesmo que o usuário tenha autenticado com sucesso com o IdP.Deixar essa opção em branco resultará em comportamento padrão: qualquer resposta SAML autenticada com sucesso resultará em um usuário sendo concedido a uma sessão dentro do Tableau Server.
iFramedIdpEnabled
true | false
Opcional. O valor padrão é
false
, ou seja, quando os usuários selecionam o botão de fazer logon em uma exibição inserida, o formulário de logon do IdP é aberto em uma janela pop-up.Ao definir como true, e um usuário de servidor SAML que já tenha feito logon acessar uma página da Web com uma exibição inserida, não será necessário que ele faça logon para visualizar a exibição.
É possível definir isso como true apenas se o IdP oferece suporte a logon dentro de um iframe. A opção de iframe é menos segura do que o uso de um pop-up, por isso nem todos os IdPs oferecem suporte a ela. Se a página de logon do IdP implementar proteção contra clickjack, como a maioria faz, não será possível exibir a página de logon em um iframe e o usuário não conseguirá fazer logon.
Se o seu IdP oferece suporte a fazer logon por meio de um iframe, pode ser necessário habilitá-lo de maneira explícita. No entanto, mesmo que seja possível usar essa opção, ela desabilita a proteção contra clickjack do Tableau Server para SAML e por isso ela ainda apresenta um risco de segurança.
Passar o arquivo de configuração para o Tableau Server
Depois de fornecer um valor apropriado para cada entidade incluída no modelo, use os seguintes comandos para passar o arquivo .json e aplicar os ajustes ao Tableau Server.
tsm settings import -f path-to-file.json
tsm pending-changes apply
Consulte também
Ao concluir a configuração inicial do SAML, use tsm authentication mutual-ssl <commands> para definir valores adicionais.
Para obter a referência da linha de comando referente à configuração do SAML, consulte tsm authentication saml <commands>.