Problembehebung für SAML

Dieses Thema enthält Informationen zum Beheben von Problemen, die auftreten können, wenn Sie die SAML-Authentifizierung konfigurieren.

SAML und "Automatische Anmeldung aktivieren"

Wenn Sie SAML verwenden und Tableau Server außerdem für die Verwendung von Active Directory konfiguriert ist, dürfen Sie nicht gleichzeitig die Option Automatische Anmeldung aktivieren wählen. Automatische Anmeldung aktivieren und SAML können nicht auf derselben Serverinstallation verwendet werden.

HTTP-Statusfehler 500 beim Konfigurieren von SAML

Unter bestimmten Umständen tritt nach der Aktivierung von SAML und der Navigation zu der Tableau Server-URL im Browser der HTTP-Statusfehler 500 auf und folgende Fehlermeldung wird angezeigt:

org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser

Zur Behebung des Fehlers muss Folgendes gegeben sein:

  • Auf der Registerkarte "SAML" ist die richtige IdP-URL für das SSO-Profil angegeben.

  • Beim Erstellen des Dienstanbieters im IdP wurde die richtige IdP-URL für das SSO-Profil angegeben.

  • Der IdP ist für die Verwendung von HTTP-POST-Anforderungen konfiguriert. (Weiterleitungen und SOAP werden nicht unterstützt.)

Falls eine Einstellung nicht fehlerfrei ist, nehmen Sie die erforderlichen Änderungen vor, und wiederholen Sie dann die Schritte zur SAML-Konfiguration ab dem Erzeugen und Exportieren des XML-Metadaten-Dokuments vom Tableau Server.

Wenn diese Einstellungen korrekt sind und der Fehler dennoch weiterhin besteht, prüfen Sie die Metadaten-XML, die von Tableau Server und vom IdP erzeugt wurden, gemäß den Anweisungen unter SAML-Anforderungen.

Anmelden über die Befehlszeile

SAML wird nicht für die Authentifizierung verwendet, wenn Sie sich mithilfe von tabcmd oder des (in Tableau Desktop integrierten) Tableau Data Extract-Befehlszeilenprogramms(Link opens in a new window) bei Tableau Server anmelden, selbst wenn Tableau Server für die Verwendung von SAML konfiguriert ist. Für diese Tools muss die Konfiguration der Authentifizierung bei der initialen Installation von Tableau Server (lokale Authentifizierung oder Active Directory) vorgenommen werden.

Anmeldung fehlgeschlagen: Der Benutzer konnte nicht gefunden werden

Die Anmeldung schlägt mit der folgenden Meldung fehl:

>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.

Dieser Fehler weist in der Regel darauf hin, dass die Benutzernamen in Tableau Server und die vom IdP bereitgestellten Benutzernamen nicht übereinstimmen. Zur Fehlerbehebung tragen Sie jeweils dieselben Benutzernamen ein. Wenn beispielsweise der Benutzername von Jane Smith beim Identitätsprovider als jsmith gespeichert ist, muss er in Tableau Server ebenfalls als jsmith gespeichert sein.

Die Anmeldung schlägt fehl: SSL-Entladung

Die Anmeldung schlägt mit der folgenden Meldung fehl:

Unable to Sign In - Invalid username or password.

Zusätzlich enthalten die Vizportal-Protokolle (auf den Modus debug eingestellt) die folgende Meldung:

DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO

Hinweis: Um mit SAML in Zusammenhang stehende Ereignisse zu protokollieren, muss vizportal.log.level auf debug festgelegt sein. Weitere Informationen finden Sie unter Ändern von Protokollstufen.

Diese Kombination von Nachrichten weist auf eine Fehlkonfiguration eines externen Proxyservers hin, der SSL für die Verbindung zu Tableau Server ausgibt. Um dieses Problem zu beheben, lesen Sie den KB-Artikel "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading(Link opens in a new window).

SAML-Fehlerprotokoll

Die SAML-Authentifizierung wird außerhalb von Tableau Server abgelegt, daher kann sich die Problembehandlung bei Authentifizierungsproblemen schwierig gestalten. Anmeldeversuche werden jedoch durch Tableau Server protokolliert. Sie können einen Schnappschuss der Protokolldateien erstellen und ihn für die Behandlung von Problemen verwenden. Weitere Informationen hierzu finden Sie unter Protokolldatei-Momentaufnahmen (Archivprotokolle).

Hinweis: Um mit SAML in Zusammenhang stehende Ereignisse zu protokollieren, muss vizportal.log.level auf debug festgelegt sein. Weitere Informationen finden Sie unter Ändern von Protokollstufen.

Suchen Sie im entpackten Schnappschuss der Protokolldatei in den folgenden Dateien nach SAML-Fehlern.

\vizportal\vizportal-<n>.log

In Tableau Server 9.0 und höher verarbeitet der Anwendungsprozess (vizportal.exe) die Authentifizierung. Daher werden SAML-Antworten durch diesen Prozess protokolliert.

Nachgestellter Schrägstrich

Bestätigen Sie auf der Registerkarte "SAML", dass die Tableau Server-Rückgabe-URL nicht mit einem nachgestellten Schrägstrich endet.

Richtig: http://tableau_server

Falsch: http://tableau_server/

Konnektivität bestätigen

Bestätigen Sie, das der von Ihnen konfigurierte Tableau Server eine Routing-fähige IP-Adresse oder ein NAT-Verfahren an der Firewall hat, das den bidirektionalen Datenverkehr zum Server zulässt.

Sie können Ihre Konnektivität testen, indem Sie telnet in Tableau Server ausführen und versuchen, eine Verbindung mit dem SAML-IdP herzustellen. Beispiel: C:\telnet 12.360.325.10 80

Der oben genannte Test sollte Sie mit dem HTTP-Port (80) auf dem IdP verbinden, und Sie sollten eine HTTP-Kopfzeile erhalten.

Vielen Dank für Ihr Feedback! Es gab einen Fehler bei der Übermittlung Ihres Feedback. Versuchen Sie es erneut oder senden Sie uns eine Nachricht.