samlSettings-Entität

Dieser Artikel enthält eine Vorlage und eine Referenz zur Konfiguration der serverweiten SAML in Tableau Server mithilfe einer Konfigurationsdatei mit Schlüsseln und Werten für die samlSettings-Entität. Diese Informationen dienen als Ergänzung zu den in Konfigurieren der serverweiten SAML beschriebenen SAML-Konfigurationsschritten.

Führen Sie die folgenden Schritte zum Erstellen einer SAML-Konfigurationsvorlage und Anwenden dieser Vorlage in Tableau Server aus:

  1. Lesen Sie die folgenden beiden Abschnitte (Vorlagenkategorien und Definitionen und samlSettings-Konfigurationsvorlage), in denen die Vorlage und deren Struktur beschrieben wird.

  2. Fügen Sie den in der Vorlage angezeigten JSON-Code in eine neue Textdatei ein und speichern Sie diese mit der Erweiterung .json ab.

  3. Verwenden Sie die Referenz für die SAML-Konfigurationsentität. Diese hilft Ihnen, dort Werte bereitzustellen, wo es erforderlich ist.

  4. Fügen Sie optional Schlüssel/Wert-Paare hinzu, die für Ihre Umgebung spezifisch sind. Wenn beispielsweise für Ihre SAML-Zertifikatsschlüsseldatei eine Passphrase erforderlich ist, müssen Sie das Kennwort im Parameter wgserver.saml.key.passphrase mithilfe des Befehls tsm configuration set angeben.

  5. Übergeben der Konfigurationsdatei an Tableau Server.

Vorlagenkategorien und Definitionen

Die Vorlage verwendet Platzhalter für jeden Schlüsselwert. Diese Platzhalter sind wie folgt kategorisiert:

  • Erforderlich: Attribute mit dem Wert "required" müssen durch gültige Daten ersetzt werden, bevor Sie den Konfigurationsbefehl ausführen. Gültige Werte können Sie der Referenz für die Konfigurationsdatei entnehmen.

  • Vorprogrammiert: Attributnamen, denen ein Unterstrich (_) vorangestellt ist, wie beispielsweise "_type" enthalten vorprogrammierte Werte. Ändern Sie diese Werte nicht.

  • Standardwerte: Attribute, die auf einen Wert festgelegt sind, der nicht "required" ist, sind Standardwerte. Dies sind erforderliche Werte, die Sie entsprechend Ihrer Umgebung ändern können.

  • Leere Sätze: Werte, die leer ("") sind, können unverändert übergeben werden. Sie können auch einen Wert für Ihre Installation angeben.

Wichtig: Bei allen Entitätsoptionen wird zwischen Groß- und Kleinschreibung unterschieden.

samlSettings-Konfigurationsvorlage

Fügen Sie diesen Code in eine Textdatei ein und passen Sie ihn unter Verwendung der nachfolgenden Referenz an Ihre Umgebung an.

                        

{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }

Referenz für die SAML-Konfigurationsentität

Die folgende Tabelle enthält alle Optionen, die Sie mit dem "samlSettings"-Entitätssatz einbeziehen können.

idpMetadataFile

Erforderlich. Der Pfad und der Dateiname der XML-Datei, die durch den IdP generiert wurde. Die XML-Metadaten müssen das Benutzernamenattribut enthalten (Assertion).

Wenn Sie die unter Konfigurieren der serverweiten SAML beschriebenen Schritte ausgeführt haben, geben Sie hier folgenden Wert ein:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"

enabled

true | false

Erforderlich. Gibt an, ob die SAML-Authentifizierung aktiviert ist. Legen Sie diese Option erst auf true fest, nachdem Sie andere erforderliche SAML-Konfigurationsoptionen festgelegt haben.

returnURL

Dies ist in der Regel die externe URL, die Benutzer von Tableau Server in ihren Browser eingeben, um auf den Server zuzugreifen, zum Beispiel https://tableau_server.example.com. Dieser Wert wird verwendet, um das ACS-URL-Attribut beim Konfigurieren des IdP zu erstellen.

entityId

Erforderlich. Entitäts-ID-Wert des Dienstanbieters (in diesem Fall Tableau Server).

Identifiziert Ihre Tableau Server-Konfiguration für den IdP. Es wird empfohlen, denselben Wert wie für die Option returnURL einzugeben.

idpUsernameAttribute

Erforderlich. Suchen Sie in den IdP-Metadaten das Attribut, das zum Festlegen von Benutzernamenswerten verwendet wird, und geben Sie den Namen dieses Attributs ein. Der Standardwert lautet username.

certFile

Erforderlich. Geben Sie den Speicherort und den Dateinamen der x509-Zertifikatdatei (.crt) für SAML an. Beispiel:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"

Weitere Informationen finden Sie unter SAML-Anforderungen und Konfigurieren der serverweiten SAML.

keyFile

Erforderlich. Geben Sie den Speicherort des privaten Schlüssels (.key) an, der die Zertifikatdatei ergänzt. Beispiel:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

Hinweis: Wenn Sie einen RSA PKCS-8-Schlüssel verwenden, der eine Passphrase erfordert, müssen Sie die Passphrase mithilfe einer configKey-Entität (siehe Beispiel für eine Konfigurationsdatei) oder mit tsm configuration set festlegen. Der Schlüssel für die Passphrase mit diesen Methoden ist wgserver.saml.key.passphrase. Der Wert muss eine Zeichenfolge ungleich null sein.

idpDomainAttribute

Optional. Für Organisationen, die LDAP oder Active Directory verwenden, gibt dieser Wert an, auf welches SAML-Attribut Tableau Server verweist, um den Domänennamen zu bestimmen. Wenn Ihr IdP beispielsweise den Domänennamen im Attribut domain angibt, geben Sie domain für diesen Wert an.

Wenn Sie keinen Wert für diesen Schlüssel bereitstellen, hängt der verwendete Wert von den Identitätsspeichereinstellungen von Tableau Server ab:

  • Bei einem lokalen Identitätsspeicher wird der Wert idpDomainAttribute ignoriert.

  • Für Active Directory- oder LDAP-Identitätsspeicher verwendet Tableau den FQDN aus der Konfigurationseinstellung wgserver.domain.default.

    Um den Wert für wgserver.domain.default abzurufen, können Sie den folgenden Befehl ausführen:

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Optional. Ermöglicht Benutzern, bei der Anmeldung über Tableau Desktop die SAML-Authentifizierung zu verwenden.

Standardmäßig ist dies nicht festgelegt, daher entspricht das Verhalten dem Wert "false". Wenn die Single Sign-on-Funktion von Tableau-Clientanwendungen bei Ihrem Identitätsanbieter nicht funktioniert, können Sie diese Einstellung auf "true" festlegen, um die SAML-Authentifizierung über Tableau Desktop zu deaktivieren.

appNoSAML

true | false

Optional. Erlauben Sie die Verwendung von SAML bei der Anmeldung über ältere Versionen der Tableau Mobile-App. Diese Option wird von Geräten mit Tableau Mobile Version 19.225.1731 und höher ignoriert. Um Geräte zu deaktivieren, auf denen Tableau Mobile App Version 19.225.1731 und höher ausgeführt wird, deaktivieren Sie SAML als Client-Anmeldeoption auf Tableau Server.

logoutEnabled

true | false

Optional. Aktiviert die einmalige Abmeldung für Benutzer, die sich mit SAML angemeldet haben. Der Standardwert lautet true.

Die IdP-Konfigurationsmetadaten müssen einen einzelnen Endpunkt für die Abmeldung mit POST-Bindung enthalten.

Diese Einstellung gilt nur für serverweite SAML.

Wenn sie auf false festgelegt ist, versucht Tableau Server keine einmalige Abmeldung.

logoutUrl

Optional. Geben Sie die URL für die Umleitung an, nachdem sich Benutzer beim Server abgemeldet haben. Für das Festlegen dieser Option muss logoutEnabled auf true festgelegt sein.

Standardmäßig ist dies die Seite für die Anmeldung bei Tableau Server. Sie können eine absolute oder eine relative URL angeben.

maxAuthenticationAge

Optional. Gibt die Anzahl Sekunden an, die maximal zwischen der Authentifizierung eines Benutzers beim IdP und der Verarbeitung der AuthNResponse-Meldung erlaubt sind. Der Standardwert beträgt 7.200 (2 Stunden).

Verwenden Sie zum Optimieren der Sitzungslänge denselben Timeoutwert wie für den IdP festgelegt ist.

maxAssertionTime

Optional. Gibt die maximale Anzahl der Sekunden seit Erstellung an, für die eine SAML-Assertion verwendet werden kann. Der Standardwert beträgt 3.000 (50 Minuten).

sha256Enabled

true | false

Optional. Der Signaturtyp, den Tableau Server beim Senden von Nachrichten an den IdP verwendet. Wenn die Einstellung auf true festgelegt ist, signiert Tableau Server Nachrichten mit dem Signaturalgorithmus SHA 256. Wenn die Einstellung auf false festgelegt ist, signiert Tableau Server Nachrichten mit SHA 1. Der Standardwert lautet true.

Mit dieser Option wird der Signaturalgorithmus auf die folgenden Nachrichten festgelegt, die Tableau Server signiert: 

  • AuthnRequest-Nachrichten, wenn signRequests aktiviert ist.
  • LogoutRequest-Nachrichten, wenn logoutEnabled aktiviert ist.

signRequests

true | false

Optional. Gibt an, ob Tableau Server die AuthnRequests signiert, die an den IdP gesendet werden. Signierte Anforderungen sind nicht immer für alle IdPs erforderlich. Es wird empfohlen, Anforderungen zu signieren, um die sicherste Option beim Konfigurieren von SAML sicherzustellen. Wenn Sie überprüfen möchten, ob Ihr IdP signierte Anforderungen akzeptiert, prüfen Sie die IdP-Metadaten: wenn wantAuthnRequestsSigned auf true festgelegt ist, akzeptiert Ihr IdP signierte Anforderungen.

Der Standardwert lautet true. Wenn Sie signierte Anforderungen deaktivieren möchten, legen Sie diese Option auf false fest.

acceptableAuthnContexts

Optional. Legt das SAML-Attribut AuthNContextClassRef fest. Dieses optionale Attribut erzwingt die Validierung bestimmter Authentifizierungskontexte in vom IdP initiierten Schemata. Legen Sie einen durch Kommas getrennten Satz mit Werten für dieses Attribut fest. Ist dieses Attribut festgelegt, überprüft Tableau Server, ob die SAML-Antwort mindestens einen der aufgeführten Werte enthält. Wenn die SAML-Antwort keinen der konfigurierten Werte enthält, wird die Authentifizierung abgelehnt, auch wenn der Benutzer sich erfolgreich beim IdP authentifiziert hat.

Wenn Sie diese Option leer lassen, führt dies zu einem Standardverhalten: Erfolgreich authentifizierte SAML-Antworten führen dazu, dass einem Benutzer eine Sitzung in Tableau Server gewährt wird.

iFramedIdpEnabled

true | false

Optional. Der Standardwert lautet false. Das bedeutet, dass sich das Anmeldeformular des IdP in einem Pop-up-Fenster öffnet, wenn Benutzer auf die Anmeldeschaltfläche in einer eingebetteten Ansicht klicken.

Wenn Sie den Wert auf "true" (wahr) setzen, muss sich ein bereits angemeldeter Server-SAML-Benutzer, der zu einer Webseite mit einer eingebetteten Ansicht navigiert, nicht erneut anmelden, um die Ansicht anzuzeigen.

Sie können diesen Wert nur dann auf "true" setzen, wenn der IdP die Anmeldung in einem iframe unterstützt. Die iframe-Option bietet weniger Sicherheit als die Verwendung eines Pop-up-Fensters, daher wird sie nicht von allen IdPs unterstützt. Falls die IdP-Anmeldeseite wie die meisten Seiten über einen Klickbetrug-Schutz verfügt, kann die Anmeldeseite nicht in einem iframe angezeigt werden, und der Benutzer kann sich nicht anmelden.

Wenn Ihr IdP eine Anmeldung über einen iframe unterstützt, müssen Sie die Funktion unter Umständen explizit aktivieren. Selbst wenn Sie diese Option nutzen können, wird dadurch der Klickbetrug-Schutz von Tableau Server für SAML deaktiviert, sodass dies weiterhin ein Sicherheitsrisiko darstellt.

Übergeben der Konfigurationsdatei an Tableau Server

Verwenden Sie die folgenden Befehle, um die .json-Datei zu übergeben und die Anwendungen in Tableau Server anzuwenden, nachdem Sie einen entsprechenden Wert für jede Entität bereitgestellt haben, die Sie in die Konfigurationsvorlage eingefügt haben.

tsm settings import -f path-to-file.json

tsm pending-changes apply

Siehe auch

Verwenden Sie nach Abschluss der ersten SAML-Konfiguration tsm authentication mutual-ssl <commands>, um weitere Werte festzulegen.

Eine Befehlszeilenreferenz zur Konfiguration von SAML finden Sie unter tsm authentication saml <commands>.

 

Vielen Dank für Ihr Feedback!