Konfigurieren von standortspezifischer SAML
Verwenden Sie die Site-spezifische SAML in einer Umgebung mit mehreren Sites, wenn Sie Single Sign-On (SSO) aktivieren möchten und gleichzeitig mehrere SAML-Identitätsanbieter (IdPs) oder IdP-Anwendungen verwenden. Bei aktivierter Site-SAML können Sie den IdP oder die IdP-Anwendung für jede Site angeben oder einige Sites für die Verwendung von SAML konfigurieren, während Sie andere Sites für die Verwendung der serverweiten Standard-Authentifizierungsmethode konfigurieren.
Sollen alle Serverbenutzer SAML verwenden und sich über dieselbe IdP-Anwendung anmelden, lesen Sie die Informationen unter Konfigurieren der serverweiten SAML.
Bevor Sie SAML Single Sign-On auf Site-Ebene aktivieren können, müssen die folgenden Anforderungen erfüllt sein:
Der Identitätsspeicher von Tableau Server muss für den lokalen Identitätsspeicher konfiguriert sein.
Sie können keine standortspezifische SAML konfigurieren, wenn Tableau Server mit einem externen Identitätsspeicher wie Active Directory oder OpenLDAP konfiguriert ist.
Vergewissern Sie sich, dass Ihre Umgebung und Ihr IdP die allgemeinen SAML-Anforderungen erfüllen.
Einige Funktionen werden nur in serverweiten SAML-Bereitstellungen unterstützt, einschließlich, aber nicht begrenzt auf:
- Kennwortgeschützte Schlüsseldateien, die in Site-spezifischen SAML-Bereitstellungen nicht unterstützt werden.
Sie müssen serverweites SAML konfigurieren, bevor Sie Site-spezifisches SAML konfigurieren. Sie müssen serverweites SAML nicht aktivieren, aber das Site-spezifische SAML erfordert die serverweite Konfiguration. Siehe Konfigurieren der serverweiten SAML.
Notieren Sie sich den Speicherort der SAML-Zertifikatsdateien. Sie geben ihn beim Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML an.
Weitere Informationen finden Sie unter Ablegen der Metadaten- und Zertifikatdateien im vorgesehenen Ordner im Thema zum Konfigurieren einer serverweiten SAML.
Fügen Sie Tableau Server als Dienstanbieter Ihrem IdP hinzu. Sie können diese Informationen in der vom IdP bereitgestellten Dokumentation finden.
Bestätigen Sie, dass die Systemuhren des Computers, auf dem der SAML IdP für die Site gehostet wird, und des Computers, auf dem Tableau Server gehostet wird, weniger als 59 Sekunden auseinanderliegen. Tableau Serer verfügt nicht über eine Konfigurationsoption, um die Antwortschiefe (Zeitdifferenz) zwischen dem Tableau Server-Computer und dem IdP anzupassen.
Rückgabe-URL und Entitäts-ID: In den Einstellungen zum Konfigurieren der Site-spezifischen SAML stellt Tableau basierend auf diesen Einstellungen eine Site-spezifische Rückgabe-URL und Entitäts-ID bereit. Die Site-spezifische Rückgabe-URL und die Entitäts-ID können nicht geändert werden. Diese Konfigurationen sind von TSM festgelegt wie in Konfigurieren der serverweiten SAML beschrieben.
Authentifizierungsalter und Antwortschiefe: Serverweite Einstellungen, maximales Authentifizierungsalter und Antwortschiefe gelten nicht für Site-spezifische SAML. Diese Konfigurationen sind vorprogrammiert:
- Das maximale Authentifizierungsalter gibt an, wie lange ein Authentifizierungstoken vom IdP nach seiner Ausstellung gültig ist. Die vorprogrammierte Site-spezifische SAML für das maximale Authentifizierungsalter beträgt 24 Tage.
- Die Antwortschiefe legt die Anzahl der Sekunden für die maximale Differenz zwischen Tableau Server-Zeit und dem Zeitpunkt der Assertion-Erstellung (auf Basis der IdP-Serverzeit) fest, in der die Meldung noch verarbeitet werden darf. Der vorprogrammierte Site-spezifische Wert hierfür beträgt 59 Sekunden.
Benutzername: Erforderlich. Zusätzlich zum serverweiten SAML-Konfigurationsattribut muss das Site-spezifische SAML-Konfigurationsattribut auf "username" festgelegt werden.
Hinweis: Damit sitespezifisches SAML erfolgreich mit einem serverweiten SAML-Standard funktioniert, muss das username-Attribut, das für serverweites SAML mit dem Konfigurationsschlüssel "wgserver.saml.idpattribute.username" konfiguriert wurde, "username" sein. Der IdP, der für serverweites SAML verwendet wird, muss den Benutzernamen in einem Attribut namens "username" bereitstellen.
HTTP POST und HTTP REDIRECT: Für standortspezifisches SAML unterstützt Tableau Server HTTP-POST, HTTP-REDIRECT und HTTP-POST-SimpleSign.
Wenn alle zuvor aufgeführten Voraussetzungen erfüllt sind, können Sie die folgenden Befehle zur Konfiguration des Servers ausführen, um die Site-spezifische SAML zu unterstützen.
Konfigurieren der serverweiten SAML Sie müssen zumindest den folgenden TSM-Befehl ausführen (wenn Sie bereits serverweite SAML konfiguriert haben, fahren Sie mit Schritt 2 fort):
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- Aktivieren Sie die Website-SAML. Führen Sie die folgenden Befehle aus:
tsm authentication sitesaml enable
tsm pending-changes apply
Informationen zu den Befehlen
Der Befehl sitesaml enable
zeigt die Registerkarte Authentifizierung auf der Seite Einstellungen von jeder Site auf der Tableau Server-Web-Benutzeroberfläche an. Nachdem Sie den Server für die Site-spezifische SAML konfiguriert haben, können Sie mit dem Schritt Konfigurieren von SAML für eine Site fortfahren, um die Einstellungen auf der Registerkarte Authentifizierung vorzunehmen.
Wenn die ausstehenden Änderungen einen Neustart des Servers erfordern, zeigt der Befehl pending-changes apply
eine Meldung an, um Sie darüber zu informieren, dass ein Neustart stattfinden wird. Diese Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt
unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Wenn die Änderungen keinen Neustart erfordern, werden die Änderungen ohne Meldung angewendet. Weitere Informationen finden Sie unter tsm pending-changes apply.
Wenn Sie überprüfen möchten, welche Befehle mit dem Befehl pending-changes apply
ausgeführt und welche Einstellungen dabei vorgenommen werden, können Sie zunächst den folgenden Befehl ausführen:
tsm pending-changes list --config-only
In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die auf der Registerkarte Authentifizierung in der Tableau Server-Seite „Einstellungen“ angezeigt werden.
Hinweis: Für diesen Vorgang benötigen Sie auch die von Ihrem IdP bereitgestellte Dokumentation. Suchen Sie nach Themen, die sich auf das Konfigurieren oder Definieren eines Dienstanbieters für eine SAML-Verbindung und das Hinzufügen einer Anwendung beziehen.