Konfigurieren von standortspezifischer SAML

Verwenden Sie die Site-spezifische SAML in einer Umgebung mit mehreren Sites, wenn Sie Single Sign-On (SSO) aktivieren möchten und gleichzeitig mehrere SAML-Identitätsanbieter (IdPs) oder IdP-Anwendungen verwenden. Bei aktivierter Site-SAML können Sie den IdP oder die IdP-Anwendung für jede Site angeben oder einige Sites für die Verwendung von SAML konfigurieren, während Sie andere Sites für die Verwendung der serverweiten Standard-Authentifizierungsmethode konfigurieren.

Sollen alle Serverbenutzer SAML verwenden und sich über dieselbe IdP-Anwendung anmelden, lesen Sie die Informationen unter Konfigurieren der serverweiten SAML.

Voraussetzungen für die Aktivierung der Site-spezifischen SAML

Bevor Sie SAML Single Sign-On auf Site-Ebene aktivieren können, müssen die folgenden Anforderungen erfüllt sein:

  • Der Identitätsspeicher von Tableau Server muss für den lokalen Identitätsspeicher konfiguriert sein.

     Sie können keine standortspezifische SAML konfigurieren, wenn Tableau Server mit einem externen Identitätsspeicher wie Active Directory oder OpenLDAP konfiguriert ist.

  • Vergewissern Sie sich, dass Ihre Umgebung und Ihr IdP die allgemeinen SAML-Anforderungen erfüllen.

    Einige Funktionen werden nur in serverweiten SAML-Bereitstellungen unterstützt, einschließlich, aber nicht begrenzt auf:

    • Kennwortgeschützte Schlüsseldateien, die in Site-spezifischen SAML-Bereitstellungen nicht unterstützt werden.
  • Sie müssen serverweites SAML konfigurieren, bevor Sie Site-spezifisches SAML konfigurieren. Sie müssen serverweites SAML nicht aktivieren, aber das Site-spezifische SAML erfordert die serverweite Konfiguration. Siehe Konfigurieren der serverweiten SAML.

  • Notieren Sie sich den Speicherort der SAML-Zertifikatsdateien. Sie geben ihn beim Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML an.

    Weitere Informationen finden Sie unter Ablegen der Metadaten- und Zertifikatdateien im vorgesehenen Ordner im Thema zum Konfigurieren einer serverweiten SAML.

  • Fügen Sie Tableau Server als Dienstanbieter Ihrem IdP hinzu. Sie können diese Informationen in der vom IdP bereitgestellten Dokumentation finden.

  • Bestätigen Sie, dass die Systemuhren des Computers, auf dem der SAML IdP für die Site gehostet wird, und des Computers, auf dem Tableau Server gehostet wird, weniger als 59 Sekunden auseinanderliegen. Tableau Serer verfügt nicht über eine Konfigurationsoption, um die Antwortschiefe (Zeitdifferenz) zwischen dem Tableau Server-Computer und dem IdP anzupassen.

Serverweite Einstellungen für Site-spezifische SAML

Rückgabe-URL und Entitäts-ID: In den Einstellungen zum Konfigurieren der Site-spezifischen SAML stellt Tableau basierend auf diesen Einstellungen eine Site-spezifische Rückgabe-URL und Entitäts-ID bereit. Die Site-spezifische Rückgabe-URL und die Entitäts-ID können nicht geändert werden. Diese Konfigurationen sind von TSM festgelegt wie in Konfigurieren der serverweiten SAML beschrieben.

Authentifizierungsalter und Antwortschiefe: Serverweite Einstellungen, maximales Authentifizierungsalter und Antwortschiefe gelten nicht für Site-spezifische SAML. Diese Konfigurationen sind vorprogrammiert:

  • Das maximale Authentifizierungsalter gibt an, wie lange ein Authentifizierungstoken vom IdP nach seiner Ausstellung gültig ist. Die vorprogrammierte Site-spezifische SAML für das maximale Authentifizierungsalter beträgt 24 Tage.
  • Die Antwortschiefe legt die Anzahl der Sekunden für die maximale Differenz zwischen Tableau Server-Zeit und dem Zeitpunkt der Assertion-Erstellung (auf Basis der IdP-Serverzeit) fest, in der die Meldung noch verarbeitet werden darf. Der vorprogrammierte Site-spezifische Wert hierfür beträgt 59 Sekunden.

Benutzername: Erforderlich. Zusätzlich zum serverweiten SAML-Konfigurationsattribut muss das Site-spezifische SAML-Konfigurationsattribut auf "username" festgelegt werden.

Hinweis: Damit sitespezifisches SAML erfolgreich mit einem serverweiten SAML-Standard funktioniert, muss das username-Attribut, das für serverweites SAML mit dem Konfigurationsschlüssel "wgserver.saml.idpattribute.username" konfiguriert wurde, "username" sein. Der IdP, der für serverweites SAML verwendet wird, muss den Benutzernamen in einem Attribut namens "username" bereitstellen.

HTTP POST und HTTP REDIRECT: Für standortspezifisches SAML unterstützt Tableau Server HTTP-POST, HTTP-REDIRECT und HTTP-POST-SimpleSign.

Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML

Wenn alle zuvor aufgeführten Voraussetzungen erfüllt sind, können Sie die folgenden Befehle zur Konfiguration des Servers ausführen, um die Site-spezifische SAML zu unterstützen.

  1. Konfigurieren der serverweiten SAML Sie müssen zumindest den folgenden TSM-Befehl ausführen (wenn Sie bereits serverweite SAML konfiguriert haben, fahren Sie mit Schritt 2 fort):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Aktivieren Sie die Website-SAML. Führen Sie die folgenden Befehle aus:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Informationen zu den Befehlen

Der Befehl sitesaml enable zeigt die Registerkarte Authentifizierung auf der Seite Einstellungen von jeder Site auf der Tableau Server-Web-Benutzeroberfläche an. Nachdem Sie den Server für die Site-spezifische SAML konfiguriert haben, können Sie mit dem Schritt Konfigurieren von SAML für eine Site fortfahren, um die Einstellungen auf der Registerkarte Authentifizierung vorzunehmen.

Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.

Wenn Sie überprüfen möchten, welche Befehle mit dem Befehl pending-changes apply ausgeführt und welche Einstellungen dabei vorgenommen werden, können Sie zunächst den folgenden Befehl ausführen:

tsm pending-changes list --config-only

Konfigurieren von SAML für eine Site

In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die auf der Registerkarte Authentifizierung in der Tableau Server-Seite „Einstellungen“ angezeigt werden. Bei einer selbstgehosteten Tableau Server-Installation wird diese Seite nur dann angezeigt, wenn die Unterstützung der Site-spezifischen SAML auf Serverebene aktiviert ist.

Hinweis: Für diesen Vorgang benötigen Sie auch die von Ihrem IdP bereitgestellte Dokumentation. Suchen Sie nach Themen, die sich auf das Konfigurieren oder Definieren eines Dienstanbieters für eine SAML-Verbindung und das Hinzufügen einer Anwendung beziehen.

Schritt 1: Metadaten aus Tableau Online exportieren

Zum Herstellen der SAML-Verbindung zwischen Tableau Server und Ihrem IdP müssen Sie die erforderlichen Metadaten zwischen den beiden Diensten austauschen. Wählen Sie zum Abrufen von Metadaten aus Tableau Server eine der folgenden Methoden. Wählen Sie die richtige Option entsprechend der SAML-Konfigurationsdokumentation des ldP aus.

  • Klicken Sie auf die Schaltfläche Metadaten exportieren, um eine XML-Datei herunterzuladen, die die Tableau Server SAML-Entitäts-ID, ACS-URL (Assertion Consumer Service) und das X.509-Zertifikat enthält.

    Die Entitäts-ID ist Site-spezifisch und basiert auf der serverweiten Entitäts-ID, die Sie bei der Aktivierung der Site-SAML auf dem Server angegeben haben. Wenn Sie beispielsweise https://tableau_server im Tableau Server-Konfigurationsdienstprogramm eingegeben haben, wird möglicherweise die folgende Einheiten-ID für die Site angezeigt:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Die von Tableau generierte Entitäts-ID oder ACS-URL kann nicht geändert werden.

  • Wählen Sie Zertifikat herunterladen aus, wenn Ihr IdP die erforderlichen Informationen auf eine andere Weise erwartet. Beispielsweise dann, wenn Sie Entitäts-ID, ACS URL und X.509-Zertifikat von Tableau Server an verschiedenen Stellen eingeben müssen.

    Das folgende Bild wurde so bearbeitet, dass erkennbar ist, dass diese Einstellungen in Tableau Cloud und Tableau Server gleich sind.

Schritt 2 und Schritt 3: Externe Schritte

Schritt 2: Melden Sie sich zum Importieren der Metadaten, die Sie in Schritt 1 exportiert haben, in Ihrem IdP-Konto an, und übermitteln Sie die Tableau Server-Metadaten gemäß den Anweisungen in der Dokumentation des IdPs.

Bei Schritt 3 hilft Ihnen die Dokumentation Ihres Identitätsanbieters auch in Bezug auf das Bereitstellen von Metadaten für einen Dienstanbieter. Sie werden darin aufgefordert, eine Metadatendatei herunterzuladen, oder sie wird in XML-Code angezeigt. Wenn sie XML-Code anzeigt, kopieren Sie den Code, und fügen Sie ihn in eine neue Textdatei ein. Speichern Sie die Datei mit einer .xml-Erweiterung.

Schritt 4: Importieren von IdP-Metadaten in die Tableau-Site

Importieren Sie auf der Seite Authentifizierung in Tableau Server die Metadatendatei, die Sie vom IdP heruntergeladen oder manuell von der zur Verfügung gestellten XML konfiguriert haben.

Hinweis: Wenn Sie die Konfiguration bearbeiten, müssen Sie die Metadatendatei hochladen, damit Tableau weiß, dass es die richtige IdP-Entitäts-ID und SSO-Dienst-URL verwenden muss.

Schritt 5: Attribute anpassen

Attribute enthalten die Authentifizierung, Autorisierung und weitere Informationen für einen Benutzer. Geben Sie in der Spalte Assertionsname des Identitätsanbieters die Attribute an, die die Informationen enthalten, die für Tableau Server erforderlich sind.

  • Benutzername oder E-Mail: (Erforderlich) Geben Sie den Namen des Attributs ein, das Benutzernamen oder E-Mail-Adressen speichert.

  • Anzeigename: (optional) Einige Identitätsanbieter verwenden separate Attribute für Vor- und Nachnamen, andere speichern den gesamten Namen in einem Attribut. Wenn Sie SAML mit lokaler Authentifizierung verwenden, wird das Anzeigenamensattribut nicht mit dem SAML-IdP synchronisiert.

    Wählen Sie die Schaltfläche aus, die der Vorgehensweise entspricht, wie Ihr Identitätsanbieter die Namen speichert. Wenn beispielsweise der Identitätsanbieter Vor- und Nachname in einem Attribut kombiniert, wählen Sie Anzeigename, und geben Sie anschließend den Attributnamen ein.

    Screenshot von Schritt 5 der Konfiguration von sitespezifischer SAML für Tableau Server – Abgleichen von Attributen

Schritt 6: Benutzer verwalten

Tableau ServerWählen Sie vorhandene -Benutzer aus, oder fügen Sie neue Benutzer hinzu, denen Sie das einmalige Anmelden gestatten möchten.

Wenn Sie Benutzer hinzufügen oder importieren, legen Sie auch deren Authentifizierungstyp fest. Auf der Seite "Benutzer" können Sie den Authentifizierungstyp der Benutzer jederzeit ändern, nachdem Sie sie hinzugefügt haben.

Weitere Informationen finden Sie unter Hinzufügen von Benutzern zu einer Site oder Importieren von Benutzern und Festlegen des Benutzerauthentifizierungstyps für SAML.

Wichtig: Benutzer, die sich mit dem Site-spezifischen SAML-Verfahren authentifizieren, dürfen nur zu einer Site gehören. Falls ein Benutzer Zugriff auf mehrere Sites benötigt, wählen Sie die Server-Standardeinstellung als dessen Authentifizierungstyp aus. Abhängig von der Art und Weise, wie das Site-spezifische SAML-Verfahren vom Serveradministrator konfiguriert wurde, handelt es sich bei der Standardeinstellung des Servers um eine lokale Authentifizierung oder eine serverweite SAML-Authentifizierung.

Schritt 7: Problembehebung

Beginnen Sie mit den auf der Authentifizierungsseite vorgeschlagenen Schritten zur Problembehandlung. Wenn Sie die Probleme dadurch nicht beheben können, finden Sie unter Problembehebung für SAML weitere Informationen.

Vielen Dank für Ihr Feedback!Ihr Feedback wurde erfolgreich übermittelt. Vielen Dank.