Konfigurera platsspecifik SAML

Använd platsspecifik SAML i en miljö med flera platser när du vill aktivera enkel inloggning och även flera SAML-identitetsleverantörer (IdPs) eller IdP-applikationer används. När plats-SAML aktiveras kan du ange IdP eller IdP-applikationen för varje enskild plats. Alternativt kan du konfigurera vissa platser till att använda SAML och de andra att använda standardiserade och serveromfattande autentiseringsmetoder.

Se Konfigurera serveromfattande SAML om du vill att alla serveranvändare ska använda SAML och logga in via samma IdP-applikation.

Förutsättningar för att aktivera platsspecifik SAML

Innan SAML med enkel inloggning kan aktiveras på platsnivå måste följande krav uppfyllas:

  • Identitetsregistret för Tableau Server måste konfigureras som ett lokalt identitetsregister.

     Du kan inte konfigurera platsspecifik SAML om Tableau Server är konfigurerat med ett externt identitetsregister såsom Active Directory eller OpenLDAP.

  • Se till att din miljö och IdP uppfyller de allmänna SAML-krav.

    Vissa funktioner stöds endast i serveromfattande SAML-driftsättningar, inklusive men inte begränsade till:

    • Lösenordsskyddade nyckelfiler, som inte stöds i platsspecifika SAML-driftsättningar.
  • En serveromfattande SAML måste konfigureras innan platsspecifik SAML kan konfigureras. Du behöver inte aktivera serveromfattande SAML. Platsspecifik SAML kräver dock en serveromfattande konfiguration. Se Konfigurera serveromfattande SAML.

  • Observera var SAML-certifikatfilerna finns. Du måste tillhandahålla den informationen när du Konfigurera servern för att ha stöd för platsspecifik SAML.

    Se Placera metadata och certifikatfiler på rätt ställe i avsnittet om att konfigurera serveromfattande SAML, för mer information.

  • Lägg till Tableau Server som tjänsteleverantör till din IdP. Du hittar den här informationen i dokumentationen som IdP tillhandahåller.

  • Bekräfta att systemklockorna på datorn som hanterar plats-SAML IdP och den dator hanterar Tableau Server är inom 59 sekunder från varandra. Tableau Server har inget konfigurationsalternativ för att justera svarsförskjutningar (tidsskillnaden) mellan datorn med Tableau Server och den med IdP.

Serveromfattande inställningar relaterade till platsspecifik SAML

Retur-URL och entitets-ID: I inställningarna för konfiguration av platsspecifik SAML tillhandahåller Tableau en platsspecifik retur-URL och ett entitet-ID som baseras på dessa inställningar. Dessa platsspecifika retur-URL och enhets-ID kan inte ändras. Dessa konfigurationer ställs in av TSM enligt beskrivningen i Konfigurera serveromfattande SAML.

Autentiseringsålder och svarsförskjutning: Serveromfattande inställningar, maximal autentiseringsålder och svarsförskjutning gäller inte för platsspecifik SAML. Dessa konfigurationer är hårdkodade:

  • Den maximala autentiseringsåldern avser hur länge en autentiseringstoken från IdP är giltig efter att den har utfärdats. Den hårdkodade maximala autentiseringsåldern för platsspecifik SAML är 24 dagar.
  • Svarsförskjutningen är den maximala skillnaden i sekundär mellan Tableau Server-tid och tiden då påståendet skapades (baserat på IdP-servertiden) som fortfarande tillåter att meddelandet bearbetas. Det hårdkodade platsspecifika värdet för detta är 59 sekunder.

Användarnamn: Obligatoriskt. Förutom det serveromfattande SAML-konfigurationsattributet måste det platsspecifika SAML-konfigurationsattributet ställas in på ”användarnamn”.

Obs! För att platsspecifik SAML ska fungera korrekt med en serveromfattande SAML-standard måste det användarnamnsattribut som konfigureras för serveromfattande SAML med konfigurationsnyckeln wgserver.saml.idpattribute.username vara ”användarnamn”. Den identitetsleverantör som används för serveromfattande SAML måste leverera användarnamnet i ett attribut med namnet ”användarnamn”.

HTTP POST och HTTP REDIRECT: För platsspecifik SAML har Tableau Server stöd för HTTP-POST, HTTP-REDIRECT och HTTP-POST-SimpleSign.

Konfigurera servern för att ha stöd för platsspecifik SAML

När du har slutfört förutsättningarna ovan kan följande kommandon köras för att konfigurera servern för att ha stöd för platsspecifik SAML.

  1. Konfigurera serveromfattande SAML. Som ett minimum måste följande TSM-kommando köras (gå till steg 2 om du redan har konfigurerat serveromfattande SAML):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Aktivera plats-SAML. Kör följande kommandon:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Om kommandon

Kommandot sitesaml enable visar fliken Autentisering på sidan Inställningar på varje plats i Tableau Server-webbgränssnittet. När servern har konfigurerats för att ha stöd för plats-SAML kan du fortsätta till Konfigurera SAML för en plats för att fungerar genom inställningarna på fliken Autentisering.

Om de väntande ändringarna kräver att servern startas om visar kommandot pending-changes apply en kommandotolk så att du vet att en omstart kommer att ske. Kommandotolken visas även om servern stoppas, men i så fall sker ingen omstart. Du kan utelämna tolken med alternativet --ignore-prompt, men det påverkar inte omstartsbeteendet. Om ändringarna inte kräver omstart används de utan någon kommandotolk. Du hittar mer information i tsm pending-changes apply.

Du kan köra följande kommando först för att granska de kommandon och inställningar som kommer att utföras när du kör pending-changes apply:

tsm pending-changes list --config-only

Konfigurera SAML för en plats

Det här avsnittet tar dig igenom konfigurationsstegen som visas på fliken Autentisering på sidan Inställningar i Tableau Server. I en lokal serverinstallation med Tableau Server visas denna sida endast när stöd för platsspecifik SAML är aktiverat på servernivå.

Obs! För att slutföra denna process behöver du även den dokumentation som din IdP tillhandahåller. Leta efter ämnen som hänvisar till att konfigurera eller definiera en tjänsteleverantör för en SAML-anslutning, eller lägga till ett program.

Steg 1: Exportera metadata från Tableau
Steg 2 och steg 3: Externa steg
Steg 4: Importera IdP-metadata till Tableau-webbplatsen
Steg 5: Matcha attribut
Steg 6: Hantera användare
Steg 7: Felsökning