SAML-Anforderungen

Stellen Sie sicher, dass Ihre Umgebung die Anforderungen erfüllt, bevor Sie SAML in Tableau Server konfigurieren.

Wichtig: Bei SAML-Konfigurationen, sowohl beim IdP als auch auf Tableau Server, muss die Groß-/Kleinschreibung beachtet werden. Beispielsweise müssen URLs, die beim IdP und auf Tableau Server konfiguriert wurden, genau übereinstimmen.

Zertifikat- und Identitätsanbieteranforderungen (IdP)

Zum Konfigurieren von Tableau Server für SAML benötigen Sie Folgendes:

  • Zertifikatdatei. Ein PEM-codiertes x509-Zertifikat mit einer .crt-Erweiterung. Diese Datei wird von Tableau Server und nicht vom IdP verwendet. Wenn Sie über ein SSL-Zertifikat verfügen, können Sie dieses unter bestimmten Voraussetzungen auch mit SAML verwenden. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Verwendung von SSL-Zertifikat und Schlüsseldateien für SAML.

    Tableau Server erfordert ein Zertifikatschlüsselpaar, um die Anforderung zu signieren, die an den IdP gesendet wird. Dies verringert die Gefahr eines Man-in-the-Middle-Angriffs, da es schwierig ist, eine signierte Anfrage zu manipulieren. Zusätzlich verifiziert Tableau Server die AuthNResponse, die sie von dem vertrauenswürdigen IdP erhält. Tableau Server überprüft die AuthNResponse mithilfe der vom IdP erstellten Signatur. Die IdP-Zertifikatsmetadaten werden Tableau Server als Teil des anfänglichen SAML-Konfigurationsprozesses bereitgestellt.

    Signierte Anforderungen sind nicht immer für alle IdPs erforderlich. Tableau Server erfordert standardmäßig signierte Anforderungen. Wir empfehlen diese Konfiguration, um eine sicherere Kommunikation mit dem IdP zu gewährleisten. Arbeiten Sie mit Ihrem IdP-Team zusammen, um zu verstehen, ob das Deaktivieren signierter Anforderungen erforderlich ist. Informationen zum Deaktivieren signierter Anforderungen finden Sie unter samlSettings-Entität.

  • Signaturalgorithmus. Das Zertifikat muss einen sicheren Signaturalgorithmus verwenden, z. B. SHA-256. Wenn Sie versuchen, Tableau Server für SAML mit einem Zertifikat zu konfigurieren, das SHA-1-Signatur-Hash verwendet, so lehnt Tableau Server das Zertifikat ab. Sie können Tableau Server so konfigurieren, dass der weniger sichere SHA-1-Hash akzeptiert wird, indem Sie den tsm wgserver.saml.blocklisted_digest_algorithms Konfigurationsschlüssel festlegen.

  • RSA-Schlüssel- und ECDSA-Kurvenlängen. Das Zertifikat muss entweder eine RSA-Schlüsselstärke von 2048 oder eine ECDSA-Kurvenlänge von 256 haben.

    Sie können Tableau Server so konfigurieren, dass die weniger sicheren Größen akzeptiert werden, indem Sie die entsprechenden Konfigurationsschlüssel wgserver.saml.min_allowed.rsa_key_size undwgserver.saml.min_allowed.elliptic_curve_size festlegen.

  • Zertifikatschlüsseldatei. Eine private RSA- oder DSA-Schlüsseldatei mit der Erweiterung .key. RSA-Schlüssel müssen im Format "PKCS#1" oder "PKCS#8" vorliegen.

    Die Anforderungen an den Kennwortschutz sind wie folgt:

    • Die PKCS#1 RSA-Schlüsseldatei kann nicht kennwortgeschützt werden.
    • Um eine kennwortgeschützte Schlüsseldatei zu verwenden, müssen Sie SAML mit einer RSA PKCS#8-Datei konfigurieren. Beachten Sie, dass eine PKCS#8-Datei mit einem Leerpasswort nicht unterstützt wird.
    • Kennwortgeschützte Schlüsseldateien werden in Site-spezifischen SAML-Bereitstellungen nicht unterstützt.
  • IdP muss SAML-Assertionen mit einem sicheren Signaturalgorithmus signieren. Standardmäßig lehnt Tableau Server SAML-Assertionen ab, die mit dem SHA-1-Algorithmus signiert wurden. Sie können Tableau Server so konfigurieren, dass mit dem weniger sicheren SHA-1-Hash signierte Assertionen akzeptiert werden, indem Sie den tsm wgserver.saml.blocklisted_digest_algorithms Konfigurationsschlüssel festlegen.

  • IdP-Konto, das SAML 2.0 oder höher unterstützt. Sie benötigen ein Konto bei einem externen Identitätsanbieter. Einige Beispiele sind PingFederate, SiteMinder und Open AM.

  • IdP-Anbieter, der Import/Export von XML-Metadaten unterstützt. Obwohl manuell erstellte Metadatendateien ggf. funktionieren können, kann Sie der technische Support von Tableau weder beim Generieren der Datei noch bei der Fehlersuche unterstützen.

SSL-Off-Loading

Wenn Ihr Unternehmen SSL-Verbindungen vom IdP an einem Proxy-Server beendet, bevor er die Authentifizierungsanforderung an Tableau Server sendet, müssen Sie möglicherweise eine Proxy-Konfiguration vornehmen. In diesem Szenario wird SSL auf dem Proxyserver "entladen", d.h. die HTTPS-Anfrage wird auf dem Proxyserver beendet und dann über HTTP an Tableau Server weitergeleitet.

Tableau Server überprüft die vom IdP zurückgegebene SAML-Antwortnachricht. Da SSL auf dem Proxy entladen ist, überprüft Tableau Server das empfangene Protokoll (http), die IdP-Antwort ist jedoch mit https formatiert. Die Überprüfung schlägt daher fehl, es sei denn, Ihr Proxyserver enthält den X-Forwarded-Proto-Header-Satz zu https. Siehe Konfigurieren von Proxys für Tableau Server.

Verwendung von SSL-Zertifikat und Schlüsseldateien für SAML

Wenn Sie eine PEM-codierte x509-Zertifikatdatei für SSL verwenden, können Sie dieselbe Datei für SAML verwenden. Für SSL wird die Zertifikatdatei zum Verschlüsseln des Datenverkehrs verwendet. Für SAML wird das Zertifikat für die Authentifizierung verwendet.

Neben den zuvor im Abschnitt Zertifikat- und Identitätsanbieteranforderungen (IdP) aufgeführten Voraussetzungen muss das Zertifikat, wenn es sowohl für SSL als auch für SAML verwendet werden soll, zusätzlich die folgende Bedingung erfüllen, damit es auch mit SAML funktioniert:

  • Vergewissern Sie sich, dass die Zertifikatdatei nur das für Tableau Server verwendete Zertifikat und keine weiteren Zertifikate oder Schlüssel enthält.

    Hierzu können Sie eine Sicherungskopie der Zertifikatdatei erstellen und diese in einem Texteditor öffnen, um ihren Inhalt zu prüfen.

Anforderungen an Benutzerverwaltung

Wenn Sie SAML aktivieren, wird die Benutzerauthentifizierung außerhalb von Tableau vom Identitätsanbieter ausgeführt. Die Benutzerverwaltung wird jedoch von einem Identitätsspeicher ausgeführt: entweder einem externen Identitätsspeicher (Active Directory oder LDAP) oder von Tableau Server in einem lokalen Identitätsspeicher. Weitere Informationen zur Planung der Benutzerverwaltung mit Tableau Server finden Sie unter Identitätsspeicher.

Beim Konfigurieren des Identitätsspeichers während des Setups müssen Sie die Option auswählen, die angibt, wie Sie SAML verwenden möchten. Wenn Sie Site-spezifische SAML verwenden möchten, müssen Sie vor dem Konfigurieren individueller Sites serverweite SAML konfigurieren.

  • Für Site-spezifische SAML: Wenn Sie über mehrere Sites in Tableau Server verfügen und jede Site für einen bestimmten IdP oder eine bestimmte IdP-Anwendung einrichten möchten (bzw. einige Sites so konfigurieren möchten, dass SAML nicht verwendet wird), konfigurieren Sie Tableau Server für die Benutzerverwaltung mit einem lokalen Identitätsspeicher. Bei der Site-spezifischen SAML stützt sich Tableau Server für die Authentifizierung auf den Identitätsanbieter und verwendet keine Kennwörter.

  • Für serverweite SAML: Wenn Sie serverweite SAML für einen einzelnen IdP konfigurieren, können Sie Tableau Server so konfigurieren, dass der lokale Identitätsspeicher oder ein externer Identitätsspeicher verwendet wird. Wenn Sie Active Directory verwenden, müssen Sie die Option Automatische Abmeldung aktivieren deaktivieren.

  • Serverweite SAML-Authentifizierung und standortspezifische SAML-Authentifizierung. In einer Umgebung mit mehreren Sites authentifizieren sich alle Benutzer über einen SAML-IdP, der auf Site-Ebene konfiguriert ist. In diesem Szenario geben Sie einen serverweiten Standard-SAML-IdP für Benutzer an, die zu mehreren Sites gehören. Zum Konfigurieren dieses Szenarios muss Tableau Server mit einem lokalen Identitätsspeicher konfiguriert werden.

Hinweis: Die einmalige Anmeldung per SAML (Single Sign-on, SSO) wird von der REST API und tabcmd nicht unterstützt. Um sich anzumelden, müssen Sie den Namen und das Kennwort eines Benutzers festlegen, der auf dem Server erstellt wurde. Der Benutzer kann vom lokalen Identitätsspeicher oder einem externen Identitätsspeicher verwaltet werden, je nachdem, wie Sie Tableau Server konfiguriert haben. Für Tableau Online können Sie die TableauID-Anmeldeinformationen des Benutzers festlegen. REST API- oder tabcmd-Aufrufe weisen die Berechtigungen des Benutzers auf, mit dem Sie sich anmelden.

Anforderungen und Hinweise zur SAML-Kompatibilität

  • Übereinstimmende Benutzernamen: Der in Tableau Server gespeicherte Benutzername muss mit dem konfigurierten Benutzernamen-Attribut übereinstimmen, das vom Identitätsanbieter in der SAML-Assertion gesendet wird. Standardmäßig erwartet Tableau Server, dass die eingehende Assertion ein Attribut namens "username" mit den Informationen des Benutzers enthält. Wenn beispielsweise der Benutzername für Jana Schmidt in PingFederate als jschmidt gespeichert wird, muss er auch in Tableau Server als jschmidt gespeichert werden.

    Bei der Konfiguration von SAML während der Authentifizierung

    Wenn Sie SAML im Zuge des anfänglichen Tableau Server-Setups konfigurieren, sollten Sie vor dem Ausführen des Setups sicherstellen, dass das Konto, das Sie verwenden möchten, in Ihrem Identitätsanbieter vorhanden ist. Während des Tableau Server-Setups erstellen Sie das Serveradministratorkonto.

    Bei Ausführung mehrerer Domänen

    Falls Sie ein Active Directory oder einen externen LDAP-Identitätsspeicher verwenden und die Ausführung in mehreren Domänen erfolgt (d. h., Benutzer gehören zu mehreren Domänen oder Ihre Tableau Server-Installation umfasst mehrere Domänen), muss der Identitätsanbieter sowohl das Benutzernamen- als auch Domänen-Attribut für einen Benutzer in der SAML-Assertion senden. Diese beiden Attribute "Benutzername" und "Domäne" müssen genau mit dem in Tableau Server gespeicherten Benutzernamen und der gespeicherten Domäne übereinstimmen. Verwenden Sie für das Benutzer-Attribut das Format domain\username und für das Domänen-Attribut den vollständig qualifizierten Domänennamen (FQDN). Wenn das Domänen-Attribut nicht enthalten ist, wird die Domäne des Tableau Server-Computers, die auch als Standarddomäne bezeichnet wird, für alle Benutzer verwendet. Wenn sich Benutzer nicht in derselben Domäne befinden wie der Tableau Server-Computer, führt der Ausschluss des Domänen-Attributs zu Fehlern bei der Anmeldung.

    Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen und im Abschnitt "Assertionen zuordnen" auf der Registerkarte Verwenden der TSM-Befehlszeile von Konfigurieren der serverweiten SAML.

  • Signaturalgorithmus: Viele IdPs sind standardmäßig auf SHA256 eingestellt. Eine Fehlanpassung zwischen den IdP- und Tableau Server-Signaturalgorithmen führt zu SAML-Authentifizierungsfehlern. Beispielsweise hat Ihr idP möglicherweise erforderliche SHA-256-signierte Assertionen, aber Ihre eingehenden Assertionen oder hochgeladenen Zertifikate sind mit SHA-1 signiert. Sie können erzwingen, dass ausgehende SAML-Assertionen mit SHA-256 signiert werden.

    Um zu SHA256 zu wechseln, stellen Sie die Konfigurationseinheit sHA256Enabled bei der Erstkonfiguration auf true. Siehe samlSettings-Entität. Sie können auch zu SHA256 wechseln, indem Sie den folgenden TSM-Befehl ausführen:

    tsm configuration set -k wgserver.saml.sha256 -v true

  • Einmalige Abmeldung (Single Log Out, SLO): Tableau Server unterstützt vom Service Provider (SP) initiiertes SLO sowohl für serverweites SAML als auch für Site-spezifisches SAML. Tableau Server unterstützt jedoch kein vom Identitätsanbieter (IdP) initiiertes SLO.

  • Externe Authentifizierungstypen: Die Nutzung mehrerer externer Authentifizierungstypen wird von Tableau Server nicht unterstützt.

  • Gegenseitiges SSL: Die gleichzeitige Verwendung von gegenseitigem SSL (bidirektionales SSL) und SAML wird von Tableau Server nicht unterstützt. Wenn Sie gegenseitiges SSL verwenden möchten, können Sie dies für den Identitätsanbieter konfigurieren.

  • Assertionen kodieren: Assertionen müssen UTF-8-kodiert sein.

  • Verschlüsselung und SAML-Assertionen: Wenn Tableau Server für serverweite SAML konfiguriert ist, unterstützt Tableau Server verschlüsselte Assertionen aus dem IdP. Verschlüsselungsassertionen werden durch das Zertifikat aktiviert, das Sie als Teil der Erstkonfiguration für serverweite SAML hochladen.

    Wenn Tableau Server für sitespezifische SAML konfiguriert ist, unterstützt Tableau Server keine verschlüsselten Assertionen aus dem IdP. Alle SAML-Anforderungen und -Antworten werden jedoch über HTTPS gesendet.

  • Benutzeridentität in Tableau Server für tabcmd-Benutzer: Wie im obigen Abschnitt Anforderungen an Benutzerverwaltung beschrieben, müssen Sie sich zum Verwenden von "tabcmd" als ein auf dem Server definierter Benutzer anmelden. Sie können SAML-Konten nicht mit tabcmd verwenden.

  • Verwenden von SAML SSO mit Tableau Desktop: Standardmäßig ermöglicht Tableau Desktop die SP-initiierte SAML-Authentifizierung.

    Wenn Ihr Identitätsanbieter diese Funktionalität nicht unterstützt, können Sie die SAML-Anmeldung für Tableau Desktop mithilfe des folgenden Befehls deaktivieren:

    tsm authentication saml configure --desktop-access disable

    Weitere Informationen finden Sie unter tsm authentication saml <commands>.

  • Verteilte Installationen: TSM-Versionen von Tableau Server (2018.2 und neuer) verwenden den Clientdateidienst, um Dateien in einem Cluster mit mehreren Knoten freizugeben. Nachdem Sie SAML auf dem ursprünglichen Knoten in Ihrem Cluster konfiguriert haben, verteilt der Clientdateidienst Zertifikat- und Schlüsseldateien an die anderen Knoten.

  • Anmelde-URL: Damit sich Benutzer anmelden können, muss Ihr IdP mit dem SAML-Anmeldeendpunkt konfiguriert sein, der eine POST-Anforderung an folgende URL sendet:

    https://<tableauserver>/wg/saml/SSO/index.html.

  • Abmelde-URL: Damit sich Benutzer nach dem Anmelden mit SAML wieder abmelden können, muss Ihr Identitätsanbieter mit einem SAML-Abmeldeendpunkt konfiguriert sein, der eine POST-Anfrage an folgende URL sendet:

    https://<tableauserver>/wg/saml/SingleLogout/index.html.

    Hinweis: SP-initiierte SLO wird für serverweites und Site-spezifisches SAML unterstützt. IdP-initiiertes SLO wird allerdings nicht unterstützt.

  • Weiterleitungs-URL nach der Abmeldung: Wenn sich ein Benutzer bei Tableau Server abmeldet, wird standardmäßig der Anmeldebildschirm angezeigt. 

    Verwenden Sie den Befehl tsm authentication saml configure mit der Option -su oder --signout-url, damit nach der Abmeldung eine andere Seite angezeigt wird.

    • Verwenden Sie zum Angeben einer absoluten URL eine vollqualifizierte URL, die mit http:// oder https:// beginnt, wie in diesem Beispiel gezeigt wird:

      tsm authentication saml configure -su https://example.com

    • Um eine URL relativ zum Tableau Server-Host anzugeben, verwenden Sie eine Seite beginnend mit einem / (Schrägstrich):

      tsm authentication saml configure -su /ourlogoutpage.html

  • Active Directory-Verbunddienst (AD FS):Sie müssen die Konfiguration von AD FS vornehmen, um zusätzliche Attribute für die Tableau-Authentifizierung mit SAML zu erhalten. Die Attribute Namens-ID und Benutzername können den gleichen AD-Attributen zugeordnet werden: SAM-Kontoname

    Informationen zur Konfiguration finden Sie im Thema über das Konfigurieren von SAML mit AD FS auf Tableau Server.

  • AuthNContextClassRef: AuthNContextClassRef ist ein optionales SAML-Attribut, das die Validierung bestimmter Authentifizierungskontexte in IdP-initiierten Schemas erzwingt. Sie können durch Kommas getrennte Werte für dieses Attribut mit TSM festlegen. Ist dieses Attribut festgelegt, überprüft Tableau Server, ob die SAML-Antwort mindestens einen der aufgeführten Werte enthält. Wenn die SAML-Antwort keinen der konfigurierten Werte enthält, wird die Authentifizierung abgelehnt, auch wenn der Benutzer sich erfolgreich beim IdP authentifiziert hat.

    Wenn Sie dieses optionale Attribut leer lassen, führt das zu einem Standardverhalten: Mit jeder erfolgreich authentifizierten SAML-Antwort wird einem Benutzer eine Sitzung in Tableau Server gewährt.

    Dieser Wert wird nur für serverweite SAML unterstützt. Wenn Site-SAML konfiguriert ist, wird das Attribut AuthNContextClassRef ignoriert.

    Informationen zum Festlegen dieses Werts mit der TSM-Webschnittstelle finden Sie unter Konfigurieren der serverweiten SAML.

    Um diesen Wert mit tsm configuration set festzulegen, verwenden Sie den Schlüssel wgserver.saml.authcontexts, um eine durch Kommas getrennte Liste von Werten festzulegen.

    Informationen zum Festlegen dieses Werts mit einer JSON-Konfigurationsdatei finden Sie unter samlSettings-Entität.

Verwenden der einmaligen Anmeldung mit SAML in Tableau-Clientanwendungen

Tableau Server-Benutzer mit SAML-Anmeldeinformationen können sich über Tableau Desktop oder die Tableau Mobile-App beim Server anmelden. Zwecks vollständiger Kompatibilität wird empfohlen, dass die Tableau-Clientanwendungsversion mit der des Servers übereinstimmt. Zum Herstellen der Verbindung mittels Site-spezifischer SAML müssen Benutzer Version 10.0 oder höher der Tableau-Clientanwendung ausführen.

Beim Herstellen der Verbindung von Tableau Desktop oder Tableau Mobile zu Tableau Server wird eine vom Dienstanbieter (SP) initiierte Verbindung verwendet.

Zurückleiten von authentifizierten Benutzern zu Tableau-Clients

Wenn sich ein Benutzer bei Tableau Server anmeldet, sendet Tableau Server eine SAML-Anfrage (AuthnRequest) an den Identitätsanbieter (Identity Provider, IdP), die den Wert RelayState der Tableau-Anwendung beinhaltet. Falls sich der Benutzer über einen Tableau-Client wie Tableau Desktop oder Tableau Mobile bei Tableau Server angemeldet hat, ist es wichtig, dass der Wert "RelayState in der SAML-Antwort des IdP an Tableau zurückgegeben wird.

Wird in diesem Szenario der Wert "RelayState" nicht korrekt zurückgegeben, wird der Benutzer zu seiner Tableau Server-Startseite im Webbrowser umgeleitet, anstatt zur Anwendung, von der er sich angemeldet hat, zurückgeleitet zu werden.

Arbeiten Sie mit Ihrem IdP und dem internen IT-Team zusammen, um sicherzustellen, dass dieser Wert in die SAML-Antwort des IdP eingefügt und dann von einem beliebigen Netzwerkgerät (wie einem Proxy oder einem Lastenausgleichsmodul) gespeichert wird, der bzw. das zwischen Ihrem IdP und Tableau Server geschaltet ist.

XML-Datenanforderungen

Im Rahmen der SAML-Konfiguration tauschen Sie XML-Metadaten zwischen Tableau Server und dem Identitätsanbieter aus. Diese XML-Metadaten werden zum Überprüfen der Authentifizierungsinformationen eines Benutzers verwendet, wenn der Benutzer den Tableau Server-Anmeldeprozess initiiert.

Tableau Server und der IdP generieren jeweils eigene Metadaten. Alle Metadatensätze müssen die in der folgenden Liste beschriebenen Informationen enthalten. Wenn in einem Satz Informationen fehlen, können beim Konfigurieren von SAML oder während Benutzer versuchen, sich anzumelden, Fehler auftreten.

  • HTTP POST: Tableau Server unterstützt nur HTTP POST-Anfragen für die SAML-Kommunikation. Die HTTP-Umleitung wird nicht unterstützt.

  • Das Attribut Binding muss auf HTTP-POST festgelegt sein, und die von Tableau Server und vom Identitätsanbieter exportierten SAML-Metadaten müssen die folgenden Elemente enthalten.

    • Das Element, das die URL angibt, zu der das IdP nach erfolgreicher Authentifizierung umleitet. Dies ist in den Metadaten des Service Providers erforderlich, nicht in den Metadaten des Identity Providers.

      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<tableau-server>/wg/saml/SSO/index.html index="0" isDefault="true"/>

      Für Site SAML ist der Endpunkt von Location/samlservice/public/sp/metadata?alias=<site alias>.

    • Das Abmeldeendpunktelement erscheint in den Metadaten von Tableau Server und gibt die URL an, die der Identitätsanbieter für den Abmeldeendpunkt von Tableau Server verwenden wird: Wenn dieses Element nicht in den Metadaten des Identitätsanbieters enthalten ist, kann Tableau Server keinen Abmeldeendpunkt mit dem Identitätsanbieter aushandeln und die SAML-Abmeldefunktion ist in Tableau Server nicht verfügbar:

      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/slo"

      Hinweis: SP-initiierte SLO wird für serverweites und Site-spezifisches SAML unterstützt. IdP-initiiertes SLO wird allerdings nicht unterstützt.

    • Vergewissern Sie sich, dass das Metadaten-XML aus dem IdP ein Element SingleSignOnService enthält, in dem die Bindung auf HTTP-POST gesetzt ist, wie im folgenden Beispiel:

      <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

    • Dieses Element sollte in den IdP-Metadaten erscheinen und gibt die URL an, die der Tableau-Server für den Logout-Endpunkt des IdP verwendet.

      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/slo"/>

  • Attribut mit der Bezeichnung username: Sie müssen den Identitätsanbieter so konfigurieren, dass er eine Assertion zurückgibt, die den Wert username im Element saml:AttributeStatement enthält. Der Attributtyp der Assertion muss xs:string lauten (er sollte nicht als xs:any eingegeben werden).

    Im folgenden Beispiel wird gezeigt, wie dies ggf. aussieht.

    <saml:Assertion assertion-element-attributes>
      <saml:Issuer>issuer-information</saml:Issuer>
      <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        ...
      </Signature>
      <saml:Subject>
        ...
      </saml:Subject>
      <saml:Conditions condition-attributes >
        ...
      </saml:Conditions>
      <saml:AuthnStatement authn-statement-attributes >
        ...
      </saml:AuthnStatement>
    
      <saml:AttributeStatement>
        <saml:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
        <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
              user-name
        </saml:AttributeValue>
        </saml:Attribute>
      </saml:AttributeStatement>
    </saml:Assertion>

    Standardmäßig liest der Tableau-Server das Attribut username in der vom Idp zurückgegebenen AuthNResponse. Einige IdPs können jedoch ein anderes Attribut zurückgeben, das dazu dient, den Benutzer zu identifizieren. In diesem Fall müssen Sie möglicherweise das Attribut, das der Tableau Server liest, für den Benutzernamen ändern. Um eine erfolgreiche Authentifizierung durchzuführen, muss der Wert des Attributs, der vom IdP zurückgegeben wird, mit einem tatsächlichen Benutzernamenswert eines Tableau Server-Benutzers übereinstimmen.

    Um das SAML-Attribut zu ändern, das den Wert username übergibt, führen Sie den folgenden TSM-Befehl aus:

    tsm authentication saml map-assertions --user-name <USER-NAME>.

    Siehe tsm authentication.

Vielen Dank für Ihr Feedback!