Risoluzione dei problemi di SAML
In questo argomento vengono fornite informazioni sulla risoluzione dei problemi che possono verificarsi quando configuri l’autenticazione SAML.
SAML e Abilita accesso automatico
Se utilizzi SAML e anche Tableau Server è configurato perché utilizzi Active Directory, non selezionare anche Abilita accesso automatico. Abilita accesso automatico e SAML non possono essere utilizzati insieme sulla stessa installazione su server.
Errore HTTP stato 500 durante la configurazione di SAML
In alcune circostanze potresti visualizzare un errore HTTP stato 500 e vedere l’errore seguente dopo aver abilitato SAML ed essere passato all’URL di Tableau Server nel browser:
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
Per risolvere questo errore, verifica quanto segue:
L’URL dell’IdP per il profilo SSO specificato nella scheda SAML è corretto.
L’URL dell’IdP per il profilo SSO fornito durante la creazione del provider di servizi nell’IdP è corretto.
L’IdP è configurato per l’utilizzo delle richieste
HTTP-POST
. (Reindirizzamento e SOAP non sono supportati).
Se una di queste impostazioni non è corretta, esegui gli aggiornamenti appropriati e quindi esegui nuovamente i passaggi di configurazione SAML, iniziando con la generazione e l’esportazione del documento dei metadati XML da Tableau Server.
Se queste impostazioni sono corrette, ma è ancora visibile l’errore, esamina i metadati XML prodotti da Tableau Server e dall’IdP, come descritto in Requisiti SAML.
Accesso dalla riga di comando
Non viene utilizzato SAML per l’autenticazione quando accedi a Tableau Server tramite tabcmd o la Tableau Data Extract Command-Line Utility(Il collegamento viene aperto in una nuova finestra) (fornita insieme a Tableau Desktop), anche se Tableau Server è configurato per l’utilizzo di SAML. Questi strumenti richiedono che l’autenticazione sia configurata quando Tableau Server è installato originariamente (autenticazione locale o AD).
Login non riuscito: impossibile a trovare l’utente
Il login potrebbe non riuscire con il seguente messaggio:
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
Questo errore indica in genere che esiste una mancata corrispondenza tra i nomi utente archiviati in Tableau Server e quelli forniti dall’IdP. Per risolvere il problema, assicurati che corrispondano. Ad esempio, se il nome utente di Mario Rossi è archiviato nell’IdP come mario.rossi
, deve essere archiviato in Tableau Server come mario.rossi
.
Accesso non riuscito: offload SSL
L’accesso potrebbe non essere eseguito con il seguente messaggio:
Unable to Sign In - Invalid username or password.
Inoltre, i log vizportal (impostati in modalità debug
) contengono il seguente messaggio:
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
Nota: per registrare gli eventi legati a SAML, vizportal.log.level
deve essere impostato su debug
. Per maggiori informazioni, consulta Modificare i livelli di registrazione.
Questa combinazione di messaggi indica un’errata configurazione di un server proxy esterno che sta scaricando SSL per la connessione a Tableau Server. Per risolvere questo problema, vedi l’articolo di KB, "Unable to Sign In" and "Invalid username or password" Error With SAML After Upgrading(Il collegamento viene aperto in una nuova finestra).
Registro errori SAML
L’autenticazione SAML avviene all’esterno di Tableau Server, pertanto risolvere i problemi di autenticazione può essere difficile. I tentativi di accesso vengono tuttavia registrati da Tableau Server. Puoi creare un’istantanea dei file di log e utilizzarla per la risoluzione dei problemi. Per maggiori informazioni, consulta Snapshot dei file di registro (archiviare file di registro).
Nota: per registrare gli eventi legati a SAML, vizportal.log.level
deve essere impostato su debug
. Per maggiori informazioni, consulta Modificare i livelli di registrazione.
Controlla gli errori SAML nei file seguenti nello snapshot del file di log decompresso:
\vizportal\vizportal-<n>.log
Il processo dell’applicazione (vizportal.exe) gestisce l’autenticazione, pertanto le risposte SAML vengono registrate da tale processo.
Barra finale
Nella scheda SAML verifica che l’URL restituito di Tableau Server non finisca con una barra finale.
Corretto: http://tableau_server
Errato: http://tableau_server/
Confermare la connettività
Conferma che Tableau Server che stai configurando abbia un indirizzo IP instradabile o un NAT nel firewall che consenta il traffico bidirezionale direttamente al server.
Puoi testare la connettività eseguendo telnet su Tableau Server e tentando di connetterti con l’IdP SAML. Ad esempio: C:\telnet 12.360.325.10 80
Il test precedente deve connetterti alla porta HTTP (80) sull’IdP e devi ricevere un’intestazione HTTP.
Più domini
Nella scheda SAML, conferma che l’attributo Tableau Server Domain rileverà il dominio di formato domain\username
nell’asserzione SAML lasciandolo vuoto.
Corretto: <vuoto>
Errato: tuodominio.com