Konfigurieren von SAML mit AD FS auf Tableau Server
Sie können die Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) als SAML-Identitätsanbieter konfigurieren und Tableau Server zu Ihren unterstützten Single Sign-On-Anwendungen hinzufügen. Wenn Sie AD FS mit SAML und Tableau Server integrieren, können sich Ihre Benutzer mit ihren Standardnetzwerk-Anmeldeinformationen bei Tableau Server anmelden.
Voraussetzungen
Bevor Sie Tableau Server und SAML mit AD FS konfigurieren können, ist für Ihre Umgebung Folgendes erforderlich:
Ein Server unter Microsoft Windows Server 2008 R2 (oder höher) mit installiertem AD FS 2.0 (oder höher) und IIS.
Es wird empfohlen, Ihren AD FS-Server zu schützen (z. B. durch Verwendung eines Reverse-Proxys). Wenn der Zugriff auf Ihren AD FS-Server von außerhalb Ihrer Firewall möglich ist, kann Tableau Server Benutzer zur von AD FS gehosteten Anmeldeseite weiterleiten.
SSL-Zertifikat mit SHA-2-Verschlüsselung (256 oder 512 Bit), das die zusätzlichen Anforderungen in den folgenden Abschnitten erfüllt:
Schritt 1: Überprüfen der SSL-Verbindung zu AD FS
AD FS benötigt eine SSL-Verbindung. Sofern noch nicht erfolgt, führen Sie die im Abschnitt Konfigurieren von SSL für den externen HTTP-Verkehr von und an Tableau Server beschriebenen Schritte mit einem Zertifikat aus, das die oben genannten Anforderungen erfüllt.
Wenn Tableau Server alternativ so konfiguriert ist, dass er mit einem Reverse-Proxy oder Load Balancer arbeitet, bei dem SSL beendet wird (allgemein als SSL-Offloading bezeichnet), müssen Sie kein externes SSL konfigurieren.
Schritt 2: Konfigurieren von SAML in Tableau Server
Führen Sie die Schritte unter Konfigurieren der serverweiten SAML aus, indem Sie die Tableau Server-Metadaten in eine XML-Datei herunterladen. Kehren Sie anschließend hierher zurück und fahren Sie mit dem nächsten Abschnitt fort.
Schritt 3: Konfigurieren von AD FS zum Akzeptieren von Anmeldeanforderungen von Tableau Server
Hinweis: Diese Schritte repräsentieren die Anwendung eines Drittanbieters und können ohne unser Wissen geändert werden.
Die Konfiguration von AD FS zum Akzeptieren von Tableau Server-Anmeldeanforderungen ist ein mehrstufiger Prozess, der mit dem Importieren der Tableau Server XML-Metadatendatei in AD FS beginnt.
Gehen Sie wie folgt vor, um den Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite zu öffnen:
Wählen Sie Startmenü > Verwaltung > AD FS 2.0 aus.
Klicken Sie in AD FS 2.0 unter Vertrauensstellungen mit der rechten Maustaste auf den Ordner Relying Party Trusts und klicken Sie dann auf Vertrauensstellung der vertrauenden Seite hinzufügen.
Öffnen Sie denServer-Manager und klicken Sie dann im Menü Extras auf AD FS-Verwaltung.
Klicken Sie in AD FS-Verwaltung im Menü Aktion auf Vertrauensstellung der vertrauenden Seite hinzufügen.
Klicken Sie im Assistenten zum Hinzufügen von Vertrauensstellungen der vertrauenden Seite auf Start.
Wählen Sie auf der Seite Datenquelle auswählen die Option Daten über die vertrauende Seite aus einer Datei importieren aus und klicken Sie dann auf Durchsuchen, um IhreTableau Server XML-Metadatendatei zu finden. Diese Datei heißt standardmäßig samlspmetadata.xml.
Klicken Sie auf Weiter und geben Sie dann auf der Seite Anzeigename angeben in den Feldern Anzeigename und Hinweise einen Namen und eine Beschreibung für die Vertrauensstellung der vertrauenden Seite ein.
Klicken Sie auf "Weiter", um die Seite Möchten Sie jetzt die Multi-Faktor-Authentifizierung konfigurieren? zu überspringen.
Klicken Sie auf "Weiter", um die Seite Ausstellungsautorisierungsregeln wählen zu überspringen.
Klicken Sie auf "Weiter", um die Seite Bereit zum Hinzufügen der Vertrauensstellung zu überspringen.
Aktivieren Sie auf der Seite Fertigstellen das Kontrollkästchen Nach Abschluss des Assistenten das Dialogfeld "Anspruchsregeln bearbeiten" für diese Anspruchsanbieter-Vertrauensstellung öffnen und klicken Sie dann auf Schließen.
Windows Server 2008 R2:
Windows Server 2012 R2:
Als Nächstes navigieren Sie zum Dialogfeld Anspruchsregeln bearbeiten, um eine Regel hinzuzufügen, die sicherstellt, dass von AD FS gesendete Assertionen mit den Assertionen übereinstimmen, die von Tableau Server erwartet werden. Für Tableau Server ist zumindest eine E-Mail-Adresse erforderlich. Durch das Hinzufügen des Vor- und Nachnamens neben der E-Mail-Adresse wird jedoch sichergestellt, dass die in Tableau Server angezeigten Benutzernamen mit denen des AD-Kontos übereinstimmen.
Klicken Sie im Dialogfeld Anspruchsregeln bearbeiten auf Regel hinzufügen.
Wählen Sie auf der Seite Regeltyp auswählen für Anspruchsregelvorlage die Option LDAP-Attribute als Ansprüche senden aus und klicken Sie dann auf Weiter.
Geben Sie auf der Seite Anspruchsregel konfigurieren in das Feld Anspruchsregelname einen Namen für die Regel ein, der für Sie sinnvoll ist.
Wählen Sie unter Attributspeicher die Option Active Directory aus. Vervollständigen Sie die Zuordnung wie unten gezeigt und klicken Sie dann auf Fertigstellen.
Bei der Zuordnung wird die Groß-/Kleinschreibung beachtet. Die Schreibweise muss exakt erfolgen. Daher sollten Sie Ihre Einträge gegenprüfen. Die Tabelle hier zeigt allgemeine Attribute und Anspruchszuordnungen. Überprüfen Sie die Attribute mit Ihrer spezifischen Active Directory-Konfiguration.
LDAP-Attribut | Typ des ausgehenden Anspruchs |
---|---|
SAM-Account-Name | Namens-ID |
SAM-Account-Name | username |
Given-Name | firstName |
Surname | lastName |
Wenn Sie AD FS 2016 oder höher ausführen, müssen Sie eine Regel hinzufügen, um alle Anspruchswerte zu durchlaufen. Wenn Sie eine ältere Version von AD FS verwenden, fahren Sie mit dem nächsten Verfahren zum Exportieren von AD FS-Metadaten fort.
- Klicken Sie auf Regel hinzufügen.
- Unter Anspruchsregelvorlage wählen Sie Durchlaufen oder Filtern eines eingehenden Anspruchs.
- Geben Sie unter Name der Anspruchsregel "Windows" ein.
- In dem Pop-up-Fenster Regel bearbeiten - Windows:
- Wählen Sie unter Typ von eingehendem Anspruch die Option Windows-Kontoname aus.
- Wählen Sie Alle Anspruchswerte durchlaufen.
- Klicken Sie auf OK.
Nun exportieren Sie AD FS-Metadaten, die Sie später in Tableau Server importieren werden. Stellen Sie zudem sicher, dass die Metadaten ordnungsgemäß für Tableau Server konfiguriert und codiert sind, und überprüfen Sie weitere AD FS-Anforderungen für Ihre SAML-Konfiguration.
Exportieren Sie die AD FS-Verbundmetadaten in eine XML-Datei und laden Sie diese Datei dann von https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml herunter.
Öffnen Sie die Metadatendatei in einem Texteditor wie Sublime Text oder Notepad++ und überprüfen Sie, ob sie korrekt als UTF-8, ohne BOM, verschlüsselt ist.
Wenn die Datei einen anderen Verschlüsselungstyp enthält, speichern Sie sie im Texteditor mit der richtigen Verschlüsselung.
Stellen Sie sicher, dass AD FS die formularbasierte Authentifizierung verwendet. Anmeldungen werden über ein Browserfenster ausgeführt. Sie benötigen demnach AD FS, um standardmäßig diesen Authentifizierungstyp zu verwenden.
Bearbeiten Sie c:\inetpub\adfs\ls\web.config, suchen Sie nach dem Tag , und verschieben Sie die Zeile, damit sie als erstes Element in der Liste angezeigt wird. Speichern Sie die Datei, sodass IIS sie automatisch erneut laden kann.
Hinweis: Wenn die Datei c:\inetpub\adfs\ls\web.config nicht angezeigt wird, ist IIS auf Ihrem AD FS-Server weder installiert noch konfiguriert.
(Optional) Dieser Schritt ist nur erforderlich, wenn AD FS als IDP für Site-spezifische SAML konfiguriert ist. Dieser Schritt ist nicht erforderlich, wenn AD FS als IDP für serverweite SAML konfiguriert ist.
Konfigurieren Sie einen zusätzlichen Bezeichner für die abhängige Seite in AD FS. Dadurch kann Ihr System jegliche AD FS-Probleme bei der SAML-Abmeldung umgehen.
Führen Sie einen der folgenden Schritte aus:
Windows Server 2008 R2:
Klicken Sie in AD FS 2.0 mit der rechten Maustaste auf die vertrauende Seite, die Sie zuvor für Tableau Server erstellt haben, und klicken Sie auf Eigenschaften.
Geben Sie auf der Registerkarte Bezeichner im Feld Bezeichner der vertrauenden Seite die URL https://<tableauservername>/public/sp/metadata ein und klicken Sie dann auf Hinzufügen.
Windows Server 2012 R2:
Klicken Sie in AD FS-Verwaltung in der Liste Vertrauensstellungen der vertrauenden Seite mit der rechten Maustaste auf die vertrauende Seite, die Sie zuvor für Tableau Server erstellt haben, und klicken Sie auf Eigenschaften.
Geben Sie auf der Registerkarte Bezeichner im Feld Bezeichner der vertrauenden Seite die URL https://<tableauservername/public/sp/metadata ein und klicken Sie dann auf Hinzufügen.
Hinweis: AD FS kann mit Tableau Server für eine einzelne vertrauende Seite derselben Instanz verwendet werden. AD FS kann nicht für mehrere vertrauende Seiten derselben Instanz verwendet werden, z.B. für mehrere Site-SAML-Sites oder serverweite und Site-SAML-Konfigurationen.
Schritt 4: Bereitstellen der AD FS-Metadaten in Tableau Server
Kehren Sie zur TSM-Webschnittstelle zurück und navigieren Sie zur Registerkarte Konfiguration > Benutzeridentität und Zugriff > Authentifizierungsmethode.
Geben Sie in Bereich 4 des SAML-Konfigurationsfensters den Speicherort der XML-Datei ein, die Sie aus AD FS exportiert haben, und klicken Sie auf Hochladen.
Führen Sie die verbleibenden Schritte aus (übereinstimmende Aussagen und Festlegen des Clienttyp-Zugriffs), wie in Konfigurieren der serverweiten SAML angegeben.
Speichern und übernehmen Sie die Änderungen.
Führen Sie die folgenden Schritte aus, wenn Sie SAML nicht zum ersten Mal konfigurieren:
Beenden Sie Tableau Server, öffnen Sie die TSM-Kommandozeile, und führen Sie die folgenden Befehle aus:
tsm configuration set -k wgserver.saml.sha256 -v true
tsm authentication saml configure -a -1
Übernehmen Sie die Änderungen:
tsm pending-changes apply
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl
pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option--ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.