Configurare SAML a livello di server

Configura SAML a livello di server quando desideri che tutti gli utenti SSO (Single Sign-On) su Tableau Server eseguano l’autenticazione tramite un unico provider di identità SAML (IdP) o come primo passaggio per configurare SAML specifico per il sito in un ambiente a più siti.

Se hai configurato SAML a livello di server e sei pronto per configurare un sito, vedi Configurare SAML specifico del sito.

I passaggi di configurazione SAML che forniamo si basano sui presupposti seguenti:

  • conoscenza delle opzioni per la configurazione dell’autenticazione SAML Tableau Server, come descritto nell’argomento SAML;

  • hai verificato che il tuo ambiente soddisfi i Requisiti SAMLe hai ottenuto i file di certificato SAML descritti in tali requisiti.

Prima di iniziare

Come parte del piano di ripristino di emergenza, è consigliabile conservare un backup dei file di certificato e IdP in una posizione sicura all’esterno di Tableau Server. I file di risorse SAML caricati in Tableau Server verranno archiviati e distribuiti ad altri nodi dal Servizio file client. Tuttavia, questi file non vengono memorizzati in un formato recuperabile. Vedi Servizio file client di Tableau Server.

Nota: se utilizzi gli stessi file di certificato per SSL, puoi usare in alternativa la posizione del certificato esistente per configurare SAML e aggiungere il file di metadati IdP in tale directory quando viene scaricato più avanti in questa procedura. Per maggiori informazioni, consulta Utilizzo del certificato SSL e dei file chiave per SAML nei requisiti SAML.

Se Tableau Server è in esecuzione in un cluster, i certificati SAML, le chiavi e il file di metadati saranno automaticamente distribuiti tra i nodi quando abiliti SAML.

Per eseguire questa procedura è necessario caricare i certificati SAML in TSM in modo che vengano archiviati correttamente e distribuiti nella configurazione del server. In questa procedura i file SAML devono essere disponibili nel browser del computer locale sul quale è in esecuzione l’interfaccia Web di TSM.

Se hai raccolto e salvato i file SAML in Tableau Server come consigliato nella sezione precedente, esegui l’interfaccia Web di TSM dal computer di Tableau Server sul quale hai copiato i file.

Se l’interfaccia Web di TSM è in esecuzione su un computer diverso, dovrai copiare tutti i file SAML localmente prima di procedere. Durante la procedura riportata di seguito, individua i file nel computer locale per caricarli in TSM.

  1. Apri TSM in un browser:

    https://<nome-computer-tsm>:8850. Per maggiori informazioni, consulta Accedere all’interfaccia utente Web di Tableau Services Manager.

  2. Nella scheda Configurazione seleziona Identità e accesso utente e quindi seleziona la scheda Metodo di autenticazione.

    Impostazioni di autenticazione utente di Tableau Services Manager

  3. Per Metodo di autenticazione, seleziona SAML.

  4. Nella sezione SAML visualizzata completa il passaggio 1 nell’interfaccia utente, immettendo le impostazioni seguenti (non selezionare ancora la casella di controllo per abilitare SAML sul server):

    • URL restituito di Tableau Server: l’URL a cui accederanno gli utenti di Tableau Server, ad esempio https://tableau-server.

      L’utilizzo di https://localhost o di un URL con una barra finale (ad esempio http://tableau_server/) non è supportato.

    • ID entità SAML: l’ID entità identifica in modo univoco la tua installazione di Tableau Server nell’IdP.

      Puoi immettere nuovamente l’URL di Tableau Server. Se prevedi di abilitare SAML specifico per sito, questo URL funge anche da base per l’ID univoco di ogni sito.

    • File di certificato SAML e chiave: fai clic su Seleziona file per caricare ciascuno di questi file.

      Se utilizzi un file chiave PKCS#8 protetto da passphrase, devi immettere la passphrase con l’interfaccia della riga di comando di TSM:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      Dopo aver fornito le informazioni necessarie nell’interfaccia utente durante il passaggio 1, il pulsante Scarica file di metadati XML nel passaggio 2 diventa disponibile.

  5. Seleziona ora la casella di controllo Abilita autenticazione SAML per il server del passaggio 1 nell’interfaccia utente.

  6. Completa le restanti impostazioni SAML.

    1. Per i passaggi 2 e 3 nell’interfaccia utente, scambia i metadati tra Tableau Server e l’IdP. A tale scopo, potrebbe essere necessario consultare la documentazione dell’IdP.

      Seleziona Scarica file di metadati XML e specifica il percorso del file.

      Se configuri SAML con AD FS, puoi tornare al Fase 3. Configurare AD FS perché accetti le richieste di accesso da Tableau Server di "Configurare SAML con AD FS su Tableau Server".

      Per altri IdP, vai al tuo account IdP per aggiungere Tableau Server alle applicazioni corrispondenti (come fornitore di servizi) fornendo i metadati di Tableau previsti.

      Segui le istruzioni contenute nel sito Web o nella documentazione dell’IdP per scaricare i metadati dell’IdP. Salva il file con estensione .xml nella stessa posizione che contiene i file di certificato e i file chiave SAML. Ad esempio:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. Torna all’interfaccia utente Web di TSM. Per il passaggio 4 nell’interfaccia utente, immetti il percorso del file dei metadati dell’IdP, quindi fai clic su Seleziona file.

      Screenshot che evidenzia l’area dell’interfaccia utente di TSM per il caricamento dei metadati IdP SAML

    3. Per il passaggio 5 nell’interfaccia utente: in alcuni casi, potrebbe essere necessario modificare i valori delle asserzioni nella configurazione di Tableau Server per far corrispondere i nomi delle asserzioni che vengono passati dal tuo IdP.

      Puoi trovare i nomi delle asserzioni nella configurazione SAML dell’IdP. Se dal tuo IdP vengono passati nomi di asserzioni diverse, devi aggiornare Tableau Server per utilizzare lo stesso valore di asserzione.

      Suggerimento: le "asserzioni" sono un componente chiave di SAML e il concetto di mappatura delle asserzioni all’inizio può essere complicato. Può essere contestualizzarlo in ambito di dati tabulari, in cui il nome dell’asserzione (attributo) è equivalente a un’intestazione di colonna nella tabella. Immetti il nome dell'"intestazione" invece di un esempio di un valore che potrebbe essere visualizzato in tale colonna.

    4. Per il passaggio 6 nell’interfaccia utente, seleziona le applicazioni Tableau in cui desideri offrire agli utenti un’esperienza Single Sign-On.

      Nota: l’opzione per disabilitare l’accesso mobile è ignorata dai dispositivi che utilizzano l’applicazione Tableau Mobile nella versione 19.225.1731 e successive. Per disabilitare SAML per i dispositivi che eseguono queste versioni, devi disabilitare SAML come opzione di accesso client su Tableau Server.

    5. Per il reindirizzamento di disconnessione SAML, se il tuo IdP supporta il single logout (SLO), immetti la pagina verso cui desideri reindirizzare gli utenti dopo la disconnessione, in relazione al percorso inserito per l’URL restituito di Tableau Server.

    6. (Facoltativo) Per la fase 7 nella GUI, procedi come segue:

      • Aggiungi un valore separato da virgole per l’attributo AuthNContextClassRef. Per maggiori informazioni sull’utilizzo di questo attributo, consulta Note di compatibilità e requisiti di SAML.

      • Specifica un attributo di dominio se non si invia il dominio come parte del nome utente (ad es.domain\username ). Per maggiori informazioni, consulta Quando si eseguono più domini.

  7. Dopo aver immesso le informazioni di configurazione, fai clic su Salva modifiche in sospeso.

  8. Fai clic su Modifiche in sospeso nella parte superiore della pagina:

  9. Fai clic su Applica modifiche e riavvia.

Testa la configurazione

  1. Nel browser Web apri una nuova pagina o scheda e immetti la URL Tableau Server .

    Il browser ti reindirizza al modulo di accesso di IdP.

  2. Inserisci il tuo nome utente e password per l’accesso singolo.

    L’IdP verifica le tue credenziali e ti reindirizza alla pagina inizialeTableau Server.