samlSettings Entity
Den här artikeln innehåller en mall och referens för att konfigurera serveromfattande SAML på Tableau Server, med hjälp av en konfigurationsfil med nycklar och värden för entiteten samlSettings
. Denna information är kompelment till SAML-konfigurationsstegen i Konfigurera serveromfattande SAML.
Skapa en SAML-konfigurationsmall och tillämpa den på Tableau Server genom att utföra följande steg:
Läs de följande två avsnitten som beskriver mallen och hur den är uppbyggd (Mallkategorier och definitioner och Konfigurationsmall för samlSettings).
Klistra in JSON-koden som visas i mallen i en ny textfil och spara den med tillägget .json.
Använd Entitetsreferens för SAML-konfiguration för de värden som behövs.
Lägg till valfria nyckel-/värdepar som är specifika för din miljö. Om SAML-certifikatnyckelfilen till exempel kräver en lösenfras måste du ange lösenordet i parametern
wgserver.saml.key.passphrase
med kommandot tsm configuration set.
Mallkategorier och definitioner
Mallen använder platshållare för varje nyckelvärde. Dessa platshållare kategoriseras enligt följande:
Obligatoriskt: Attribut med värdet
"required"
måste ersättas med giltiga data innan konfigurationskommandot körs. Giltiga värden finns i referensen till konfigurationsfilen.Hårdkodat: Attributnamn som föregås av ett understreck (_), till exempel
"_type"
har hårdkodade värden. Ändra inte dessa värden.Standardvärden: Attribut som är inställda på ett värde som inte
"required"
är standardvärden. Dessa attribut är obligatoriska och du kan ändra dem efter behoven i din miljö.Tomma uppsättningar: Värden som är tomma (
""
) kan skickas som de är, eller så kan du ange ett värde för din installation.
Viktigt: Alla enhetsalternativ är skiftlägeskänsliga.
Konfigurationsmall för samlSettings
Klistra in denna kod i en textfil och anpassa den för din miljö med hjälp av referensen nedan.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Entitetsreferens för SAML-konfiguration
Följande lista innehåller alla alternativ som kan inkluderas i entitetsuppsättningen "samlSettings"
.
idpMetadataFile
Obligatoriskt. Sökväg och filnamn för XML-filen som genereras av IdP. XML-metadata måste innehålla attributet användarnamn (försäkran).
Om du har slutfört stegen som beskrivs i Konfigurera serveromfattande SAML kommer värdet som anges här att vara:
/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>
enabled
true | false
Obligatoriskt. Anger om SAML-autentisering är aktiverad. Ställ inte in det här alternativet på
true
innan du har ställt in andra nödvändiga SAML-konfigurationsalternativ.
returnURL
Detta är vanligtvis den externa webbadressen som Tableau Server-användare anger i sin webbläsare för att komma åt servern, till exempel
https://tableau_server.example.com
. Detta värde används för att skapa attributet ACS URL när IdP konfigureras.
entityId
Obligatoriskt. Enhets-ID-värdet för tjänsteleverantören (i det här fallet Tableau Server).
Identifierar Tableau Server-konfigurationen för IdP. Vi rekommenderar att du anger samma värde som alternativet
returnURL
.
idpUsernameAttribute
Obligatoriskt. Hitta attributet som används för att ange användarnamnsvärden i IdP-metadata och ange namnet på det attributet. Standard är
username
.
certFile
Obligatoriskt. Ange plats och filnamn för x509-certifikatfilen (.crt) för SAML. Till exempel:
/var/opt/tableau/tableau_server/data/saml/<file.crt>
Mer information finns i SAML-krav och Konfigurera serveromfattande SAML.
keyFile
Obligatoriskt. Ange platsen för den privata nyckelfilen (.key) som medföljer certifikatfilen. Till exempel:
/var/opt/tableau/tableau_server/data/saml/<file.key>
Obs! Om du använder en RSA PKCS#8-nyckel som kräver en lösenfras måste du ställa in lösenfras med hjälp av en configKey-entitet (se Exempel på konfigurationsfil) eller med tsm configuration set. Med dessa metoder är nyckeln för lösenfrasen
wgserver.saml.key.passphrase
. Värdet måste vara en sträng som inte är null.
idpDomainAttribute
För organisationer som använder LDAP eller Active Directory anger detta värde vilket SAML-attribut Tableau Server refererar till för att fastställa domännamnet. Om din IdP till exempel fastställer domännamnet i attributet
domain
skulle du angedomain
för detta värde. Obs! För organisationer som har användare som loggar in från flera domäner är detta värde obligatoriskt.Om du inte anger ett värde för den här nyckeln beror det värde som används på inställningen för Tableau Servers identitetsregister:
För lokalt identitetsregister ignoreras värdet
idpDomainAttribute
.För Active Directory- eller LDAP-identitetsregister använder Tableau FQDN från konfigurationsinställningen
wgserver.domain.default
.För att få värdet för
wgserver.domain.default
kan du köra följande kommando:tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Valfritt. Tillåt användare att använda SAML-autentisering när de loggar in från Tableau Desktop.
Som standard är detta inte konfigurerat, så det faktiska beteendet motsvarar att ställa in det på false. Om enkel inloggning från Tableau-klientprogram inte fungerar med din IdP kan du ställa in detta på true för att inaktivera SAML-autentisering via Tableau Desktop.
appNoSAML
true | false
Valfritt. Tillåt att SAML används för att logga in från äldre versioner av Tableau Mobile-appen. Enheter som kör Tableau Mobile-appen i version 19.225.1731 och senare ignorerar det här alternativet. Om du vill inaktivera enheter som kör Tableau Mobile-appen i version 19.225.1731 och senare inaktiverar du SAML som ett alternativ för klientinloggning på Tableau Server.
logoutEnabled
true | false
Valfritt. Aktiverar enkel utloggning för användare som har loggat in med SAML. Standardinställningen är
true
.IdP-konfigurationens metadata måste inkludera en enda slutpunkt för enkel utloggning med POST-bindning.
Denna inställning gäller endast för serveromfattande SAML
När den är inställd på
false
kommer Tableau Server inte att försöka utföra enkel utloggning.
logoutUrl
Valfritt. Ange den URL som användarna ska omdirigeras till när de loggar ut från servern. Konfigurering av det här alternativet kräver att
logoutEnabled
är inställt påtrue
.Som standard är detta inloggningssidan för Tableau Server. Du kan ange en absolut eller relativ URL.
maxAuthenticationAge
Valfritt. Anger det maximala antalet sekunder som tillåts mellan autentisering av en användare med IdP och bearbetning av AuthNResponse-meddelandet. Standardvärdet är -1, vilket betyder att maxAuthenticationAge inte har ställts in eller ignoreras som standard. Före februari 2022 var standardvärdet 7 200 (2 timmar).
Använd samma timeoutvärde som är inställt på IdP för att optimera sessionens längd.
maxAssertionTime
Valfritt. Anger det maximala antalet sekunder från skapandet som en SAML-försäkran går att använda. Standardvärdet är 3 000 (50 minuter).
sha256Enabled
true | false
Valfritt. Den typ av signatur som Tableau Server kommer att använda när meddelanden skickas till IdP. När den är inställd på
true
signerarTableau Server meddelanden med signaturalgoritmen SHA 256. När den är inställd påfalse
signerar Tableau Server meddelanden med SHA 1. Standard ärtrue
.Det här alternativet ställer in signaturalgoritmen till följande meddelanden som Tableau Server signerar:
- AuthnRequest-meddelanden när
signRequests
är aktiverat. - LogoutRequest-meddelanden om
logoutEnabled
är aktiverat.
- AuthnRequest-meddelanden när
signRequests
true | false
Valfritt. Anger om Tableau Server signerar de AuthnRequest-förfrågningar som skickas till IdP. Signerade förfrågningar krävs inte alltid för alla IdP:er. Vi rekommenderar att förfrågningar signeras för att säkerställa det säkraste alternativet när SAML konfigureras. Kontrollera IdP-metadata för att verifiera om din IdP accepterar undertecknade förfrågningar: om
wantAuthnRequestsSigned
är inställt påtrue
accepterar din IdP signerade förfrågningar.Standardvärdet är
true
. För att inaktivera signerade förfrågningar ställer du in det här alternativet påfalse
.
acceptabelAuthnContexts
Valfritt. Konfigurerar SAML-attributet
AuthNContextClassRef
. Detta valfria attribut tillämpar valideringen av vissa ”kontexter” för autentisering i flöden som initieras av IdP. Ange en kommaseparerad uppsättning värden för det här attributet. När det här attributet har ställts in validerar Tableau Server att SAML-svaret innehåller minst att av de angivna värdena. Om SAML-svaret inte innehåller något av de konfigurerade värdena avvisas autentiseringen, även om användaren har autentiserat med IdP:n.Om du lämnar det här alternativet tomt kommer standardbeteendet att gälla: alla framgångsrikt autentiserade SAML-svar kommer att resultera i att en användare beviljas en session i Tableau Server.
iFramedIdpEnabled
true | false
Valfritt. Standardvärdet är
false
, vilket innebär att när användare väljer inloggningsknappen i en inbäddad vy, öppnas IdP:s inloggningsformulär i ett popup-fönster.När du ställer in det på true och en SAML-serveranvändare som redan är inloggad navigerar till en webbsida med en inbäddad vy, behöver användaren inte logga in för att se vyn.
Du kan bara ange detta som true om identitetsprovidern har stöd för inloggning inom en iframe. Alternativet iframe är mindre säkert än att använda ett popupfönster, därför har inte alla stöd för det. Om identitetsproviderns inloggningssida har skydd mot klickkapning, vilket de flesta har, kan inloggningssidan inte visas i en iframe och användaren kan inte logga in.
Om identitetsprovidern har stöd för inloggning inom en iframe kan du behöva aktivera det explicit. Men även om du kan använda det här alternativet så inaktiverar det Tableau Servers skydd mot klickkapning för SAML, och det utgör därför ändå en säkerhetsrisk.
Skicka .keytab-filen till Tableau Server
När du har angett ett lämpligt värde för varje enhet du inkluderar i konfigurationsmallen använder du följande kommandon för att skicka .json-filen och tillämpa inställningar på Tableau Server.
tsm settings import -f path-to-file.json
tsm pending-changes apply
Se även
När du har slutfört den ursprungliga SAML-konfigurationen använder du tsm authentication mutual-ssl <kommandon> att konfigurera ytterligare värden.
För kommandoradsreferens för SAML-konfigurationen, se tsm authentication saml <kommandon>.