เอนทิตี samlSettings

บทความนี้ประกอบด้วยเทมเพลตและข้อมูลอ้างอิงสำหรับการกำหนดค่า SAML บนเซิร์ฟเวอร์ทั้งหมดบน Tableau Server โดยใช้ไฟล์กำหนดค่าที่มีคีย์และค่าสำหรับเอนทิตี samlSettings ข้อมูลนี้ใช้เสริมกับขั้นตอนการกำหนดค่า SAML ใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

หากต้องการสร้างเทมเพลตการกำหนดค่า SAML และปรับใช้กับ Tableau Server คุณจะต้องดำเนินการตามขั้นตอนต่อไปนี้:

  1. อ่านทั้งสองส่วนต่อไปนี้ที่อธิบายเทมเพลตและโครงสร้างของเทมเพลต (ประเภทและนิยามของเทมเพลต และ เทมเพลตการกำหนดค่า samlSettings)

  2. วางโค้ด JSON ที่แสดงในเทมเพลตลงในไฟล์ข้อความใหม่ แล้วบันทึกไฟล์โดยใช้ส่วนขยาย .json

  3. ใช้ ข้อมูลอ้างอิงเอนทิตีการกำหนดค่า SAML เพื่อช่วยในการกรอกค่าที่จำเป็น

  4. เพิ่มคู่คีย์/ค่าเพิ่มเติมสำหรับสภาพแวดล้อมการใช้งานของคุณ เช่น หากไฟล์คีย์ใบรับรอง SAML ของคุณจำเป็นต้องมีวลีรหัสผ่าน คุณจะต้องระบุรหัสผ่านในพารามิเตอร์ wgserver.saml.key.passphrase โดยใช้คำสั่ง เซตใน tsm configuration

  5. ส่งไฟล์การกำหนดค่าไปยัง Tableau Server

ประเภทและนิยามของเทมเพลต

เทมเพลตใช้ตัวอย่างข้อความสำหรับค่าคีย์แต่ละรายการ ตัวอย่างข้อความแบ่งออกเป็นประเภทต่อไปนี้:

  • บังคับ: แอตทริบิวต์ที่มีค่า "required" จะต้องแทนที่ด้วยข้อมูลที่ถูกต้องก่อนที่คุณจะเรียกใช้คำสั่งกำหนดค่า ดูข้อมูลอ้างอิงไฟล์กำหนดค่าสำหรับค่าที่ถูกต้อง

  • ข้อมูลที่ฝังในโค้ด: ชื่อแอตทริบิวต์ที่มาพร้อมกับเครื่องหมายสัญประกาศ (_) เช่น "_type" มีค่าข้อมูลที่ฝังในโค้ด ห้ามเปลี่ยนค่าเหล่านี้

  • ค่าเริ่มต้น: แอตทริบิวต์ที่ตั้งค่าเป็นค่าที่ไม่ "required" ถือเป็นค่าเริ่มต้น ค่าเหล่านี้คือแอตทริบิวต์บังคับที่คุณสามารถเปลี่ยนได้ตามเหมาะสมตามสภาพแวดล้อมของคุณ

  • เซตว่าง: ค่าที่ว่าง ("") สามารถปล่อยผ่านไปได้หรือคุณสามารถใส่ค่าตามการติดตั้งที่คุณต้องการได้เช่นกัน

สำคัญ: ตัวเลือกเอนทิตีทั้งหมดคำนึงถึงตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก

เทมเพลตการกำหนดค่า samlSettings

วางโค้ดลงในไฟล์ข้อความและปรับแต่งตามสภาพแวดล้อมของคุณโดยใช้ข้อมูลอ้างอิงด้านล่าง

{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }

ข้อมูลอ้างอิงเอนทิตีการกำหนดค่า SAML

รายการต่อไปนี้ประกอบด้วยตัวเลือกทั้งหมดที่คุณสามารถใช้ได้ในเซตเอนทิตี "samlSettings"

idpMetadataFile

จำเป็น พาธและชื่อไฟล์สำหรับไฟล์ XML ที่สร้างโดย IdP เมตาดาต้า XML จะต้องประกอบด้วยแอตทริบิวต์ชื่อผู้ใช้ (ยืนยันตัวตน)

หากคุณทำตามขั้นตอนที่ระบุไว้ใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ แล้ว ค่าที่คุณจะต้องป้อนจะเป็น:

/var/opt/tableau/tableau_server/data/saml/<metadata-file.xml>

เปิดใช้งาน

จริง | เท็จ

จำเป็น ระบุว่าการยืนยันตัวตน SAML เปิดใช้งานอยู่หรือไม่ ห้ามตั้งค่าตัวเลือกนี้เป็น true ก่อนตั้งค่าตัวเลือกการกำหนดค่า SAML ที่บังคับอื่นๆ

returnURL

โดยส่วนมากแล้วนี่คือ URL ภายนอกที่ผู้ใช้ Tableau Server ป้อนลงในเบราว์เซอร์เพื่อเข้าถึงเซิร์ฟเวอร์ เช่น https://tableau_server.example.com ค่านี้ใช้เพื่อสร้างแอตทริบิวต์ ACS URL เมื่อกำหนดค่า IdP

entityId

จำเป็น ค่า ID ของเอนทิตีผู้ให้บริการ (ในกรณีนี้คือ Tableau Server)

ระบุการกำหนดค่า Tableau Server กับ IdP เราแนะนำให้คุณป้อนค่าเดียวกันในตัวเลือก returnURL

idpUsernameAttribute

จำเป็น ในเมตาดาต้า IdP ให้ค้นหาแอตทริบิวต์ที่ใช้เพื่อระบุค่าชื่อผู้ใช้ แล้วป้อนชื่อของแอตทริบิวต์นั้น ค่าเริ่มต้นคือ username

certFile

จำเป็น ป้อนตำแหน่งและชื่อไฟล์ของไฟล์ใบรับรอง x509 (.crt) สำหรับ SAML ตัวอย่าง:

/var/opt/tableau/tableau_server/data/saml/<file.crt>

หากต้องการข้อมูลเพิ่มเติม โปรดดู ข้อกำหนดของ SAML และ กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

keyFile

จำเป็น ระบุตำแหน่งของไฟล์คีย์ส่วนตัว (.key) ที่มาพร้อมกับไฟล์การรับรองนั้น ตัวอย่าง:

/var/opt/tableau/tableau_server/data/saml/<file.key>

หมายเหตุ: หากคุณใช้คีย์ RSA PKCS#8 ที่บังคับใช้วลีรหัสผ่าน คุณจะต้องตั้งค่าวลีรหัสผ่านโดยใช้เอนทิตี configKey (ดู ตัวอย่างไฟล์การกำหนดค่า) หรือด้วย เซตใน tsm configuration คีย์สำหรับวลีรหัสผ่านที่ใช้วิธีนี้คือ wgserver.saml.key.passphrase ค่าจะต้องเป็นสตริงที่ไม่ใช่ค่าว่าง

idpDomainAttribute

สำหรับองค์กรที่ใช้ LDAP หรือ Active Directory ค่านี้จะเป็นตัวระบุว่าแอตทริบิวต์ SAML รายการใดที่ Tableau Server จะใช้อ้างอิงเพื่อกำหนดชื่อโดเมน เช่น หาก IdP ของคุณระบุชื่อโดเมนในแอตทริบิวต์ domain คุณจะต้องกำหนด domain สำหรับค่านี้ หมายเหตุ: สำหรับองค์กรที่มีผู้ใช้ลงชื่อเข้าใช้จากโดเมนที่หลากหลาย จำเป็นจะต้องระบุค่านี้

หากคุณไม่ระบุค่าสำหรับคีย์นี้ ค่าที่ใช้จะขึ้นอยู่กับการตั้งค่าการยืนยันตัวตนที่จัดเก็บไว้ใน Tableau Server:

  • สำหรับการจัดเก็บข้อมูลการยืนยันตัวตนในเครื่อง จะเพิกเฉยต่อค่า idpDomainAttribute

  • สำหรับการจัดเก็บข้อมูลการยืนยันตัวตน Active Directory หรือ LDAP Tableau จะใช้ FQDN จากการตั้งค่าการกำหนดค่า wgserver.domain.default

    หากต้องการรับค่าสำหรับ wgserver.domain.default คุณสามารถเรียกใช้คำสั่งต่อไปนี้:

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

จริง | เท็จ

ไม่บังคับ ช่วยให้ผู้ใช้สามารถใช้การยืนยันตัวตน SAML เมื่อลลงชื่อเข้าใช้จาก Tableau Desktop

ตัวเลือกนี้ไม่ได้ตั้งค่าไว้ตามค่าเริ่มต้น ดังนั้น หากต้องการใช้ให้ตั้งค่าเป็นเท็จ หากการระบุตัวตนเพื่อเข้าใช้งานระบบโดยการยืนยันตัวตนเพียงครั้งเดียวผ่านแอปพลิเคชันไคลเอนต์ของ Tableau ใช้งานไม่ได้กับ IdP คุณสามารถตั้งค่าให้เป็นจริงเพื่อปิดใช้งานการยืนยันตัวตน SAML ผ่าน Tableau Desktop

appNoSAML

จริง | เท็จ

ไม่บังคับ อนุญาตให้ใช้ SAML เพื่อเข้าสู่ระบบจากแอป Tableau Mobile เวอร์ชันเก่า อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 ขึ้นไปจะละเว้นตัวเลือกนี้ หากต้องการปิดใช้งานอุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 ขึ้นไป ให้ปิดใช้งาน SAML เป็นตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server

logoutEnabled

จริง | เท็จ

ไม่บังคับ ช่วยให้สามารถลงชื่อออกจากระบบครั้งเดียวสำหรับผู้ใช้ที่ลงชื่อเข้าใช้ด้วย SAML ค่าเริ่มต้นคือ true

เมตาดาต้าการกำหนดค่า IdP จะต้องประกอบด้วยเอนพอยต์การลงชื่ออกจากระบบแบบครั้งเดียวที่มี POST

การตั้งค่านี้ใช้สำหรับ SAML แบบทั่วทั้งเซิร์ฟเวอร์เท่านั้น

เมื่อตั้งค่าเป็น false Tableau Server จะไม่พยายามลงชื่อออกจากระบบแบบครั้งเดียว

logoutUrl

ไม่บังคับ ป้อน URL ที่จะเปลี่ยนเส้นทางไปหลังจากที่ผู้ใช้ออกจากระบบเซิร์ฟเวอร์ การตั้งค่าตัวเลือกจำเป็นจะต้องตั้งค่า logoutEnabled ให้เป็น true

ตามค่าเริ่มต้น นี่คือหน้าเข้าสู่ระบบ Tableau Server คุณสามารถระบุ URL แบบสัมบูรณ์หรือแบบสัมพัทธ์ได้

maxAuthenticationAge

ไม่บังคับ ระบุจำนวนวินาทีสูงสุดที่อนุญาตระหว่างการยืนยันตัวตนของผู้ใช้ด้วย IdP และกระบวนการข้อความ AuthNResponse ค่าเริ่มต้นคือ -1 ซึ่งหมายความว่า maxAuthenticationAge ไม่ได้รับการกำหนดหรือถูกละเว้นเอาไว้โดยค่าเริ่มต้น ก่อนเดือนกุมภาพันธ์ 2022 ค่าเริ่มต้นคือ 7200 (2 ชั่วโมง)

หากต้องการเพิ่มระยะเวลาของเซสชันให้ใช้ค่ากำหนดระยะเวลาตามที่ตั้งค่าไว้ใน IdP

maxAssertionTime

ไม่บังคับ ระบุจำนวนวินาทีสูงสุดนับตั้งแต่การสร้างที่สามารถใช้งานการยืนยัน SAML ได้ ค่าเริ่มต้นคือ 3000 (50 นาที)

sha256Enabled

จริง | เท็จ

ไม่บังคับ ประเภทของงลายเซ็นที่ Tableau Server จะใช้เมื่อส่งข้อความไปยัง IdP เมื่อตั้งค่าเป็น true Tableau Server จะลงลายเซ็นในข้อความด้วยอัลกอริทึมลายเซ็น SHA 256 เมื่อตั้งค่าเป็น false Tableau Server จะลงลายเซ็นในข้อความด้วย SHA 1 ค่าเริ่มต้นคือ true

ตัวเลือกนี้จะตั้งค่าอัลกอริทึมลายเซ็นเป็นข้อความต่อไปนี้ที่ Tableau Server เซ็น: 

  • ข้อความ AuthnRequest เมื่อเปิดใช้งาน signRequests
  • ข้อความ LogoutRequest หากเปิดใช้งาน logoutEnabled

signRequests

จริง | เท็จ

ไม่บังคับ ระบุว่า Tableau Server จะเซ็น AuthnRequests ที่ส่งไปยัง IdP หรือไม่ คำขอที่ลงนามไม่ได้จำเป็นสำหรับ IdP ทั้งหมดเสมอไป เราแนะนำให้เซ็นในคำร้องขอเพื่อให้แน่ใจว่าเป็นตัวเลือกที่ปลอดภัยที่สุดเมื่อกำหนดค่า SAML หากต้องการตรวจสอบว่า IdP ของคุณยอมรับคำขอที่มีลายเซ็นหรือไม่ ให้ตรวจสอบที่เมตาดาต้าของ IdP: หากตั้งค่า wantAuthnRequestsSigned เป็น true หมายความว่า IdP ของคุณยอมรับคำขอที่มีลายเซ็น

ค่าของค่าเริ่มต้นคือ true หากต้องการปิดใช้งานคำขอที่มีลายเซ็น ให้ตั้งค่าตัวเลือกนี้เป็น false

acceptableAuthnContexts

ไม่บังคับ ตั้งค่าแอตทริบิวต์ SAML AuthNContextClassRef แอตทริบิวต์แบบไม่บังคับนี้บังคับใช้การตรวจสอบการยืนยันตัวตน "บริบท" บางรายการในโฟล์วที่สร้างโดย IdP ตั้งค่าเซตของค่าที่ใช้จุลภาคแบ่งข้อมูลสำหรับแอตทริบิวต์นี้ เมื่อมีการตั้งค่าแอตทริบิวต์นี้ Tableau Server จะตรวจสอบว่าการตอบกลับ SAML มีค่าที่แสดงอย่างน้อย 1 ค่า หากการตอบกลับ SAML ไม่มีค่าที่กำหนดค่าไว้อย่างน้อย 1 ค่า ระบบจะปฏิเสธการตรวจสอบสิทธิ์แม้ว่าผู้ใช้ได้ตรวจสอบสิทธิ์ด้วย IdP เรียบร้อยแล้ว

หากปล่อยตัวเลือกนี้ให้ว่างจะทำงานตามค่าเริ่มต้น: การตอบกลับ SAML ที่ยืนยันตัวตนแล้วจะอนุญาตให้ผู้ใช้เข้าสู่เซสชันภายใน Tableau Server

iFramedIdpEnabled

จริง | เท็จ

ไม่บังคับ ค่าเริ่มต้นคือ false หมายความว่าผู้ใช้เลือกปุ่มลงชื่อเข้าใช้ที่อยู่บนมุมมองแบบฝัง แบบฟอร์มลงชื่อเข้าใช้ของ IdP จะแสดงขึ้นในหน้าต่างป๊อปอัพ

เมื่อคุณตั้งค่าให้เป็นจริง และผู้ใช้เซิร์ฟเวอร์ SAML ที่ลงชื่อเข้าใช้แล้วกำลังนำทางไปยังหน้าเว็บพร้อมมุมมองแบบฝัง ผู้ใช้ไม่จำเป็นต้องลงชื่อเข้าใช้เพื่อดูมุมมองนี้

คุณสามารถตั้งค่านี้เป็น True ได้ก็ต่อเมื่อ IdP รองรับการเข้าสู่ระบบภายใน iframe ตัวเลือก iframe มีความปลอดภัยน้อยกว่าการใช้ป๊อปอัป จึงไม่รองรับ IdP ทั้งหมด หากหน้าเข้าสู่ระบบ IdP ใช้การป้องกันการหลอกให้คลิก โดยส่วนใหญ่แล้วหน้าเข้าสู่ระบบจะไม่สามารถแสดงใน iframe และผู้ใช้จะเข้าสู่ระบบไม่ได้

หาก IdP ของคุณรองรับการเข้าสู่ระบบผ่าน iframe คุณอาจต้องเปิดใช้งานอย่างชัดแจ้ง อย่างไรก็ตาม แม้ว่าคุณจะสามารถใช้ตัวเลือกนี้ได้ แต่ตัวเลือกนี้ก็จะปิดใช้งานการป้องกันการหลอกให้คลิกของ Tableau Server สำหรับ SAML ดังนั้นจึงยังคงมีความเสี่ยงด้านความปลอดภัยอยู่ดี

ส่งไฟล์การกำหนดค่าไปยัง Tableau Server

หลังจากใส่ค่าที่เหมาะสมสำหรับแต่ละเอนทิตีที่คุณใส่ไว้ในเทมเพลตกำหนดค่าแล้ว ให้ใช้คำสั่งต่อไปนี้เพื่อส่งไฟล์ .json และปรับใช้การตั้งค่าไปยัง Tableau Server

tsm settings import -f path-to-file.json

tsm pending-changes apply

ดูเพิ่มเติม

หลังจากดำเนินการกำหนดค่าเริ่มต้น SAML เสร็จแล้ว ให้ใช้ tsm authentication mutual-ssl <คำสั่ง> เพื่อตั้งค่าเพิ่มเติม

หากต้องการข้อมูลอ้างอิงบรรทัดคำสั่งเพื่อกำหนดค่า SAML โปรดดู tsm authentication saml <คำสั่ง>

 

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ