Konfigurera serveromfattande SAML

Konfigurera SAML för hela servern när du vill att alla SSO-användare på Tableau Server ska autentisera sig via en enda SAML-identitetsprovider (IdP), eller som det första steget för att konfigurera platsspecifik SAML i en miljö med flera platser.

Om du har konfigurerat serveromfattande SAML och är redo att konfigurera en plats, se Konfigurera platsspecifik SAML.

De SAML-konfigurationssteg vi tillhandahåller gör följande antaganden:

  • Du känner till alternativen för att konfigurera SAML-autentisering på Tableau Server, som beskrivs i ämnet SAML.

  • Du har verifierat att din miljö uppfyller SAML-krav och har erhållit SAML-certifikatfilerna som beskrivs i dessa krav.

Innan du börjar

Vi rekommenderar vi att du behåller en säkerhetskopia av certifikat- och IdP-filer på en säker plats utanför Tableau Server som en del av din plan för haverihantering. De SAML-resurssfiler du laddar upp till Tableau Server kommer att lagras och distribueras till andra noder av klientfiltjänsten. Dessa filer lagras dock inte i ett återställningsbart format. Läs mer i Klientfiltjänst (CFS) för Tableau Server.

Obs! Om du använder samma certifikatfiler för SSL kan du även använda den befintliga certifikatplatsen för att konfigurera SAML och lägga till IdP-metadatafilen i den katalogen när du hämtar den senare i denna procedur. Mer information finns i Använda SSL-certifikat och nyckelfiler för SAML i SAML-kraven.

Om du kör Tableau Server i ett kluster kommer SAML-certifikat, nycklar och metadatafilen distribueras automatiskt över noderna när du aktiverar SAML.

Denna procedur kräver att du laddar upp SAML-certifikaten till TSM så att de lagras och distribueras korrekt i serverkonfigurationen. SAML-filerna måste vara tillgängliga för webbläsaren på den lokala dator där du kör TSM-webbgränssnittet i denna procedur.

Om du har samlat och sparat SAML-filerna till Tableau Server som rekommenderas i föregående avsnitt kör du sedan TSM-webbgränssnittet från den Tableau Server-dator du kopierade filerna från.

Om du kör TSM-webbgränssnittet från en annan dator måste du kopiera alla SAML-filer lokalt innan du fortsätter. När du följer proceduren nedan bläddrar du till filerna på den lokala datorn för att ladda upp dem till TSM.

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. Välj Användaridentitet och åtkomst på fliken Konfiguration och välj sedan fliken Autentiseringsmetod.

    Inställningar för användarautentisering i Tableau Services Manager

  3. Som Autentiseringsmetod väljer du SAML.

  4. I SAML-avsnittet som visas, slutför steg 1 i det grafiska gränssnittet och ange följande inställningar (markera inte kryssrutan ännu för att aktivera SAML för servern):

    • Retur-URL för Tableau Server – Den URL som användarna av Tableau Server kommer att få åtkomst till, till exempel https://tableau-server.

      Att använda https://localhost eller en URL med ett efterföljande snedstreck (till exempel http://tableau_server/) stöds inte.

    • SAML-entitets-ID – Entitets-ID identifierar unikt din Tableau Server-installation till IdP.

      Du kan ange din Tableau Server-webbadress igen här. Om du planerar att aktivera platsspecifik SAML senare fungerar även denna webbadress som bas för unikt ID för varje plats.

    • SAML-certifikat och nyckelfiler – Klicka på Välj fil för att ladda upp var och en av dessa filer.

      Om du använder en PKCS# 8-nyckelfil som är skyddad med en lösenordsfras måste du ange lösenordsfrasen med TSM CLI:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      När du har lämnat informationen som krävs i steg 1 i det grafiska användargränssnittet blir knappen Ladda ner XML-metadatafil i steg 2 i det grafiska användargränssnittet tillgänglig.

  5. Markera nu kryssrutan Aktivera SAML-autentisering för servern ovanför steg 1 i det grafiska användargränssnittet.

  6. Slutför återstående SAML-inställningar.

    1. Byt ut metadata mellan Tableau Server och identitetsprovidern för steg 2 och 3. (Här kan du behöva kontrollera dokumentationen för identitetsprovidern).

      Välj Hämta XML-metadatafil och ange filsökvägen.

      För andra identitetsprovider, gå till ditt IDP-konto för att lägga till Tableau Server till dess program (som tjänsteleverantör) och ange lämplig Tableau-metadata.

      Följ anvisningarna på identitetsproviderns webbplats eller dokumentation för att ladda ner IdP-metadata. Spara .xml-filen på samma plats där ditt SAML-certifikat och dina nyckelfiler finns. Till exempel:

      /var/opt/tableau/tableau_server/data/saml/idp-metadata.xml

    2. Återgå till webbgränssnittet för TSM. För steg 4 i det grafiska gränssnittet anger du sökvägen till IdP-metadatafilen och klickar sedan på Välj fil.

      Skärmdump som visar det område i TMS-användargränssnittet där du laddar upp SAML-metadata för identitetsleverantören

    3. För steg 5 kan du i vissa fall behöva ändra kontrollvärdena i Tableau Server-konfigurationen för att matcha de kontrollnamn som skickas av identitetsprovidern.

      Du hittar namnen på intygen i identitetsleverantörens SAML-konfiguration. Om andra intygsnamn skickas från identitetsleverantören måste du uppdatera Tableau Server så att samma intygsvärde används där.

      Tips: ”Intyg” är en viktig komponent i SAML, och i början kan det vara svårt att förstå vad det betyder att mappa intyg. Det kan vara lättare att förstå begreppet om vi sätter det i kontexten av en datatabell, där intygets namn (attributet) motsvarar en kolumnrubrik i tabellen. Du anger namnet på ”rubriken” i stället för ett exempel på ett värde som kan förekomma i kolumnen.

    4. För steg 6 väljer du de Tableau-program där du vill tillhandahålla enkel inloggning för användarna.

      Obs! Alternativet att inaktivera mobil åtkomst ignoreras av enheter som kör Tableau Mobile-appen version 19.225.1731 och senare. Om du vill inaktivera SAML för enheter som kör dessa versioner måste du inaktivera SAML som klientinloggningsalternativ i Tableau Server.

    5. För omdirigering av SAML-utloggning, om din identitetsprovider stöder enkel utloggning (SLO), anger du sidan du vill omdirigera användare till efter att de har loggat ut i förhållande till sökvägen du angav för Tableau Server retur-URL:en.

    6. (Valfritt) För steg 7 gör du följande:

    7. (Valfritt) I steg 8 markerar du kryssrutan Aktivera hämtning av användarattribut under SAML-autentisering. Mer information om användarattribut finns i Anpassa och styra dataåtkomst med hjälp av användarattribut.

  7. Klicka på Spara väntande ändringar när du har angett konfigurationsinformationen.

  8. Klicka på Väntande ändringar längst upp på sidan:

    Ett Tableau Server Manager-verktygsfält som indikerar att det finns väntande ändringar.

  9. Klicka på Tillämpa ändringarna och starta om.

Innan du börjar

Gör följande innan du börjar:

  • Gå till webbplatsen eller programmet för din IdP och exportera XML-fil för IdP-metadata.

    Bekräfta att metadata XML från IdP innehåller elementet SingleSignOnService där bindningen är inställd på HTTP-POST som i följande exempel:

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

  • Samla certifikatfilerna och placera dem i Tableau Server.

    I mappen Tableau Server skapar du en ny mapp med namnet SAML och placerar kopior av SAML-certifikatfilerna i den mappen. Till exempel:

    /var/opt/tableau/tableau_server/data/saml

Steg 1: Konfigurera retur-URL, SAML-entitets-ID och ange certifikat och nyckelfiler

  1. Öppna kommandotolkens gränssnitt och konfigurera SAML-inställningarna för servern (ersätter platshållarvärden med din miljösökväg och ditt filnamn).

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

    Mer information finns i Konfigurera tsm authentication saml.

  2. Om du använder en PKCS#8-nyckel som är skyddad med en lösenfras anger du lösenfrasen enligt följande:

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. Aktivera SAML nu om den inte redan är aktiverad på Tableau Server, om du till exempel konfigurerar det för första gången, eller om du har inaktiverat den.

    tsm authentication saml enable

  4. Använd ändringarna:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Steg 2: Generera metadata för Tableau Server och konfigurera IdP

  1. Kör följande kommando för att generera den XML-metadatafil som krävs för Tableau Server.

    tsm authentication saml export-metadata -f <file-name.xml>

    Du kan ange ett filnamn eller utelämna parametern -f för att skapa en standardfil med namnet samlmetadata.xml.

  2. På webbplatsen för din identitetsprovider eller i dess program:

    • Lägg till Tableau Server som tjänsteleverantör.

      Se identitetsproviderns dokumentation för information om hur du gör detta. Du importerar du Tableau Server-metadatafilen som du genererade från kommandot export-metadata som en del av processen att konfigurera Tableau Server som en tjänsteleverantör.

    • Bekräfta att din identitetsprovider använder användarnamn som attribut för att verifiera användare.

Steg 3: Matchningskontroll

I vissa fall kanske du måste ändra kontrollvärdena i Tableau Server-konfigurationen för att matcha de kontrollnamn som skickas av din identitetsprovider.

Du hittar namnen på intygen i identitetsleverantörens SAML-konfiguration. Om andra intygsnamn skickas från identitetsleverantören måste du uppdatera Tableau Server så att samma intygsvärde används där.

Tips: ”Intyg” är en viktig komponent i SAML, och i början kan det vara svårt att förstå vad det betyder att mappa intyg. Det kan vara lättare att förstå begreppet om vi sätter det i kontexten av en datatabell, där intygets namn (attributet) motsvarar en kolumnrubrik i tabellen. Du anger namnet på ”rubriken” i stället för ett exempel på ett värde som kan förekomma i kolumnen.

Följande tabell visar standardkontrollvärden och konfigurationsnyckeln som lagrar värdet.

KontrollStandardvärdeNyckel
Användarnamnusernamewgserver.saml.idpattribute.username
VisningsnamndisplayName

Tableau stöder inte den här attributtypen.

E-postemail

Tableau stöder inte den här attributtypen.

Domän(inte mappad som standard)wgserver.saml.idpattribute.domain

Om du vill ändra ett givet värde kör du kommandot tsm configuration set med lämpligt nyckel-/värdepar.

Om du till exempel vill ändra intyget för username till värdet name kör du följande kommandon:

tsm configuration set -k wgserver.saml.idpattribute.username -v name

tsm pending-changes apply

Alternativt kan du använda kommandot tsm authentication saml map-assertions för att ändra ett givet värde.

Kör följande kommando om du till exempel vill ställa in domänkontroll till ett värde som kallas domain och ange dess värde som ”example.myco.com”:

tsm authentication saml map-assertions --domain example.myco.com

tsm pending-changes apply

Valfritt: Inaktivera klienttyper från att använda SAML

Som standard tillåter både Tableau Desktop och Tableau Mobile-appen SAML-autentisering.

Om din identitetsprovider inte stöder denna funktion kan du inaktivera SAML-inloggning för Tableau-klienter med följande kommandon:

tsm authentication saml configure --desktop-access disable

tsm authentication saml configure --mobile-access disable

Obs! Alternativet --mobile-access disable ignoreras av enheter som kör Tableau Mobile-appen version 19.225.1731 och senare. Om du vill inaktivera SAML för enheter som kör dessa versioner måste du inaktivera SAML som klientinloggningsalternativ i Tableau Server.

tsm pending-changes apply

Valfritt: Lägg till AuthNContextClassRef-värde

Lägg till ett kommaseparerat värde för attributet AuthNContextClassRef. Mer information om hur det här attributet används finns i avsnittet Anteckningar och krav för SAML-kompatibilitet.

Kör följande kommandon om du vill ställa in det här attributet:

tsm configuration set -k wgserver.saml.authcontexts -v <value>

tsm pending-changes apply

Testa konfigurationen

  1. Öppna en ny sida eller flik i webbläsaren och ange webbadressen för Tableau Server.

    Ett tomt webbläsarfönster som visar ”http://tableau_server” i adressfältet.

    Webbläsaren omdirigerar dig till IdP-inloggningsformuläret.

  2. Ange användarnamn och lösenord för enkel inloggning.

    En dialogruta för SAML-inloggning med fält för användarnamn och lösenord.

    Identitetsprovidern verifierar dina inloggningsuppgifter och omdirigerar dig tillbaka till din startsida Tableau Server.

Anpassa och styra dataåtkomst med hjälp av användarattribut

Användarattribut är metadata för användare som definieras av din organisation. Användarattribut kan användas för att bestämma åtkomst i en vanlig auktoriseringsmodell med attributbaserad åtkomstkontroll (ABAC). Alla data i användarprofilen kan användas som användarattribut, inklusive jobbroller, avdelningsmedlemskap, chefsnivå och så vidare. De kan också associeras med användarkontexter vid körning, till exempel varifrån användaren loggat in eller användarens språkinställningar.

Genom att använda användarattribut i arbetsflödet kan du styra och anpassa användarupplevelsen genom dataåtkomst och personanpassning.

  • Dataåtkomst: Användarattribut kan användas för att tillämpa datasäkerhetspolicyer. Det säkerställer att användare endast kan se data som de har behörighet att se.
  • Personanpassning: Du kan anpassa innehållet utifrån användarattribut som plats och roll så att endast information som är relevant för användaren visas, vilket gör det lättare för användarna att hitta den information de behöver.

Sammanfattning av stegen för att använda användarattribut

Processen för att aktivera användarattribut i ett arbetsflöde kan sammanfattas i följande steg:

  1. Aktivera inställningen för användarattribut
  2. Ta med användarattribut i kontrollen
  3. Se till att innehållsutvecklaren tar med funktioner för användarattribut och relevanta filter
  4. Granska innehållet

Steg 1: Aktivera inställningen för användarattribut

Av säkerhetsskäl valideras användarattribut endast i ett autentiseringsarbetsflöde när inställningen för användarattribut har aktiverats av en serveradministratör.

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. Välj Användaridentitet och åtkomst > Autentiseringsmetod på fliken KONFIGURATION.

  3. Välj SAML i listrutemenyn under Autentiseringsmetod.

  4. I steg 8 markerar du kryssrutan Aktivera insamling av användarattribut under SAML-autentisering.

  5. Gör följande när du är klar:

    1. Klicka på Spara väntande ändringar.

    2. Klicka på knappen Väntande ändringar högst upp på sidan.

    3. Klicka på Tillämpa ändringarna och starta om.

Steg 2: Ta med användarattribut i kontrollen

Se till att kontrollen innehåller användarattributen.

Obs! För attribut i SAML-svar gäller en längdbegränsning på 4096 tecken, med undantag för attributen scope och scp. Om attributen i svaret, inklusive användarattribut, överskrider den här gränsen kommer Tableau ta bort attributen och skicka attributet ExtraAttributesRemoved i stället. Innehållsutvecklaren kan sedan skapa en beräkning med attributet ExtraAttributesRemoved för att avgöra hur innehållet ska visas för användarna när attributet har identifierats.

Exempel

Anta att du har en anställd, Fred Suzuki, som är en chef som arbetar i den södra regionen. Du vill vara säker på att Fred bara får se data för den södra regionen när han granskar rapporter. I ett sådant scenario skulle du kunna ta med användarattributet Region i SAML-svaret, som i exemplet nedan.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner

Se till att innehållsutvecklaren tar med funktioner för användarattribut och tillhörande filter för att styra vilka data som ska visas i innehållet. För att säkerställa att användarattributskontrollerna skickas till Tableau ska innehållet innehålla en av följande funktioner för användarattribut:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

Vilken av funktionerna innehållsutvecklaren använder beror på om användarattributen väntas returnera ett eller flera värden. Mer information om de här funktionerna och exempel på användning av dem finns i avsnittet Användarfunktioner(Länken öppnas i ett nytt fönster) i Tableau-hjälpen.

Obs!

  • Förhandsgranskning av innehållet med de här funktionerna är inte tillgänglig när innehåll skapas i Tableau Desktop eller Tableau Cloud. Funktionen returnerar NULL eller FALSE. För att säkerställa att användarfunktionerna fungerar som förväntat rekommenderar vi att utvecklaren granskar funktionerna när innehållet har gjorts tillgängligt.
  • För att säkerställa att innehållet återges som förväntat kan innehållsutvecklaren överväga att ta med en beräkning som 1) söker efter attributet ExtraAttributesRemoved: och 2) bestämmer vad som ska göras med innehållet om attributet förekommer, till exempel visa ett meddelande. Det är endast när attributen i SAML XML-svaret är längre än 4 096 tecken som Tableau lägger till attributet ExtraAttributesRemoved och tar bort alla andra attribut (förutom scp och scope). Det görs för att säkerställa optimala prestanda och ta hänsyn till begränsningar i lagringsutrymmet.

Exempel

Som fortsättning på exemplet i Steg 2: Ta med användarattribut i kontrollen ovan skulle utvecklaren kunna skicka anspråket för användarattributet ”Region” till en arbetsbok genom att ta med attributet USERATTRIBUTEINCLUDES. Till exempel, USERATTRIBUTEINCLUDES('Region', [Region])där ”Region” är ett användarattribut och [Region] är en datakolumn. Utvecklaren kan använda den nya beräkningen för att skapa en tabell med chefs- och försäljningsdata. När beräkningen läggs till returnerar arbetsboken som förväntat värdet False.

För att endast visa de data som är associerade med den södra regionen i den inbäddade arbetsboken kan utvecklaren skapa ett filter och anpassa det så att det visar värden när den södra regionen har värdet True. När filtret tillämpas blir arbetsboken som förväntat tom, eftersom funktionen returnerar False, och filtret är anpassat för att endast visa värden som är True.

Steg 4: Granska innehållet

Granska och validera innehållet.

Exempel

För att avsluta exemplet från Steg 3: Se till att innehållsutvecklaren tar med attributfunktioner ovan kan du se att försäljningsdata i vyn har anpassats för Fred Suzuki eftersom hans användarkontext är den södra regionen.

Chefer från regioner som ingår i arbetsboken ser värdet som är associerat med deras egen region. Sawdie Pawthorne från den västra regionen skulle till exempel se data som är specifika för hennes region.

Chefer vars regioner inte ingår i arbetsboken skulle se en tom arbetsbok.

Kända problem och begränsningar

Det finns några kända problem och begränsningar som du bör tänka på när du arbetar med funktioner för användarattribut.

Tack för din feedback!Din feedback har skickats in. Tack!