Configurare SAML con l’IdP di Azure AD su Tableau Server

Puoi configurare Azure AD come provider di identità (IdP) SAML e aggiungere Tableau Server alle applicazioni SSO (Single Sign-On) supportate. Quando si integra Azure AD con SAML e Tableau Server, gli utenti possono accedere a Tableau Server utilizzando le proprie credenziali di rete standard.

Prima di iniziare: prerequisiti

Prima di poter configurare Tableau Server e SAML con Azure AD, il tuo ambiente deve avere le seguenti caratteristiche:

Fase 1. Verificare la connessione SSL con Azure AD

Azure AD richiede una connessione SSL. Se non l’hai già fatto, completa le operazioni descritte in Configurare SSL per il traffico HTTP esterno da e verso Tableau Server, utilizzando un certificato che soddisfi i requisiti specificati in precedenza.

In alternativa, se Tableau Server è configurato per funzionare con un proxy o inverso o un bilanciamento del carico dove SSL viene interrotto (comunemente chiamato offload SSL), non è necessario configurare SSL esterno.

Se la tua organizzazione utilizza il proxy app di Azure AD, consulta la sezione seguente Proxy app di Azure AD.

Fase 2. Configurare SAML su Tableau Server

Completa la procedura descritta in Configurare SAML a livello di server tramite il download dei metadati di Tableau Server in un file XML. A questo punto, torna qui e passa alla sezione successiva.

Fase 3. Configurare le regole di attestazione di Azure AD

Il mapping è sensibile alla differenza tra maiuscole e minuscole e richiede un’ortografia esatta, quindi ricontrolla le voci immesse. La tabella mostra gli attributi comuni e il mapping dell’attestazione. Devi verificare gli attributi con la configurazione specifica di Azure AD.

Attributo LDAPTipo di attestazione in uscita
onpremisessamaccountnamenome utente
Nome

nome

Nota: questa impostazione è facoltativa.

Cognome

cognome

Nota: questa impostazione è facoltativa.

netbiosname

dominio

Nota: è necessario solo se gli utenti accedono da un dominio che non è il dominio predefinito.

In alcune organizzazioni, Azure AD come IdP SAML viene utilizzato con Active Directory come archivio identità per Tableau Server. In questo caso, username in genere è il nome sAMAccountName. Consulta la documentazione di Microsoft per identificare l’attributo sAMAccountName in Azure AD da mappare all’attributo username.

Fase 4. Specificare i metadati di Azure AD per Tableau Server

  1. Torna all’interfaccia utente Web di TSM e passa alla scheda Configurazione > Identità e accesso utente > Metodo di autenticazione.

  2. Nella fase 4 del riquadro di configurazione di SAML immetti il percorso del file XML esportato da Azure AD e seleziona Carica.

    Screenshot che evidenzia l’area dell’interfaccia utente di TSM per il caricamento dei metadati IdP SAML

  3. Completa i passaggi rimanenti (corrispondenti alle asserzioni e specificando l’accesso al tipo di client) come specificato in Configurare SAML a livello di server. Salva e applica le modifiche.

  4. Se non è la prima volta che configuri SAML, procedi come segue:

    1. Arresta Tableau Server, apri la CLI di TSM ed esegui i comandi seguenti.

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a -1

    2. Applica le modifiche:

      tsm pending-changes apply

      Se le modifiche in sospeso richiedono il riavvio del server, il comando pending-changes apply visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione --ignore-prompt, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.

Proxy app di Azure AD

Se esegui Proxy app di Azure AD con Tableau Server e SAML è abilitato, sarà necessario eseguire una configurazione aggiuntiva per Proxy app di Azure AD.

Tableau Server può accettare traffico da un solo URL quando SAML è abilitato. Tuttavia, per impostazione predefinita, Proxy app di Azure AD imposta un URL esterno e un URL interno.

È necessario impostare entrambi questi valori sullo stesso URL nel dominio personalizzato. Per maggiori informazioni, consulta la documentazione di Microsoft Configure custom domains with Azure AD Application Proxy(Il collegamento viene aperto in una nuova finestra).

Risoluzione dei problemi

Proxy app di Azure AD

In alcuni casi, il rendering dei collegamenti alle viste viene eseguito internamente, ma ha esito negativo esternamente quando il traffico attraversa un proxy app di Azure AD. Il problema si verifica quando è presente un simbolo di cancelletto (#) nell’URL e gli utenti accedono al collegamento con un browser. L’app Tableau Mobile è in grado di accedere agli URL con un simbolo di cancelletto.

I timeout della sessione utente sembrano essere ignorati

Quando Tableau Server è configurato per SAML, gli utenti potrebbero riscontrare errori di accesso perché l’impostazione della durata massima dell’autenticazione dell’IdP è configurata su un valore superiore all’impostazione della durata massima dell’autenticazione di Tableau. Per risolvere questo problema, puoi utilizzare l’opzione wgserver.saml.forceauthn di tsm configuration set per richiedere all’IdP di riautenticare l’utente ogni volta che Tableau reindirizza la richiesta di autenticazione, anche se la sessione dell’IdP per l’utente è ancora attiva.

Ad esempio, quando l’impostazione maxInactiveTime di Azure AD è superiore all’impostazione maxAuthenticationAge di Tableau Server, Tableau reindirizza la richiesta di autenticazione all’IdP, che successivamente invia a Tableau un’asserzione che indica che l’utente è già autenticato. Tuttavia, poiché l’utente è stato autenticato al di fuori dell’impostazione maxAuthenticationAge di Tableau Server, Tableau rifiuta l’autenticazione dell’utente. In questi casi, puoi eseguire una delle operazioni seguenti o entrambe:

  • Abilita l’opzione wgserver.saml.forceauthn per richiedere all’IdP di riautenticare l’utente ogni volta che Tableau reindirizza la richiesta di autenticazione. Per maggiori informazioni, consulta wgserver.saml.forceauthn.
  • Aumenta l’impostazione maxAuthenticationAge di Tableau Server. Per maggiori informazioni, consulta "a, --max-auth-age <max-auth-age>" nell’argomento tsm authentication.

AppID non corrispondente

Durante la revisione del file vizportal.log, potrebbe venire visualizzato l’errore “Il pubblico di destinazione non corrisponde al destinatario”.

Per risolvere questo problema, assicurati che l’appID corrisponda a ciò che viene inviato. Azure aggiungerà automaticamente "SPN" all’appID quando si usa l’ID applicazione con l’app in uso. Puoi modificare il valore nelle impostazioni SAML di Tableau aggiungendo il prefisso "SPN:" all’ID applicazione.

Ad esempio: SPN:myazureappid1234