แก้ไขปัญหาเกี่ยวกับ SAML

หัวข้อนี้จะให้ข้อมูลเกี่ยวกับการแก้ไขปัญหาที่อาจเกิดขึ้นเมื่อคุณกำหนดค่าการตรวจสอบสิทธิ์ SAML

SAML และเปิดใช้งานการลงชื่อเข้าใช้โดยอัตโนมัติ

หากคุณกำลังใช้ SAML และหากระบบกำหนดค่า Tableau Server ให้ใช้ Active Directory อย่าเลือกเปิดใช้งานการลงชื่อเข้าใช้โดยอัตโนมัติด้วย เปิดใช้งานการลงชื่อเข้าใช้โดยอัตโนมัติและ SAML ไม่สามารถใช้ร่วมกันในการติดตั้งเซิร์ฟเวอร์เดียวกันได้

ข้อผิดพลาด HTTP สถานะ 500 เมื่อกำหนดค่า SAML

ในบางกรณี คุณอาจได้รับข้อผิดพลาด HTTP สถานะ 500 และเห็นข้อผิดพลาดต่อไปนี้หลังจากเปิดใช้ SAML และไปยัง URL ของ Tableau Server ในเบราว์เซอร์:

org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser

หากต้องการแก้ไขข้อผิดพลาดนี้ โปรดตรวจสอบสิ่งต่อไปนี้:

  • IdP URL สำหรับโปรไฟล์ SSO ที่ระบุในแท็บ SAML นั้นถูกต้อง

  • IdP URL สำหรับโปรไฟล์ SSO ที่ให้ไว้ขณะสร้างผู้ให้บริการใน IdP นั้นถูกต้อง

  • ระบบกำหนดค่า IdP ให้ใช้คำขอ HTTP-POST (ไม่รองรับการเปลี่ยนเส้นทางและ SOAP)

หากการตั้งค่าเหล่านี้มีส่วนที่ไม่ถูกต้อง ให้อัปเดตตามความเหมาะสม จากนั้นทำตามขั้นตอนการกำหนดค่า SAML อีกครั้ง โดยเริ่มจากการสร้างและส่งออกเอกสารข้อมูลเมตา XML จาก Tableau Server

หากการตั้งค่าเหล่านี้ถูกต้องแต่คุณยังคงเห็นข้อผิดพลาด ให้ตรวจสอบข้อมูลเมตา XML ที่สร้างโดย Tableau Server และโดย IdP ตามที่อธิบายไว้ในข้อกำหนดของ SAML

เข้าสู่ระบบจากบรรทัดคำสั่ง

SAML ไม่ได้ใช้สำหรับการตรวจสอบสิทธิ์เมื่อคุณเข้าสู่ระบบ Tableau Server โดยใช้ tabcmd หรือยูทิลิตี้บรรทัดคำสั่งสำหรับแตกข้อมูลใน Tableau(ลิงก์จะเปิดในหน้าต่างใหม่) (ให้มาพร้อมกับ Tableau Desktop) แม้ว่าระบบจะกำหนดค่า Tableau Server ให้ใช้ SAML ก็ตาม เครื่องมือเหล่านี้ต้องใช้การตรวจสอบสิทธิ์ที่กำหนดค่าไว้เมื่อติดตั้ง Tableau Server (การตรวจสอบสิทธิ์ภายในเครื่อง หรือ AD อย่างใดอย่างหนึ่ง) ในตอนแรก

เข้าสู่ระบบล้มเหลว: ค้นหาผู้ใช้ไม่สำเร็จ

การเข้าสู่ระบบล้มเหลว โดยมีข้อความต่อไปนี้:

>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.

ข้อผิดพลาดนี้มักหมายความว่าชื่อผู้ใช้ที่จัดเก็บไว้ใน Tableau Server และที่ระบุโดย IdP ไม่ตรงกัน หากต้องการแก้ไขสิ่งนี้ โปรดตรวจสอบให้แน่ใจว่าตรงกัน ตัวอย่างเช่น หากมีการเก็บชื่อผู้ใช้ของ Jane Smith ไว้ใน IdP ว่าเป็น jsmith ก็จะต้องเก็บไว้ใน Tableau Server ว่าเป็น jsmith ด้วย

การเข้าสู่ระบบล้มเหลว: การถ่ายโอน SSL

การลงชื่อเข้าใช้ล้มเหลว โดยมีข้อความต่อไปนี้:

Unable to Sign In - Invalid username or password.

นอกจากนี้ บันทึก vizportal (ที่ตั้งค่าเป็นโหมด debug) จะประกอบด้วยข้อความต่อไปนี้:

DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO

หมายเหตุ: หากต้องการบันทึกเหตุการณ์ที่เกี่ยวข้องกับ SAML คุณต้องตั้งค่า vizportal.log.level เป็น debug หากต้องการข้อมูลเพิ่มเติม โปรดดู เปลี่ยนระดับการบันทึก

ข้อความที่รวมกันนี้บ่งชี้ถึงการกำหนดค่าที่ไม่ถูกต้องของเซิร์ฟเวอร์พร็อกซีภายนอกที่กำลังถ่ายโอน SSL เพื่อเชื่อมต่อกับ Tableau Server หากต้องการแก้ไขปัญหานี้ โปรดดูบทความ KB ข้อผิดพลาด "ไม่สามารถเข้าสู่ระบบได้" และ "ชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง" ที่เกิดกับ SAML หลังจากอัปเกรด(ลิงก์จะเปิดในหน้าต่างใหม่)

บันทึกข้อผิดพลาด SAML

การตรวจสอบสิทธิ์ SAML เกิดขึ้นภายนอก Tableau Server ดังนั้นการแก้ปัญหาการตรวจสอบสิทธิ์จึงอาจทำได้ยาก อย่างไรก็ตาม Tableau Server จะบันทึกการพยายามเข้าสู่ระบบ คุณสามารถสร้างสแนปชอตของไฟล์บันทึกและใช้เพื่อแก้ไขปัญหาได้ หากต้องการข้อมูลเพิ่มเติม โปรดดู สแนปช็อตไฟล์บันทึก (บันทึกแบบเก็บถาวร)

หมายเหตุ: หากต้องการบันทึกเหตุการณ์ที่เกี่ยวข้องกับ SAML คุณต้องตั้งค่า vizportal.log.level เป็น debug หากต้องการข้อมูลเพิ่มเติม โปรดดู เปลี่ยนระดับการบันทึก

ตรวจสอบข้อผิดพลาด SAML ในไฟล์ต่อไปนี้ในสแนปช็อตของไฟล์บันทึกที่คลายแฟ้ม

\vizportal\vizportal-<n>.log

กระบวนการของแอปพลิเคชัน (vizportal.exe) จะจัดการการตรวจสอบสิทธิ์ ดังนั้นกระบวนการนั้นจะบันทึกการตอบกลับของ SAML

เครื่องหมายทับด้านท้าย

บนแท็บ SAML ให้ยืนยันว่า URL การส่งคืนของ Tableau Server ไม่ได้ลงท้ายด้วยเครื่องหมายทับ

ถูกต้อง: http://tableau_server

ไม่ถูกต้อง: http://tableau_server/

ยืนยันการเชื่อมต่อ

ยืนยันว่า Tableau Server ที่คุณกำลังกำหนดค่ามีที่อยู่ IP ที่กำหนดเส้นทางได้ หรือมี NAT ที่ไฟร์วอลล์ซึ่งอนุญาตการรับส่งข้อมูลแบบสองทางไปยังเซิร์ฟเวอร์โดยตรง

คุณสามารถทดสอบการเชื่อมต่อของคุณได้ด้วยการเรียกใช้ telnet บน Tableau Server และพยายามเชื่อมต่อกับ SAML IdP ตัวอย่าง: C:\telnet 12.360.325.10 80

โดยการทดสอบข้างต้นควรเชื่อมต่อคุณเข้ากับพอร์ต HTTP (80) บน IdP และคุณควรได้รับส่วนหัวของ HTTP

หลายโดเมน

ในแท็บ SAML ให้ยืนยันว่าแอตทริบิวต์โดเมนของ Tableau Server จะตรวจหาโดเมนในรูปแบบ domain\username ในการยืนยัน SAML โดยการเว้นว่างไว้

ถูกต้อง: <ว่าง>

ไม่ถูกต้อง: yourdomain.com

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ