配置 SAP HANA SSO
可以将 Tableau Server 配置为使用 SAML 委派来为 SAP HANA 提供单点登录 (SSO) 体验。此方案不依赖于 Tableau Server 的 SAML 身份验证。您无需使用 Tableau Server 的 SAML 登录来使用 HANA SAML 委派。您可以使用所选的任何方法登录到 Tableau Server。
对于 SAP HANA 的 SAML 委派,Tableau Server 充当身份提供程序 (IdP)。
开始之前
配置 SAP HANA 的 SAML 委派需要在 Tableau Server 和 SAP HANA 上进行配置。本主题提供有关配置 Tableau Server 的配置信息。配置 Tableau Server 之前,您必须完成以下操作:
- 获取 Tableau Server 的 SAML 证书和密钥文件。
证书文件必须是 PEM 编码的 x509 证书,文件扩展名为 .crt 或 .cert。此文件由 Tableau Server 使用并且还必须安装在 HANA 上。
私钥必须是不受密码保护的 DER 编码的 PKCS#8 格式私钥文件,文件扩展名为 .der。此文件仅由 Tableau Server 使用。
在 HANA 中安装证书。为了避免 HANA 中的
libxmlsec
错误,我们建议在 SAP HANA 上配置内存中的证书存储。有关详细信息,请参见 SAP 支持主题(链接在新窗口中打开)。在 Tableau Server 上安装最新版本的 SAP HANA 驱动程序(最小版本为 1.00.9)。
配置从 Tableau Server 到 SAP HANA 的网络加密(推荐)。
有关生成证书/密钥对、加密 SAML 连接和配置 SAP HANA 的详细信息,请参阅 Tableau 社区中的如何使用 Tableau Server 将 SAP HANA 配置为使用 SAML SSO(链接在新窗口中打开)。
为 SAP HANA 配置 Tableau Server SAML
以下过程描述如何使用 tsm data-access
在 Tableau Server 上手动配置 SAP HANA 的 SAML。您也可以使用sapHanaSettings 实体配置 SAP HANA 的 SAML。
如果在分布式部署中运行 Tableau Server,请在初始节点上运行以下过程。
将证书文件放在名为
saml
的文件夹中。例如:/var/opt/saml
运行以下命令以指定证书和密钥文件的位置:
tsm data-access set-saml-delegation configure --cert-key <cert-key> --cert-file <cert-file>
其中
<cert-key>
和<cert-file>
分别是私钥和证书文件的文件路径。例如,
tsm data-access set-saml-delegation configure --cert-key /var/opt/saml/hana_pkey_pkcs8.der --cert-file /var/opt/saml/hana_cert.pem
您可以指定其他选项。例如,您可以指定用户名格式以及凭据标准化方式。请参阅 tsm data-access。
运行以下命令以启用委派:
tsm data-access set-saml-delegation enable
tsm configuration set -k wgserver.sap_hana_sso.enabled -v true
tsm configuration set -k wgserver.delegation.enabled -v true
完成后,运行
tsm pending-changes apply
。如果待定更改需要重新启动服务器,
pending-changes apply
命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用--ignore-prompt
选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。