Konfigurieren von standortspezifischer SAML

Verwenden Sie die Site-spezifische SAML in einer Umgebung mit mehreren Sites, wenn Sie Single Sign-On (SSO) aktivieren möchten und gleichzeitig mehrere SAML-Identitätsanbieter (IdPs) oder IdP-Anwendungen verwenden. Bei aktivierter Site-SAML können Sie den IdP oder die IdP-Anwendung für jede Site angeben oder einige Sites für die Verwendung von SAML konfigurieren, während Sie andere Sites für die Verwendung der serverweiten Standard-Authentifizierungsmethode konfigurieren.

Sollen alle Serverbenutzer SAML verwenden und sich über dieselbe IdP-Anwendung anmelden, lesen Sie die Informationen unter Konfigurieren der serverweiten SAML.

Voraussetzungen für die Aktivierung der site-spezifischen SAML

Bevor Sie SAML Single Sign-On auf Site-Ebene aktivieren können, müssen die folgenden Anforderungen erfüllt sein:

  • Die standardmäßige serverweite Authentifizierungsmethode, die mit der site-spezifischen SAML verwendet werden kann, muss konfiguriert sein. Diese Methode wird auf Benutzer angewendet, die nicht zu einer Site gehören und zu mehreren Sites gehören.

    Bei der Site-spezifischen SAML können Sie die serverweite lokale Authentifizierung oder die serverweite SAML-Authentifizierung verwenden. Für Sites, für die SAML aktiviert ist, kann Active Directory nicht verwendet werden.

  • Vergewissern Sie sich, dass Ihre Umgebung und Ihr IdP die allgemeinen SAML-Anforderungen erfüllen.

  • Notieren Sie sich den Speicherort der SAML-Zertifikatdateien. Sie geben ihn beim Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML an.

    Weitere Informationen finden Sie unter Ablegen der Metadaten- und Zertifikatdateien im vorgesehenen Ordner im Thema zum Konfigurieren einer serverweiten SAML.

  • Fügen Sie Tableau Server als Dienstanbieter Ihrem IdP hinzu. Sie können diese Informationen in der vom IdP bereitgestellten Dokumentation finden.

  • Bestätigen Sie, dass die Systemuhren des Computers, auf dem der SAML IdP für die Site gehostet wird, und des Computers, auf dem Tableau Server gehostet wird, weniger als 59 Sekunden auseinanderliegen.

Serverweite Einstellungen für Site-spezifische SAML

In der Serverdatei "workgroup.yml" beinhalten die serverweiten Einstellungen, die auf irgendeine Art und Weise für Site-spezifische SAML verwendet werden, Folgendes:

  • wgserver.saml.returnurl und wgserver.saml.entityid: In den Einstellungen zum Konfigurieren der Site-spezifischen SAML stellt Tableau basierend auf diesen Einstellungen eine Site-spezifische Rückgabe-URL und Entitäts-ID bereit. Die Site-spezifische Rückgabe-URL und die Entitäts-ID können nicht geändert werden.

  • wgserver.saml.domain, wgserver.saml.port und wgserver.saml.protocol werden für SAML-Anforderungen auf Site-Ebene verwendet.

Die serverweiten Einstellungen wgserver.saml.maxauthenticationage und wgserver.saml.responseskew gelten nicht für die Site-spezifische SAML.

Konfigurieren des Servers zur Unterstützung der Site-spezifischen SAML

Wenn alle zuvor aufgeführten Voraussetzungen erfüllt sind, können Sie die folgenden Befehle zur Konfiguration des Servers ausführen, um die site-spezifische SAML zu unterstützen.

  1. Konfigurieren der serverweiten SAML
    • Wenn Sie Server SAML bereits konfiguriert haben, führen Sie den Befehl tsm authentication saml configure nicht aus. Weiter mit Schritt 2.
    • Wenn Sie die Server-SAML noch nicht konfiguriert haben, führen Sie den folgenden Befehl aus, um den Speicherort und die Dateinamen des SAML-Zertifikats zusammen mit den anderen erforderlichen Attributen einzugeben. Weitere Informationen finden Sie unter tsm authentication saml <commands>.

      tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Aktivieren Sie die Website-SAML. Führen Sie die folgenden Befehle aus:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Informationen zu den Befehlen

Der Befehl sitesaml enable zeigt die Registerkarte Authentifizierung auf der Seite Einstellungen von jeder Site auf der Tableau Server-Web-Benutzeroberfläche an. Nachdem Sie den Server für die site-spezifische SAML konfiguriert haben, können Sie mit dem Schritt Konfigurieren von SAML für eine Site fortfahren, um die Einstellungen auf der Registerkarte Authentifizierung vorzunehmen.

Der Befehl pending-changes apply zeigt eine Meldung an, die Sie darüber informiert, dass dadurch Tableau Server neu gestartet wird, wenn der Server ausgeführt wird. Die Meldung wird auch angezeigt, wenn der Server angehalten ist. In diesem Fall erfolgt jedoch kein Neustart. Sie können diese Meldung mithilfe der Option --ignore-prompt unterdrücken, dies ändert jedoch nichts an dem Neustartverhalten. Weitere Informationen finden Sie unter tsm pending-changes apply.

Wenn Sie überprüfen möchten, welche Befehle mit dem Befehl pending-changes apply ausgeführt und welche Einstellungen dabei vorgenommen werden, können Sie zunächst den folgenden Befehl ausführen:

tsm pending-changes list --config-only

Konfigurieren von SAML für eine Site

In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die auf der Seite Authentifizierung in der Tableau Server-Webschnittstelle angezeigt werden. Bei einer selbstgehosteten Tableau Server-Installation wird diese Seite nur dann angezeigt, wenn die Unterstützung der Site-spezifischen SAML auf Serverebene aktiviert ist. In Tableau Online ist sie standardmäßig aktiviert.

Hinweis: Für diesen Vorgang benötigen Sie auch die von Ihrem IdP bereitgestellte Dokumentation. Suchen Sie nach Themen, die sich auf das Konfigurieren oder Definieren eines Dienstanbieters für eine SAML-Verbindung und das Hinzufügen einer Anwendung beziehen.

Schritt 1: Metadaten aus Tableau Online exportieren

Zum Herstellen der SAML-Verbindung zwischen Tableau Server und Ihrem IdP müssen Sie die erforderlichen Metadaten zwischen den beiden Diensten austauschen. Führen Sie zum Abrufen von Metadaten aus Tableau Server einen der folgenden Schritte aus. Wählen Sie die richtige Option entsprechend der SAML-Konfigurationsdokumentation des ldP aus.

  • Wählen Sie die Option Metadaten exportieren aus, um eine XML-Datei herunterzuladen, die die SAML-Entitäts-ID Tableau Server, die Assertion Consumer Service-URL (ACS) und das X.509-Zertifikat enthält.

    Die Entitäts-ID ist Site-spezifisch und basiert auf der serverweiten Entitäts-ID, die Sie bei der Aktivierung der Site-SAML auf dem Server angegeben haben. Wenn Sie beispielsweise https://tableau_server im Tableau Server-Konfigurationsdienstprogramm eingegeben haben, wird möglicherweise die folgende Einheiten-ID für die Site angezeigt:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Die von Tableau generierte Entitäts-ID oder ACS-URL kann nicht geändert werden.

  • Wählen Sie Zertifikat zum Signieren und Verschlüsseln herunterladen aus, wenn Ihr IdP die erforderlichen Angaben auf andere Weise erwartet. Beispielsweise dann, wenn Sie Entitäts-ID, ACS URL und X.509-Zertifikat von Tableau Server an verschiedenen Stellen eingeben müssen.

    Das folgende Bild wurde so bearbeitet, dass erkennbar ist, dass diese Einstellungen in Tableau Online und Tableau Server gleich sind.

Schritte 2 und 3: Externe Schritte

Schritt 2: Importieren Sie die Metadaten, die Sie in Schritt 1 exportiert haben, melden Sie sich bei Ihrem IdP-Konto an, und übermitteln Sie die Tableau Server-Metadaten gemäß den Anweisungen in der Dokumentation des IdPs.

Bei Schritt 3 hilft Ihnen die Dokumentation Ihres Identitätsanbieters auch in Bezug auf das Bereitstellen von Metadaten für einen Dienstanbieter. Sie werden darin aufgefordert, eine Metadatendatei herunterzuladen, oder sie wird in XML-Code angezeigt. Wenn sie XML-Code anzeigt, kopieren Sie den Code, und fügen Sie ihn in eine neue Textdatei ein. Speichern Sie die Datei mit einer .xml-Erweiterung.

Schritt 4: Importieren von IdP-Metadaten in die Tableau-Site

Importieren Sie auf der Seite Authentifizierung in Tableau Server die Metadatendatei, die Sie vom IdP heruntergeladen oder manuell von der zur Verfügung gestellten XML konfiguriert haben.

Schritt 5: Attribute anpassen

Attribute enthalten die Authentifizierung, Autorisierung und weitere Informationen für einen Benutzer. Geben Sie in der Spalte Assertionsname des Identitätsanbieters die Attribute an, die die Informationen enthalten, die für Tableau Server erforderlich sind.

  • Benutzername oder E-Mail: (Erforderlich) Geben Sie den Namen des Attributs ein, das Benutzernamen oder E-Mail-Adressen speichert.

  • Anzeigename: (Optional, aber empfohlen) Einige Identitätsanbieter verwenden getrennte Attribute für Vor- und Nachnamen, andere speichern den vollständigen Namen in einem Attribut.

    Wählen Sie die Schaltfläche aus, die der Vorgehensweise entspricht, wie Ihr Identitätsanbieter die Namen speichert. Wenn beispielsweise der Identitätsanbieter Vor- und Nachname in einem Attribut kombiniert, wählen Sie Anzeigename, und geben Sie anschließend den Attributnamen ein.

    Screen shot of step 5 for configuring site SAML for Tableau Server -- matching attributes

Schritt 6: Benutzer verwalten

Tableau ServerWählen Sie vorhandene -Benutzer aus, oder fügen Sie neue Benutzer hinzu, denen Sie das einmalige Anmelden gestatten möchten.

Wenn Sie Benutzer hinzufügen oder importieren, legen Sie auch deren Authentifizierungstyp fest. Auf der Seite "Benutzer" können Sie den Authentifizierungstyp der Benutzer jederzeit ändern, nachdem Sie sie hinzugefügt haben.

Weitere Informationen finden Sie unter Hinzufügen von Benutzern zu einer Site oder Importieren von Benutzern und Festlegen des Benutzerauthentifizierungstyps für SAML.

Wichtig: Benutzer, die sich mit dem Site-spezifischen SAML-Verfahren authentifizieren, dürfen nur zu einer Site gehören. Falls ein Benutzer Zugriff auf mehrere Sites benötigt, wählen Sie die Server-Standardeinstellung als dessen Authentifizierungstyp aus. Abhängig von der Art und Weise, wie das Site-spezifische SAML-Verfahren vom Serveradministrator konfiguriert wurde, handelt es sich bei der Standardeinstellung des Servers um eine lokale Authentifizierung oder eine serverweite SAML-Authentifizierung.

Schritt 7: Problembehebung

Beginnen Sie mit den auf der Authentifizierungsseite vorgeschlagenen Schritten zur Problembehandlung. Wenn Sie die Probleme dadurch nicht beheben können, finden Sie unter Problembehebung für SAML weitere Informationen.

Standardmäßiger Authentifizierungstyp für eingebettete Ansichten

Im Rahmen der SAML-Aktivierung auf Ihrer Site legen Sie fest, wie die Benutzer auf Ansichten zugreifen, die in Webseiten eingebettet sind.

  • Benutzern die Auswahl des Authentifizierungstyps gestatten

    Wenn Sie diese Option auswählen, werden für jede eingebettete Ansicht immer zwei Anmeldeoptionen angezeigt: eine Anmeldeschaltfläche, die mit einer SSO (Single Sign-On)-Authentifizierung verbunden ist, sowie ein Link zur alternativen Verwendung der TableauID.

    Hinweis: Bei dieser Option müssen die Benutzer erfahren, welche Alternative geeignet ist. Erläutern Sie den Benutzern in der Berechtigung, die sie nach dem Hinzufügen zur Single Sign-On-Site erhalten, welche Authentifizierung sie in verschiedenen Anmeldeszenarien verwenden sollen. Beispiel: Eingebettete Ansichten, Tableau Desktop, Tableau Bridge, Tableau Mobile usw.

  • TableauID

    Bei dieser Option müssen sich die Benutzer auch dann über eine TableauID anmelden, wenn SAML auf der Site aktiviert ist. Dies ist im Allgemeinen für Administratoren zur Fehlerbehebung bei eingebetteten Ansichten und SAML reserviert.

  • Single Sign-On mit SAML

    Falls Ihr Identitätsanbieter die Anmeldung über ein <iframe>-Element nicht unterstützt, wählen Sie In einem separaten Pop-up-Fenster authentifizieren aus. Das Pop-up-Fenster wird geöffnet, sobald ein Benutzer die Webseite mit der eingebetteten Ansicht aufruft und auf die Schaltfläche zur Anmeldung klickt.

    Falls Ihr Identitätsanbieter die Anmeldung über ein <iframe>-Element nicht unterstützt, wählen Sie Über Inline-Frame authentifizieren (diese Option ist weniger sicher und wird nicht von allen Identitätsanbietern unterstützt) aus. Durch die iframe-Einbettung lässt sich eine bessere Nutzererfahrung erzielen. Wenn beispielsweise ein Benutzer die Authentifizierung bei Ihrem Identitätsanbieter bereits durchgeführt hat und die iFrame-Einbettung aktiviert ist, kann sich der Benutzer reibungslos für Tableau Server authentifizieren, wenn er Seiten aufruft, die eingebettete Visualisierungen enthalten.

    Vorsicht: iframes können für Klickbetrug-Angriffe anfällig sein. Daher unterstützen nicht alle IdPs die Anmeldung über einen iframe. Beim Klickbetrug versuchen Angreifer, Benutzer dazu zu bringen, auf Inhalte zu klicken oder sie aufzurufen. Dabei wird die Angreiferseite in einer transparenten Schicht über einer davon unabhängigen Seite anzeigt wird. Bei Tableau Server bedeutet dies, dass Angreifer unter Umständen versuchen, über einen Klickbetrug-Angriff die Anmeldeinformationen von Benutzern oder deren Authentifizierungsdaten zu erhalten und darüber die Einstellungen auf Ihrem Server zu ändern. Weitere Informationen zu Clickjacking-Angriffen finden Sie unter Clickjacking auf der Website von Open Web Application Security Project.

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedbacks. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.