Solución de problemas de SAML

Este tema contiene información para resolver los problemas que pueden darse al configurar la autenticación SAML.

SAML y Habilitar inicio de sesión automático

Si está usando SAML y Tableau Server también está configurado para usar Active Directory, no seleccione además Habilitar inicio de sesión automático. No se pueden usar Habilitar inicio de sesión automático y SAML juntos en la misma instalación de servidor.

Error Estado HTTP 500 al configurar SAML

En algunos casos, se puede recibir el error de estado 500 de HTTP tras habilitar SAML y navegar a la dirección URL de Tableau Server en un navegador:

org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser.

Para ayudar a resolver este error, asegúrese de que se cumpla lo siguiente:

  • La URL del IdP para el perfil de SSO especificado en la pestaña SAML es correcta.

  • La URL del IdP para el perfil de SSO proporcionada al crear el proveedor de servicios en el IdP es correcta.

  • El IdP está configurado para usar solicitudes HTTP-POST. (No se admiten la redirección y SOAP).

Si uno de estos valores no es correcto, modifíquelos según sea necesario y luego vuelva a seguir los pasos de configuración de SAML, empezando por la generación y exportación del documento de metadatos XML de Tableau Server.

Si son correctos pero se sigue mostrando el error, examine el código XML de metadatos que Tableau Server e IdP producen, tal como se describe en Requisitos de SAML.

Iniciar sesión desde la línea de comandos

SAML no se utiliza para la autenticación si inicia sesión en Tableau Server usando tabcmd o la utilidad de línea de comando de Extracción de datos de Tableau(El enlace se abre en una ventana nueva) (proporcionada con Tableau Desktop), incluso si Tableau Server está configurado para usar SAML. Estas herramientas requieren la autenticación configurada cuando Tableau Server se instaló originalmente (ya sea autenticación local o AD).

El inicio de sesión falla: no se encuentra el usuario

El inicio de sesión falla y se muestra este mensaje:

>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server..

Este error suele significar que los nombres de usuario almacenados en Tableau Server y los proporcionados por el IdP no coinciden. Para corregirlo, asegúrese de que coincidan. Por ejemplo, si el nombre de usuario para Jane Smith está almacenado en el IdP como jsmith, también debe estarlo en Tableau Server como jsmith.

El inicio de sesión falla: descarga de SSL

El inicio de sesión falla y se muestra este mensaje:

Unable to Sign In - Invalid username or password.

Además, los registros de vizportales (configurados en modo debug) contienen el siguiente mensaje:

DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO

Nota: Para registrar eventos relacionados con SAML, vizportal.log.level debe establecerse como debug. Para obtener más información, consulte Cambiar niveles de registro.

Esta combinación de mensajes indica una mala configuración de un servidor proxy externo que está descargando SSL para establecer la conexión a Tableau Server. Para resolver este problema, consulte el artículo de la base de conocimiento, "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading(El enlace se abre en una ventana nueva) (Error "No se puede iniciar sesión" y "Nombre de usuario o contraseña no válidos" con SAML después de la actualización).

Registro de error SAML

La autenticación de SAML se realiza fuera de Tableau Server, lo que puede dificultar la solución de problemas de autenticación. Sin embargo, Tableau Server registra los intentos de inicio de sesión. Puede crear una instantánea de archivos de registro y usarlos para solucionar problemas. Para obtener más información, consulte Instantáneas de archivos de registro (Archivar registros).

Nota: Para registrar eventos relacionados con SAML, vizportal.log.level debe establecerse como debug. Para obtener más información, consulte Cambiar niveles de registro.

Consulte los errores de SAML en los archivos siguientes de la instantánea descomprimida de los archivos de registro:

\vizportal\vizportal-<n>.log.

El proceso de la aplicación (vizportal.exe) gestiona la autenticación, de modo que las respuestas de SAML las registra ese proceso.

Barra diagonal final

En la pestaña SAML, compruebe que la URL de retorno de Tableau Server no termine con una barra diagonal final

Correcto: http://tableau_server

Incorrecto: http://tableau_server/

Confirmación de conectividad

Confirme que el Tableau Server que configure tenga una dirección IP que se pueda enrutar o un NAT en el firewall que permita el tráfico bidireccional directamente al servidor.

Para comprobar la conectividad, ejecute telnet en Tableau Server e intente conectarse con el IdP de SAML. Por ejemplo: C:\telnet 12.360.325.10 80

La prueba anterior debería permitir conectarse en el puerto HTTP (80) en el IdP y recibir un encabezado HTTP.

Múltiples dominios

En la pestaña SAML, confirme que el atributo Dominio de Tableau Server detectará el dominio en el formato domain\username en la aserción SAML dejándolo en blanco.

Correcto:<empty>

Incorrecto: sudominio.com

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!