Configurare SAML con l’IdP di Azure AD su Tableau Server
Puoi configurare Azure AD come provider di identità (IdP) SAML e aggiungere Tableau Server alle applicazioni SSO (Single Sign-On) supportate. Quando si integra Azure AD con SAML e Tableau Server, gli utenti possono accedere a Tableau Server utilizzando le proprie credenziali di rete standard.
Prima di iniziare: prerequisiti
Prima di poter configurare Tableau Server e SAML con Azure AD, il tuo ambiente deve avere le seguenti caratteristiche:
Un certificato SSL con crittografia SHA-2 (256 o 512 bit) e che soddisfa i requisiti aggiuntivi elencati nelle seguenti sezioni:
Se gli utenti accedono da un dominio che non è il dominio predefinito, consulta Requisiti SAML e Gestione degli utenti nelle distribuzioni con archivi identità esterni per verificare che il valore dell’attributo del dominio sia impostato e definito in modo da evitare problemi di accesso in seguito.
Fase 1. Verificare la connessione SSL con Azure AD
Azure AD richiede una connessione SSL. Se non l’hai già fatto, completa le operazioni descritte in Configurare SSL per il traffico HTTP esterno da e verso Tableau Server, utilizzando un certificato che soddisfi i requisiti specificati in precedenza.
In alternativa, se Tableau Server è configurato per funzionare con un proxy o inverso o un bilanciamento del carico dove SSL viene interrotto (comunemente chiamato offload SSL), non è necessario configurare SSL esterno.
Se la tua organizzazione utilizza il proxy app di Azure AD, consulta la sezione seguente Proxy app di Azure AD.
Fase 2. Configurare SAML su Tableau Server
Completa la procedura descritta in Configurare SAML a livello di server tramite il download dei metadati di Tableau Server in un file XML. A questo punto, torna qui e passa alla sezione successiva.
Fase 3. Configurare le regole di attestazione di Azure AD
Il mapping è sensibile alla differenza tra maiuscole e minuscole e richiede un’ortografia esatta, quindi ricontrolla le voci immesse. La tabella mostra gli attributi comuni e il mapping dell’attestazione. Devi verificare gli attributi con la configurazione specifica di Azure AD.
Attributo LDAP | Tipo di attestazione in uscita |
---|---|
onpremisessamaccountname | nome utente |
Nome | nome Nota: questa impostazione è facoltativa. |
Cognome | cognome Nota: questa impostazione è facoltativa. |
netbiosname | dominio Nota: è necessario solo se gli utenti accedono da un dominio che non è il dominio predefinito. |
In alcune organizzazioni, Azure AD come IdP SAML viene utilizzato con Active Directory come archivio identità per Tableau Server. In questo caso, username
in genere è il nome sAMAccountName. Consulta la documentazione di Microsoft per identificare l’attributo sAMAccountName in Azure AD da mappare all’attributo username
.
Fase 4. Specificare i metadati di Azure AD per Tableau Server
Torna all’interfaccia utente Web di TSM e passa alla scheda Configurazione > Identità e accesso utente > Metodo di autenticazione.
Nella fase 4 del riquadro di configurazione di SAML immetti il percorso del file XML esportato da Azure AD e seleziona Carica.
Completa i passaggi rimanenti (corrispondenti alle asserzioni e specificando l’accesso al tipo di client) come specificato in Configurare SAML a livello di server. Salva e applica le modifiche.
Se non è la prima volta che configuri SAML, procedi come segue:
Arresta Tableau Server, apri la CLI di TSM ed esegui i comandi seguenti.
tsm configuration set -k wgserver.saml.sha256 -v true
tsm authentication saml configure -a -1
Applica le modifiche:
tsm pending-changes apply
Se le modifiche in sospeso richiedono il riavvio del server, il comando
pending-changes apply
visualizzerà un messaggio per segnalare che verrà eseguito un riavvio. Questo messaggio viene visualizzato anche se il server è stato arrestato, ma in questo caso il riavvio non viene eseguito. Puoi eliminare la richiesta usando l’opzione--ignore-prompt
, ma questo non modifica il comportamento del riavvio. Se le modifiche non richiedono un riavvio, vengono applicate senza visualizzare alcun messaggio. Per maggiori informazioni, consulta tsm pending-changes apply.
Se esegui Proxy app di Azure AD con Tableau Server e SAML è abilitato, sarà necessario eseguire una configurazione aggiuntiva per Proxy app di Azure AD.
Tableau Server può accettare traffico da un solo URL quando SAML è abilitato. Tuttavia, per impostazione predefinita, Proxy app di Azure AD imposta un URL esterno e un URL interno.
È necessario impostare entrambi questi valori sullo stesso URL nel dominio personalizzato. Per maggiori informazioni, consulta la documentazione di Microsoft Configure custom domains with Azure AD Application Proxy(Il collegamento viene aperto in una nuova finestra).
Risoluzione dei problemi
Proxy app di Azure AD
In alcuni casi, il rendering dei collegamenti alle viste viene eseguito internamente, ma ha esito negativo esternamente quando il traffico attraversa un proxy app di Azure AD. Il problema si verifica quando è presente un simbolo di cancelletto (#) nell’URL e gli utenti accedono al collegamento con un browser. L’app Tableau Mobile è in grado di accedere agli URL con un simbolo di cancelletto.
I timeout della sessione utente sembrano essere ignorati
Quando Tableau Server è configurato per SAML, gli utenti potrebbero riscontrare errori di accesso perché l’impostazione della durata massima dell’autenticazione dell’IdP è configurata su un valore superiore all’impostazione della durata massima dell’autenticazione di Tableau. Per risolvere questo problema, puoi utilizzare l’opzione wgserver.saml.forceauthn
di tsm configuration set per richiedere all’IdP di riautenticare l’utente ogni volta che Tableau reindirizza la richiesta di autenticazione, anche se la sessione dell’IdP per l’utente è ancora attiva.
Ad esempio, quando l’impostazione maxInactiveTime
di Azure AD è superiore all’impostazione maxAuthenticationAge
di Tableau Server, Tableau reindirizza la richiesta di autenticazione all’IdP, che successivamente invia a Tableau un’asserzione che indica che l’utente è già autenticato. Tuttavia, poiché l’utente è stato autenticato al di fuori dell’impostazione maxAuthenticationAge
di Tableau Server, Tableau rifiuta l’autenticazione dell’utente. In questi casi, puoi eseguire una delle operazioni seguenti o entrambe:
- Abilita l’opzione
wgserver.saml.forceauthn
per richiedere all’IdP di riautenticare l’utente ogni volta che Tableau reindirizza la richiesta di autenticazione. Per maggiori informazioni, consulta wgserver.saml.forceauthn. - Aumenta l’impostazione
maxAuthenticationAge
di Tableau Server. Per maggiori informazioni, consulta "a, --max-auth-age <max-auth-age>" nell’argomento tsm authentication.
AppID non corrispondente
Durante la revisione del file vizportal.log, potrebbe venire visualizzato l’errore “Il pubblico di destinazione non corrisponde al destinatario”.
Per risolvere questo problema, assicurati che l’appID corrisponda a ciò che viene inviato. Azure aggiungerà automaticamente "SPN" all’appID quando si usa l’ID applicazione con l’app in uso. Puoi modificare il valore nelle impostazioni SAML di Tableau aggiungendo il prefisso "SPN:" all’ID applicazione.
Ad esempio: SPN:myazureappid1234