Hjälp för Tableau Server på Linux

Den här artikeln innehåller en mall och referens för att konfigurera serveromfattande SAML på Tableau Server, med hjälp av en konfigurationsfil med nycklar och värden för entiteten samlSettings. Denna information är kompelment till SAML-konfigurationsstegen i Konfigurera serveromfattande SAML.

Skapa en SAML-konfigurationsmall och tillämpa den på Tableau Server genom att utföra följande steg:

1. Läs de följande två avsnitten som beskriver mallen och hur den är uppbyggd (Mallkategorier och definitioner och Konfigurationsmall för samlSettings).

2. Klistra in JSON-koden som visas i mallen i en ny textfil och spara den med tillägget .json.

3. Använd Entitetsreferens för SAML-konfiguration för de värden som behövs.

4. Lägg till valfria nyckel-/värdepar som är specifika för din miljö. Om SAML-certifikatnyckelfilen till exempel kräver en lösenfras måste du ange lösenordet i parametern wgserver.saml.key.passphrase med kommandot tsm configuration set.

5. Skicka .keytab-filen till Tableau Server.

Mallkategorier och definitioner

Mallen använder platshållare för varje nyckelvärde. Dessa platshållare kategoriseras enligt följande:

• Obligatoriskt: Attribut med värdet "required" måste ersättas med giltiga data innan konfigurationskommandot körs. Giltiga värden finns i referensen till konfigurationsfilen.

• Hårdkodat: Attributnamn som föregås av ett understreck (_), till exempel "_type" har hårdkodade värden. Ändra inte dessa värden.

• Standardvärden: Attribut som är inställda på ett värde som inte "required" är standardvärden. Dessa attribut är obligatoriska och du kan ändra dem efter behoven i din miljö.

• Tomma uppsättningar: Värden som är tomma ("") kan skickas som de är, eller så kan du ange ett värde för din installation.

Viktigt: Alla enhetsalternativ är skiftlägeskänsliga.

Konfigurationsmall för samlSettings

Klistra in denna kod i en textfil och anpassa den för din miljö med hjälp av referensen nedan.

{
  "configEntities": {
    "samlSettings": {
      "_type": "samlSettingsType",
      "enabled": true,
      "returnUrl": "required",
      "entityId": "required",
      "certFile": "required",
      "keyFile": "required",
      "idpMetadataFile": "required",
      "idpDomainAttribute": "",
      "idpUsernameAttribute": "required"
    }
  }
}

Entitetsreferens för SAML-konfiguration

Följande lista innehåller alla alternativ som kan inkluderas i entitetsuppsättningen "samlSettings".

idpMetadataFile

Obligatoriskt. Sökväg och filnamn för XML-filen som genereras av IdP. XML-metadata måste innehålla attributet användarnamn (försäkran).

Om du har slutfört stegen som beskrivs i Konfigurera serveromfattande SAML kommer värdet som anges här att vara:

/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

enabled

true | false

Obligatoriskt. Anger om SAML-autentisering är aktiverad. Ställ inte in det här alternativet på true innan du har ställt in andra nödvändiga SAML-konfigurationsalternativ.

returnURL

Detta är vanligtvis den externa webbadressen som Tableau Server-användare anger i sin webbläsare för att komma åt servern, till exempel https://tableau_server.example.com. Detta värde används för att skapa attributet ACS URL när IdP konfigureras.

entityId

Obligatoriskt. Enhets-ID-värdet för tjänsteleverantören (i det här fallet Tableau Server).

Identifierar Tableau Server-konfigurationen för IdP. Vi rekommenderar att du anger samma värde som alternativet returnURL.

idpUsernameAttribute

Obligatoriskt. Hitta attributet som används för att ange användarnamnsvärden i IdP-metadata och ange namnet på det attributet. Standard är username.

certFile

Obligatoriskt. Ange plats och filnamn för x509-certifikatfilen (.crt) för SAML. Till exempel:

/var/opt/tableau/tableau_server/data/saml/<file.crt>

Mer information finns i SAML-krav och Konfigurera serveromfattande SAML.

keyFile

Obligatoriskt. Ange platsen för den privata nyckelfilen (.key) som medföljer certifikatfilen. Till exempel:

/var/opt/tableau/tableau_server/data/saml/<file.key>

Obs! Om du använder en RSA PKCS#8-nyckel som kräver en lösenfras måste du ställa in lösenfras med hjälp av en configKey-entitet (se Exempel på konfigurationsfil) eller med tsm configuration set. Med dessa metoder är nyckeln för lösenfrasen wgserver.saml.key.passphrase. Värdet måste vara en sträng som inte är null.

idpDomainAttribute

För organisationer som använder LDAP eller Active Directory anger detta värde vilket SAML-attribut Tableau Server refererar till för att fastställa domännamnet. Om din IdP till exempel fastställer domännamnet i attributet domain skulle du ange domain för detta värde. Obs! För organisationer som har användare som loggar in från flera domäner är detta värde obligatoriskt.

Om du inte anger ett värde för den här nyckeln beror det värde som används på inställningen för Tableau Servers identitetsregister:

• För lokalt identitetsregister ignoreras värdet idpDomainAttribute.

• För Active Directory- eller LDAP-identitetsregister använder Tableau FQDN från konfigurationsinställningen wgserver.domain.default.

  För att få värdet för wgserver.domain.default kan du köra följande kommando:

  tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Valfritt. Tillåt användare att använda SAML-autentisering när de loggar in från Tableau Desktop.

Som standard är detta inte konfigurerat, så det faktiska beteendet motsvarar att ställa in det på false. Om enkel inloggning från Tableau-klientprogram inte fungerar med din IdP kan du ställa in detta på true för att inaktivera SAML-autentisering via Tableau Desktop.

appNoSAML

true | false

Valfritt. Tillåt att SAML används för att logga in från äldre versioner av Tableau Mobile-appen. Enheter som kör Tableau Mobile-appen i version 19.225.1731 och senare ignorerar det här alternativet. Om du vill inaktivera enheter som kör Tableau Mobile-appen i version 19.225.1731 och senare inaktiverar du SAML som ett alternativ för klientinloggning på Tableau Server.

logoutEnabled

true | false

Valfritt. Aktiverar enkel utloggning för användare som har loggat in med SAML. Standardinställningen är true.

IdP-konfigurationens metadata måste inkludera en enda slutpunkt för enkel utloggning med POST-bindning.

Denna inställning gäller endast för serveromfattande SAML

När den är inställd på false kommer Tableau Server inte att försöka utföra enkel utloggning.

logoutUrl

Valfritt. Ange den URL som användarna ska omdirigeras till när de loggar ut från servern. Konfigurering av det här alternativet kräver att logoutEnabled är inställt på true.

Som standard är detta inloggningssidan för Tableau Server. Du kan ange en absolut eller relativ URL.

maxAuthenticationAge

Valfritt. Anger det maximala antalet sekunder som tillåts mellan autentisering av en användare med IdP och bearbetning av AuthNResponse-meddelandet. Standardvärdet är -1, vilket betyder att maxAuthenticationAge inte har ställts in eller ignoreras som standard. Före februari 2022 var standardvärdet 7 200 (2 timmar).

Använd samma timeoutvärde som är inställt på IdP för att optimera sessionens längd.

maxAssertionTime

Valfritt. Anger det maximala antalet sekunder från skapandet som en SAML-försäkran går att använda. Standardvärdet är 3 000 (50 minuter).

sha256Enabled

true | false

Valfritt. Den typ av signatur som Tableau Server kommer att använda när meddelanden skickas till IdP. När den är inställd på true signerarTableau Server meddelanden med signaturalgoritmen SHA 256. När den är inställd på false signerar Tableau Server meddelanden med SHA 1. Standard är true.

Det här alternativet ställer in signaturalgoritmen till följande meddelanden som Tableau Server signerar: 

• AuthnRequest-meddelanden när signRequests är aktiverat.
• LogoutRequest-meddelanden om logoutEnabled är aktiverat.

signRequests

true | false

Valfritt. Anger om Tableau Server signerar de AuthnRequest-förfrågningar som skickas till IdP. Signerade förfrågningar krävs inte alltid för alla IdP:er. Vi rekommenderar att förfrågningar signeras för att säkerställa det säkraste alternativet när SAML konfigureras. Kontrollera IdP-metadata för att verifiera om din IdP accepterar undertecknade förfrågningar: om wantAuthnRequestsSigned är inställt på true accepterar din IdP  signerade förfrågningar.

Standardvärdet är true. För att inaktivera signerade förfrågningar ställer du in det här alternativet på false.

acceptabelAuthnContexts

Valfritt. Konfigurerar SAML-attributet AuthNContextClassRef. Detta valfria attribut tillämpar valideringen av vissa ”kontexter” för autentisering i flöden som initieras av IdP. Ange en kommaseparerad uppsättning värden för det här attributet. När det här attributet har ställts in validerar Tableau Server att SAML-svaret innehåller minst att av de angivna värdena. Om SAML-svaret inte innehåller något av de konfigurerade värdena avvisas autentiseringen, även om användaren har autentiserat med IdP:n.

Om du lämnar det här alternativet tomt kommer standardbeteendet att gälla: alla framgångsrikt autentiserade SAML-svar kommer att resultera i att en användare beviljas en session i Tableau Server.

iFramedIdpEnabled

true | false

Valfritt. Standardvärdet är false, vilket innebär att när användare väljer inloggningsknappen i en inbäddad vy, öppnas IdP:s inloggningsformulär i ett popup-fönster.

När du ställer in det på true och en SAML-serveranvändare som redan är inloggad navigerar till en webbsida med en inbäddad vy, behöver användaren inte logga in för att se vyn.

Du kan bara ange detta som true om identitetsprovidern har stöd för inloggning inom en iframe. Alternativet iframe är mindre säkert än att använda ett popupfönster, därför har inte alla stöd för det. Om identitetsproviderns inloggningssida har skydd mot klickkapning, vilket de flesta har, kan inloggningssidan inte visas i en iframe och användaren kan inte logga in.

Om identitetsprovidern har stöd för inloggning inom en iframe kan du behöva aktivera det explicit. Men även om du kan använda det här alternativet så inaktiverar det Tableau Servers skydd mot klickkapning för SAML, och det utgör därför ändå en säkerhetsrisk.

Skicka .keytab-filen till Tableau Server

När du har angett ett lämpligt värde för varje enhet du inkluderar i konfigurationsmallen använder du följande kommandon för att skicka .json-filen och tillämpa inställningar på Tableau Server.

tsm settings import -f path-to-file.json

tsm pending-changes apply

Se även

När du har slutfört den ursprungliga SAML-konfigurationen använder du tsm authentication mutual-ssl <kommandon> att konfigurera ytterligare värden.

För kommandoradsreferens för SAML-konfigurationen, se tsm authentication saml <kommandon>.