SAML-Anforderungen

Stellen Sie sicher, dass Ihre Umgebung die Anforderungen erfüllt, bevor Sie SAML in Tableau Server konfigurieren.

Wichtig: Bei SAML-Konfigurationen, sowohl beim IdP als auch auf Tableau Server, muss die Groß-/Kleinschreibung beachtet werden. Beispielsweise müssen URLs, die beim IdP und auf Tableau Server konfiguriert wurden, genau übereinstimmen.

Zertifikat- und Identitätsanbieteranforderungen (IdP)

Zum Konfigurieren von Tableau Server für SAML benötigen Sie Folgendes:

  • Zertifikatdatei. Ein PEM-codiertes x509-Zertifikat mit einer .crt-Erweiterung. Diese Datei wird von Tableau Server und nicht vom IdP verwendet. Wenn Sie über ein SSL-Zertifikat verfügen, können Sie dieses unter bestimmten Voraussetzungen auch mit SAML verwenden. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Verwendung von SSL-Zertifikat und Schlüsseldateien für SAML.

    Tableau Server erfordert ein Zertifikatschlüsselpaar, um die Anforderung zu signieren, die an den IdP gesendet wird. Dies verringert die Gefahr eines Man-in-the-Middle-Angriffs, da es schwierig ist, eine signierte Anfrage zu manipulieren. Zusätzlich verifiziert Tableau Server die AuthNResponse, die sie von dem vertrauenswürdigen IdP erhält. Tableau Server überprüft die AuthNResponse mithilfe der vom IdP erstellten Signatur. Die IdP-Zertifikatsmetadaten werden Tableau Server als Teil des anfänglichen SAML-Konfigurationsprozesses bereitgestellt.

    Signierte Anforderungen sind nicht immer für alle IdPs erforderlich. Tableau Server erfordert standardmäßig signierte Anforderungen. Wir empfehlen diese Konfiguration, um eine sicherere Kommunikation mit dem IdP zu gewährleisten. Arbeiten Sie mit Ihrem IdP-Team zusammen, um zu verstehen, ob das Deaktivieren signierter Anforderungen erforderlich ist. Informationen zum Deaktivieren signierter Anforderungen finden Sie unter samlSettings-Entität.

  • Signaturalgorithmus. Das Zertifikat muss einen sicheren Signaturalgorithmus verwenden, z. B. SHA-256. Wenn Sie versuchen, Tableau Server für SAML mit einem Zertifikat zu konfigurieren, das SHA-1-Signatur-Hash verwendet, so lehnt Tableau Server das Zertifikat ab. Sie können Tableau Server so konfigurieren, dass der weniger sichere SHA-1-Hash akzeptiert wird, indem Sie den tsm wgserver.saml.blocklisted_digest_algorithms Konfigurationsschlüssel festlegen.

  • RSA-Schlüssel- und ECDSA-Kurvenlängen. Das Tableau Server-Zertifikat muss eine RSA-Schlüsselstärke von 2048 aufweisen, und das IdP-Zertifikat muss entweder eine RSA-Schlüsselstärke von 2048 oder eine ECDSA-Kurvengröße von 256 aufweisen.

    Sie können Tableau Server so konfigurieren, dass die weniger sicheren Größen akzeptiert werden, indem Sie die entsprechenden Konfigurationsschlüssel wgserver.saml.min_allowed.rsa_key_size undwgserver.saml.min_allowed.elliptic_curve_size festlegen.

  • Zertifikatschlüsseldatei. Eine private RSA- oder DSA-Schlüsseldatei mit der Erweiterung .key. RSA-Schlüssel müssen im Format "PKCS#1" oder "PKCS#8" vorliegen.

    Die Anforderungen an den Kennwortschutz sind wie folgt:

    • Die PKCS#1 RSA-Schlüsseldatei kann nicht kennwortgeschützt werden.
    • Um eine kennwortgeschützte Schlüsseldatei zu verwenden, müssen Sie SAML mit einer RSA PKCS#8-Datei konfigurieren. Hinweis: Eine PKCS#8-Datei mit einem Leerpasswort wird nicht unterstützt.

    • Kennwortgeschützte Schlüsseldateien werden in Site-spezifischen SAML-Bereitstellungen nicht unterstützt.

    Zusammenfassung der Unterstützung

    SchlüsseldateiformatServerweite SAML-UnterstützungSAML-Unterstützung auf Site-Ebene
    PKCS#8 RSAJaNein
    PKCS#8 (kein Passwort/Leerpasswort)NeinNein
    PKCS#1 RSAJaJa
    PKCS#1 RSA (Kennwort)NeinNein
    PKCS#1 DSA (Kennwort)NeinNein
  • IdP muss SAML-Assertionen mit einem sicheren Signaturalgorithmus signieren. Standardmäßig lehnt Tableau Server SAML-Assertionen ab, die mit dem SHA-1-Algorithmus signiert wurden. Sie können Tableau Server so konfigurieren, dass mit dem weniger sicheren SHA-1-Hash signierte Assertionen akzeptiert werden, indem Sie den tsm wgserver.saml.blocklisted_digest_algorithms Konfigurationsschlüssel festlegen.

  • IdP-Konto, das SAML 2.0 oder höher unterstützt. Sie benötigen ein Konto bei einem externen Identitätsanbieter. Einige Beispiele sind PingFederate, SiteMinder und Open AM.

  • IdP-Anbieter, der Import/Export von XML-Metadaten unterstützt. Obwohl manuell erstellte Metadatendateien ggf. funktionieren können, kann Sie der technische Support von Tableau weder beim Generieren der Datei noch bei der Fehlersuche unterstützen.

  • Benutzername: Erforderlich. Die IdP-Konfiguration muss das Attribut oder den Anspruch "username" enthalten und das entsprechende SAML-Konfigurationsattribut auf Tableau Server muss ebenfalls auf "username" gesetzt sein.

SSL-Off-Loading

Wenn Ihr Unternehmen SSL-Verbindungen vom IdP an einem Proxy-Server beendet, bevor er die Authentifizierungsanforderung an Tableau Server sendet, müssen Sie möglicherweise eine Proxy-Konfiguration vornehmen. In diesem Szenario wird SSL auf dem Proxyserver "entladen", d.h. die HTTPS-Anfrage wird auf dem Proxyserver beendet und dann über HTTP an Tableau Server weitergeleitet.

Tableau Server überprüft die vom IdP zurückgegebene SAML-Antwortnachricht. Da SSL auf dem Proxy entladen ist, überprüft Tableau Server das empfangene Protokoll (http), die IdP-Antwort ist jedoch mit https formatiert. Die Überprüfung schlägt daher fehl, es sei denn, Ihr Proxyserver enthält den X-Forwarded-Proto-Header-Satz zu https. Siehe Konfigurieren von Tableau Server für die Verwendung mit einem Reverse-Proxyserver und/oder Lastenausgleichsmodul.

Verwendung von SSL-Zertifikat und Schlüsseldateien für SAML

Wenn Sie eine PEM-codierte x509-Zertifikatdatei für SSL verwenden, können Sie dieselbe Datei für SAML verwenden. Für SSL wird die Zertifikatdatei zum Verschlüsseln des Datenverkehrs verwendet. Für SAML wird das Zertifikat für die Authentifizierung verwendet.

Neben den zuvor im Abschnitt Zertifikat- und Identitätsanbieteranforderungen (IdP) aufgeführten Voraussetzungen muss das Zertifikat, wenn es sowohl für SSL als auch für SAML verwendet werden soll, zusätzlich die folgende Bedingung erfüllen, damit es auch mit SAML funktioniert:

  • Vergewissern Sie sich, dass die Zertifikatdatei nur das für Tableau Server verwendete Zertifikat und keine weiteren Zertifikate oder Schlüssel enthält.

    Hierzu können Sie eine Sicherungskopie der Zertifikatdatei erstellen und diese in einem Texteditor öffnen, um ihren Inhalt zu prüfen.

Anforderungen an Benutzerverwaltung

Wenn Sie SAML aktivieren, wird die Benutzerauthentifizierung außerhalb von Tableau vom Identitätsanbieter ausgeführt. Die Benutzerverwaltung wird jedoch von einem Identitätsspeicher ausgeführt: entweder einem externen Identitätsspeicher (Active Directory oder LDAP) oder von Tableau Server in einem lokalen Identitätsspeicher. Weitere Informationen zur Planung der Benutzerverwaltung mit Tableau Server finden Sie unter Identitätsspeicher.

Beim Konfigurieren des Identitätsspeichers während des Setups müssen Sie die Option auswählen, die angibt, wie Sie SAML verwenden möchten. Wenn Sie Site-spezifische SAML verwenden möchten, müssen Sie vor dem Konfigurieren individueller Sites serverweite SAML konfigurieren.

  • Für Site-spezifische SAML: Wenn Sie über mehrere Sites in Tableau Server verfügen und jede Site für einen bestimmten IdP oder eine bestimmte IdP-Anwendung einrichten möchten (bzw. einige Sites so konfigurieren möchten, dass SAML nicht verwendet wird), konfigurieren Sie Tableau Server für die Benutzerverwaltung mit einem lokalen Identitätsspeicher. Bei der Site-spezifischen SAML stützt sich Tableau Server für die Authentifizierung auf den Identitätsanbieter und verwendet keine Kennwörter.

  • Für serverweite SAML: Wenn Sie serverweite SAML für einen einzelnen IdP konfigurieren, können Sie Tableau Server so konfigurieren, dass der lokale Identitätsspeicher oder ein externer Identitätsspeicher verwendet wird. Wenn Sie Active Directory (AD) verwenden, müssen Sie die Option Automatische Abmeldung aktivieren (Microsoft SSPI) deaktivieren.

  • Sowohl für serverweite SAML-Authentifizierung als auch für Site-spezifische SAML-Authentifizierung:

    • Bei Verwendung eines lokalen Identitätsspeichers ist es wichtig, dass Sie einen Benutzernamen verwenden, der eine E-Mail-Adressformatierung aufweist. Die Verwendung der vollständigen E-Mail-Adresse stellt sicher, dass der Benutzername in Tableau Server eindeutig ist, selbst wenn zwei Benutzer dasselbe Präfix in der E-Mail-Adresse verwenden, aber verschiedene E-Mail-Domänen haben. Um die Eindeutigkeit von Identitäten sicherzustellen, nutzen Sie die vollständige E-Mail-Adressformatierung auf beiden Systemen oder aktualisieren Sie Tableau Server auf Version 2022.1.x oder höher und führen Sie die Identitätsmigration als Hintergrundjob aus.

    • In einer Umgebung mit mehreren Sites authentifizieren sich alle Benutzer über einen SAML-IdP, der auf Site-Ebene konfiguriert ist. In diesem Szenario geben Sie einen serverweiten Standard-SAML-IdP für Benutzer an, die zu mehreren Sites gehören. Zum Konfigurieren dieses Szenarios muss Tableau Server mit einem lokalen Identitätsspeicher konfiguriert werden.

    • Ignorieren Sie die Domäne, wenn Sie das SAML-Benutzernamensattribut abgleichen. Ab den Tableau Server-Versionen 2021.4.21, 2022.1.17, 2022.3.9 und 2023.1.5 können Sie Tableau Server so konfigurieren, dass der Domänenteil des Benutzernamenattributs ignoriert wird, wenn der Benutzername des Identitätsanbieters (IdP) einem Benutzerkonto auf Tableau Server zugeordnet wird. Das Benutzernamenattribut im IdP könnte beispielsweise alice@example.com lauten, um in Tableau Server einem Benutzer namens alice zu entsprechen. Das Ignorieren des Domänenteils des Benutzernamensattributs kann nützlich sein, wenn Sie bereits Benutzer in Tableau Server definiert haben, die mit dem Präfixteil des Benutzernamenattributs übereinstimmen, aber nicht mit dem Domänenteil des Benutzernamenattributs.

      Wichtig: Wir raten davon ab, den Domänennamen zu ignorieren, ohne Vorsichtsmaßnahmen zu treffen. Überprüfen Sie insbesondere, ob die Benutzernamen über die konfigurierten Domänen hinweg, die Sie in Ihrem Identitätsanbieter erstellt haben, eindeutig sind. Die Konfiguration von Tableau Server, den Domänennamen zu ignorieren, kann zu einer unbeabsichtigten Benutzeranmeldung führen. Stellen Sie sich den Fall vor, dass Ihr IdP für mehrere Domänen konfiguriert wurde (z. B. example.com und tableau.com). Wenn zwei Benutzer mit demselben Vornamen, aber unterschiedlichen Benutzerkonten (z. B. alice@tableau.com und alice@example.com) in Ihrer Organisation vorhanden sind, kann es zu einer Zuordnungsinkongruenz kommen.

      Um Tableau Server so zu konfigurieren, dass Domänennamen im Benutzernamensattribut des IdP ignoriert werden, legen Sie für wgserver.ignore_domain_in_username_for_matching die Option true fest. Weitere Informationen finden Sie unter wgserver.ignore_domain_in_username_for_matching.

      Hinweise:

      • Dieser Befehl funktioniert nur in Tableau Server-Bereitstellungen, die im legacy-identity-mode sind, oder in Bereitstellungen, die nicht durch Identitätsmigration(Link wird in neuem Fenster geöffnet) aktualisiert wurden, um den Identitätsdienst zu nutzen.
      • Wenn Sie den tsm-Befehl so ändern, dass die Domäne in Benutzernamen ignoriert wird, müssen alle Benutzernamen in Tableau Server über einen Domänennamen verfügen.

Hinweis: Die einmalige Anmeldung per SAML (Single Sign-on, SSO) wird von der REST API und tabcmd nicht unterstützt. Um sich anzumelden, müssen Sie den Namen und das Kennwort eines Benutzers festlegen, der auf dem Server erstellt wurde. Der Benutzer kann vom lokalen Identitätsspeicher oder einem externen Identitätsspeicher verwaltet werden, je nachdem, wie Sie Tableau Server konfiguriert haben. REST API- oder tabcmd-Aufrufe weisen die Berechtigungen des Benutzers auf, mit dem Sie sich anmelden.

Anforderungen und Hinweise zur SAML-Kompatibilität

  • Übereinstimmende Benutzernamen: Der in Tableau Server gespeicherte Benutzername muss mit dem konfigurierten Benutzernamen-Attribut übereinstimmen, das vom Identitätsanbieter in der SAML-Assertion gesendet wird. Standardmäßig erwartet Tableau Server, dass die eingehende Assertion ein Attribut namens "username" mit den Informationen des Benutzers enthält. Wenn beispielsweise der Benutzername für Jana Schmidt in PingFederate als jschmidt gespeichert wird, muss er auch in Tableau Server als jschmidt gespeichert werden.

    Bei der Konfiguration von SAML während der Authentifizierung

    Wenn Sie SAML im Zuge des anfänglichen Tableau Server-Setups konfigurieren, sollten Sie vor dem Ausführen des Setups sicherstellen, dass das Konto, das Sie verwenden möchten, in Ihrem Identitätsanbieter vorhanden ist. Während des Tableau Server-Setups erstellen Sie das Serveradministratorkonto.

    Bei Ausführung mehrerer Domänen

    Falls Sie ein Active Directory oder einen externen LDAP-Identitätsspeicher verwenden und die Ausführung in mehreren Domänen erfolgt (d. h., Benutzer gehören zu mehreren Domänen oder Ihre Tableau Server-Installation umfasst mehrere Domänen), muss der Identitätsanbieter sowohl das Benutzernamen- als auch Domänen-Attribut für einen Benutzer in der SAML-Assertion senden. Diese beiden Attribute "Benutzername" und "Domäne" müssen genau mit dem in Tableau Server gespeicherten Benutzernamen und der gespeicherten Domäne übereinstimmen. Führen Sie einen der folgenden Schritte aus:

    • Legen Sie domain\username im Feld "username" fest.
    • Legen Sie die Domäne im Feld "domain" und den Benutzernamen im Feld "username" fest.

    Beim Festlegen des Domänenattributs können Sie den vollständig qualifizierten Domänennamen (FQDN) oder den Kurznamen verwenden.

    Wird die Domäne nicht angegeben, wird sie als Standarddomäne betrachtet.

    Weitere Informationen finden Sie unter Unterstützung für mehrere Domänen und im Abschnitt "Assertionen zuordnen" auf der Registerkarte Verwenden der TSM-Befehlszeile von Konfigurieren der serverweiten SAML.

  • Signaturalgorithmus: Tableau Server verwendet den SHA256-Signaturalgorithmus.

  • Einmalige Abmeldung (Single Log Out, SLO): Tableau Server unterstützt sowohl vom Dienstanbieter (SP) als auch vom Identitätsanbieter (IdP) initiiertes SLO für serverweites SAML und Site-spezifisches SAML.

  • Externe Authentifizierungstypen: Die Nutzung mehrerer externer Authentifizierungstypen wird von Tableau Server nicht unterstützt.

  • Gegenseitiges SSL: Die gleichzeitige Verwendung von gegenseitigem SSL (bidirektionales SSL) und SAML wird von Tableau Server nicht unterstützt. Wenn Sie gegenseitiges SSL verwenden möchten, können Sie dies für den Identitätsanbieter konfigurieren.

  • Assertionen kodieren: Assertionen müssen UTF-8-kodiert sein.

  • Verschlüsselung und SAML-Behauptungen:

    • Serverweite SAML: Wenn Tableau Server für serverweite SAML konfiguriert ist, unterstützt Tableau Server verschlüsselte Assertionen aus dem IdP. Verschlüsselungsassertionen werden durch das Zertifikat aktiviert, das Sie als Teil der Erstkonfiguration für serverweite SAML hochladen. SAML-Anfragen und -Antworten können über HTTP oder HTTPS gesendet werden.

    • Site-spezifische SAML: Wenn Tableau Server für Site-spezifische SAML konfiguriert ist, unterstützt Tableau Server keine verschlüsselten Assertionen aus dem IdP. Alle SAML-Anforderungen und -Antworten werden jedoch über HTTPS gesendet, um die Kommunikation mit dem IdP abzusichern HTTP-Anfragen und -Antworten werden nicht unterstützt.

  • Benutzeridentität in Tableau Server für tabcmd-Benutzer: Wie im obigen Abschnitt Anforderungen an Benutzerverwaltung beschrieben, müssen Sie sich zum Verwenden von "tabcmd" als ein auf dem Server definierter Benutzer anmelden. Sie können SAML-Konten nicht mit tabcmd verwenden.

  • Verwenden von SAML SSO mit Tableau Desktop: Standardmäßig ermöglicht Tableau Desktop die SP-initiierte SAML-Authentifizierung.

    Wenn Ihr Identitätsanbieter diese Funktionalität nicht unterstützt, können Sie die SAML-Anmeldung für Tableau Desktop mithilfe des folgenden Befehls deaktivieren:

    tsm authentication saml configure --desktop-access disable

    Weitere Informationen finden Sie unter tsm authentication saml <commands>.

  • Verteilte Installationen: TSM-Versionen von Tableau Server (2018.2 und neuer) verwenden den Clientdateidienst, um Dateien in einem Cluster mit mehreren Knoten freizugeben. Nachdem Sie SAML auf dem ursprünglichen Knoten in Ihrem Cluster konfiguriert haben, verteilt der Clientdateidienst Zertifikat- und Schlüsseldateien an die anderen Knoten.

  • Anmelde-URL: Damit sich Benutzer anmelden können, muss Ihr IdP mit dem SAML-Anmeldeendpunkt konfiguriert sein, der eine POST-Anforderung an folgende URL sendet:

    https://<tableauserver>/wg/saml/SSO/index.html.

  • Abmelde-URL: Damit sich Benutzer nach dem Anmelden mit SAML wieder abmelden können, muss Ihr Identitätsanbieter mit einem SAML-Abmeldeendpunkt konfiguriert sein, der eine POST-Anfrage an folgende URL sendet:

    https://<tableauserver>/wg/saml/SingleLogout/index.html.

    Hinweis: Tableau Server unterstützt sowohl vom Dienstanbieter (SP) als auch vom Identitätsanbieter (IdP) initiiertes SLO für serverweites SAML und Site-spezifisches SAML.

  • Weiterleitungs-URL nach der Abmeldung: Wenn sich ein Benutzer bei Tableau Server abmeldet, wird standardmäßig der Anmeldebildschirm angezeigt. 

    Verwenden Sie den Befehl tsm authentication saml configure mit der Option -su oder --signout-url, damit nach der Abmeldung eine andere Seite angezeigt wird.

    • Verwenden Sie zum Angeben einer absoluten URL eine vollqualifizierte URL, die mit http:// oder https:// beginnt, wie in diesem Beispiel gezeigt wird:

      tsm authentication saml configure -su https://example.com

    • Um eine URL relativ zum Tableau Server-Host anzugeben, verwenden Sie eine Seite beginnend mit einem / (Schrägstrich):

      tsm authentication saml configure -su /ourlogoutpage.html

  • Active Directory-Verbunddienst (AD FS):Sie müssen die Konfiguration von AD FS vornehmen, um zusätzliche Attribute für die Tableau-Authentifizierung mit SAML zu erhalten. Die Attribute Namens-ID und Benutzername können den gleichen AD-Attributen zugeordnet werden: SAM-Kontoname

    Informationen zur Konfiguration finden Sie im Thema über das Konfigurieren von SAML mit AD FS auf Tableau Server.

  • AuthNContextClassRef: AuthNContextClassRef ist ein optionales SAML-Attribut, das die Validierung bestimmter Authentifizierungskontexte in IdP-initiierten Schemata erzwingt. Sie können durch Kommas getrennte Werte für dieses Attribut mit TSM festlegen. Ist dieses Attribut festgelegt, überprüft Tableau Server, ob die SAML-Antwort mindestens einen der aufgeführten Werte enthält. Wenn die SAML-Antwort keinen der konfigurierten Werte enthält, wird die Authentifizierung abgelehnt, auch wenn der Benutzer sich erfolgreich beim IdP authentifiziert hat.

    Wenn Sie dieses optionale Attribut leer lassen, führt das zu einem Standardverhalten: Mit jeder erfolgreich authentifizierten SAML-Antwort wird einem Benutzer eine Sitzung in Tableau Server gewährt.

    Dieser Wert wird nur für serverweite SAML unterstützt. Wenn Site-SAML konfiguriert ist, wird das Attribut AuthNContextClassRef ignoriert.

    Informationen zum Festlegen dieses Werts mit der TSM-Webschnittstelle finden Sie unter Konfigurieren der serverweiten SAML.

    Um diesen Wert mit tsm configuration set festzulegen, verwenden Sie den Schlüssel wgserver.saml.authcontexts, um eine durch Kommas getrennte Liste von Werten festzulegen.

    Informationen zum Festlegen dieses Werts mit einer JSON-Konfigurationsdatei finden Sie unter samlSettings-Entität.

Verwenden der einmaligen Anmeldung mit SAML in Tableau-Clientanwendungen

Tableau Server-Benutzer mit SAML-Anmeldeinformationen können sich über Tableau Desktop oder die Tableau Mobile-App beim Server anmelden. Zwecks vollständiger Kompatibilität wird empfohlen, dass die Tableau-Clientanwendungsversion mit der des Servers übereinstimmt. Zum Herstellen der Verbindung mittels Site-spezifischer SAML müssen Benutzer Version 10.0 oder höher der Tableau-Clientanwendung ausführen.

Beim Herstellen der Verbindung von Tableau Desktop oder Tableau Mobile zu Tableau Server wird eine vom Dienstanbieter (SP) initiierte Verbindung verwendet.

Zurückleiten von authentifizierten Benutzern zu Tableau-Clients

Wenn sich ein Benutzer bei Tableau Server anmeldet, sendet Tableau Server eine SAML-Anfrage (AuthnRequest) an den Identitätsanbieter (Identity Provider, IdP), die den Wert RelayState der Tableau-Anwendung beinhaltet. Falls sich der Benutzer über einen Tableau-Client wie Tableau Desktop oder Tableau Mobile bei Tableau Server angemeldet hat, ist es wichtig, dass der Wert "RelayState in der SAML-Antwort des IdP an Tableau zurückgegeben wird.

Wird in diesem Szenario der Wert "RelayState" nicht korrekt zurückgegeben, wird der Benutzer zu seiner Tableau Server-Startseite im Webbrowser umgeleitet, anstatt zur Anwendung, von der er sich angemeldet hat, zurückgeleitet zu werden.

Arbeiten Sie mit Ihrem IdP und dem internen IT-Team zusammen, um sicherzustellen, dass dieser Wert in die SAML-Antwort des IdP eingefügt und dann von einem beliebigen Netzwerkgerät (wie einem Proxy oder einem Lastenausgleichsmodul) gespeichert wird, der bzw. das zwischen Ihrem IdP und Tableau Server geschaltet ist.

XML-Datenanforderungen

Im Rahmen der SAML-Konfiguration tauschen Sie XML-Metadaten zwischen Tableau Server und dem Identitätsanbieter aus. Diese XML-Metadaten werden zum Überprüfen der Authentifizierungsinformationen eines Benutzers verwendet, wenn der Benutzer den Tableau Server-Anmeldeprozess initiiert.

Tableau Server und der IdP generieren jeweils eigene Metadaten. Alle Metadatensätze müssen die in der folgenden Liste beschriebenen Informationen enthalten. Wenn in einem Satz Informationen fehlen, können beim Konfigurieren von SAML oder während Benutzer versuchen, sich anzumelden, Fehler auftreten.

  • HTTP POST und HTTP REDIRECT: Tableau Server unterstützt HTTP POST- und HTTP REDIRECT-Anfragen für SAML-Kommunikation. Im SAML-Metadaten-XML-Dokument, das vom Identitätsanbieter exportiert wird, muss das Attribut Binding auf HTTP-POST oder HTTP-REDIRECT festgelegt sein.

  • Wenn das Attribut Binding auf HTTP-POST festgelegt ist, müssen die von Tableau Server und vom Identitätsanbieter exportierten SAML-Metadaten die folgenden Elemente enthalten.

    • Das Element, das die URL angibt, zu der das IdP nach erfolgreicher Authentifizierung umleitet. Dies ist in den Metadaten des Service Providers erforderlich, nicht in den Metadaten des Identity Providers.

      <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<tableau-server>/wg/saml/SSO/index.html index="0" isDefault="true"/>

      Für Site SAML ist der Endpunkt von Location /samlservice/public/sp/metadata?alias=<site alias>.

    • Das Abmeldeendpunktelement erscheint in den Metadaten von Tableau Server und gibt die URL an, die der Identitätsanbieter für den Abmeldeendpunkt von Tableau Server verwenden wird: Wenn dieses Element nicht in den Metadaten des Identitätsanbieters enthalten ist, kann Tableau Server keinen Abmeldeendpunkt mit dem Identitätsanbieter aushandeln und die SAML-Abmeldefunktion ist in Tableau Server nicht verfügbar:

      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/slo"

    • Vergewissern Sie sich, dass das Metadaten-XML aus dem IdP ein Element SingleSignOnService enthält, in dem die Bindung auf HTTP-POST gesetzt ist, wie im folgenden Beispiel:

      <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

    • Dieses Element sollte in den IdP-Metadaten erscheinen und gibt die URL an, die der Tableau-Server für den Logout-Endpunkt des IdP verwendet.

      <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/slo"/>

  • Attribut mit der Bezeichnung username: Sie müssen den Identitätsanbieter so konfigurieren, dass er eine Assertion zurückgibt, die den Wert username im Element saml:AttributeStatement enthält. Der Attributtyp der Assertion muss xs:string lauten (er sollte nicht als xs:any eingegeben werden).

    Im folgenden Beispiel wird gezeigt, wie dies ggf. aussieht.

    <saml:Assertion assertion-element-attributes>
      <saml:Issuer>issuer-information</saml:Issuer>
      <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
        ...
      </Signature>
      <saml:Subject>
        ...
      </saml:Subject>
      <saml:Conditions condition-attributes >
        ...
      </saml:Conditions>
      <saml:AuthnStatement authn-statement-attributes >
        ...
      </saml:AuthnStatement>
    
      <saml:AttributeStatement>
        <saml:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic">
        <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">
              user-name
        </saml:AttributeValue>
        </saml:Attribute>
      </saml:AttributeStatement>
    </saml:Assertion>

    Standardmäßig liest der Tableau-Server das Attribut username in der vom Idp zurückgegebenen AuthNResponse. Einige IdPs können jedoch ein anderes Attribut zurückgeben, das dazu dient, den Benutzer zu identifizieren.

    Um das SAML-Attribut zu ändern, das den Wert username übergibt, führen Sie den folgenden TSM-Befehl aus:

    tsm authentication saml map-assertions --user-name <USER-NAME>.

    Siehe tsm authentication.

  • Dynamische Gruppenmitgliedschaft mithilfe von SAML-Assertionen:

    Ab Tableau Server 2024.2 können Sie, wenn SAML (oder Site-SAML) konfiguriert und die Einstellung der Funktion (serverweit oder auf Site-Ebene) aktiviert ist, die Gruppenmitgliedschaft dynamisch über benutzerdefinierte Ansprüche steuern, die in der vom Identitätsanbieter (IdP) gesendeten SAML-XML-Antwort enthalten sind.

    Wenn konfiguriert, sendet der IdP während der Benutzerauthentifizierung die SAML-Assertion, die zwei benutzerdefinierte Gruppenmitgliedschaftsansprüche enthält: Gruppe (https://tableau.com/groups) und Gruppennamen (z. B. „Gruppe1“ und „Gruppe2“), in die der Benutzer aufgenommen werden soll. Tableau validiert die Assertion und ermöglicht dann den Zugriff auf die Gruppen und die Inhalte, deren Berechtigungen von diesen Gruppen abhängen.

    Weitere Informationen finden Sie unter Dynamische Gruppenmitgliedschaft mithilfe von Assertionen.

    Beispiel für eine SAML-XML-Antwort

    <saml2p:Response
      xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol"
        .....
        .....
      <saml2:Assertion
        .....
        .....
        xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"
        <saml2:AttributeStatement
      		xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion">
      		<saml2:Attribute
        		Name="https://tableau.com/groups"
    			NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
      			<saml2:AttributeValue
    				xmlns:xs="http://www.w3.org/2001/XMLSchema"
    				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    				xsi:type="xs:string">Group1
    			</saml2:AttributeValue>
    			<saml2:AttributeValue
    				xmlns:xs="http://www.w3.org/2001/XMLSchema"
    				xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    				xsi:type="xs:string">Group2
    			</saml2:AttributeValue>
        	<saml2:Attribute>
        </saml2:AttributeStatement>
      </saml2:Assertion>
    </saml2p:Response>
Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.