SAML voor de hele server configureren
Configureer SAML voor de hele server, als u wilt dat alle SSO-gebruikers (Single Sign-On) in Tableau Server zich verifiëren via één SAML-identiteitsprovider (IdP). U kunt dit ook doen als eerste stap bij het configureren van SAML voor een specifieke site in een omgeving met meerdere sites.
Zie Sitespecifieke SAML configureren als u SAML voor de hele server hebt geconfigureerd en een site kunt gaan configureren.
Bij de SAML-configuratiestappen die we hier beschrijven, wordt uitgegaan van de volgende aannames:
U bent bekend met de opties voor het configureren van SAML-verificatie Tableau Server, zoals wordt beschreven in het onderwerp SAML.
U hebt gecontroleerd of uw omgeving voldoet aan de SAML-vereisten en u beschikt over de SAML-certificaatbestanden die in deze vereisten worden beschreven.
Voordat u begint
We raden u aan om als onderdeel van uw noodherstelplan een back-up van de certificaat- en IdP-bestanden op een veilige locatie buiten Tableau Server te bewaren. De SAML-assetbestanden die u naar Tableau Server uploadt, worden door de clientbestandsservice opgeslagen en gedistribueerd naar andere knooppunten. Deze bestanden worden echter niet opgeslagen in een herstelbare indeling. Zie Tableau Server - Clientbestandsservice.
Opmerking: als u dezelfde certificaatbestanden voor SSL gebruikt, kunt u ook de bestaande certificaatlocatie gebruiken voor het configureren van SAML en het IdP-metadatabestand aan die map toevoegen wanneer u dit later in deze procedure downloadt. Zie SSL-certificaat en sleutelbestanden gebruiken voor SAML in de SAML-vereisten voor meer informatie.
Als u Tableau Server in een cluster gebruikt, worden de SAML-certificaten, -sleutels en -metadatabestand automatisch gedistribueerd over de knooppunten wanneer u SAML inschakelt.
Voor deze procedure moet u de SAML-certificaten uploaden naar TSM, zodat ze correct worden opgeslagen en gedistribueerd in de serverconfiguratie. De SAML-bestanden moeten in deze procedure beschikbaar zijn voor de browser op de lokale computer waarop u de TSM-webinterface uitvoert.
Als u de SAML-bestanden hebt verzameld en opgeslagen in Tableau Server zoals aanbevolen in de vorige sectie, voert u vervolgens de TSM-webinterface uit vanaf de Tableau Server-computer waarnaar u de bestanden hebt gekopieerd.
Als u de TSM-webinterface vanaf een andere computer uitvoert, moet u alle SAML-bestanden lokaal kopiëren voordat u doorgaat. Terwijl u de onderstaande procedure volgt, bladert u naar de bestanden op de lokale computer om deze naar TSM te uploaden.
Open TSM in een browser:
https://<tsm-computer-name>:8850. Zie Aanmelden bij webgebruikersinterface van Tableau Services Manager voor meer informatie.
Selecteer op het tabblad Configuratie de optie Gebruikersidentiteit en toegang en selecteer vervolgens het tabblad Verificatiemethode.
Selecteer voor Verificatiemethode de optie SAML.
In het SAML-gedeelte dat wordt weergegeven, voert u stap 1 uit in de gebruikersinterface door de volgende instellingen in te voeren (schakel nog niet het selectievakje in om SAML in voor de server):
Retour-URL van Tableau Server: de URL waar Tableau Server-gebruikers naartoe gaan, zoals https://tableau-server.
Het gebruik van https://localhost of een URL met een schuine streep aan het einde (bijvoorbeeld http://tableau_server/) wordt niet ondersteund.
SAML-entiteit-ID: de entiteit-ID is een unieke ID van uw installatie van Tableau Server bij de IdP.
U kunt uw URL voor Tableau Server hier nogmaals invoeren. Als u van plan bent om later specifiek voor elke site SAML in te schakelen, dient deze URL ook als basis voor de unieke ID van elke site.
Certificaat- en sleutelbestanden voor SAML: klik op Bestand selecteren om elk van deze bestanden te uploaden.
Als u een met toegangscode beveiligd PKCS#8-sleutelbestand gebruikt, moet u de toegangscode invoeren met TSM CLI:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
Nadat u de vereiste informatie in stap 1 hebt opgegeven in de gebruikersinterface, wordt de knop XML-metadatabestand downloaden in stap 2 in de gebruikersinterface beschikbaar genaakt.
Schakel nu in de gebruikersinterface het selectievakje SAML-verificatie inschakelen voor de server uit stap 1 hierboven in.
Geef de resterende SAML-instellingen op.
Voor stap 2 en 3 wisselt u in de gebruikersinterface de metadata uit tussen Tableau Server en de IdP. (Hier moet u mogelijk de documentatie van de IdP raadplegen.)
Selecteer XML-metadatabestand downloaden en geef de bestandslocatie op.
Als u SAML configureert met AD FS, kunt u teruggaan naar Stap 3: AD FS configureren om aanmeldingsverzoeken van Tableau Server te accepteren van 'SAML configureren met AD FS in Tableau Server'.
Voor andere IdP's gaat u naar uw IdP-account om Tableau Server toe te voegen aan de toepassingen (van de serviceprovider), waarbij u zo nodig de Tableau-metadata verstrekt.
Volg de instructies op de website of in de documentatie van de IdP om de metadata van de IdP te downloaden. Sla het XML-bestand op de locatie op waar u uw certificaat- en sleutelbestanden voor SAML bewaart. Bijvoorbeeld:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml
Ga terug naar de TSM-webinterface. Voer voor stap 4 in de gebruikersinterface het pad naar het IdP-metadatabestand in en klik vervolgens op Bestand selecteren.
Voor stap 5 moet u mogelijk in sommige gevallen de assertiewaarden in de Tableau Server-configuratie wijzigen, zodat deze overeenkomen met de assertienamen die door uw IdP worden doorgegeven.
U kunt assertienamen vinden in de SAML-configuratie van de IdP. Als er verschillende assertienamen worden doorgegeven vanuit uw IdP, moet u Tableau Server bijwerken om dezelfde assertiewaarde te gebruiken.
Tip: 'asserties' zijn een belangrijk onderdeel van SAML en het concept van het toewijzen van asserties kan in het begin lastig zijn. Het is misschien handig om dit in een tabel vorm te geven, waarbij de naam van de assertie (kenmerk) gelijk is aan een kolomkop in de tabel. U voert de naam van die ‘kop’ in, in plaats van een voorbeeld van een waarde die in die kolom kan worden weergegeven.
Voor stap 6 selecteert u in de gebruikersinterface de Tableau-toepassingen waarin gebruikers gebruik kunnen maken van eenmalige aanmelding.
Opmerking: de optie om mobiele toegang uit te schakelen wordt genegeerd door apparaten met de Tableau Mobile-app versie 19.225.1731 en hoger. Als u SAML wilt uitschakelen voor apparaten met deze versies, moet u SAML uitschakelen als clientaanmeldingsoptie in Tableau Server.
Als uw IdP Single Logout (SLO) ondersteunt, voert u voor de SAML-afmeldingsomleiding de pagina in waarnaar u gebruikers wilt omleiden nadat ze zich hebben afgemeld. U voert dit pad in relatief aan het pad dat u voor de retour-URL van Tableau Server hebt opgegeven.
Voor stap 7 in de gebruikersinterface doet u het volgende (optioneel):
Voeg een door komma's gescheiden waarde toe voor het kenmerk
AuthNContextClassRef
. Zie Opmerkingen en vereisten over SAML-compatibiliteit voor meer informatie over het gebruik van dit kenmerk.Geef een domeinkenmerk op als u het domein niet als onderdeel van de gebruikersnaam verzendt (bijvoorbeeld
domain\username
). Zie Bij meerdere domeinen voor meer informatie.
Klik op Lopende wijzigingen opslaan nadat u uw configuratiegegevens hebt ingevoerd.
Klik op Lopende wijzigingen bovenaan de pagina:
Klik op Wijzigingen toepassen en opnieuw starten.
Open in uw webbrowser een nieuwe pagina of tabblad en voer de Tableau Server-URL in.
De browser stuurt u door naar het aanmeldingsformulier van de IdP.
Voer uw gebruikersnaam en wachtwoord voor eenmalige aanmelding in.
De IdP verifieert uw referenties en stuurt u door naar uw Tableau Server-startpagina.