SAML voor de hele server configureren
Configureer SAML voor de hele server, als u wilt dat alle SSO-gebruikers (Single Sign-On) in Tableau Server zich verifiëren via één SAML-identiteitsprovider (IdP). U kunt dit ook doen als eerste stap bij het configureren van SAML voor een specifieke site in een omgeving met meerdere sites.
Zie Sitespecifieke SAML configureren als u SAML voor de hele server hebt geconfigureerd en een site kunt gaan configureren.
Bij de SAML-configuratiestappen die we hier beschrijven, wordt uitgegaan van de volgende aannames:
U bent bekend met de opties voor het configureren van SAML-verificatie Tableau Server, zoals wordt beschreven in het onderwerp SAML.
U hebt gecontroleerd of uw omgeving voldoet aan de SAML-vereisten en u beschikt over de SAML-certificaatbestanden die in deze vereisten worden beschreven.
Voordat u begint
We raden u aan om als onderdeel van uw noodherstelplan een back-up van de certificaat- en IdP-bestanden op een veilige locatie buiten Tableau Server te bewaren. De SAML-assetbestanden die u naar Tableau Server uploadt, worden door de clientbestandsservice opgeslagen en gedistribueerd naar andere knooppunten. Deze bestanden worden echter niet opgeslagen in een herstelbare indeling. Zie Tableau Server - Clientbestandsservice.
Opmerking: als u dezelfde certificaatbestanden voor SSL gebruikt, kunt u ook de bestaande certificaatlocatie gebruiken voor het configureren van SAML en het IdP-metadatabestand aan die map toevoegen wanneer u dit later in deze procedure downloadt. Zie SSL-certificaat en sleutelbestanden gebruiken voor SAML in de SAML-vereisten voor meer informatie.
Als u Tableau Server in een cluster gebruikt, worden de SAML-certificaten, -sleutels en -metadatabestand automatisch gedistribueerd over de knooppunten wanneer u SAML inschakelt.
Voor deze procedure moet u de SAML-certificaten uploaden naar TSM, zodat ze correct worden opgeslagen en gedistribueerd in de serverconfiguratie. De SAML-bestanden moeten in deze procedure beschikbaar zijn voor de browser op de lokale computer waarop u de TSM-webinterface uitvoert.
Als u de SAML-bestanden hebt verzameld en opgeslagen in Tableau Server zoals aanbevolen in de vorige sectie, voert u vervolgens de TSM-webinterface uit vanaf de Tableau Server-computer waarnaar u de bestanden hebt gekopieerd.
Als u de TSM-webinterface vanaf een andere computer uitvoert, moet u alle SAML-bestanden lokaal kopiëren voordat u doorgaat. Terwijl u de onderstaande procedure volgt, bladert u naar de bestanden op de lokale computer om deze naar TSM te uploaden.
Open TSM in een browser:
https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.
Selecteer op het tabblad Configuratie de optie Gebruikersidentiteit en toegang en selecteer vervolgens het tabblad Verificatiemethode.

Selecteer voor Verificatiemethode de optie SAML.
In het SAML-gedeelte dat wordt weergegeven, voert u stap 1 uit in de gebruikersinterface door de volgende instellingen in te voeren (schakel nog niet het selectievakje in om SAML in voor de server):
Retour-URL van Tableau Server: de URL waar Tableau Server-gebruikers naartoe gaan, zoals https://tableau-server.
Het gebruik van https://localhost of een URL met een schuine streep aan het einde (bijvoorbeeld http://tableau_server/) wordt niet ondersteund.
SAML-entiteit-ID: de entiteit-ID is een unieke ID van uw installatie van Tableau Server bij de IdP.
U kunt uw URL voor Tableau Server hier nogmaals invoeren. Als u van plan bent om later specifiek voor elke site SAML in te schakelen, dient deze URL ook als basis voor de unieke ID van elke site.
Certificaat- en sleutelbestanden voor SAML: klik op Bestand selecteren om elk van deze bestanden te uploaden.
Als u een met toegangscode beveiligd PKCS#8-sleutelbestand gebruikt, moet u de toegangscode invoeren met TSM CLI:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Nadat u de vereiste informatie in stap 1 hebt opgegeven in de gebruikersinterface, wordt de knop XML-metadatabestand downloaden in stap 2 in de gebruikersinterface beschikbaar genaakt.
Schakel nu in de gebruikersinterface het selectievakje SAML-verificatie inschakelen voor de server uit stap 1 hierboven in.
Geef de resterende SAML-instellingen op.
Voor stap 2 en 3 wisselt u in de gebruikersinterface de metadata uit tussen Tableau Server en de IdP. (Hier moet u mogelijk de documentatie van de IdP raadplegen.)
Selecteer XML-metadatabestand downloaden en geef de bestandslocatie op.
Als u SAML configureert met AD FS, kunt u teruggaan naar Stap 3: AD FS configureren om aanmeldingsverzoeken van Tableau Server te accepteren van 'SAML configureren met AD FS in Tableau Server'.
Voor andere IdP's gaat u naar uw IdP-account om Tableau Server toe te voegen aan de toepassingen (van de serviceprovider), waarbij u zo nodig de Tableau-metadata verstrekt.
Volg de instructies op de website of in de documentatie van de IdP om de metadata van de IdP te downloaden. Sla het XML-bestand op de locatie op waar u uw certificaat- en sleutelbestanden voor SAML bewaart. Bijvoorbeeld:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xmlGa terug naar de TSM-webinterface. Voer voor stap 4 in de gebruikersinterface het pad naar het IdP-metadatabestand in en klik vervolgens op Bestand selecteren.

Voor stap 5 moet u mogelijk in sommige gevallen de assertiewaarden in de Tableau Server-configuratie wijzigen, zodat deze overeenkomen met de assertienamen die door uw IdP worden doorgegeven.
U kunt assertienamen vinden in de SAML-configuratie van de IdP. Als er verschillende assertienamen worden doorgegeven vanuit uw IdP, moet u Tableau Server bijwerken om dezelfde assertiewaarde te gebruiken.
Tip: 'asserties' zijn een belangrijk onderdeel van SAML en het concept van het toewijzen van asserties kan in het begin lastig zijn. Het is misschien handig om dit in een tabel vorm te geven, waarbij de naam van de assertie (kenmerk) gelijk is aan een kolomkop in de tabel. U voert de naam van die ‘kop’ in, in plaats van een voorbeeld van een waarde die in die kolom kan worden weergegeven.
Voor stap 6 selecteert u in de gebruikersinterface de Tableau-toepassingen waarin gebruikers gebruik kunnen maken van eenmalige aanmelding.
Opmerking: de optie om mobiele toegang uit te schakelen wordt genegeerd door apparaten met de Tableau Mobile-app versie 19.225.1731 en hoger. Als u SAML wilt uitschakelen voor apparaten met deze versies, moet u SAML uitschakelen als clientaanmeldingsoptie in Tableau Server.
Als uw IdP Single Logout (SLO) ondersteunt, voert u voor de SAML-afmeldingsomleiding de pagina in waarnaar u gebruikers wilt omleiden nadat ze zich hebben afgemeld. U voert dit pad in relatief aan het pad dat u voor de retour-URL van Tableau Server hebt opgegeven.
(Optioneel) Voor stap 7 doet u het volgende:
Voeg een door komma's gescheiden waarde toe voor het kenmerk
AuthNContextClassRef. Zie Opmerkingen en vereisten over SAML-compatibiliteit voor meer informatie over het gebruik van dit kenmerk.Geef een domeinkenmerk op als u het domein niet als onderdeel van de gebruikersnaam verzendt (bijvoorbeeld
domain\username). Zie Bij meerdere domeinen voor meer informatie.
(Optioneel) Schakel voor stap 8 het selectievakje Vastleggen van gebruikerskenmerken tijdens SAML-verificatie inschakelen in. Zie De toegang tot data aanpassen en beheren met behulp van gebruikerskenmerken voor meer informatie over gebruikerskenmerken.

Klik op Lopende wijzigingen opslaan nadat u uw configuratiegegevens hebt ingevoerd.
Klik op Lopende wijzigingen boven aan de pagina:

Klik op Wijzigingen toepassen en opnieuw starten.
Voordat u begint
Doe het volgende voordat u begint:
Ga naar de website of toepassing van uw IdP en exporteer het XML-metadatabestand van de IdP.
Controleer of het XML-metadatabestand van de IdP een element SingleSignOnService bevat, waarin de binding is ingesteld op
HTTP-POST, zoals in het volgende voorbeeld:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
Verzamel de certificaatbestanden en plaats ze in Tableau Server.
Maak in de Tableau Server-map een nieuwe map met de naam SAML en plaats kopieën van de SAML-certificaatbestanden in die map. Bijvoorbeeld:
C:\Program Files\Tableau\Tableau Server\SAMLDit is de aanbevolen locatie omdat het gebruikersaccount waarmee Tableau Server wordt uitgevoerd over de benodigde machtigingen beschikt om toegang te krijgen tot deze map.
Stap 1: configureer de retour-URL en de SAML-entiteit-ID en geef de certificaat- en sleutelbestanden op
Open de opdrachtpromptshell en configureer de SAML-instellingen voor de server (vervang daarbij de waarden van de tijdelijke aanduidingen door uw omgevingspad en bestandsnamen).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"Zie
tsm authentication saml configurevoor meer informatie.Als u een PKCS#8-sleutel gebruikt die is beveiligd met een toegangscode, voert u de toegangscode als volgt in:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Als SAML nog niet is ingeschakeld in Tableau Server omdat u het bijvoorbeeld voor de eerste keer configureert of omdat u het hebt uitgeschakeld, schakelt u het nu in:
tsm authentication saml enablePas de wijzigingen toe:
tsm pending-changes applyAls voor de in behandeling zijnde wijzigingen de server opnieuw moet worden opgestart, geeft de opdracht
pending-changes applyeen prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie--ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.
Stap 2: genereer Tableau Server-metadata en configureer de IdP
Voer de volgende opdracht uit om het vereiste XML-metadatabestand voor de Tableau-server te genereren.
tsm authentication saml export-metadata -f <file-name.xml>U kunt een bestandsnaam opgeven of de parameter
-fweglaten om een standaardbestand met de naamsamlmetadata.xmlte maken.Doe het volgende op de website van uw IdP of in de toepassing daarvan:
Voeg Tableau Server toe als een serviceprovider.
Raadpleeg de documentatie van uw IdP om te zien hoe u dit doet. Als onderdeel van het configureren van Tableau Server als serviceprovider, importeert u het Tableau Server-metadatabestand dat u met de opdracht
export-metadatahebt gegenereerd.Controleer of uw IdP gebruikmaakt van gebruikersnaam als het kenmerk om gebruikers te verifiëren.
Stap 3: zorg ervoor dat de asserties overeenkomen
In sommige gevallen moet u mogelijk de assertiewaarden in de Tableau Server-configuratie wijzigen, zodat deze overeenkomen met de assertienamen die door uw IdP worden doorgegeven.
U kunt assertienamen vinden in de SAML-configuratie van de IdP. Als er verschillende assertienamen worden doorgegeven vanuit uw IdP, moet u Tableau Server bijwerken om dezelfde assertiewaarde te gebruiken.
Tip: 'asserties' zijn een belangrijk onderdeel van SAML en het concept van het toewijzen van asserties kan in het begin lastig zijn. Het is misschien handig om dit in een tabel vorm te geven, waarbij de naam van de assertie (kenmerk) gelijk is aan een kolomkop in de tabel. U voert de naam van die ‘kop’ in, in plaats van een voorbeeld van een waarde die in die kolom kan worden weergegeven.
In de volgende tabel vindt u de standaardassertiewaarden en de configuratiesleutel waarin de waarde wordt opgeslagen.
| Assertie | Standaardwaarde | Sleutel |
|---|---|---|
| Gebruikersnaam | username | wgserver.saml.idpattribute.username |
| Weergavenaam | displayName | Tableau ondersteunt dit kenmerktype niet. |
email | Tableau ondersteunt dit kenmerktype niet. | |
| Domein | (niet standaard toegewezen) | wgserver.saml.idpattribute.domain |
Als u een bepaalde waarde wilt wijzigen, voert u de opdracht tsm configuration set uit met het juiste sleutel/waarde-paar.
Als u bijvoorbeeld de assertie username wilt wijzigen in de waarde, name, voert u de volgende opdrachten uit:
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
U kunt ook gebruikmaken van de opdracht tsm authentication saml map-assertions om een bepaalde waarde te wijzigen.
Als u bijvoorbeeld de domeinassertie wilt instellen op een waarde met de naam domain en de waarde hiervan opgeeft als 'example.myco.com', voert u de volgende opdrachten uit:
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
Optioneel: voorkomen dat clienttypen SAML gebruiken
Zowel Tableau Desktop als de Tableau Mobile-app staan SAML-verificatie standaard toe.
Als uw IdP deze functionaliteit niet ondersteunt, kunt u SAML-aanmelding voor Tableau-clients uitschakelen met de volgende opdrachten:
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
Opmerking: de optie --mobile-access disable wordt genegeerd door apparaten met de Tableau Mobile-app versie 19.225.1731 en hoger. Als u SAML wilt uitschakelen voor apparaten met deze versies, moet u SAML uitschakelen als clientaanmeldingsoptie in Tableau Server.
tsm pending-changes apply
Optioneel: de waarde AuthNContextClassRef toevoegen
Voeg een door komma's gescheiden waarde toe voor het kenmerk AuthNContextClassRef. Zie Opmerkingen en vereisten over SAML-compatibiliteit voor meer informatie over het gebruik van dit kenmerk.
Als u dit kenmerk wilt instellen, voert u de volgende opdrachten uit:
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
De configuratie testen
Open in uw webbrowser een nieuwe pagina of tabblad en voer de Tableau Server-URL in.

De browser stuurt u door naar het aanmeldingsformulier van de IdP.
Voer uw gebruikersnaam en wachtwoord voor eenmalige aanmelding in.

De IdP verifieert uw referenties en stuurt u door naar uw Tableau Server-startpagina.
De toegang tot data aanpassen en beheren met behulp van gebruikerskenmerken
Gebruikerskenmerken zijn metadata van gebruikers die door uw organisatie zijn gedefinieerd. Met gebruikerskenmerken kunt u de toegang bepalen in een typisch, op kenmerken gebaseerd ABAC-autorisatiemodel (Attribute-Based Access Control). Bij gebruikerskenmerken kan het gaan om elk aspect van het gebruikersprofiel, zoals functierollen, afdelingslidmaatschap, managementniveau, enzovoort. Deze kenmerken kunnen ook worden gekoppeld aan gebruikerscontexten tijdens de runtime, zoals de site waar de gebruiker is aangemeld, of de taalvoorkeur van de gebruiker.
Door gebruikerskenmerken in uw workflow op te nemen, kunt u de gebruikerservaring beheren en aanpassen via datatoegang en personalisatie.
- Toegang tot data: u kunt gebruikerskenmerken gebruiken om databeveiligingsbeleid af te dwingen. Dit zorgt ervoor dat gebruikers alleen de data kunnen zien waarvoor ze geautoriseerd zijn.
- Personalisatie: door gebruikerskenmerken zoals locatie en rol door te geven, kunt u uw inhoud aanpassen zodat alleen de informatie wordt weergegeven die relevant is voor de gebruiker die de inhoud opent. Zo wordt het voor hen gemakkelijker om de informatie te vinden die ze nodig hebben.
Samenvatting van de stappen voor het doorgeven van gebruikerskenmerken
Het proces voor het inschakelen van gebruikerskenmerken in een workflow kan worden samengevat in de volgende stappen:
- De instelling voor gebruikerskenmerken inschakelen
- Gebruikerskenmerken opnemen in de assertie
- Ervoor zorgen dat de auteur functies voor gebruikerskenmerken en relevante filters in de inhoud opneemt
- De inhoud controleren
Stap 1: schakel de instelling voor gebruikerskenmerken in
Uit veiligheidsoverwegingen worden gebruikerskenmerken alleen gevalideerd in een verificatieworkflow wanneer de instelling voor gebruikerskenmerken is ingeschakeld door een
Open TSM in een browser:
https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.
Selecteer op het tabblad CONFIGURATIE Gebruikersidentiteit en -toegang > Verificatiemethode.
Selecteer onder Verificatiemethode de optie SAML in het vervolgkeuzemenu.
Schakel onder stap 8 het selectievakje Vastleggen van gebruikerskenmerken in verificatieworkflows mogelijk maken in.
Wanneer u klaar bent, doet u het volgende:
Klik op Lopende wijzigingen opslaan.
Klik op de knop Lopende wijzigingen boven aan de pagina.
Klik op Wijzigingen toepassen en opnieuw starten.
Stap 2: neem gebruikerskenmerken op in de assertie
Zorg ervoor dat de assertie de gebruikerskenmerken bevat.
Opmerking: kenmerken in de SAML-respons zijn onderworpen aan een limiet van 4096 tekens, met uitzondering van de kenmerken scope of scp. Als deze limiet wordt overschreden door de kenmerken in de respons (inclusief de gebruikerskenmerken), verwijdert Tableau de kenmerken en wordt in plaats daarvan het kenmerk ExtraAttributesRemoved doorgegeven. De auteur van de inhoud kan vervolgens een berekening maken met het kenmerk ExtraAttributesRemoved om te bepalen hoe de inhoud aan gebruikers wordt weergegeven wanneer het kenmerk is gedetecteerd.
Voorbeeld
Stel dat u een werknemer hebt, Fred Suzuki, die manager is in de regio Zuid. U wilt ervoor zorgen dat Fred bij het beoordelen van rapporten alleen de data voor de regio Zuid ziet. In een dergelijk scenario kunt u het gebruikerskenmerk Regio opnemen in het SAML-antwoord, zoals in het onderstaande voorbeeld.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Stap 3: zorg ervoor dat de auteur van de inhoud kenmerkfuncties opneemt
Let erop dat de auteur van de inhoud de gebruikerskenmerkfuncties en bijbehorende filters opneemt om te bepalen welke data in de inhoud kunnen worden weergegeven. Om te zorgen dat de gebruikerskenmerkasserties aan Tableau worden doorgegeven, moet de inhoud een van de volgende gebruikerskenmerkfuncties bevatten:
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
Welke functie de auteur van de inhoud gebruikt, hangt ervan af of de gebruikerskenmerken één waarde of meerdere waarden moeten retourneren. Zie Gebruikersfuncties(Link wordt in een nieuw venster geopend) in de Tableau Help voor meer informatie over deze functies en voorbeelden.
Opmerkingen:
- Wanneer u in Tableau Desktop of Tableau Cloud ontwerpt, is er geen voorbeeld van de inhoud met deze functies beschikbaar. De functie retourneert in dat geval NULL of FALSE. Om er zeker van te zijn dat de gebruikersfuncties werken zoals verwacht, raden we de auteur aan de functies te controleren nadat deze de inhoud beschikbaar heeft gesteld.
- Om te zorgen dat de inhoud wordt weergegeven zoals verwacht, kan de auteur van de inhoud overwegen een berekening op te nemen waarbij
ExtraAttributesRemovedwordt toegepast om 1) te controleren op dit kenmerk en 2) te bepalen wat er met de inhoud moet gebeuren als dit het geval is, zoals bijvoorbeeld een bericht weergeven. Tableau voegt alleen het kenmerkExtraAttributesRemovedtoe. Alle andere kenmerken (behalvescpofscope) worden verwijderd wanneer de kenmerken in de SAML XML langer zijn dan 4096 tekens. Zo worden optimale prestaties gegarandeerd en worden de opslagbeperkingen gerespecteerd.
Voorbeeld
We gaan nu door met het bovenstaande voorbeeld uit Stap 2: neem gebruikerskenmerken op in de assertie. Als de auteur de gebruikerskenmerkassertie 'Regio' wil doorgeven aan een werkmap, kan de auteur het volgende opnemen: USERATTRIBUTEINCLUDES. Bijvoorbeeld USERATTRIBUTEINCLUDES('Region', [Region]), waarbij 'Region' het gebruikerskenmerk is en [Region] een kolom in de data. Met de nieuwe berekening kan de auteur een tabel maken met data voor de manager en voor de verkoop. Wanneer de berekening wordt toegevoegd, retourneert de werkmap zoals verwacht de waarde 'False'.

Om alleen de data weer te geven die zijn gekoppeld aan de regio Zuid in de ingesloten werkmap, kan de auteur een filter maken en dit aanpassen om waarden weer te geven wanneer de regio Zuid op 'True' staat. Wanneer dit filter wordt toegepast, wordt de werkmap zoals verwacht leeg, omdat de functie 'False'-waarden retourneert en het filter is aangepast om alleen 'True'-waarden weer te geven.

Stap 4: controleer de inhoud
Controleer en valideer de inhoud.
Voorbeeld
Laten we nu het voorbeeld van Stap 3: zorg ervoor dat de auteur van de inhoud kenmerkfuncties opneemt afsluiten. Hierboven kunt u zien dat de verkoopdata in de weergave zijn aangepast aan Fred Suzuki omdat zijn gebruikerscontext de regio Zuid is.

Als het goed is, zien managers uit de regio's die in de werkmap voorkomen de waarde die aan hun regio is gekoppeld. Sawdie Pawthorne uit de regio West ziet bijvoorbeeld data die specifiek zijn voor haar regio.

Managers waarvan de regio's niet in de werkmap zijn opgenomen, zien een lege werkmap.
Bekende problemen en beperkingen
Er zijn een aantal bekende problemen en beperkingen waarmee u rekening moet houden als u met functies voor gebruikerskenmerken werkt.
