SAML voor de hele server configureren
Configureer SAML voor de hele server, als u wilt dat alle SSO-gebruikers (Single Sign-On) in Tableau Server zich verifiëren via één SAML-identiteitsprovider (IdP). U kunt dit ook doen als eerste stap bij het configureren van SAML voor een specifieke site in een omgeving met meerdere sites.
Zie Sitespecifieke SAML configureren als u SAML voor de hele server hebt geconfigureerd en een site kunt gaan configureren.
Bij de SAML-configuratiestappen die we hier beschrijven, wordt uitgegaan van de volgende aannames:
U bent bekend met de opties voor het configureren van SAML-verificatie Tableau Server, zoals wordt beschreven in het onderwerp SAML.
U hebt gecontroleerd of uw omgeving voldoet aan de SAML-vereisten en u beschikt over de SAML-certificaatbestanden die in deze vereisten worden beschreven.
Voordat u begint
We raden u aan om als onderdeel van uw noodherstelplan een back-up van de certificaat- en IdP-bestanden op een veilige locatie buiten Tableau Server te bewaren. De SAML-assetbestanden die u naar Tableau Server uploadt, worden door de clientbestandsservice opgeslagen en gedistribueerd naar andere knooppunten. Deze bestanden worden echter niet opgeslagen in een herstelbare indeling. Zie Tableau Server - Clientbestandsservice.
Opmerking: als u dezelfde certificaatbestanden voor SSL gebruikt, kunt u ook de bestaande certificaatlocatie gebruiken voor het configureren van SAML en het IdP-metadatabestand aan die map toevoegen wanneer u dit later in deze procedure downloadt. Zie SSL-certificaat en sleutelbestanden gebruiken voor SAML in de SAML-vereisten voor meer informatie.
Als u Tableau Server in een cluster gebruikt, worden de SAML-certificaten, -sleutels en -metadatabestand automatisch gedistribueerd over de knooppunten wanneer u SAML inschakelt.
Voor deze procedure moet u de SAML-certificaten uploaden naar TSM, zodat ze correct worden opgeslagen en gedistribueerd in de serverconfiguratie. De SAML-bestanden moeten in deze procedure beschikbaar zijn voor de browser op de lokale computer waarop u de TSM-webinterface uitvoert.
Als u de SAML-bestanden hebt verzameld en opgeslagen in Tableau Server zoals aanbevolen in de vorige sectie, voert u vervolgens de TSM-webinterface uit vanaf de Tableau Server-computer waarnaar u de bestanden hebt gekopieerd.
Als u de TSM-webinterface vanaf een andere computer uitvoert, moet u alle SAML-bestanden lokaal kopiëren voordat u doorgaat. Terwijl u de onderstaande procedure volgt, bladert u naar de bestanden op de lokale computer om deze naar TSM te uploaden.
Open TSM in een browser:
https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.
Selecteer op het tabblad Configuratie de optie Gebruikersidentiteit en toegang en selecteer vervolgens het tabblad Verificatiemethode.
Selecteer voor Verificatiemethode de optie SAML.
In het SAML-gedeelte dat wordt weergegeven, voert u stap 1 uit in de gebruikersinterface door de volgende instellingen in te voeren (schakel nog niet het selectievakje in om SAML in voor de server):
Retour-URL van Tableau Server: de URL waar Tableau Server-gebruikers naartoe gaan, zoals https://tableau-server.
Het gebruik van https://localhost of een URL met een schuine streep aan het einde (bijvoorbeeld http://tableau_server/) wordt niet ondersteund.
SAML-entiteit-ID: de entiteit-ID is een unieke ID van uw installatie van Tableau Server bij de IdP.
U kunt uw URL voor Tableau Server hier nogmaals invoeren. Als u van plan bent om later specifiek voor elke site SAML in te schakelen, dient deze URL ook als basis voor de unieke ID van elke site.
Certificaat- en sleutelbestanden voor SAML: klik op Bestand selecteren om elk van deze bestanden te uploaden.
Als u een met toegangscode beveiligd PKCS#8-sleutelbestand gebruikt, moet u de toegangscode invoeren met TSM CLI:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
Nadat u de vereiste informatie in stap 1 hebt opgegeven in de gebruikersinterface, wordt de knop XML-metadatabestand downloaden in stap 2 in de gebruikersinterface beschikbaar genaakt.
Schakel nu in de gebruikersinterface het selectievakje SAML-verificatie inschakelen voor de server uit stap 1 hierboven in.
Geef de resterende SAML-instellingen op.
Voor stap 2 en 3 wisselt u in de gebruikersinterface de metadata uit tussen Tableau Server en de IdP. (Hier moet u mogelijk de documentatie van de IdP raadplegen.)
Selecteer XML-metadatabestand downloaden en geef de bestandslocatie op.
Als u SAML configureert met AD FS, kunt u teruggaan naar Stap 3: AD FS configureren om aanmeldingsverzoeken van Tableau Server te accepteren van 'SAML configureren met AD FS in Tableau Server'.
Voor andere IdP's gaat u naar uw IdP-account om Tableau Server toe te voegen aan de toepassingen (van de serviceprovider), waarbij u zo nodig de Tableau-metadata verstrekt.
Volg de instructies op de website of in de documentatie van de IdP om de metadata van de IdP te downloaden. Sla het XML-bestand op de locatie op waar u uw certificaat- en sleutelbestanden voor SAML bewaart. Bijvoorbeeld:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml
Ga terug naar de TSM-webinterface. Voer voor stap 4 in de gebruikersinterface het pad naar het IdP-metadatabestand in en klik vervolgens op Bestand selecteren.
Voor stap 5 moet u mogelijk in sommige gevallen de assertiewaarden in de Tableau Server-configuratie wijzigen, zodat deze overeenkomen met de assertienamen die door uw IdP worden doorgegeven.
U kunt assertienamen vinden in de SAML-configuratie van de IdP. Als er verschillende assertienamen worden doorgegeven vanuit uw IdP, moet u Tableau Server bijwerken om dezelfde assertiewaarde te gebruiken.
Tip: 'asserties' zijn een belangrijk onderdeel van SAML en het concept van het toewijzen van asserties kan in het begin lastig zijn. Het is misschien handig om dit in een tabel vorm te geven, waarbij de naam van de assertie (kenmerk) gelijk is aan een kolomkop in de tabel. U voert de naam van die ‘kop’ in, in plaats van een voorbeeld van een waarde die in die kolom kan worden weergegeven.
Voor stap 6 selecteert u in de gebruikersinterface de Tableau-toepassingen waarin gebruikers gebruik kunnen maken van eenmalige aanmelding.
Opmerking: de optie om mobiele toegang uit te schakelen wordt genegeerd door apparaten met de Tableau Mobile-app versie 19.225.1731 en hoger. Als u SAML wilt uitschakelen voor apparaten met deze versies, moet u SAML uitschakelen als clientaanmeldingsoptie in Tableau Server.
Als uw IdP Single Logout (SLO) ondersteunt, voert u voor de SAML-afmeldingsomleiding de pagina in waarnaar u gebruikers wilt omleiden nadat ze zich hebben afgemeld. U voert dit pad in relatief aan het pad dat u voor de retour-URL van Tableau Server hebt opgegeven.
Voor stap 7 in de gebruikersinterface doet u het volgende (optioneel):
Voeg een door komma's gescheiden waarde toe voor het kenmerk
AuthNContextClassRef
. Zie Opmerkingen en vereisten over SAML-compatibiliteit voor meer informatie over het gebruik van dit kenmerk.Geef een domeinkenmerk op als u het domein niet als onderdeel van de gebruikersnaam verzendt (bijvoorbeeld
domain\username
). Zie Bij meerdere domeinen voor meer informatie.
Klik op Lopende wijzigingen opslaan nadat u uw configuratiegegevens hebt ingevoerd.
Klik op Lopende wijzigingen bovenaan de pagina:
Klik op Wijzigingen toepassen en opnieuw starten.
Voordat u begint
Doe het volgende voordat u begint:
Ga naar de website of toepassing van uw IdP en exporteer het XML-metadatabestand van de IdP.
Controleer of het XML-metadatabestand van de IdP een element SingleSignOnService bevat, waarin de binding is ingesteld op
HTTP-POST
, zoals in het volgende voorbeeld:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
Verzamel de certificaatbestanden en plaats ze in Tableau Server.
Maak in de Tableau Server-map een nieuwe map met de naam SAML en plaats kopieën van de SAML-certificaatbestanden in die map. Bijvoorbeeld:
C:\Program Files\Tableau\Tableau Server\SAML
Dit is de aanbevolen locatie omdat het gebruikersaccount waarmee Tableau Server wordt uitgevoerd over de benodigde machtigingen beschikt om toegang te krijgen tot deze map.
Stap 1: configureer de retour-URL en de SAML-entiteit-ID en geef de certificaat- en sleutelbestanden op
Open de opdrachtpromptshell en configureer de SAML-instellingen voor de server (vervang daarbij de waarden van de tijdelijke aanduidingen door uw omgevingspad en bestandsnamen).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"
Zie
tsm authentication saml configure
voor meer informatie.Als u een PKCS#8-sleutel gebruikt die is beveiligd met een toegangscode, voert u de toegangscode als volgt in:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
Als SAML nog niet is ingeschakeld in Tableau Server omdat u het bijvoorbeeld voor de eerste keer configureert of omdat u het hebt uitgeschakeld, schakelt u het nu in:
tsm authentication saml enable
Pas de wijzigingen toe:
tsm pending-changes apply
Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht
pending-changes apply
een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie--ignore-prompt
, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.
Stap 2: genereer Tableau Server-metadata en configureer de IdP
Voer de volgende opdracht uit om het vereiste XML-metadatabestand voor de Tableau-server te genereren.
tsm authentication saml export-metadata -f <file-name.xml>
U kunt een bestandsnaam opgeven of de parameter
-f
weglaten om een standaardbestand met de naamsamlmetadata.xml
te maken.Doe het volgende op de website van uw IdP of in de toepassing daarvan:
Voeg Tableau Server toe als een serviceprovider.
Raadpleeg de documentatie van uw IdP om te zien hoe u dit doet. Als onderdeel van het configureren van Tableau Server als serviceprovider, importeert u het Tableau Server-metadatabestand dat u met de opdracht
export-metadata
hebt gegenereerd.Controleer of uw IdP gebruikmaakt van gebruikersnaam als het kenmerk om gebruikers te verifiëren.
Stap 3: zorg ervoor dat de asserties overeenkomen
In sommige gevallen moet u mogelijk de assertiewaarden in de Tableau Server-configuratie wijzigen, zodat deze overeenkomen met de assertienamen die door uw IdP worden doorgegeven.
U kunt assertienamen vinden in de SAML-configuratie van de IdP. Als er verschillende assertienamen worden doorgegeven vanuit uw IdP, moet u Tableau Server bijwerken om dezelfde assertiewaarde te gebruiken.
Tip: 'asserties' zijn een belangrijk onderdeel van SAML en het concept van het toewijzen van asserties kan in het begin lastig zijn. Het is misschien handig om dit in een tabel vorm te geven, waarbij de naam van de assertie (kenmerk) gelijk is aan een kolomkop in de tabel. U voert de naam van die ‘kop’ in, in plaats van een voorbeeld van een waarde die in die kolom kan worden weergegeven.
In de volgende tabel vindt u de standaardassertiewaarden en de configuratiesleutel waarin de waarde wordt opgeslagen.
Assertie | Standaardwaarde | Sleutel |
---|---|---|
Gebruikersnaam | username | wgserver.saml.idpattribute.username |
Weergavenaam | displayName | Tableau ondersteunt dit kenmerktype niet. |
email | Tableau ondersteunt dit kenmerktype niet. | |
Domein | (niet standaard toegewezen) | wgserver.saml.idpattribute.domain |
Als u een bepaalde waarde wilt wijzigen, voert u de opdracht tsm configuration set
uit met het juiste sleutel/waarde-paar.
Als u bijvoorbeeld de assertie username
wilt wijzigen in de waarde, name
, voert u de volgende opdrachten uit:
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
U kunt ook gebruikmaken van de opdracht tsm authentication saml map-assertions
om een bepaalde waarde te wijzigen.
Als u bijvoorbeeld de domeinassertie wilt instellen op een waarde met de naam domain
en de waarde hiervan opgeeft als 'example.myco.com', voert u de volgende opdrachten uit:
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
Optioneel: voorkomen dat clienttypen SAML gebruiken
Zowel Tableau Desktop als de Tableau Mobile-app staan SAML-verificatie standaard toe.
Als uw IdP deze functionaliteit niet ondersteunt, kunt u SAML-aanmelding voor Tableau-clients uitschakelen met de volgende opdrachten:
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
Opmerking: de optie --mobile-access disable
wordt genegeerd door apparaten met de Tableau Mobile-app versie 19.225.1731 en hoger. Als u SAML wilt uitschakelen voor apparaten met deze versies, moet u SAML uitschakelen als clientaanmeldingsoptie in Tableau Server.
tsm pending-changes apply
Optioneel: de waarde AuthNContextClassRef toevoegen
Voeg een door komma's gescheiden waarde toe voor het kenmerk AuthNContextClassRef
. Zie Opmerkingen en vereisten over SAML-compatibiliteit voor meer informatie over het gebruik van dit kenmerk.
Als u dit kenmerk wilt instellen, voert u de volgende opdrachten uit:
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
De configuratie testen
Open in uw webbrowser een nieuwe pagina of tabblad en voer de Tableau Server-URL in.
De browser stuurt u door naar het aanmeldingsformulier van de IdP.
Voer uw gebruikersnaam en wachtwoord voor eenmalige aanmelding in.
De IdP verifieert uw referenties en stuurt u door naar uw Tableau Server-startpagina.