SAML configureren met Azure AD IdP op Tableau Server

U kunt Azure AD configureren als SAML-identiteitsprovider (IdP) en Tableau Server toevoegen aan uw toepassingen die eenmalige aanmelding ondersteunen. Wanneer u Azure AD integreert met SAML en Tableau Server, kunnen uw gebruikers zich aanmelden bij Tableau Server met hun standaard netwerkreferenties.

Voordat u begint: vereisten

Voordat u Tableau Server en SAML met Azure AD kunt configureren, moet uw omgeving over het volgende beschikken:

SSL-certificaat versleuteld met SHA-2 (256 of 512 bits) en dat voldoet aan de aanvullende vereisten die in de volgende secties worden vermeld:
- Vereisten voor SSL-certificaatbestand
- SAML Vereisten voor certificaten en identiteitsproviders (IdP)
Als uw gebruikers zich aanmelden vanaf een domein dat niet het standaarddomein is, controleer dan SAML-vereisten en Gebruikersbeheer in implementaties met externe identiteitenarchieven om te zorgen dat de waarde van het domeinkenmerk is ingesteld en gedefinieerd. Zo kunt u latere aanmeldingsproblemen voorkomen.

Stap 1: SSL-verbinding met Azure AD controleren

Voor Azure AD is een SSL-verbinding vereist. Als u dit nog niet hebt gedaan, voltooi dan de stappen in SSL configureren voor extern HTTP-verkeer naar en vanaf Tableau Server met een certificaat dat voldoet aan de hierboven vermelde vereisten.

Als Tableau Server echter is geconfigureerd om te werken met een reverse proxy of taakverdeler waarbij SSL wordt beëindigd (vaak SSL-offloading genoemd), hoeft u geen externe SSL te configureren.

Als uw organisatie de Azure AD App-proxy gebruikt, raadpleeg dan de onderstaande sectie, Azure AD App-proxy.

Stap 2: SAML in Tableau SAML configureren

Voltooi de stappen in SAML voor de hele server configureren door de Tableau Server-metadata te downloaden naar een XML-bestand. Ga op dat punt terug naar het volgende gedeelte.

Stap 3: Azure AD-claimregels configureren

De toewijzing is hoofdlettergevoelig en vereist exacte spelling. Dus controleer uw invoer grondig. In de tabel hier worden algemene kenmerken en claimtoewijzingen weergegeven. U moet de kenmerken verifiëren met uw specifieke Azure AD-configuratie.

LDAP-kenmerk	Type uitgaande claim
onpremisessamaccountname	gebruikersnaam
Given-Name	firstName Opmerking: dit is optioneel.
Achternaam	lastName Opmerking: dit is optioneel.
netbiosname	domein Opmerking: dit is alleen vereist als gebruikers zich aanmelden vanaf een domein dat niet het standaarddomein is.

In sommige organisaties wordt Azure AD als SAML IdP gebruikt, met Active Directory als identiteitsopslag voor Tableau Server. In dit geval is username meestal de sAMAccountName-naam. Zie de documentatie van Microsoft voor het identificeren van het kenmerk sAMAccountName in Azure AD om toe te wijzen aan het kenmerk username.

Stap 4: Azure AD-metadata verstrekken aan Tableau Server

Ga terug naar de TSM-webinterface en ga naar het tabblad Configuratie > Gebruikersidentiteit en toegang > Verificatiemethode.
Voer in stap 4 van het deelvenster SAML-configuratie de locatie in van het XML-bestand dat u uit Azure AD hebt geëxporteerd en selecteer Uploaden.
Voltooi de resterende stappen (het afstemmen van beweringen en het specificeren van de toegang van clienttypes) zoals opgegeven in SAML voor de hele server configureren. Sla de wijzigingen op en pas ze toe.
Voer de volgende stappen uit als dit niet de eerste keer is dat u SAML configureert:
1. Stop Tableau Server, open TSM CLI en voer de volgende opdrachten uit:
  tsm configuration set -k wgserver.saml.sha256 -v true
  tsm authentication saml configure -a -1
2. Pas de wijzigingen toe:
  tsm pending-changes apply
  Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Azure AD App-proxy

Als u Azure AD App-proxy vóór Tableau Server uitvoert en SAML is ingeschakeld, moet u een aanvullende configuratie uitvoeren voor Azure AD App-proxy.

Tableau Server kan alleen verkeer van één URL accepteren wanneer SAML is ingeschakeld. Standaard stelt Azure AD App-proxy echter een externe en een interne URL in.

U moet beide waarden instellen op dezelfde URL in uw aangepaste domein. Zie de Microsoft-documentatie, Aangepaste domeinen configureren met Azure AD Application-proxy(Link wordt in een nieuw venster geopend) voor meer informatie.

Problemen oplossen

Azure AD App-proxy

In sommige gevallen worden koppelingen naar weergaven intern weergegeven, maar mislukken ze extern wanneer verkeer een Azure AD App-proxy passeert. Het probleem ontstaat wanneer de URL een hekje (#) bevat en gebruikers de link openen via een browser. De Tableau Mobile-app URL's met een hekje openen.

Het lijkt dat time-outs van gebruikerssessies worden genegeerd

Wanneer Tableau Server is geconfigureerd voor SAML, kunnen gebruikers aanmeldfouten ervaren omdat de instelling voor maximale verificatieleeftijd van de IdP is ingesteld op een waarde die hoger is dan de instelling voor maximale verificatieleeftijd van Tableau. Om dit probleem op te lossen, kunt u de optie tsm configuration set-opties wgserver.saml.forceauthn gebruiken om te vereisen dat de IdP de gebruiker opnieuw verifieert telkens wanneer Tableau het verificatieverzoek omleidt. Zelfs als de IdP-sessie voor de gebruiker nog actief is.

Wanneer de Azure AD-instelling voor maxInactiveTime bijvoorbeeld groter is dan de instelling van Tableau Server voor maxAuthenticationAge, stuurt Tableau het verificatieverzoek door naar de IdP. Deze stuurt een bevestiging naar Tableau dat de gebruiker al is geverifieerd. Omdat de gebruiker echter buiten Tableau Server is geverifieerd, weigert de maxAuthenticationAge van Tableau de gebruikersverificatie. In dergelijke gevallen kunt u een of beide van de volgende handelingen uitvoeren:

Schakel de optie wgserver.saml.forceauthn in om te vereisen dat de IdP de gebruiker opnieuw verifieert telkens wanneer Tableau het verificatieverzoek omleidt. Zie wgserver.saml.forceauthn voor meer informatie.
De Tableau Server-instelling maxAuthenticationAge verhogen. Zie ’a, --max-auth-age <max-auth-age>’ in het onderwerp tsm authentication voor meer informatie.

AppID komt niet overeen

Wanneer u het bestand vizportal.log bekijkt, ziet u mogelijk de fout ‘De beoogde doelgroep komt niet overeen met de ontvanger’.

U kunt dit probleem oplossen door te zorgen dat de appID overeenkomt met wat wordt verzonden. Azure voegt 'SPN' automatisch toe aan de appID wanneer u de toepassings-ID gebruikt met de app die wordt gebruikt. U kunt de waarde in de SAML-instellingen van Tableau wijzigen door het voorvoegsel 'SPN:' toe te voegen aan de toepassings-ID.

Bijvoorbeeld: SPN:myazureappid1234

Terug naar boven

Help voor Tableau Server op Windows