Konfigurera serveromfattande SAML

Konfigurera SAML för hela servern när du vill att alla SSO-användare på Tableau Server ska autentisera sig via en enda SAML-identitetsprovider (IdP), eller som det första steget för att konfigurera platsspecifik SAML i en miljö med flera platser.

Om du har konfigurerat serveromfattande SAML och är redo att konfigurera en plats, se Konfigurera platsspecifik SAML.

De SAML-konfigurationssteg vi tillhandahåller gör följande antaganden:

  • Du känner till alternativen för att konfigurera SAML-autentisering på Tableau Server, som beskrivs i ämnet SAML.

  • Du har verifierat att din miljö uppfyller SAML-krav och har erhållit SAML-certifikatfilerna som beskrivs i dessa krav.

Innan du börjar

Vi rekommenderar vi att du behåller en säkerhetskopia av certifikat- och IdP-filer på en säker plats utanför Tableau Server som en del av din plan för haverihantering. De SAML-resurssfiler du laddar upp till Tableau Server kommer att lagras och distribueras till andra noder av klientfiltjänsten. Dessa filer lagras dock inte i ett återställningsbart format. Läs mer i Klientfiltjänst (CFS) för Tableau Server.

Obs! Om du använder samma certifikatfiler för SSL kan du även använda den befintliga certifikatplatsen för att konfigurera SAML och lägga till IdP-metadatafilen i den katalogen när du hämtar den senare i denna procedur. Mer information finns i Använda SSL-certifikat och nyckelfiler för SAML i SAML-kraven.

Om du kör Tableau Server i ett kluster kommer SAML-certifikat, nycklar och metadatafilen distribueras automatiskt över noderna när du aktiverar SAML.

Denna procedur kräver att du laddar upp SAML-certifikaten till TSM så att de lagras och distribueras korrekt i serverkonfigurationen. SAML-filerna måste finns tillgängliga för webbläsaren på den lokala datorn där du kör TSM-webbgränssnittet i denna procedur.

Om du har samlat och sparat SAML-filerna till Tableau Server som rekommenderas i föregående avsnitt kör du sedan TSM-webbgränssnittet från den Tableau Server-dator du kopierade filerna från.

Om du kör TSM-webbgränssnittet från en annan dator måste du kopiera alla SAML-filer lokalt innan du fortsätter. När du följer proceduren nedan bläddrar du till filerna på den lokala datorn för att ladda upp dem till TSM.

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. Välj Användaridentitet och åtkomst på fliken Konfiguration och välj sedan fliken Autentiseringsmetod.

    Inställningar för användarautentisering i Tableau Services Manager

  3. Som Autentiseringsmetod väljer du SAML.

  4. I SAML-avsnittet som visas, slutför steg 1 i det grafiska gränssnittet och ange följande inställningar (markera inte kryssrutan ännu för att aktivera SAML för servern):

    • Retur-URL för Tableau Server – Den URL som användarna av Tableau Server kommer att få åtkomst till, till exempel https://tableau-server.

      Att använda https://localhost eller en URL med ett efterföljande snedstreck (till exempel http://tableau_server/) stöds inte.

    • SAML-entitets-ID – Entitets-ID identifierar unikt din Tableau Server-installation till IdP.

      Du kan ange din Tableau Server-webbadress igen här. Om du planerar att aktivera platsspecifik SAML senare fungerar även denna webbadress som bas för unikt ID för varje webbplats.

    • SAML-certifikat och nyckelfiler – Klicka på Välj fil för att ladda upp var och en av dessa filer.

      Om du använder en PKCS# 8-nyckelfil som är skyddad med en lösenordsfras måste du ange lösenordsfrasen med TSM CLI:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      När du har lämnat informationen som krävs i steg 1 i det grafiska användargränssnittet blir knappen Ladda ner XML-metadatafil i steg 2 i det grafiska användargränssnittet tillgänglig.

  5. Markera nu kryssrutan Aktivera SAML-autentisering för servern ovanför steg 1 i det grafiska gränssnittet.

  6. Slutför återstående SAML-inställningar.

    1. Byt ut metadata mellan Tableau Server och identitetsprovidern för steg 2 och 3 i det grafiska användargränssnittet. (Här kan du behöva kontrollera dokumentationen för identitetsprovidern).

      Välj Hämta XML-metadatafil och ange filsökvägen.

      För andra identitetsprovider, gå till ditt IDP-konto för att lägga till Tableau Server till dess program (som tjänsteleverantör) och ange lämplig Tableau-metadata.

      Följ anvisningarna på identitetsproviderns webbplats eller dokumentation för att ladda ner IdP-metadata. Spara .xml-filen på samma plats där ditt SAML-certifikat och dina nyckelfiler finns. Till exempel:

      /var/opt/tableau/tableau_server/data/saml/idp-metadata.xml

    2. Återgå till webbgränssnittet för TSM. För steg 4 i det grafiska gränssnittet anger du sökvägen till IdP-metadatafilen och klickar sedan på Välj fil.

      Skärmdump som visar det område i TMS-användargränssnittet där du laddar upp SAML-metadata för identitetsleverantören

    3. För steg 5 det grafiska gränssnittet: I vissa fall kanske du måste ändra kontrollvärdena i Tableau Server-konfigurationen för att matcha de kontrollnamn som skickas av din IdP.

      Du hittar namnen på intygen i identitetsleverantörens SAML-konfiguration. Om andra intygsnamn skickas från identitetsleverantören måste du uppdatera Tableau Server så att samma intygsvärde används där.

      Tips: ”Intyg” är en viktig komponent i SAML, och i början kan det vara svårt att förstå vad det betyder att mappa intyg. Det kan vara lättare att förstå begreppet om vi sätter det i kontexten av en datatabell, där intygets namn (attributet) motsvarar en kolumnrubrik i tabellen. Du anger namnet på ”rubriken” i stället för ett exempel på ett värde som kan förekomma i kolumnen.

    4. För steg 6 i det grafiska gränssnittet väljer du de Tableau-program där du vill tillhandahålla enkel inloggning för användarna.

      Obs! Alternativet att inaktivera mobil åtkomst ignoreras av enheter som kör Tableau Mobile-appen version 19.225.1731 och senare. Om du vill inaktivera SAML för enheter som kör dessa versioner måste du inaktivera SAML som klientinloggningsalternativ i Tableau Server.

    5. För omdirigering av SAML-utloggning, om din identitetsprovider stöder enkel utloggning (SLO), anger du sidan du vill omdirigera användare till efter att de har loggat ut i förhållande till sökvägen du angav för Tableau Server retur-URL:en.

    6. (Valfritt) För steg 7 i det grafiska användargränssnittet gör du följande:

  7. Klicka på Spara väntande ändringar när du har angett konfigurationsinformationen.

  8. Klicka på Väntande ändringar längst upp på sidan:

  9. Klicka på Tillämpa ändringarna och starta om.

Innan du börjar

Gör följande innan du börjar:

  • Gå till webbplatsen eller programmet för din IdP och exportera XML-fil för IdP-metadata.

    Bekräfta att metadata XML från IdP innehåller elementet SingleSignOnService där bindningen är inställd på HTTP-POST som i följande exempel:

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

  • Samla certifikatfilerna och placera dem i Tableau Server.

    I mappen Tableau Server skapar du en ny mapp med namnet SAML och placerar kopior av SAML-certifikatfilerna i den mappen. Till exempel:

    /var/opt/tableau/tableau_server/data/saml

Steg 1: Konfigurera retur-URL, SAML-entitets-ID och ange certifikat och nyckelfiler

  1. Öppna kommandotolkens gränssnitt och konfigurera SAML-inställningarna för servern (ersätter platshållarvärden med din miljösökväg och ditt filnamn).

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

    Mer information finns i Konfigurera tsm authentication saml.

  2. Om du använder en PKCS#8-nyckel som är skyddad med en lösenfras anger du lösenfrasen enligt följande:

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. Aktivera SAML nu om den inte redan är aktiverad på Tableau Server, om du till exempel konfigurerar det för första gången, eller om du har inaktiverat den.

    tsm authentication saml enable

  4. Använd ändringarna:

    tsm pending-changes apply

    Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Steg 2: Generera metadata för Tableau Server och konfigurera IdP

  1. Kör följande kommando för att generera den XML-metadatafil som krävs för Tableau Server.

    tsm authentication saml export-metadata -f <file-name.xml>

    Du kan ange ett filnamn eller utelämna parametern -f för att skapa en standardfil med namnet samlmetadata.xml.

  2. På webbplatsen för din identitetsprovider eller i dess program:

    • Lägg till Tableau Server som tjänsteleverantör.

      Se identitetsproviderns dokumentation för information om hur du gör detta. Du importerar du Tableau Server-metadatafilen som du genererade från kommandot export-metadata som en del av processen att konfigurera Tableau Server som en tjänsteleverantör.

    • Bekräfta att din identitetsprovider använder användarnamn som attribut för att verifiera användare.

Steg 3: Matchningskontroll

I vissa fall kanske du måste ändra kontrollvärdena i Tableau Server-konfigurationen för att matcha de kontrollnamn som skickas av din identitetsprovider.

Du hittar namnen på intygen i identitetsleverantörens SAML-konfiguration. Om andra intygsnamn skickas från identitetsleverantören måste du uppdatera Tableau Server så att samma intygsvärde används där.

Tips: ”Intyg” är en viktig komponent i SAML, och i början kan det vara svårt att förstå vad det betyder att mappa intyg. Det kan vara lättare att förstå begreppet om vi sätter det i kontexten av en datatabell, där intygets namn (attributet) motsvarar en kolumnrubrik i tabellen. Du anger namnet på ”rubriken” i stället för ett exempel på ett värde som kan förekomma i kolumnen.

Följande tabell visar standardkontrollvärden och konfigurationsnyckeln som lagrar värdet.

KontrollStandardvärdeNyckel
Användarnamnusernamewgserver.saml.idpattribute.username
VisningsnamndisplayName

Tableau stöder inte den här attributtypen.

E-postemail

Tableau stöder inte den här attributtypen.

Domän(inte mappad som standard)wgserver.saml.idpattribute.domain

Om du vill ändra ett givet värde kör du kommandot tsm configuration set med lämpligt nyckel-/värdepar.

Om du till exempel vill ändra intyget för username till värdet name kör du följande kommandon:

tsm configuration set -k wgserver.saml.idpattribute.username -v name

tsm pending-changes apply

Alternativt kan du använda kommandot tsm authentication saml map-assertions för att ändra ett givet värde.

Kör följande kommando om du till exempel vill ställa in domänkontroll till ett värde som kallas domain och ange dess värde som ”example.myco.com”:

tsm authentication saml map-assertions --domain example.myco.com

tsm pending-changes apply

Valfritt: Inaktivera klienttyper från att använda SAML

Som standard tillåter både Tableau Desktop och Tableau Mobile-appen SAML-autentisering.

Om din identitetsprovider inte stöder denna funktion kan du inaktivera SAML-inloggning för Tableau-klienter med följande kommandon:

tsm authentication saml configure --desktop-access disable

tsm authentication saml configure --mobile-access disable

Obs! Alternativet --mobile-access disable ignoreras av enheter som kör Tableau Mobile-appen version 19.225.1731 och senare. Om du vill inaktivera SAML för enheter som kör dessa versioner måste du inaktivera SAML som klientinloggningsalternativ i Tableau Server.

tsm pending-changes apply

Valfritt: Lägg till AuthNContextClassRef-värde

Lägg till ett kommaseparerat värde för attributet AuthNContextClassRef. Mer information om hur det här attributet används finns i avsnittet Anteckningar och krav för SAML-kompatibilitet.

Kör följande kommandon om du vill ställa in det här attributet:

tsm configuration set -k wgserver.saml.authcontexts -v <value>

tsm pending-changes apply

Testa konfigurationen

  1. Öppna en ny sida eller flik i webbläsaren och ange webbadressen för Tableau Server.

    Webbläsaren omdirigerar dig till IdP-inloggningsformuläret.

  2. Ange användarnamn och lösenord för enkel inloggning.

    Identitetsprovidern verifierar dina inloggningsuppgifter och omdirigerar dig tillbaka till din startsida Tableau Server.

Tack för din feedback!Din feedback har skickats in. Tack!