Entità samlSettings

In questo articolo sono contenuti un modello e un riferimento per la configurazione di SAML per l’intero server su Tableau Server, utilizzando un file di configurazione con le chiavi e i valori per l’entità samlSettings. Queste informazioni integrano i passaggi di configurazione SAML riportati in Configurare SAML a livello di server.

Per creare un modello di configurazione SAML e applicarlo a Tableau Server, completa i passaggi indicati di seguito:

  1. Esamina le due sezioni seguenti che descrivono il modello e il modo in cui viene strutturato (Categorie e definizioni del modello e Modello di configurazione samlSettings).

  2. Incolla in un nuovo file di testo il codice JSON mostrato nel modello, quindi salvalo utilizzando un’estensione .json.

  3. Consulta il Riferimento dell’entità di configurazione SAML per i valori necessari.

  4. Aggiungi le coppie di chiave/valore facoltative specifiche per l’ambiente in uso. Ad esempio, se il file della chiave del certificato SAML richiede una passphrase, dovrai specificare la password nel parametro wgserver.saml.key.passphrase utilizzando il comando di set di tsm configuration set.

  5. Passare il file di configurazione in Tableau Server.

Categorie e definizioni del modello

Il modello utilizza i segnaposto per ogni valore chiave. Questi segnaposto sono classificati come segue:

  • Obbligatorio: gli attributi con il valore "required" devono essere sostituiti con dati validi prima di eseguire il comando di configurazione. Per conoscere i valori validi, esamina il riferimento al file di configurazione.

  • Hard-coded: nomi degli attributi che sono preceduti da un carattere di sottolineatura (_), ad esempio "_type" presentano valori hard-coded. Non modificare questi valori.

  • Valori predefiniti: gli attributi impostati su un valore non "required" sono valori predefiniti. Questi attributi sono obbligatori e li puoi modificare secondo le necessità del tuo ambiente.

  • Insiemi vuoti: i valori vuoti ("") possono essere passati come tali, oppure è possibile specificare un valore per la tua installazione.

Importante: per tutte le opzioni di entità viene applicata la distinzione tra maiuscole e minuscole.

Modello di configurazione samlSettings

Incolla questo codice in un file di testo e personalizzalo per il tuo ambiente utilizzando il riferimento riportato di seguito.

{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }

Riferimento dell’entità di configurazione SAML

L’elenco seguente comprende tutte le opzioni che possono essere incluse nell’insieme di entità "samlSettings".

idpMetadataFile

Obbligatorio. Percorso e nome di file del file XML, generato dal IdP. I metadati XML devono includere l’attributo nome utente (asserzione).

Se è stata completata la procedura descritta in Configurare SAML a livello di server, il valore immesso qui sarà:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"

enabled

true | false

Obbligatorio. Indica se l’autenticazione SAML è abilitata. Non impostare questa opzione su true prima di impostare altre opzioni di configurazione SAML necessarie.

returnURL

Si tratta in genere dell’URL esterno che gli utenti di Tableau Server inseriscono nel browser per accedere al server, ad esempio https://tableau_server.example.com. Questo valore viene utilizzato per creare l’attributo URL ACS durante la configurazione dell’IdP.

entityId

Obbligatorio. Valore ID entità del provider di servizi (in questo caso, Tableau Server).

Identifica la configurazione di Tableau Server per l’IdP. È consigliabile immettere lo stesso valore dell’opzione returnURL.

idpUsernameAttribute

Obbligatorio. Nei metadati IdP individua l’attributo utilizzato per specificare i valori del nome utente e immetti il nome dell’attributo. L’impostazione predefinita è username.

certFile

Obbligatorio. Immetti il percorso e il nome file del file di certificato x509 (.crt) per SAML. Ad esempio:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"

Per maggiori informazioni, consulta Requisiti SAML e Configurare SAML a livello di server.

keyFile

Obbligatorio. Specifica il percorso del file di chiave privata (.key) che accompagna il file di certificato. Ad esempio:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

Nota: se utilizzi una chiave RSA PKCS#8 che richiede una passphrase, devi impostare la passphrase tramite un’entità configKey (vedi Esempio di file di configurazione) o con tsm configuration set. Utilizzando questi metodi, la chiave per la passphrase è wgserver.saml.key.passphrase. Il valore deve essere una stringa Non null.

idpDomainAttribute

Per le organizzazioni che utilizzano LDAP o Active Directory, questo valore specifica l’attributo SAML a cui Tableau Server farà riferimento per determinare il nome di dominio. Ad esempio, se l’IdP specifica il nome di dominio nell’attributo domain, devi specificare domain per questo valore. Nota: per le organizzazioni con utenti che accedono da più domini, questo valore è obbligatorio.

Se non specifichi un valore per questa chiave, il valore utilizzato dipende dall’impostazione dell’archivio di identità di Tableau Server:

  • Per l’archivio di identità locale, il valore idpDomainAttribute viene ignorato.

  • Per gli archivi di identità Active Directory o LDAP, Tableau utilizza l’FQDN dell’impostazione di configurazione wgserver.domain.default.

    Per ottenere il valore per wgserver.domain.default, puoi eseguire il comando seguente:

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Facoltativo. Consenti agli utenti di utilizzare l’autenticazione SAML quando accedono da Tableau Desktop.

Per impostazione predefinita, questo valore non è configurato, pertanto il comportamento effettivo equivale a impostarlo su false. Se l’accesso Single Sign-On dalle applicazioni client di Tableau non funziona con il tuo IdP, puoi impostare questo valore su true per disabilitare l’autenticazione SAML tramite Tableau Desktop.

appNoSAML

true | false

Facoltativo. Consenti l’utilizzo di SAML per l’accesso da versioni precedenti dell’applicazione Tableau Mobile. Questa opzione viene ignorata dai dispositivi che eseguono l’app Tableau Mobile versione 19.225.1731 e superiori. Per disabilitare i dispositivi che eseguono l’app Tableau Mobile versione 19.225.1731 e superiori, disabilita SAML come opzione di accesso client su Tableau Server.

logoutEnabled

true | false

Facoltativo. Abilita la disconnessione singola per gli utenti che hanno effettuato l’accesso con SAML. Il valore predefinito è true.

I metadati di configurazione dell’IdP devono includere un singolo endpoint di disconnessione con binding POST.

Questa impostazione si applica solo per SAML a livello di server

Se impostato su false, Tableau Server non tenterà la disconnessione singola.

logoutUrl

Facoltativo. Immetti l’URL a cui reindirizzare gli utenti dopo essersi disconnessi dal server. La configurazione di questa opzione richiede che logoutEnabled sia impostato su true.

Per impostazione predefinita, questa è la pagina di accesso di Tableau Server. Puoi specificare un URL assoluto o relativo.

maxAuthenticationAge

Facoltativo. Specifica il numero massimo di secondi consentiti tra l’autenticazione di un utente con l’IdP e l’elaborazione del messaggio AuthNResponse. Il valore predefinito è -1, il che significa che maxAuthenticationAge non è impostato o viene ignorato per impostazione predefinita. Prima di febbraio 2022, il valore predefinito era 7200 (2 ore).

Per ottimizzare la durata della sessione, utilizza lo stesso valore di timeout impostato sull’IdP.

maxAssertionTime

Facoltativo. Specifica il numero massimo di secondi dalla creazione, per cui un’asserzione SAML è utilizzabile. Il valore predefinito è 3000 (50 minuti).

sha256Enabled

true | false

Facoltativo. Tipo di firma che verrà utilizzata da Tableau Server quando si inviano messaggi all’IdP. Se impostato su true, Tableau Server firmerà i messaggi con l’algoritmo di firma SHA 256. Se impostato su false, Tableau Server firmerà i messaggi con SHA 1. L’impostazione predefinita è true.

Questa opzione imposta l’algoritmo di firma sui seguenti messaggi firmati da Tableau Server: 

  • Messaggi AuthnRequest quando signRequests è abilitato.
  • Messaggi LogoutRequest se logoutEnabled è abilitato.

signRequests

true | false

Facoltativo. Specifica se Tableau Server firmerà le richieste AuthnRequest inviate all’IdP. Le richieste firmate non sono sempre necessarie per tutti gli IdP. È consigliabile firmare le richieste per garantire l’opzione più sicura durante la configurazione di SAML. Per verificare se l’IdP accetta la richiesta firmata, esamina i metadati dell’IdP: se wantAuthnRequestsSigned è impostato su true, l’IDP accetterà le richieste firmate.

Il valore predefinito è true. Per disabilitare le richieste firmate, imposta questa opzione su false.

acceptableAuthnContexts

Facoltativo. Imposta l’attributo SAML AuthNContextClassRef. Questo attributo facoltativo applica la convalida di determinati "contesti" di autenticazione nei flussi avviati dall’IdP. Imposta un insieme di valori separati da virgole per questo attributo. Quando questo attributo è impostato, Tableau Server verifica che la risposta SAML contenga almeno uno dei valori elencati. Se la risposta SAML non contiene uno dei valori configurati, l’autenticazione verrà rifiutata, anche se l’utente ha eseguito correttamente l’autenticazione con l’IdP.

Se si lascia vuota questa opzione, verrà applicato il comportamento predefinito: qualsiasi risposta SAML autenticata correttamente comporterà la concessione a un utente di una sessione in Tableau Server.

iFramedIdpEnabled

true | false

Facoltativo. Il valore predefinito è false, ovvero quando gli utenti selezionano il pulsante di accesso in una vista incorporata, il modulo di accesso dell’IdP si apre in una finestra popup.

Quando lo imposti su true e un utente SAML del server che ha già effettuato l’accesso visita una pagina Web con una vista integrata, non dovrà eseguire l’accesso per visualizzare la vista.

Puoi impostarlo su true solo se l’IdP supporta l’accesso all’interno di un iframe. L’opzione iframe è meno sicura rispetto all’uso di un pop-up, quindi non tutti gli IdP lo supportano. Se la pagina di accesso IdP implementa la protezione clickjack, come la maggior parte, la pagina di accesso non può essere visualizzata in un iframe e l’utente non può accedere.

Se il tuo IdP supporta l’accesso tramite un iframe, potrebbe essere necessario abilitarlo esplicitamente. Sebbene sia possibile utilizzare questa opzione, essa disabilita la protezione contro il clickjacking di Tableau Server per SAML, presentando quindi comunque un rischio per la sicurezza.

Passare il file di configurazione in Tableau Server

Dopo aver fornito un valore appropriato per ogni entità inclusa nel modello di configurazione, utilizza i comandi seguenti per passare il file .json e applicare le impostazioni a Tableau Server.

tsm settings import -f path-to-file.json

tsm pending-changes apply

Vedi anche

Dopo aver completato la configurazione iniziale di SAML, utilizza tsm authentication mutual-ssl <comandi> per impostare valori aggiuntivi.

Per il riferimento della riga di comando per la configurazione di SAML, consulta tsm authentication saml <comandi>.

 

Grazie per il tuo feedback.Il tuo feedback è stato inviato. Grazie!