กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์


ใช้ SAML เฉพาะไซต์ในสภาพแวดล้อมแบบหลายไซต์เมื่อต้องการเปิดใช้การลงชื่อเพียงครั้งเดียว และยังใช้ผู้ให้บริการข้อมูลประจำตัว SAML (IdP) หลายรายหรือแอปพลิเคชัน IdP ด้วย เมื่อเปิดใช้ SAML ของไซต์ คุณสามารถระบุ IdP หรือแอปพลิเคชัน IdP สำหรับแต่ละไซต์ หรือกำหนดค่าบางไซต์ให้ใช้ SAML และไซต์อื่นๆ ให้ใช้วิธีการตรวจสอบสิทธิ์แบบทั่วทั้งเซิร์ฟเวอร์เริ่มต้น

หากคุณต้องการให้ผู้ใช้เซิร์ฟเวอร์ทั้งหมดใช้ SAML และเข้าสู่ระบบผ่านแอปพลิเคชัน IdP เดียวกัน โปรดดู กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

ข้อกำหนดเบื้องต้นสำหรับการเปิดใช้ SAML เฉพาะไซต์

โปรดทำตามข้อกำหนดต่อไปนี้ก่อนแล้วจึงจะสามารถเปิดใช้การลงชื่อเพียงครั้งเดียวของ SAML ได้ในระดับไซต์

  • ต้องกำหนดค่าที่เก็บข้อมูลประจำตัว Tableau Server สำหรับที่เก็บข้อมูลประจำตัวในเครื่อง

     คุณไม่สามารถกำหนดค่า SAML เฉพาะไซต์ได้ในกรณีที่กำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลประจำตัวภายนอก เช่น Active Directory หรือ OpenLDAP

  • ตรวจสอบว่าสภาพแวดล้อมและ IdP ของคุณเป็นไปตามข้อกำหนดของ SAML

    ฟีเจอร์บางอย่างรองรับเฉพาะในการปรับใช้ SAML แบบทั่วทั้งเซิร์ฟเวอร์เท่านั้น ซึ่งรวมถึงแต่ไม่จำกัดเพียงดังนี้

    • ไฟล์สำคัญที่ป้องกันด้วยรหัสผ่าน ซึ่งไม่รองรับในการปรับใช้ SAML เฉพาะไซต์

  • คุณต้องกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์ก่อนที่จะกำหนดค่า SAML เฉพาะไซต์ ทั้งนี้ คุณไม่จำเป็นต้องเปิดใช้ SAML แบบทั่วทั้งเซิร์ฟเวอร์ แต่ SAML เฉพาะไซต์ต้องมีการกำหนดค่าแบบทั่วทั้งเซิร์ฟเวอร์ โปรดดู กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

  • บันทึกตำแหน่งของไฟล์ใบรับรอง SAML คุณจะแสดงตำแหน่งนี้เมื่อกำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์

    หากต้องการข้อมูลเพิ่มเติม โปรดดู สร้างข้อมูลเมตาและไฟล์ใบรับรองในหัวข้อเกี่ยวกับการกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์

  • เพิ่ม Tableau Server ในฐานะผู้ให้บริการไปยัง IdP โดยคุณจะสามารถดูข้อมูลนี้ได้ในเอกสารประกอบที่ IdP ให้มา

  • ยืนยันว่านาฬิการะบบของคอมพิวเตอร์ที่โฮสต์ SAML IdP ของไซต์และคอมพิวเตอร์ที่โฮสต์ Tableau Server อยู่ในช่วงที่ห่างกันไม่เกิน 59 วินาที Tableau Server ไม่มีตัวเลือกการกำหนดค่าเพื่อปรับความคลาดเคลื่อนของการตอบสนอง (ความต่างเรื่องเวลา) ระหว่างคอมพิวเตอร์ Tableau Server และ IdP

การตั้งค่าแบบทั่วทั้งเซิร์ฟเวอร์ที่เกี่ยวข้องกับ SAML เฉพาะไซต์

URL การส่งคืนและ ID เอนทิตี: ในการตั้งค่าสำหรับการกำหนดค่า SAML เฉพาะไซต์ Tableau จะระบุ URL การส่งคืนเฉพาะไซต์และ ID เอนทิตีที่อิงตามการตั้งค่าเหล่านี้ โดยจะไม่สามารถแก้ไข URL การส่งคืนเฉพาะไซต์และ ID เอนทิตีได้ การกำหนดค่าเหล่านี้ตั้งค่าโดย TSM ตามที่อธิบายไว้ในกำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

อายุการตรวจสอบสิทธิ์และความคลาดเคลื่อนของการตอบสนอง: การตั้งค่าแบบทั่วทั้งเซิร์ฟเวอร์ อายุการตรวจสอบสิทธิ์สูงสุด และความคลาดเคลื่อนของการตอบสนองไม่มีผลกับ SAML เฉพาะไซต์ โดยการกำหนดค่าเหล่านี้เป็นแบบฮาร์ดโค้ด

  • อายุการตรวจสอบสิทธิ์สูงสุดหมายถึงระยะเวลาที่โทเค็นการตรวจสอบสิทธิ์จาก IdP ใช้ได้หลังจากที่มีการออกโทเค็น โดย SAML เฉพาะไซต์จะมีอายุการตรวจสอบสิทธิ์สูงสุดแบบฮาร์ดโค้ดเท่ากับ 24 วัน
  • ความคลาดเคลื่อนของการตอบสนองคือจำนวนวินาทีที่ต่างกันสูงสุดระหว่างเวลาของ Tableau Server กับเวลาของการสร้างการยืนยัน (ตามเวลาของเซิร์ฟเวอร์ IdP) ที่ยังคงอนุญาตให้ประมวลผลข้อความได้ โดยค่าเฉพาะไซต์แบบฮาร์ดโค้ดสำหรับสิ่งนี้คือ 59 วินาที

ชื่อผู้ใช้: จำเป็น นอกเหนือจากแอตทริบิวต์การกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์แล้ว ยังต้องตั้งค่าการกำหนดค่า SAML เฉพาะไซต์เป็น “ชื่อผู้ใช้”

หมายเหตุ: เพื่อให้ SAML เฉพาะไซต์สามารถทำงานด้วยค่าดีฟอลต์ SAML ทั่วทั้งเซิร์ฟเวอร์ได้อย่างประสบความสำเร็จ แอตทริบิวต์ของชื่อผู้ใช้ที่กำหนดค่าสำหรับ SAML ทั่วทั้งเซิร์ฟเวอร์ด้วยคีย์การกำหนดค่า wgserver.saml.idpattribute.username ต้องเป็น "ชื่อผู้ใช้" IdP ที่ใช้สำหรับ SAML ทั่วทั้งเซิร์ฟเวอร์จะต้องส่งชื่อผู้ใช้ในแอตทริบิวต์ที่มีชื่อว่า "ชื่อผู้ใช้"

แบบฟอร์มสำหรับการจับคู่แอตทริบิวต์จากผู้ให้บริการข้อมูลประจำตัว

HTTP POST และ HTTP REDIRECT: สำหรับ SAML เฉพาะไซต์ Tableau Server รองรับ HTTP-POST, HTTP-REDIRECT และ HTTP-POST-SimpleSign

กำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์

หลังจากทำตามข้อกำหนดเบื้องต้นที่แสดงไว้ข้างต้นแล้ว คุณสามารถเรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์ได้

  1. กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ อย่างน้อยที่สุด คุณต้องเรียกใช้คำสั่ง TSM ต่อไปนี้ (หากคุณกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์ไว้แล้ว ให้ข้ามไปยังขั้นตอนที่ 2)

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. เปิดใช้ SAML ของไซต์ เรียกใช้คำสั่งต่อไปนี้:

    tsm authentication sitesaml enable

    tsm pending-changes apply

เกี่ยวกับคำสั่ง

คำสั่ง sitesaml enable จะแสดงแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่าของแต่ละไซต์ใน UI เว็บของ Tableau Server หลังจากที่กำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML ของไซต์แล้ว คุณสามารถกำหนดค่า SAML สำหรับไซต์ให้ทำงานผ่านการตั้งค่าในแท็บการตรวจสอบสิทธิ์ได้อย่างต่อเนื่อง

หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

หากต้องการตรวจสอบคำสั่งและการตั้งค่าที่จะดำเนินการเมื่อเรียกใช้ pending-changes apply คุณสามารถเรียกใช้คำสั่งต่อไปนี้ก่อนได้

tsm pending-changes list --config-only

กำหนดค่า SAML สำหรับไซต์

ส่วนนี้จะนำคุณไปยังขั้นตอนการกำหนดค่าที่ปรากฏบนแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่า Tableau Server ในการติดตั้ง Tableau Server ที่โฮสต์เอง หน้านี้จะปรากฏขึ้นก็ต่อเมื่อเปิดใช้งานการรองรับ SAML เฉพาะไซต์ที่ระดับเซิร์ฟเวอร์เท่านั้น

หมายเหตุ: หากต้องการดำเนินการขั้นตอนนี้ให้เสร็จสิ้น คุณจะต้องมีเอกสารประกอบที่ IdP ให้มา ค้นหาหัวข้อที่พูดถึงการกำหนดค่าหรือการกำหนดผู้ให้บริการสำหรับการเชื่อมต่อ SAML หรือการเพิ่มแอปพลิเคชัน

ขั้นตอนที่ 1: ส่งออกข้อมูลเมตาจาก Tableau

หากต้องการสร้างการเชื่อมต่อ SAML ระหว่าง Tableau Server และ IdP คุณต้องแลกเปลี่ยนข้อมูลเมตาที่จำเป็นระหว่างทั้งสองบริการ หากต้องการรับเมตาดาต้าจาก Tableau Server ให้เลือกขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้ ดูเอกสารการกำหนดค่า SAML ของ IdP เพื่อยืนยันตัวเลือกที่ถูกต้อง

  • เลือกปุ่มส่งออกเมตาดาต้าเพื่อดาวน์โหลดไฟล์ XML ที่มีรหัสเอนทิตี SAML Tableau Server, Assertion Consumer Service (ACS) URL และใบรับรอง X.509

    รหัสเอนทิตีเป็นแบบเฉพาะไซต์ และอิงตามรหัสเอนทิตีทั่วทั้งเซิร์ฟเวอร์ที่คุณระบุเมื่อคุณเปิดใช้งาน SAML ของไซต์บนเซิร์ฟเวอร์ ตัวอย่างเช่น หากคุณระบุ https://tableau_server คุณอาจเห็นรหัสเอนทิตีต่อไปนี้สำหรับไซต์:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    คุณแก้ไขรหัสเอนทิตีเฉพาะไซต์หรือ URL ของ ACS ที่ Tableau สร้างขึ้นไม่ได้

  • เลือกดาวน์โหลดใบรับรองหาก IdP ของคุณต้องการข้อมูลที่จำเป็นในลักษณะที่ต่างออกไป ตัวอย่างเช่น หากต้องการให้คุณป้อนรหัสเอนทิตี Tableau Server, ACS URL และใบรับรอง X.509 ในตำแหน่งที่แยกจากกัน

    รูปภาพต่อไปนี้ได้รับการแก้ไขเพื่อแสดงว่าการตั้งค่าเหล่านี้เหมือนกันใน Tableau Cloud และ Tableau Server

    แบบฟอร์มที่มีตัวเลือกสำหรับการดึงเมตาดาต้า

ขั้นตอนที่ 2 และ 3: ขั้นตอนภายนอก

สำหรับขั้นตอนที่ 2 ในการนำเข้าเมตาดาต้าที่คุณส่งออกในขั้นตอนที่ 1 ให้เข้าสู่ระบบบัญชี IdP และใช้คำแนะนำในเอกสารของ IdP เพื่อส่งเมตาดาต้า Tableau Server

สำหรับขั้นตอนที่ 3 เอกสารของ IdP จะแนะนำคุณเกี่ยวกับวิธีการให้เมตาดาต้าแก่ผู้ให้บริการ ซึ่งจะแนะนำให้คุณดาวน์โหลดไฟล์ข้อมูลเมตาหรือจะแสดงโค้ด XML หากแสดงโค้ด XML ให้คัดลอกและวางโค้ดลงในไฟล์ข้อความใหม่ แล้วบันทึกไฟล์ด้วยนามสกุล .xml

ขั้นตอนที่ 4: นำเข้าข้อมูลเมตา IdP ไปยังไซต์ Tableau

ในหน้าการตรวจสอบสิทธิใน Tableau Server ให้นำเข้าไฟล์ข้อมูลเมตาที่คุณดาวน์โหลดจาก IdP หรือกำหนดค่าด้วยตนเองจาก XML ที่ให้มา

หมายเหตุ: หากแก้ไขการกำหนดค่า คุณจะต้องอัปโหลดไฟล์เมตาดาต้าเพื่อให้ Tableau รู้ว่าจะใช้ ID เอนทิตี IdP และ URL ของบริการ SSO ที่ถูกต้อง

ขั้นตอนที่ 5: แมปแอตทริบิวต์

แอตทริบิวต์ประกอบด้วยการตรวจสอบสิทธิ การให้สิทธิ และข้อมูลอื่นๆ เกี่ยวกับผู้ใช้ ในคอลัมน์ชื่อการยืนยันผู้ให้บริการข้อมูลเข้าสู่ระบบ (IdP) ให้ระบุแอตทริบิวต์ที่มีข้อมูลที่ Tableau Server ต้องการ

  • ชื่อผู้ใช้หรืออีเมล: (จำเป็น) ป้อนชื่อแอตทริบิวต์ที่เก็บชื่อผู้ใช้หรือที่อยู่อีเมล

  • ชื่อที่แสดง: (ไม่บังคับ) บาง IdP ใช้แอตทริบิวต์แบบแยกกันสำหรับชื่อและนามสกุล และบาง IdP จะเก็บชื่อเต็มไว้ในแอตทริบิวต์เดียว หากคุณใช้ SAML กับการตรวจสอบสิทธิ์ในเครื่อง แอตทริบิวต์ชื่อที่แสดงจะไม่ซิงค์กับ SAML IdP

    เลือกปุ่มที่สอดคล้องกับวิธีที่ IdP ของคุณจัดเก็บชื่อ ตัวอย่างเช่น หาก IdP รวมชื่อและนามสกุลไว้ในแอตทริบิวต์เดียว ให้เลือกชื่อที่แสดง แล้วป้อนชื่อแอตทริบิวต์

    สกรีนช็อตของขั้นตอนที่ 5 สำหรับการกำหนดค่าไซต์ SAML สำหรับ Tableau Server -- แอตทริบิวต์ที่ตรงกัน

ขั้นตอนที่ 6: จัดการผู้ใช้

เลือกผู้ใช้ Tableau Server ที่มีอยู่ หรือเพิ่มผู้ใช้รายใหม่ที่คุณต้องการอนุมัติให้ใช้การลงชื่อเพียงครั้งเดียว

เมื่อคุณเพิ่มหรือนำเข้าผู้ใช้ คุณจะต้องระบุประเภทการตรวจสอบสิทธิ์ด้วย ในหน้าของผู้ใช้ คุณสามารถเปลี่ยนประเภทการตรวจสอบสิทธิ์ของผู้ใช้ได้ทุกเมื่อหลังจากเพิ่มผู้ใช้รายดังกล่าว

หากต้องการข้อมูลเพิ่มเติม โปรดดู เพิ่มผู้ใช้ไปยังไซต์หรือนำเข้าผู้ใช้ และกำหนดประเภทการตรวจสอบสิทธิ์ผู้ใช้สำหรับ SAML

สำคัญ: ผู้ใช้ที่ตรวจสอบสิทธิด้วย SAML เฉพาะไซต์สามารถอยู่ในไซต์เดียวเท่านั้น หากผู้ใช้ต้องการเข้าถึงหลายไซต์ ให้ตั้งค่าประเภทการตรวจสอบสิทธิเป็นค่าเริ่มต้นของเซิร์ฟเวอร์ ค่าเริ่มต้นของเซิร์ฟเวอร์จะเป็นการตรวจสอบสิทธิในเครื่องหรือ SAML ระดับเซิร์ฟเวอร์ซึ่งขึ้นอยู่กับการกำหนดค่า SAML โดยผู้ดูแลระบบเซิร์ฟเวอร์ว่ามีความเฉพาะเจาะจงต่อไซต์เพียงใด

ขั้นตอนที่ 7: การแก้ปัญหา

เริ่มต้นด้วยขั้นตอนการไขปัญหาที่แนะนำในหน้าการตรวจสอบสิทธิ หากขั้นตอนเหล่านั้นไม่สามารถแก้ไขปัญหาได้ โปรดดูแก้ไขปัญหาเกี่ยวกับ SAML

ย้อนกลับไปด้านบน
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ