เอนทิตี samlSettings
บทความนี้ประกอบด้วยเทมเพลตและข้อมูลอ้างอิงสำหรับการกำหนดค่า SAML บนเซิร์ฟเวอร์ทั้งหมดบน Tableau Server โดยใช้ไฟล์กำหนดค่าที่มีคีย์และค่าสำหรับเอนทิตี samlSettings
ข้อมูลนี้ใช้เสริมกับขั้นตอนการกำหนดค่า SAML ใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
หากต้องการสร้างเทมเพลตการกำหนดค่า SAML และปรับใช้กับ Tableau Server คุณจะต้องดำเนินการตามขั้นตอนต่อไปนี้:
อ่านทั้งสองส่วนต่อไปนี้ที่อธิบายเทมเพลตและโครงสร้างของเทมเพลต (ประเภทและนิยามของเทมเพลต และ เทมเพลตการกำหนดค่า samlSettings)
วางโค้ด JSON ที่แสดงในเทมเพลตลงในไฟล์ข้อความใหม่ แล้วบันทึกไฟล์โดยใช้ส่วนขยาย .json
ใช้ ข้อมูลอ้างอิงเอนทิตีการกำหนดค่า SAML เพื่อช่วยในการกรอกค่าที่จำเป็น
เพิ่มคู่คีย์/ค่าเพิ่มเติมสำหรับสภาพแวดล้อมการใช้งานของคุณ เช่น หากไฟล์คีย์ใบรับรอง SAML ของคุณจำเป็นต้องมีวลีรหัสผ่าน คุณจะต้องระบุรหัสผ่านในพารามิเตอร์
wgserver.saml.key.passphrase
โดยใช้คำสั่ง เซตใน tsm configuration
ประเภทและนิยามของเทมเพลต
เทมเพลตใช้ตัวอย่างข้อความสำหรับค่าคีย์แต่ละรายการ ตัวอย่างข้อความแบ่งออกเป็นประเภทต่อไปนี้:
บังคับ: แอตทริบิวต์ที่มีค่า
"required"
จะต้องแทนที่ด้วยข้อมูลที่ถูกต้องก่อนที่คุณจะเรียกใช้คำสั่งกำหนดค่า ดูข้อมูลอ้างอิงไฟล์กำหนดค่าสำหรับค่าที่ถูกต้องข้อมูลที่ฝังในโค้ด: ชื่อแอตทริบิวต์ที่มาพร้อมกับเครื่องหมายสัญประกาศ (_) เช่น
"_type"
มีค่าข้อมูลที่ฝังในโค้ด ห้ามเปลี่ยนค่าเหล่านี้ค่าเริ่มต้น: แอตทริบิวต์ที่ตั้งค่าเป็นค่าที่ไม่
"required"
ถือเป็นค่าเริ่มต้น ค่าเหล่านี้คือแอตทริบิวต์บังคับที่คุณสามารถเปลี่ยนได้ตามเหมาะสมตามสภาพแวดล้อมของคุณเซตว่าง: ค่าที่ว่าง (
""
) สามารถปล่อยผ่านไปได้หรือคุณสามารถใส่ค่าตามการติดตั้งที่คุณต้องการได้เช่นกัน
สำคัญ: ตัวเลือกเอนทิตีทั้งหมดคำนึงถึงตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก
เทมเพลตการกำหนดค่า samlSettings
วางโค้ดลงในไฟล์ข้อความและปรับแต่งตามสภาพแวดล้อมของคุณโดยใช้ข้อมูลอ้างอิงด้านล่าง
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
ข้อมูลอ้างอิงเอนทิตีการกำหนดค่า SAML
รายการต่อไปนี้ประกอบด้วยตัวเลือกทั้งหมดที่คุณสามารถใช้ได้ในเซตเอนทิตี "samlSettings"
idpMetadataFile
จำเป็น พาธและชื่อไฟล์สำหรับไฟล์ XML ที่สร้างโดย IdP เมตาดาต้า XML จะต้องประกอบด้วยแอตทริบิวต์ชื่อผู้ใช้ (ยืนยันตัวตน)
หากคุณทำตามขั้นตอนที่ระบุไว้ใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ แล้ว ค่าที่คุณจะต้องป้อนจะเป็น:
/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>
เปิดใช้งาน
จริง | เท็จ
จำเป็น ระบุว่าการยืนยันตัวตน SAML เปิดใช้งานอยู่หรือไม่ ห้ามตั้งค่าตัวเลือกนี้เป็น
true
ก่อนตั้งค่าตัวเลือกการกำหนดค่า SAML ที่บังคับอื่นๆ
returnURL
โดยส่วนมากแล้วนี่คือ URL ภายนอกที่ผู้ใช้ Tableau Server ป้อนลงในเบราว์เซอร์เพื่อเข้าถึงเซิร์ฟเวอร์ เช่น
https://tableau_server.example.com
ค่านี้ใช้เพื่อสร้างแอตทริบิวต์ ACS URL เมื่อกำหนดค่า IdP
entityId
จำเป็น ค่า ID ของเอนทิตีผู้ให้บริการ (ในกรณีนี้คือ Tableau Server)
ระบุการกำหนดค่า Tableau Server กับ IdP เราแนะนำให้คุณป้อนค่าเดียวกันในตัวเลือก
returnURL
idpUsernameAttribute
จำเป็น ในเมตาดาต้า IdP ให้ค้นหาแอตทริบิวต์ที่ใช้เพื่อระบุค่าชื่อผู้ใช้ แล้วป้อนชื่อของแอตทริบิวต์นั้น ค่าเริ่มต้นคือ
username
certFile
จำเป็น ป้อนตำแหน่งและชื่อไฟล์ของไฟล์ใบรับรอง x509 (.crt) สำหรับ SAML ตัวอย่าง:
/var/opt/tableau/tableau_server/data/saml/<file.crt>
หากต้องการข้อมูลเพิ่มเติม โปรดดู ข้อกำหนดของ SAML และ กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
keyFile
จำเป็น ระบุตำแหน่งของไฟล์คีย์ส่วนตัว (.key) ที่มาพร้อมกับไฟล์การรับรองนั้น ตัวอย่าง:
/var/opt/tableau/tableau_server/data/saml/<file.key>
หมายเหตุ: หากคุณใช้คีย์ RSA PKCS#8 ที่บังคับใช้วลีรหัสผ่าน คุณจะต้องตั้งค่าวลีรหัสผ่านโดยใช้เอนทิตี configKey (ดู ตัวอย่างไฟล์การกำหนดค่า) หรือด้วย เซตใน tsm configuration คีย์สำหรับวลีรหัสผ่านที่ใช้วิธีนี้คือ
wgserver.saml.key.passphrase
ค่าจะต้องเป็นสตริงที่ไม่ใช่ค่าว่าง
idpDomainAttribute
สำหรับองค์กรที่ใช้ LDAP หรือ Active Directory ค่านี้จะเป็นตัวระบุว่าแอตทริบิวต์ SAML รายการใดที่ Tableau Server จะใช้อ้างอิงเพื่อกำหนดชื่อโดเมน เช่น หาก IdP ของคุณระบุชื่อโดเมนในแอตทริบิวต์
domain
คุณจะต้องกำหนดdomain
สำหรับค่านี้ หมายเหตุ: สำหรับองค์กรที่มีผู้ใช้ลงชื่อเข้าใช้จากโดเมนที่หลากหลาย จำเป็นจะต้องระบุค่านี้หากคุณไม่ระบุค่าสำหรับคีย์นี้ ค่าที่ใช้จะขึ้นอยู่กับการตั้งค่าการยืนยันตัวตนที่จัดเก็บไว้ใน Tableau Server:
สำหรับการจัดเก็บข้อมูลการยืนยันตัวตนในเครื่อง จะเพิกเฉยต่อค่า
idpDomainAttribute
สำหรับการจัดเก็บข้อมูลการยืนยันตัวตน Active Directory หรือ LDAP Tableau จะใช้ FQDN จากการตั้งค่าการกำหนดค่า
wgserver.domain.default
หากต้องการรับค่าสำหรับ
wgserver.domain.default
คุณสามารถเรียกใช้คำสั่งต่อไปนี้:tsm configuration get --key wgserver.domain.default
desktopNoSAML
จริง | เท็จ
ไม่บังคับ ช่วยให้ผู้ใช้สามารถใช้การยืนยันตัวตน SAML เมื่อลลงชื่อเข้าใช้จาก Tableau Desktop
ตัวเลือกนี้ไม่ได้ตั้งค่าไว้ตามค่าเริ่มต้น ดังนั้น หากต้องการใช้ให้ตั้งค่าเป็นเท็จ หากการระบุตัวตนเพื่อเข้าใช้งานระบบโดยการยืนยันตัวตนเพียงครั้งเดียวผ่านแอปพลิเคชันไคลเอนต์ของ Tableau ใช้งานไม่ได้กับ IdP คุณสามารถตั้งค่าให้เป็นจริงเพื่อปิดใช้งานการยืนยันตัวตน SAML ผ่าน Tableau Desktop
appNoSAML
จริง | เท็จ
ไม่บังคับ อนุญาตให้ใช้ SAML เพื่อเข้าสู่ระบบจากแอป Tableau Mobile เวอร์ชันเก่า อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 ขึ้นไปจะละเว้นตัวเลือกนี้ หากต้องการปิดใช้งานอุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 ขึ้นไป ให้ปิดใช้งาน SAML เป็นตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server
logoutEnabled
จริง | เท็จ
ไม่บังคับ ช่วยให้สามารถลงชื่อออกจากระบบครั้งเดียวสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วย SAML ค่าเริ่มต้นคือ
true
เมตาดาต้าการกำหนดค่า IdP จะต้องประกอบด้วยเอนพอยต์การลงชื่ออกจากระบบแบบครั้งเดียวที่มี POST
การตั้งค่านี้ใช้สำหรับ SAML แบบทั่วทั้งเซิร์ฟเวอร์เท่านั้น
เมื่อตั้งค่าเป็น
false
Tableau Server จะไม่พยายามลงชื่อออกจากระบบแบบครั้งเดียว
logoutUrl
ไม่บังคับ ป้อน URL ที่จะเปลี่ยนเส้นทางไปหลังจากที่ผู้ใช้ออกจากระบบเซิร์ฟเวอร์ การตั้งค่าตัวเลือกจำเป็นจะต้องตั้งค่า
logoutEnabled
ให้เป็นtrue
ตามค่าเริ่มต้น นี่คือหน้าเข้าสู่ระบบ Tableau Server คุณสามารถระบุ URL แบบสัมบูรณ์หรือแบบสัมพัทธ์ได้
maxAuthenticationAge
ไม่บังคับ ระบุจำนวนวินาทีสูงสุดที่อนุญาตระหว่างการยืนยันตัวตนของผู้ใช้ด้วย IdP และกระบวนการข้อความ AuthNResponse ค่าเริ่มต้นคือ -1 ซึ่งหมายความว่า maxAuthenticationAge ไม่ได้รับการกำหนดหรือถูกละเว้นเอาไว้โดยค่าเริ่มต้น ก่อนเดือนกุมภาพันธ์ 2022 ค่าเริ่มต้นคือ 7200 (2 ชั่วโมง)
หากต้องการเพิ่มระยะเวลาของเซสชันให้ใช้ค่ากำหนดระยะเวลาตามที่ตั้งค่าไว้ใน IdP
maxAssertionTime
ไม่บังคับ ระบุจำนวนวินาทีสูงสุดนับตั้งแต่การสร้างที่สามารถใช้งานการยืนยัน SAML ได้ ค่าเริ่มต้นคือ 3000 (50 นาที)
sha256Enabled
จริง | เท็จ
ไม่บังคับ ประเภทของงลายเซ็นที่ Tableau Server จะใช้เมื่อส่งข้อความไปยัง IdP เมื่อตั้งค่าเป็น
true
Tableau Server จะลงลายเซ็นในข้อความด้วยอัลกอริทึมลายเซ็น SHA 256 เมื่อตั้งค่าเป็นfalse
Tableau Server จะลงลายเซ็นในข้อความด้วย SHA 1 ค่าเริ่มต้นคือtrue
ตัวเลือกนี้จะตั้งค่าอัลกอริทึมลายเซ็นเป็นข้อความต่อไปนี้ที่ Tableau Server เซ็น:
- ข้อความ AuthnRequest เมื่อเปิดใช้งาน
signRequests
- ข้อความ LogoutRequest หากเปิดใช้งาน
logoutEnabled
- ข้อความ AuthnRequest เมื่อเปิดใช้งาน
signRequests
จริง | เท็จ
ไม่บังคับ ระบุว่า Tableau Server จะเซ็น AuthnRequests ที่ส่งไปยัง IdP หรือไม่ คำขอที่ลงนามไม่ได้จำเป็นสำหรับ IdP ทั้งหมดเสมอไป เราแนะนำให้เซ็นในคำร้องขอเพื่อให้แน่ใจว่าเป็นตัวเลือกที่ปลอดภัยที่สุดเมื่อกำหนดค่า SAML หากต้องการตรวจสอบว่า IdP ของคุณยอมรับคำขอที่มีลายเซ็นหรือไม่ ให้ตรวจสอบที่เมตาดาต้าของ IdP: หากตั้งค่า
wantAuthnRequestsSigned
เป็นtrue
หมายความว่า IdP ของคุณยอมรับคำขอที่มีลายเซ็นค่าของค่าเริ่มต้นคือ
true
หากต้องการปิดใช้งานคำขอที่มีลายเซ็น ให้ตั้งค่าตัวเลือกนี้เป็นfalse
acceptableAuthnContexts
ไม่บังคับ ตั้งค่าแอตทริบิวต์ SAML
AuthNContextClassRef
แอตทริบิวต์แบบไม่บังคับนี้บังคับใช้การตรวจสอบการยืนยันตัวตน "บริบท" บางรายการในโฟล์วที่สร้างโดย IdP ตั้งค่าเซตของค่าที่ใช้จุลภาคแบ่งข้อมูลสำหรับแอตทริบิวต์นี้ เมื่อมีการตั้งค่าแอตทริบิวต์นี้ Tableau Server จะตรวจสอบว่าการตอบกลับ SAML มีค่าที่แสดงอย่างน้อย 1 ค่า หากการตอบกลับ SAML ไม่มีค่าที่กำหนดค่าไว้อย่างน้อย 1 ค่า ระบบจะปฏิเสธการตรวจสอบสิทธิ์แม้ว่าผู้ใช้ได้ตรวจสอบสิทธิ์ด้วย IdP เรียบร้อยแล้วหากปล่อยตัวเลือกนี้ให้ว่างจะทำงานตามค่าเริ่มต้น: การตอบกลับ SAML ที่ยืนยันตัวตนแล้วจะอนุญาตให้ผู้ใช้เข้าสู่เซสชันภายใน Tableau Server
iFramedIdpEnabled
จริง | เท็จ
ไม่บังคับ ค่าเริ่มต้นคือ
false
หมายความว่าผู้ใช้เลือกปุ่มลงชื่อเข้าใช้ที่อยู่บนมุมมองแบบฝัง แบบฟอร์มลงชื่อเข้าใช้ของ IdP จะแสดงขึ้นในหน้าต่างป๊อปอัพเมื่อคุณตั้งค่าให้เป็นจริง และผู้ใช้เซิร์ฟเวอร์ SAML ที่ลงชื่อเข้าใช้แล้วกำลังนำทางไปยังหน้าเว็บพร้อมมุมมองแบบฝัง ผู้ใช้ไม่จำเป็นต้องลงชื่อเข้าใช้เพื่อดูมุมมองนี้
คุณสามารถตั้งค่านี้เป็น True ได้ก็ต่อเมื่อ IdP รองรับการเข้าสู่ระบบภายใน iframe ตัวเลือก iframe มีความปลอดภัยน้อยกว่าการใช้ป๊อปอัป จึงไม่รองรับ IdP ทั้งหมด หากหน้าเข้าสู่ระบบ IdP ใช้การป้องกันการหลอกให้คลิก โดยส่วนใหญ่แล้วหน้าเข้าสู่ระบบจะไม่สามารถแสดงใน iframe และผู้ใช้จะเข้าสู่ระบบไม่ได้
หาก IdP ของคุณรองรับการเข้าสู่ระบบผ่าน iframe คุณอาจต้องเปิดใช้งานอย่างชัดแจ้ง อย่างไรก็ตาม แม้ว่าคุณจะสามารถใช้ตัวเลือกนี้ได้ แต่ตัวเลือกนี้ก็จะปิดใช้งานการป้องกันการหลอกให้คลิกของ Tableau Server สำหรับ SAML ดังนั้นจึงยังคงมีความเสี่ยงด้านความปลอดภัยอยู่ดี
ส่งไฟล์การกำหนดค่าไปยัง Tableau Server
หลังจากใส่ค่าที่เหมาะสมสำหรับแต่ละเอนทิตีที่คุณใส่ไว้ในเทมเพลตกำหนดค่าแล้ว ให้ใช้คำสั่งต่อไปนี้เพื่อส่งไฟล์ .json และปรับใช้การตั้งค่าไปยัง Tableau Server
tsm settings import -f path-to-file.json
tsm pending-changes apply
ดูเพิ่มเติม
หลังจากดำเนินการกำหนดค่าเริ่มต้น SAML เสร็จแล้ว ให้ใช้ tsm authentication mutual-ssl <คำสั่ง> เพื่อตั้งค่าเพิ่มเติม
หากต้องการข้อมูลอ้างอิงบรรทัดคำสั่งเพื่อกำหนดค่า SAML โปรดดู tsm authentication saml <คำสั่ง>