SAML configureren met AD FS op Tableau Server

U kunt Active Directory Federation Services (AD FS) configureren als SAML-identiteitsprovider en Tableau Server toevoegen aan uw ondersteunde toepassingen met eenmalige aanmelding. Wanneer u AD FS integreert met SAML en Tableau Server, kunnen uw gebruikers zich aanmelden bij Tableau Server met hun standaard netwerkreferenties.

Vereisten

Voordat u Tableau Server en SAML met AD FS kunt configureren, moet uw omgeving over het volgende beschikken:

  • Een server waarop Microsoft Windows Server 2008 R2 (of hoger) wordt uitgevoerd met AD FS 2.0 (of hoger) en waarop IIS is geïnstalleerd.

  • We raden aan uw AD FS-server te beveiligen (bijvoorbeeld met een reverse proxy). Wanneer uw AD FS-server toegankelijk is van buiten uw firewall, kan Tableau Server kan gebruikers omleiden naar de aanmeldpagina die wordt gehost door AD FS.

  • SSL-certificaat versleuteld met SHA-2 (256 of 512 bits) en dat voldoet aan de aanvullende vereisten die in de volgende secties worden vermeld:

Stap 1: SSL-verbinding met AD FS controleren

Voor AD FS is een SSL-verbinding vereist. Als u dit nog niet hebt gedaan, voltooi dan de stappen in SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server met een certificaat dat voldoet aan de hierboven vermelde vereisten.

Als Tableau Server echter is geconfigureerd om te werken met een reverse proxy of taakverdeler waarbij SSL wordt beëindigd (vaak SSL-offloading genoemd), hoeft u geen externe SSL te configureren.

Stap 2: SAML in Tableau SAML configureren

Voltooi de stappen in SAML voor de hele server configureren door de Tableau Server-metadata te downloaden naar een XML-bestand. Ga op dat punt terug naar het volgende gedeelte.

Stap 3: AD FS configureren om aanmeldingsverzoeken van Tableau Server te accepteren

Opmerking: deze stappen weerspiegelen een toepassing van derden en kunnen zonder ons medeweten worden gewijzigd.

AD FS configureren om aanmeldingsverzoeken van Tableau Server te accepteren is een proces met meerdere stappen. Dit begint met het importeren van de Tableau Server XML-metadatabestand naar AD FS.

  1. Voer een van de volgende handelingen uit voor het openen van de Wizard Relying Party toevoegen:

  2. Windows Server 2008 R2:

    1. Selecteer menu Start> naar Administratieve hulpmiddelen> ADFS 2.0.

    2. Klik in AD FS 2.0, onder Relaties van trust, met de rechtermuisknop op de map Relying Party-trusts en klik dan op Relying Party-trust toevoegen.

    Windows Server 2012 R2:

    1. Open Serverbeheerder, en klik dan in het menu Hulpmiddelen op AD FS-beheer.

    2. Klik in AD FS-beheer, in het menu Actie, op Relying Party-trust toevoegen.

  3. Klik in de Wizard Relying Party toevoegen op Start.

  4. Selecteer op de pagina Databron Data over de vertrouwende partij importeren uit een bestand. Klik vervolgens op Bladeren om uw Tableau Server XML-metadatabestand te vinden. Standaard heeft dit bestand de naam samlspmetadata.xml.

  5. Klik op Volgende en typ op de pagina Geef Weergavenaam opgeven een naam en beschrijving voor de trust van de Relying Party in de vakjes Weergavenaam en Opmerkingen.

  6. Klik op Volgende om de pagina Nu meervoudige verificatie configureren over te slaan.

  7. Klik op Volgende om de pagina Autorisatieregels voor uitgifte kiezen over te slaan.

  8. Klik op Volgende om de pagina Klaar om trust toe te voegen over te slaan.

  9. Vink op de pagina Afronden het selectievakje Het dialoogvenster claimregels bewerken voor deze Relying Party-trust wanneer wizard wordt afgesloten aan en klik vervolgens op Afsluiten.

Vervolgens gaat u aan de slag in het dialoogvenster Claimregels bewerken. Voeg een regel toe die zorgt dat de claims die door AD FS worden verzonden, overeenkomen met de claims die Tableau Server verwacht. Tableau Server heeft minimaal een e-mailadres nodig. Als u naast uw e-mailadres echter ook uw voor- en achternaam opneemt, zorgt u dat de weergegeven gebruikersnamen in Tableau Server dezelfde zijn als die in uw AD-account.

  1. Klik in het dialoogvenster Claimregels bewerken op Regel toevoegen.

  2. Selecteer op de pagina Regeltype kiezen, voor Sjabloon voor claimregel, LDAP-kenmerken als claims verzenden. Klik vervolgens op Volgende.

  3. Voer op de pagina Claimregel configureren, voor Claimregelnaam, een logische naam in voor de regel.

  4. Selecteer voor Kenmerk opslaan Actieve Directory, voltooi de toewijzing zoals hieronder weergegeven en klik vervolgens op Afronden.

  5. De toewijzing is hoofdlettergevoelig en vereist exacte spelling. Dus controleer uw invoer grondig. In de tabel hier worden algemene kenmerken en claimtoewijzingen weergegeven. Controleer de kenmerken met uw specifieke Active Directory-configuratie.

    LDAP-kenmerkType uitgaande claim
    SAM-Account-NameName ID
    SAM-Account-Namegebruikersnaam
    Given-NamefirstName
    AchternaamlastName

Als u AD FS 2016 of later gebruikt, moet u een regel toevoegen om alle claimwaarden door te geven. Als u een oudere versie van AD FS gebruikt, gaat u verder met de volgende procedure om AD FS-metadata te exporteren.

  1. Klik op Regel toevoegen.
  2. Kies onder Claimregelsjabloon Een binnenkomende claim doorsturen of filteren.
  3. Voer onder Claimregelnaam Windows in.
  4. In het pop-upvenster Regel bewerken - Windows:
    • Selecteer onder Inkomend claimtype Windows-accountnaam.
    • Selecteer Alle claimwaarden doorgeven.
    • Klik op OK.

Nu exporteert u AD FS-metadata die u later in Tableau Server gaat importeren. Zorg er voor dat de metadata correct geconfigureerd en versleuteld is voor Tableau Server. Controleer ook andere AD FS-vereisten voor uw SAML-configuratie.

  1. Exporteer AD FS Federation-metadata naar een XML-bestand. Download het bestand vervolgens van https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Open het metadatabestand in een teksteditor zoals Sublime Text of Kladblok++ en controleer of het correct is versleuteld als UTF-8 zonder BOM.

    Als het bestand een ander type versleuteling heeft, sla het dan op vanuit de teksteditor met de juiste versleuteling.

  3. Controleer of AD FS op formulieren gebaseerde verificatie gebruikt. Aanmeldingen worden uitgevoerd in een browservenster. Daarom moet AD FS dit type verificatie standaard gebruiken.

    Bewerk c:\inetpub\adfs\ls\web.config, zoek naar de tag , en verplaats de regel zodat deze als eerste in de lijst wordt getoond. Sla het bestand op, zodat IIS het automatisch opnieuw kan laden.

    Opmerking: als u het bestand c:\inetpub\adfs\ls\web.config niet ziet, is IIS niet geïnstalleerd en geconfigureerd op uw AD FS-server.

  4. (Optioneel) Deze stap is alleen vereist als AD FS is geconfigureerd als IDP voor sitespecifieke SAML. Deze stap is niet vereist als AD FS is geconfigureerd als IDP voor serverbrede SAML.

    Configureer een extra AD FS Relying Party-ID. Hiermee kunt u AD FS-problemen met SAML-afmelding omzeilen.

    Voer een van de volgende handelingen uit:

    Windows Server 2008 R2:

    1. Klik in ADFS 2.0 met de rechtermuisknop op de Relying Party die u eerder hebt gemaakt voor Tableau Server en daarna op Eigenschappen.

    2. Voer op het tabblad Identificaties, in het vakje Relying Party-identificatie, https://<tableauservername>/public/sp/metadata in en klik dan op Toevoegen.

    Windows Server 2012 R2:

    1. Klik in AD FS-beheer, in de lijst Relying Party-trusts, met de rechtermuisknop op de Relying Party die u eerder hebt gemaakt voor Tableau Server. Klik nu op Eigenschappen.

    2. Voer op het tabblad Identificaties, in het vakje Relying Party-identificatie, https://<tableauservername/public/sp/metadata in en klik dan op Toevoegen.

    Opmerking: AD FS kan worden gebruikt met Tableau Server voor één enkele Relying Party op dezelfde instantie. AD FS kan niet worden gebruikt voor meerdere Relying Parties bij hetzelfde exemplaar. Bijvoorbeeld SAML-sites met meerdere sites of serverbrede en SAML-configuraties voor sites.

Stap 4: AD FS-metadata aan Tableau Server verstrekken

  1. Ga terug naar de TSM-webinterface en ga naar het tabblad Configuratie > Gebruikersidentiteit en toegang > Verificatiemethode.

  2. Voer in stap 4 van het SAML-configuratievenster de locatie in van het XML-bestand dat u uit AD FS hebt geëxporteerd en selecteer Uploaden.

    Schermafbeelding waarin het gebied van de TSM-gebruikersinterface wordt gemarkeerd waar u SAML IDP-metadata uploadt

  3. Voltooi de resterende stappen (het afstemmen van beweringen en het specificeren van de toegang van clienttypes) zoals opgegeven in SAML voor de hele server configureren.

  4. Sla de wijzigingen op en pas ze toe.

  5. Voer de volgende stappen uit als dit niet de eerste keer is dat u SAML configureert:

    1. Stop Tableau Server, open TSM CLI en voer de volgende opdrachten uit:

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a 7776000

    2. Pas de wijzigingen toe:

      tsm pending-changes apply

      Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.