samlSettings-entiteit

Dit artikel bevat een sjabloon en referentie voor het configureren van serverbrede SAML op Tableau Server met behulp van een configuratiebestand met sleutels en waarden voor de samlSettings-entiteit. Deze informatie is een aanvulling op de SAML-configuratiestappen in SAML voor de hele server configureren.

Om een SAML-configuratiesjabloon te maken en toe te passen op Tableau Server, voltooit u de volgende stappen:

  1. Bekijk de volgende twee secties die de sjabloon beschrijven en hoe deze is gestructureerd (Sjablooncategorieën en definities en samlSettings-configuratiesjabloon).

  2. Plak de JSON-code die in de sjabloon wordt getoond in een nieuw tekstbestand en sla het op met een .json-extensie.

  3. Gebruik de Entiteitsreferentie SAML-configuratie om u te helpen waarden te verstrekken waar nodig.

  4. Voeg optionele sleutel/waardeparen toe die specifiek zijn voor uw omgeving. Als uw SAML-certificaatsleutelbestand bijvoorbeeld een wachtwoordzin vereist, moet u het wachtwoord opgeven in de parameter wgserver.saml.key.passphrase met behulp van de opdracht tsm configuration set.

  5. Het configuratiebestand doorgeven aan Tableau Server.

Sjablooncategorieën en definities

De sjabloon gebruikt tijdelijke aanduidingen voor elke sleutelwaarde. Deze tijdelijke aanduidingen zijn als volgt gecategoriseerd:

  • Vereist: Kenmerken met de waarde "required" moeten worden vervangen door geldige data voordat u de configuratieopdracht uitvoert. Controleer de referentie van het configuratiebestand voor geldige waarden.

  • Hard gecodeerd: Kenmerknamen die worden voorafgegaan door een onderstrepingsteken (_), bijvoorbeeld "_type" bevatten hard gecodeerde waarden. Wijzig deze waarden niet.

  • Standaardwaarden: Kenmerken die zijn ingesteld op een waarde die niet is "required", zijn standaardwaarden. Dit zijn vereiste kenmerken die u naar wens kunt wijzigen voor uw omgeving.

  • Lege sets: Waarden die leeg zijn ("") kunnen worden doorgegeven zoals ze zijn, of u kunt een waarde voor uw installatie opgeven.

Belangrijk: Alle entiteitsopties zijn hoofdlettergevoelig.

samlSettings-configuratiesjabloon

Plak deze code in een tekstbestand en pas het aan voor uw omgeving. Gebruik hiervoor de onderstaande referentie.

{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }

Entiteitsreferentie SAML-configuratie

De volgende lijst bevat alle opties die u kunt opnemen in de entiteitsset "samlSettings".

idpMetadataFile

Vereist. Het pad en de bestandsnaam voor het XML-bestand dat door de IdP is gegenereerd. De XML-metadata moeten het gebruikersnaamkenmerk (assertie) bevatten.

Als u de stappen hebt voltooid die in SAML voor de hele server configureren zijn beschreven, is de waarde die u hier invoert:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"

enabled

true | false

Vereist. Geeft aan of SAML-verificatie is ingeschakeld. Stel deze optie niet in op true voordat u andere vereiste SAML-configuratieopties instelt.

returnURL

Dit is doorgaans de externe URL die Tableau Server-gebruikers in hun browser invoeren om toegang te krijgen tot de server, zoals https://tableau_server.example.com. Deze waarde wordt gebruikt om het ACS URL-kenmerk te maken bij het configureren van de IdP.

entityId

Vereist. Entiteit-ID-waarde van de serviceprovider (in dit geval Tableau Server).

Identificeert uw Tableau Server-configuratie voor de IdP. Wij raden u aan dezelfde waarde in te voeren als in de optie returnURL.

idpUsernameAttribute

Vereist. Zoek in de IdP-metadata het kenmerk dat wordt gebruikt om gebruikersnaamwaarden op te geven en voer de naam van dat kenmerk in. Standaard is username.

certFile

Vereist. Voer de locatie en bestandsnaam voor het x509-certificaatbestand (.crt) in voor SAML. Bijvoorbeeld:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"

Zie SAML-vereisten en SAML voor de hele server configureren voor meer informatie.

keyFile

Vereist. Geef de locatie op van het bestand met de privésleutel (.sleutel) dat bij het certificaatbestand hoort. Bijvoorbeeld:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

Opmerking: Als u een RSA PKCS#8-sleutel gebruikt waarvoor een wachtwoordzin vereist is, moet u de wachtwoordzin instellen met behulp van een configKey-entiteit (zie Voorbeeld van configuratiebestand) of met tsm configuration set. De sleutel voor de wachtwoordzin die deze methoden gebruikt, is wgserver.saml.key.passphrase. De waarde moet een niet-null-tekenreeks zijn.

idpDomainAttribute

Voor organisaties die LDAP of Active Directory gebruiken, geeft deze waarde aan naar welk SAML-kenmerk Tableau Server verwijst om de domeinnaam te bepalen. Als uw IdP bijvoorbeeld de domeinnaam in het kenmerk domain specificeert, dan zou u domain opgeven voor deze waarde. Opmerking: Voor organisaties waarbij gebruikers zich aanmelden vanuit meerdere domeinen, is deze waarde vereist.

Als u geen waarde voor deze sleutel opgeeft, is de gebruikte waarde afhankelijk van de instelling van het Tableau Server-identiteitenarchief:

  • Voor het lokale identiteitenarchief wordt de waarde idpDomainAttribute genegeerd.

  • Voor Active Directory- of LDAP-identiteitenarchieven gebruikt Tableau de FQDN uit de configuratie-instelling wgserver.domain.default.

    Om de waarde te krijgen voor wgserver.domain.default, kunt u de volgende opdracht uitvoeren:

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Optioneel. Sta gebruikers toe SAML-verificatie te gebruiken wanneer ze zich aanmelden via Tableau Desktop.

Standaard is dit niet ingesteld, dus het effectieve gedrag is gelijk aan het instellen op 'false'. Als eenmalige aanmelding vanuit Tableau-clienttoepassingen niet werkt met uw IdP, kunt u dit instellen op true om SAML-verificatie via Tableau Desktop uit te schakelen.

appNoSAML

true | false

Optioneel. Sta het gebruik van SAML toe om aan te melden vanuit oudere versies van de Tableau Mobile-app. Apparaten met Tableau Mobile-app versie 19.225.1731 en hoger negeren deze optie. Om apparaten met Tableau Mobile-app versie 19.225.1731 en hoger uit te schakelen, schakelt u SAML uit als optie voor clientaanmelding op Tableau Server.

logoutEnabled

true | false

Optioneel. Schakelt eenmalige afmelding in voor gebruikers die zijn ingelogd met SAML. De standaard is true.

De metadata voor IdP-configuratie moeten een eindpunt voor eenmalige afmelding met POST-binding bevatten.

Deze instelling is alleen van toepassing op serverbrede SAML

Wanneer dit is ingesteld op false zal Tableau Server geen eenmalige afmelding proberen.

logoutUrl

Optioneel. Voer de URL in waarnaar moet worden omgeleid nadat gebruikers zich hebben afgemeld bij de server. Voor het instellen van deze optie is vereist dat logoutEnabled is ingesteld op true.

Standaard is dit de aanmeldpagina van Tableau Server. U kunt een absolute of een relatieve URL opgeven.

maxAuthenticationAge

Optioneel. Specificeert het maximumaantal toegestane seconden tussen de verificatie van een gebruiker met de IdP en de verwerking van het AuthNResponse-bericht. De standaardwaarde is -1, wat betekent dat maxAuthenticationAge standaard niet is ingesteld of wordt genegeerd. Vóór februari 2022 was de standaardwaarde 7200 (2 uur).

Om de sessieduur te optimaliseren, gebruikt u dezelfde time-outwaarde als die is ingesteld op de IdP.

maxAssertionTime

Optioneel. Geeft het maximale aantal seconden aan, vanaf het aanmaken, dat een SAML-definitie bruikbaar is. De standaardwaarde is 3000 (50 minuten).

sha256Enabled

true | false

Optioneel. Het type handtekening dat Tableau Server gebruikt bij het verzenden van berichten naar de IdP. Wanneer dit is ingesteld op true, ondertekent Tableau Server met het SHA 256-handtekeningalgoritme. Wanneer dit is ingesteld op false, ondertekent Tableau Server berichten met SHA 1. Standaard is true.

Met deze optie wordt het handtekeningalgoritme ingesteld op de volgende berichten die Tableau Server ondertekent: 

  • AuthnRequest-berichten wanneer signRequests is ingeschakeld.
  • LogoutRequest-berichten wanneer logoutEnabled is ingeschakeld.

signRequests

true | false

Optioneel. Geeft aan of Tableau Server de AuthnRequests ondertekent die naar de IdP worden verzonden. Ondertekende verzoeken zijn niet altijd voor alle IdP's nodig. Wij raden het ondertekenen van verzoeken aan om de veiligste optie te garanderen bij het configureren van SAML. Om te controleren of uw IdP een ondertekend verzoek accepteert, controleert u de IdP-metadata: als wantAuthnRequestsSigned is ingesteld op true, dan accepteert uw IdP ondertekende verzoeken.

De standaardwaarde is true. Om ondertekende verzoeken uit te schakelen, stelt u deze optie in op false.

acceptableAuthnContexts

Optioneel. Stelt het SAML-kenmerk AuthNContextClassRef in. Dit optionele kenmerk dwingt de validatie af van bepaalde 'contexten' van verificatie in door IdP geïnitieerde flows. Stel een door komma's gescheiden set met waarden in voor dit kenmerk. Wanneer dit kenmerk is ingesteld, valideert Tableau Server of de SAML-respons ten minste één van de vermelde waarden bevat. Als de SAML-respons niet een van de geconfigureerde waarden bevat, wordt de verificatie afgewezen, zelfs als de gebruiker zich succesvol heeft geverifieerd bij de IdP.

Als u deze optie leeg laat, wordt het standaardgedrag toegepast: elk succesvol geverifieerde SAML-respons resulteert erin dat een gebruiker een sessie binnen Tableau Server wordt verleend.

iFramedIdpEnabled

true | false

Optioneel. De standaardwaarde is false, wat betekent dat wanneer gebruikers de aanmeldingsknop in een ingesloten weergave selecteren, het aanmeldingsformulier van de IdP in een pop-upvenster wordt geopend.

Wanneer u dit instelt op 'true' en een gebruiker van de server-SAML die al is aangemeld naar een webpagina met een ingesloten weergave navigeert, hoeft de gebruiker zich niet aan te melden om de weergave te kunnen bekijken.

U kunt dit alleen op True instellen als de IdP aanmelden binnen een iframe ondersteunt. De optie iframe is minder veilig dan het gebruik van een pop-upvenster. Dus niet alle IdP's ondersteunen deze optie. Als de IdP-aanmeldpagina bescherming tegen clickjacking implementeert, wat meestal het geval is, kan de aanmeldpagina niet in een iframe worden weergegeven en kan de gebruiker zich niet aanmelden.

Als uw IdP aanmelden via een iframe ondersteunt, moet u dit mogelijk expliciet inschakelen. Maar zelfs als u deze optie kunt gebruiken, wordt de bescherming tegen clickjacking van Tableau Server voor SAML uitgeschakeld. Hierdoor bestaat nog steeds een beveiligingsrisico.

Het configuratiebestand doorgeven aan Tableau Server

Nadat u voor elke entiteit die u in de configuratiesjabloon opneemt een geschikte waarde hebt opgegeven, gebruikt u de volgende opdrachten om het .json-bestand door te geven en instellingen toe te passen op Tableau Server.

tsm settings import -f path-to-file.json

tsm pending-changes apply

Zie ook

Nadat u de initiële SAML-configuratie hebt voltooid, gebruikt u tsm authentication mutual-ssl <commands> om extra waarden in te stellen.

Zie tsm authentication saml <commands> voor de opdrachtregelreferentie voor het configureren van SAML.

 

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.