Risoluzione dei problemi di SAML

In questo argomento vengono fornite informazioni sulla risoluzione dei problemi che possono verificarsi quando configuri l'autenticazione SAML.

SAML e Abilita accesso automatico

Se utilizzi SAML e anche Tableau Server è configurato perché utilizzi Active Directory, non selezionare anche Abilita accesso automatico. Abilita accesso automatico e SAML non possono essere utilizzati insieme sulla stessa installazione su server.

Errore HTTP stato 500 durante la configurazione di SAML

In alcune circostanze potresti visualizzare un errore HTTP stato 500 e vedere l'errore seguente dopo aver abilitato SAML ed essere passato all'URL di Tableau Server nel browser:

org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser

Per risolvere questo errore, verifica quanto segue:

  • L'URL dell'IdP per il profilo SSO specificato nella scheda SAML è corretto.

  • L'URL dell'IdP per il profilo SSO fornito durante la creazione del provider di servizi nell'IdP è corretto.

  • L'IdP è configurato per l'utilizzo delle richieste HTTP-POST. (Reindirizzamento e SOAP non sono supportati).

Se una di queste impostazioni non è corretta, esegui gli aggiornamenti appropriati e quindi esegui nuovamente i passaggi di configurazione SAML, iniziando con la generazione e l'esportazione del documento dei metadati XML da Tableau Server.

Se queste impostazioni sono corrette, ma è ancora visibile l'errore, esamina i metadati XML prodotti da Tableau Server e dall'IdP, come descritto in Requisiti SAML.

Accesso dalla riga di comando

Non viene utilizzato SAML per l'autenticazione quando accedi a Tableau Server tramite tabcmd o la Tableau Data Extract Command-Line Utility (fornita insieme a Tableau Desktop), anche se Tableau Server è configurato per l'utilizzo di SAML. Questi strumenti richiedono che l'autenticazione sia configurata quando Tableau Server è installato originariamente (autenticazione locale o AD).

Login non riuscito: impossibile a trovare l'utente

Il login potrebbe non riuscire con il seguente messaggio:

>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.

Questo errore indica in genere che esiste una mancata corrispondenza tra i nomi utente archiviati in Tableau Server e quelli forniti dall'IdP. Per risolvere il problema, assicurati che corrispondano. Ad esempio, se il nome utente di Rosa Bianchi è archiviato nell'IdP come jsmith, deve essere archiviato in Tableau Server come jsmith.

Accesso non riuscito: offload SSL

L'accesso potrebbe non essere eseguito con il seguente messaggio:

Unable to Sign In - Invalid username or password.

Inoltre, i log vizportal (impostati in modalità debug) contengono il seguente messaggio:

DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO

Nota: per registrare gli eventi legati a SAML, vizportal.log.level deve essere impostato su debug. Per maggiori informazioni, consulta Modificare i livelli di registrazione.

Questa combinazione di messaggi indica un'errata configurazione di un server proxy esterno che sta scaricando SSL per la connessione a Tableau Server. Per risolvere questo problema, vedi l'articolo di KB, "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading.

Registro errori SAML

L'autenticazione SAML avviene all'esterno di Tableau Server, pertanto risolvere i problemi di autenticazione può essere difficile. I tentativi di accesso vengono tuttavia registrati da Tableau Server. Puoi creare un'istantanea dei file di log e utilizzarla per la risoluzione dei problemi. Per maggiori informazioni, consulta Snapshot dei file di registro (archiviare file di registro).

Nota: per registrare gli eventi legati a SAML, vizportal.log.level deve essere impostato su debug. Per maggiori informazioni, consulta Modificare i livelli di registrazione.

Controlla gli errori SAML nei file seguenti nello snapshot del file di log decompresso:

\vizportal\vizportal-<n>.log

In Tableau Server 9.0 e versioni successive, il processo dell'applicazione (vizportal.exe) gestisce l'autenticazione, pertanto le risposte SAML vengono registrate da tale processo.

Barra finale

Nella scheda SAML, verifica che l'URL restituito di Tableau Server non finisca con una barra finale

Corretto: http://tableau_server

Errato: http://tableau_server/

Conferma connettività

Verifica che Tableau Server che stai configurando abbia un indirizzo IP adatto al routing o un NAT nel firewall che consente il traffico bidirezionale direttamente al server.

Puoi testare la connettività eseguendo telnet su Tableau Server e tentando di connetterti con l'IdP SAML. Ad esempio: C:\telnet 12.360.325.10 80

Il test precedente deve connetterti alla porta HTTP (80) sull'IdP e devi ricevere un'intestazione HTTP.

Grazie per il tuo feedback. Si è verificato un errore durante l'invio del feedback. Riprova o scrivici.