samlSettings-entiteit
Dit artikel bevat een sjabloon en referentie voor het configureren van serverbrede SAML op Tableau Server met behulp van een configuratiebestand met sleutels en waarden voor de samlSettings
-entiteit. Deze informatie is een aanvulling op de SAML-configuratiestappen in SAML voor de hele server configureren.
Om een SAML-configuratiesjabloon te maken en toe te passen op Tableau Server, voltooit u de volgende stappen:
Bekijk de volgende twee secties die de sjabloon beschrijven en hoe deze is gestructureerd (Sjablooncategorieën en definities en samlSettings-configuratiesjabloon).
Plak de JSON-code die in de sjabloon wordt getoond in een nieuw tekstbestand en sla het op met een .json-extensie.
Gebruik de Entiteitsreferentie SAML-configuratie om u te helpen waarden te verstrekken waar nodig.
Voeg optionele sleutel/waardeparen toe die specifiek zijn voor uw omgeving. Als uw SAML-certificaatsleutelbestand bijvoorbeeld een wachtwoordzin vereist, moet u het wachtwoord opgeven in de parameter
wgserver.saml.key.passphrase
met behulp van de opdracht tsm configuration set.
Sjablooncategorieën en definities
De sjabloon gebruikt tijdelijke aanduidingen voor elke sleutelwaarde. Deze tijdelijke aanduidingen zijn als volgt gecategoriseerd:
Vereist: Kenmerken met de waarde
"required"
moeten worden vervangen door geldige data voordat u de configuratieopdracht uitvoert. Controleer de referentie van het configuratiebestand voor geldige waarden.Hard gecodeerd: Kenmerknamen die worden voorafgegaan door een onderstrepingsteken (_), bijvoorbeeld
"_type"
bevatten hard gecodeerde waarden. Wijzig deze waarden niet.Standaardwaarden: Kenmerken die zijn ingesteld op een waarde die niet is
"required"
, zijn standaardwaarden. Dit zijn vereiste kenmerken die u naar wens kunt wijzigen voor uw omgeving.Lege sets: Waarden die leeg zijn (
""
) kunnen worden doorgegeven zoals ze zijn, of u kunt een waarde voor uw installatie opgeven.
Belangrijk: Alle entiteitsopties zijn hoofdlettergevoelig.
samlSettings-configuratiesjabloon
Plak deze code in een tekstbestand en pas het aan voor uw omgeving. Gebruik hiervoor de onderstaande referentie.
{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "required", "entityId": "required", "certFile": "required", "keyFile": "required", "idpMetadataFile": "required", "idpDomainAttribute": "", "idpUsernameAttribute": "required" } } }
Entiteitsreferentie SAML-configuratie
De volgende lijst bevat alle opties die u kunt opnemen in de entiteitsset "samlSettings"
.
idpMetadataFile
Vereist. Het pad en de bestandsnaam voor het XML-bestand dat door de IdP is gegenereerd. De XML-metadata moeten het gebruikersnaamkenmerk (assertie) bevatten.
Als u de stappen hebt voltooid die in SAML voor de hele server configureren zijn beschreven, is de waarde die u hier invoert:
"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"
enabled
true | false
Vereist. Geeft aan of SAML-verificatie is ingeschakeld. Stel deze optie niet in op
true
voordat u andere vereiste SAML-configuratieopties instelt.
returnURL
Dit is doorgaans de externe URL die Tableau Server-gebruikers in hun browser invoeren om toegang te krijgen tot de server, zoals
https://tableau_server.example.com
. Deze waarde wordt gebruikt om het ACS URL-kenmerk te maken bij het configureren van de IdP.
entityId
Vereist. Entiteit-ID-waarde van de serviceprovider (in dit geval Tableau Server).
Identificeert uw Tableau Server-configuratie voor de IdP. Wij raden u aan dezelfde waarde in te voeren als in de optie
returnURL
.
idpUsernameAttribute
Vereist. Zoek in de IdP-metadata het kenmerk dat wordt gebruikt om gebruikersnaamwaarden op te geven en voer de naam van dat kenmerk in. Standaard is
username
.
certFile
Vereist. Voer de locatie en bestandsnaam voor het x509-certificaatbestand (.crt) in voor SAML. Bijvoorbeeld:
"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"
Zie SAML-vereisten en SAML voor de hele server configureren voor meer informatie.
keyFile
Vereist. Geef de locatie op van het bestand met de privésleutel (.sleutel) dat bij het certificaatbestand hoort. Bijvoorbeeld:
"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"
Opmerking: Als u een RSA PKCS#8-sleutel gebruikt waarvoor een wachtwoordzin vereist is, moet u de wachtwoordzin instellen met behulp van een configKey-entiteit (zie Voorbeeld van configuratiebestand) of met tsm configuration set. De sleutel voor de wachtwoordzin die deze methoden gebruikt, is
wgserver.saml.key.passphrase
. De waarde moet een niet-null-tekenreeks zijn.
idpDomainAttribute
Voor organisaties die LDAP of Active Directory gebruiken, geeft deze waarde aan naar welk SAML-kenmerk Tableau Server verwijst om de domeinnaam te bepalen. Als uw IdP bijvoorbeeld de domeinnaam in het kenmerk
domain
specificeert, dan zou udomain
opgeven voor deze waarde. Opmerking: Voor organisaties waarbij gebruikers zich aanmelden vanuit meerdere domeinen, is deze waarde vereist.Als u geen waarde voor deze sleutel opgeeft, is de gebruikte waarde afhankelijk van de instelling van het Tableau Server-identiteitenarchief:
Voor het lokale identiteitenarchief wordt de waarde
idpDomainAttribute
genegeerd.Voor Active Directory- of LDAP-identiteitenarchieven gebruikt Tableau de FQDN uit de configuratie-instelling
wgserver.domain.default
.Om de waarde te krijgen voor
wgserver.domain.default
, kunt u de volgende opdracht uitvoeren:tsm configuration get --key wgserver.domain.default
desktopNoSAML
true | false
Optioneel. Sta gebruikers toe SAML-verificatie te gebruiken wanneer ze zich aanmelden via Tableau Desktop.
Standaard is dit niet ingesteld, dus het effectieve gedrag is gelijk aan het instellen op 'false'. Als eenmalige aanmelding vanuit Tableau-clienttoepassingen niet werkt met uw IdP, kunt u dit instellen op true om SAML-verificatie via Tableau Desktop uit te schakelen.
appNoSAML
true | false
Optioneel. Sta het gebruik van SAML toe om aan te melden vanuit oudere versies van de Tableau Mobile-app. Apparaten met Tableau Mobile-app versie 19.225.1731 en hoger negeren deze optie. Om apparaten met Tableau Mobile-app versie 19.225.1731 en hoger uit te schakelen, schakelt u SAML uit als optie voor clientaanmelding op Tableau Server.
logoutEnabled
true | false
Optioneel. Schakelt eenmalige afmelding in voor gebruikers die zijn ingelogd met SAML. De standaard is
true
.De metadata voor IdP-configuratie moeten een eindpunt voor eenmalige afmelding met POST-binding bevatten.
Deze instelling is alleen van toepassing op serverbrede SAML
Wanneer dit is ingesteld op
false
zal Tableau Server geen eenmalige afmelding proberen.
logoutUrl
Optioneel. Voer de URL in waarnaar moet worden omgeleid nadat gebruikers zich hebben afgemeld bij de server. Voor het instellen van deze optie is vereist dat
logoutEnabled
is ingesteld optrue
.Standaard is dit de aanmeldpagina van Tableau Server. U kunt een absolute of een relatieve URL opgeven.
maxAuthenticationAge
Optioneel. Specificeert het maximumaantal toegestane seconden tussen de verificatie van een gebruiker met de IdP en de verwerking van het AuthNResponse-bericht. De standaardwaarde is -1, wat betekent dat maxAuthenticationAge standaard niet is ingesteld of wordt genegeerd. Vóór februari 2022 was de standaardwaarde 7200 (2 uur).
Om de sessieduur te optimaliseren, gebruikt u dezelfde time-outwaarde als die is ingesteld op de IdP.
maxAssertionTime
Optioneel. Geeft het maximale aantal seconden aan, vanaf het aanmaken, dat een SAML-definitie bruikbaar is. De standaardwaarde is 3000 (50 minuten).
sha256Enabled
true | false
Optioneel. Het type handtekening dat Tableau Server gebruikt bij het verzenden van berichten naar de IdP. Wanneer dit is ingesteld op
true
, ondertekent Tableau Server met het SHA 256-handtekeningalgoritme. Wanneer dit is ingesteld opfalse
, ondertekent Tableau Server berichten met SHA 1. Standaard istrue
.Met deze optie wordt het handtekeningalgoritme ingesteld op de volgende berichten die Tableau Server ondertekent:
- AuthnRequest-berichten wanneer
signRequests
is ingeschakeld. - LogoutRequest-berichten wanneer
logoutEnabled
is ingeschakeld.
- AuthnRequest-berichten wanneer
signRequests
true | false
Optioneel. Geeft aan of Tableau Server de AuthnRequests ondertekent die naar de IdP worden verzonden. Ondertekende verzoeken zijn niet altijd voor alle IdP's nodig. Wij raden het ondertekenen van verzoeken aan om de veiligste optie te garanderen bij het configureren van SAML. Om te controleren of uw IdP een ondertekend verzoek accepteert, controleert u de IdP-metadata: als
wantAuthnRequestsSigned
is ingesteld optrue
, dan accepteert uw IdP ondertekende verzoeken.De standaardwaarde is
true
. Om ondertekende verzoeken uit te schakelen, stelt u deze optie in opfalse
.
acceptableAuthnContexts
Optioneel. Stelt het SAML-kenmerk
AuthNContextClassRef
in. Dit optionele kenmerk dwingt de validatie af van bepaalde 'contexten' van verificatie in door IdP geïnitieerde flows. Stel een door komma's gescheiden set met waarden in voor dit kenmerk. Wanneer dit kenmerk is ingesteld, valideert Tableau Server of de SAML-respons ten minste één van de vermelde waarden bevat. Als de SAML-respons niet een van de geconfigureerde waarden bevat, wordt de verificatie afgewezen, zelfs als de gebruiker zich succesvol heeft geverifieerd bij de IdP.Als u deze optie leeg laat, wordt het standaardgedrag toegepast: elk succesvol geverifieerde SAML-respons resulteert erin dat een gebruiker een sessie binnen Tableau Server wordt verleend.
iFramedIdpEnabled
true | false
Optioneel. De standaardwaarde is
false
, wat betekent dat wanneer gebruikers de aanmeldingsknop in een ingesloten weergave selecteren, het aanmeldingsformulier van de IdP in een pop-upvenster wordt geopend.Wanneer u dit instelt op 'true' en een gebruiker van de server-SAML die al is aangemeld naar een webpagina met een ingesloten weergave navigeert, hoeft de gebruiker zich niet aan te melden om de weergave te kunnen bekijken.
U kunt dit alleen op True instellen als de IdP aanmelden binnen een iframe ondersteunt. De optie iframe is minder veilig dan het gebruik van een pop-upvenster. Dus niet alle IdP's ondersteunen deze optie. Als de IdP-aanmeldpagina bescherming tegen clickjacking implementeert, wat meestal het geval is, kan de aanmeldpagina niet in een iframe worden weergegeven en kan de gebruiker zich niet aanmelden.
Als uw IdP aanmelden via een iframe ondersteunt, moet u dit mogelijk expliciet inschakelen. Maar zelfs als u deze optie kunt gebruiken, wordt de bescherming tegen clickjacking van Tableau Server voor SAML uitgeschakeld. Hierdoor bestaat nog steeds een beveiligingsrisico.
Het configuratiebestand doorgeven aan Tableau Server
Nadat u voor elke entiteit die u in de configuratiesjabloon opneemt een geschikte waarde hebt opgegeven, gebruikt u de volgende opdrachten om het .json-bestand door te geven en instellingen toe te passen op Tableau Server.
tsm settings import -f path-to-file.json
tsm pending-changes apply
Zie ook
Nadat u de initiële SAML-configuratie hebt voltooid, gebruikt u tsm authentication mutual-ssl <commands> om extra waarden in te stellen.
Zie tsm authentication saml <commands> voor de opdrachtregelreferentie voor het configureren van SAML.