SAML-vereisten
Voordat u SAML configureert in Tableau Server, moet u controleren of de omgeving voldoet aan de vereisten.
Belangrijk: SAML-configuraties, zowel met de IdP als in Tableau Server, zijn hoofdlettergevoelig. URL's die met de IdP en op Tableau Server zijn geconfigureerd, moeten bijvoorbeeld exact overeenkomen.
Vereisten voor certificaten en identiteitsproviders (IdP)
Om Tableau Server voor SAML te configureren, hebt u het volgende nodig:
Certificaatbestand. Een met PEM versleuteld x509-certificaatbestand met de extensie .crt. Dit bestand wordt gebruikt door Tableau Server, niet door de IdP. Als u een SSL-certificaat hebt, is het onder bepaalde omstandigheden mogelijk om hetzelfde certificaat met SAML te gebruiken. Zie SSL-certificaat en sleutelbestanden gebruiken voor SAML later in dit artikel voor meer informatie.
Tableau Server vereist een certificaat-sleutelpaar om het verzoek te ondertekenen die naar de IdP wordt verzonden. Hierdoor wordt de kans op een man-in-the-middle-aanval verkleind, aangezien het lastig is om een ondertekend verzoek te vervalsen. Daarnaast controleert Tableau Server de AuthNResponse die het ontvangt van de vertrouwde IdP. Tableau Server verifieert de AuthNResponse met de handtekening die door de IdP is geproduceerd. De IdP-certificaatmetadata worden aan Tableau Server verstrekt als onderdeel van het eerste SAML-configuratieproces.
Ondertekende verzoeken zijn niet altijd voor alle IdP's nodig. Tableau Server vereist standaard ondertekende verzoeken. We raden deze configuratie aan voor veiligere communicatieoverdracht met de IdP. Werk samen met uw IdP-team om te bepalen of het uitschakelen van ondertekende verzoeken noodzakelijk is. Zie samlSettings-entiteit om ondertekende verzoeken uit te schakelen.
Ondertekeningsalgoritme. Het certificaat moet een veilig ondertekeningsalgoritme. gebruiken, bijvoorbeeld SHA-256. Als u Tableau Server probeert te configureren voor SAML met een certificaat dat de SHA-1-hash voor ondertekening gebruikt, wordt het certificaat door Tableau Server afgewezen. U kunt Tableau Server configureren om de minder veilige SHA-1-hash te accepteren door de tsm-configuratiesleutel wgserver.saml.blocklisted_digest_algorithms in te stellen.
RSA-sleutel- en ECDSA-curvegroottes. Het Tableau Server-certificaat moet een RSA-sleutelsterkte van 2048 hebben en het IdP-certificaat moet een RSA-sleutelsterkte van 2048 of een ECDSA-curvegrootte van 256 hebben.
U kunt Tableau Server configureren om de minder veilige indelingen te accepteren door de betreffende configuratiesleutels wgserver.saml.min_allowed.rsa_key_size En wgserver.saml.min_allowed.elliptic_curve_size in te stellen.
Certificaat-sleutelbestand. Een RSA- of DSA-privésleutelbestand met de extensie .key. RSA-sleutels moeten de indeling PKCS#1 of PKCS#8 hebben.
De vereisten voor wachtwoordbeveiliging zijn als volgt:
- Het PKCS#1 RSA-sleutelbestand kan niet met een wachtwoord worden beveiligd.
Om een met een wachtwoord beveiligd sleutelbestand te gebruiken, moet u SAML configureren met een RSA PKCS#8-bestand. Opmerking: een PKCS#8-bestand met een leeg wachtwoord wordt niet ondersteund.
Met wachtwoorden beveiligde sleutelbestanden worden niet ondersteund in sitespecifieke SAML-implementaties.
Samenvatting van ondersteuning
Indeling van sleutelbestand Serverbrede SAML-ondersteuning SAML-ondersteuning op siteniveau PKCS#8 RSA Ja Nee PKCS#8 (geen/nietig wachtwoord) Nee Nee PKCS#1 RSA Ja Ja PKCS#1 RSA (wachtwoord) Nee Nee PKCS#1 DSA (wachtwoord) Nee Nee De IdP moet SAML-asserties ondertekenen met een veilig ondertekeningsalgoritme. Standaard wijst Tableau Server SAML-asserties af die zijn ondertekend met het SHA-1-algoritme. U kunt Tableau Server configureren om asserties te accepteren die zijn ondertekend met de minder veilige SHA-1-hash door de tsm-configuratiesleutel wgserver.saml.blocklisted_digest_algorithms in te stellen.
IdP-account dat SAML 2.0 of hoger ondersteunt. U hebt een account nodig bij een externe identiteitsprovider. Enkele voorbeelden zijn PingFederate, SiteMinder en Open AM.
IdP-provider die het importeren en exporteren van XML-metadata ondersteunt. Hoewel een handmatig gemaakt metadatabestand wellicht werkt, kan de technische ondersteuning van Tableau u niet helpen bij het genereren van het bestand of bij het oplossen van problemen.
Gebruikersnaam: vereist. De IdP-configuratie moet het kenmerk of de claim 'gebruikersnaam' bevatten en het bijbehorende SAML-configuratiekenmerk op Tableau Server moet ook op 'gebruikersnaam' worden ingesteld.
Offloading van SSL
Als uw organisatie SSL-verbindingen van de IdP bij een proxyserver beëindigt voordat het verificatieverzoek naar Tableau Server wordt verzonden, moet u mogelijk een proxyconfiguratie maken. In dit scenario wordt SSL 'off-loaded' bij de proxyserver. Dit betekent dat het https-verzoek wordt beëindigd bij de proxyserver en vervolgens via http naar Tableau Server wordt doorgestuurd.
Tableau Server valideert het SAML-reactiebericht dat door de IdP wordt geretourneerd. Omdat SSL wordt uitbesteed bij de proxy, valideert Tableau Server met het protocol dat het ontvangt (http). Maar de IdP-reactie is ingedeeld met https, dus de validatie mislukt tenzij uw proxyserver de headerset X-Forwarded-Proto bevat voor https. Zie Tableau Server configureren voor gebruik met een reverse-proxyserver en/of loadbalancer.
SSL-certificaat en sleutelbestanden gebruiken voor SAML
Als u een met PEM versleuteld x509-certificaatbestand voor SSL gebruikt, kunt u hetzelfde bestand voor SAML gebruiken. Bij SSL wordt het certificaatbestand gebruikt om het verkeer te versleutelen. Bij SAML wordt het certificaat gebruikt voor verificatie.
Naast de vereisten in Vereisten voor certificaten en identiteitsproviders (IdP) om hetzelfde certificaat voor SSL en SAML te kunnen gebruiken, moet het certificaat ook aan de volgende voorwaarde voldoen om voor SAML te werken:
Controleer of het certificaat alleen het certificaat bevat dat van toepassing is op Tableau Server en geen andere certificaten of sleutels.
U kunt dit doen door een reservekopie van het certificaatbestand te maken en deze vervolgens in een teksteditor te openen om de inhoud te bekijken.
Vereisten voor gebruikersbeheer
Wanneer u SAML inschakelt, wordt gebruikersverificatie buiten Tableau uitgevoerd door de IdP. Gebruikersbeheer wordt echter uitgevoerd via een identiteitsopslag: een externe identiteitsopslag (Active Directory of LDAP) of door Tableau Server in een lokale identiteitsopslag. Zie Identiteitenarchief voor meer informatie over het plannen van gebruikersbeheer met Tableau Server.
Wanneer u het identiteitenarchief tijdens de installatie configureert, moet u de optie selecteren die overeenkomt met de manier waarop u SAML wilt gebruiken. Als u sitespecifieke SAML wilt gebruiken, moet u serverbrede SAML configureren voordat u afzonderlijke sites configureert.
Voor sitespecifieke SAML: als u meerdere sites op Tableau Server hebt en elke site wilt instellen voor een specifieke IdP of IdP-toepassing (of als u enkele sites wilt configureren om SAML niet te gebruiken), configureert u Tableau Server om gebruikers te beheren met een lokaal identiteitenarchief. Voor sitespecifieke SAML vertrouwt Tableau Server op de IdP voor verificatie en worden er geen wachtwoorden gebruikt.
Voor serverbrede SAML: als u serverbrede SAML configureert met één IdP, kunt u Tableau Server configureren om het lokale identiteitenarchief of een externe identiteitenarchief te gebruiken.
Serverbrede SAML-verificatie en sitespecifieke SAML-verificatie:
Bij gebruik van een lokale identiteitenarchief is het belangrijk dat u een gebruikersnaam gebruikt die de opmaak van een e-mailadres heeft. Door een volledig e-mailadres te gebruiken, kunt u garanderen dat de gebruikersnaam in Tableau Server uniek is. Zelfs wanneer twee gebruikers hetzelfde e-mailadres maar verschillende e-maildomeinen hebben. Om te garanderen dat identiteiten uniek zijn, kunt u de volledige opmaak van e-mailadressen in beide systemen gebruiken of Tableau Server upgraden naar versie 2022.1.x of later en de achtergrondopdracht identiteitsmigratie uitvoeren.
In een omgeving met meerdere sites verifiëren alle gebruikers zich via een SAML IdP die op siteniveau is geconfigureerd. In dit scenario geeft u een serverbrede standaard SAML IdP op voor gebruikers die tot meerdere sites behoren. Om dit scenario te configureren, moet Tableau Server worden geconfigureerd met een lokaal identiteitenarchief.
Domein negeren bij het afstemmen van het kenmerk SAML-gebruikersnaam. Vanaf Tableau Server-versies 2021.4.21, 2022.1.17, 2022.3.9 en 2023.1.5 kunt u Tableau Server configureren om het domeingedeelte van het kenmerk gebruikersnaam te negeren bij het afstemmen van de gebruikersnaam van de identiteitsprovider (IdP) met een gebruikersaccount in Tableau Server. Het kenmerk gebruikersnaam in de IdP kan bijvoorbeeld
alice@example.comzijn om een gebruiker met de naamaliceaf te stemmen in Tableau Server. Het domeingedeelte van het kenmerk gebruikersnaam negeren kan nuttig zijn als u al gebruikers hebt gedefinieerd in Tableau Server die overeenkomen met het voorvoegsel van een kenmerk voor gebruikersnaam, maar niet met het domeingedeelte van het kenmerk gebruikersnaam.Belangrijk: we raden af om de domeinnaam te negeren zonder voorzorgsmaatregelen te nemen. Controleer met name of gebruikersnamen uniek zijn voor de geconfigureerde domeinen die u in uw IdP heeft gemaakt. Als u Tableau Server configureert om de domeinnaam te negeren, kan dit leiden tot onbedoelde gebruikersaanmeldingen. Denk aan een geval waarin uw IdP is geconfigureerd voor meerdere domeinen (bijv.
example.comentableau.com). Als twee gebruikers dezelfde voornaam hebben, maar verschillende gebruikersaccounts (bijv.alice@tableau.comenalice@example.com) in uw organisatie voorkomen, is er mogelijk sprake van een mislukte toewijzing.Om Tableau Server te configureren zodat domeinnamen in het kenmerk gebruikersnaam van de IdP worden genegeerd, stelt u
wgserver.ignore_domain_in_username_for_matchingin optrue. Zie wgserver.ignore_domain_in_username_for_matching voor meer informatie.Opmerkingen:
- Deze opdracht werkt alleen in Tableau Server-implementaties in
legacy-identity-modeof implementaties die niet zijn bijgewerkt via de identiteitsmigratie(Link wordt in een nieuw venster geopend) om de service voor Identiteit te gebruiken. - Wanneer u de tsm-opdracht wijzigt om de domeinnaam in het kenmerk gebruikersnaam te negeren, moeten alle gebruikersnamen in Tableau Server een domeinnaam hebben.
- Deze opdracht werkt alleen in Tableau Server-implementaties in
Opmerking: de REST API en tabcmd bieden geen ondersteuning voor eenmalige aanmelding (SSO) via SAML. Om u aan te melden, moet u de naam en het wachtwoord opgeven van een gebruiker die op de server is aangemaakt. De gebruiker kan worden beheerd via het lokale identiteitenarchief of een extern identiteitenarchief, afhankelijk van hoe u Tableau Server hebt geconfigureerd. REST API- of tabcmd-aanroepen beschikken over de machtigingen van de gebruiker waarmee u zich aanmeldt.
Opmerkingen en vereisten over SAML-compatibiliteit
Gebruikersnamen afstemmen: de gebruikersnaam die is opgeslagen in Tableau Server moet overeenkomen met het geconfigureerde kenmerk voor gebruikersnaam dat door de IdP in de SAML-assertie is verzonden. Tableau Server verwacht standaard dat de binnenkomende bewering een kenmerk met de naam 'gebruikersnaam' bevat met de data van die gebruiker. Als de gebruikersnaam voor Jane Smith bijvoorbeeld in PingFederate is opgeslagen als jsmith, moet deze gebruikersnaam ook in Tableau Server zijn opgeslagen als jsmith.
Bij het configureren van SAML tijdens verificatie
Als u SAML configureert als onderdeel van de eerste Tableau Server-installatie, controleer dan of het account dat u wilt gebruiken, bestaat in uw IdP voordat u de installatie uitvoert. Tijdens de installatie van Tableau Server maakt u het account van de serverbeheerder aan.
Als u een extern Active Directory- of LDAP-identiteitenarchief gebruikt en u in meerdere domeinen werkt (dat wil zeggen: gebruikers behoren tot meerdere domeinen of uw Tableau Server-installatie omvat meerdere domeinen), moet de IdP de kenmerken gebruikersnaam en domein als het LDAP-identiteitenarchief verzenden voor een gebruiker in de SAML-assertie. De kenmerken gebruikersnaam en domein moeten exact overeenkomen met de gebruikersnaam die en het domein dat zijn opgeslagen in Tableau Server. Voer een van de volgende handelingen uit:
- Stel
domain\usernamein het veld Gebruikersnaam in - Stel het domein in het veld Domein in en stel de gebruikersnaam in het veld Gebruikersnaam in
Bij het instellen van het kenmerk domein kunt u de volledig gekwalificeerde domeinnaam (FQDN) of de korte naam gebruiken.
Als het domein niet wordt opgegeven, wordt dit beschouwd als het standaarddomein.
Zie Ondersteuning voor meerdere domeinen en de sectie ‘Asserties afstemmen’ in het tabblad TSM CLI gebruiken van SAML voor de hele server configureren voor meer informatie.
- Stel
Ondertekeningsalgoritme: Tableau Server gebruikt het SHA256-ondertekeningsalgoritme.
Eenmalig afmelden (SLO): Tableau Server ondersteunt door de serviceprovider (SP) en door de identiteitsprovider (IdP) geïnitieerde SLO voor serverbrede SAML en sitespecifieke SAML.
Externe verificatietypen: Tableau Server ondersteunt het gebruik van één extern verificatietype tegelijk.
Wederzijdse SSL: Tableau Server ondersteunt wederzijdse SSL (SSL in twee richtingen) en SAML niet samen. Als u wederzijdse SSL wilt gebruiken, kunt u dit configureren in de IdP.
Codering van asserties: asserties moeten met UTF-8 versleuteld zijn.
Versleuteling en SAML-asserties:
Serverbrede SAML: wanneer Tableau Server is geconfigureerd voor serverbrede SAML, ondersteunt Tableau Server versleutelde asserties van de IdP. Bevestigingen van versleuteling worden ingeschakeld door het certificaat dat u uploadt als onderdeel van de initiële configuratie voor serverbrede SAML. SAML-verzoeken en -reacties kunnen via HTTP of HTTPS worden verzonden.
Site-specifieke SAML: wanneer Tableau Server is geconfigureerd voor sitespecifieke SAML, ondersteunt Tableau Server geen versleutelde asserties van de IdP. Alle SAML-verzoeken en -reacties worden echter via HTTPS verzonden om de communicatie met de IdP te beveiligen. HTTP-verzoeken en -reacties worden niet ondersteund.
Gebruikersidentiteit in Tableau Server voor tabcmd-gebruikers: zoals beschreven in het deel Vereisten voor gebruikersbeheer hierboven, moet u zich aanmelden als een gebruiker die op de server is gedefinieerd om tabcmd te kunnen gebruiken. U kunt geen SAML-accounts gebruiken met tabcmd.
SAML SSO gebruiken met Tableau Desktop: Tableau Desktop staat standaard door de SP geïnitieerde SAML-verificatie toe.
Als uw IdP deze functionaliteit niet ondersteunt, kunt u SAML-aanmelding voor Tableau Desktop uitschakelen met de volgende opdracht:
tsm authentication saml configure --desktop-access disableZie tsm authentication saml <commands> voor meer informatie.
Gedistribueerde installaties: TSM-versies van Tableau Server (2018.2 en nieuwer) gebruiken de Client File Service om bestanden te delen in een cluster met meerdere knooppunten. Nadat u SAML op het eerste knooppunt in uw cluster hebt geconfigureerd, distribueert de Client File Service certificaat- en sleutelbestanden naar de andere knooppunten.
URL voor aanmelding: om te zorgen dat gebruikers zich kunnen aanmelden, moet uw IdP zijn geconfigureerd met een SAML-eindpunt voor aanmelden dat een POST-verzoek naar de volgende URL verzendt:
https://<tableauserver>/wg/saml/SSO/index.html.URL voor afmelden: om gebruikers in staat te stellen zich af te melden nadat ze zich hebben aangemeld met SAML (eenmalige afmelding of SLO), moet uw IdP worden geconfigureerd met een eindpunt voor SAML-afmelding dat een POST-verzoek naar de volgende URL verzendt:
https://<tableauserver>/wg/saml/SingleLogout/index.html.Opmerking: Tableau Server ondersteunt door de serviceprovider (SP) en door de identiteitsprovider (IdP) geïnitieerde SLO voor serverbrede SAML en sitespecifieke SAML.
URL voor omleiding na afmelden: standaard, wanneer een gebruiker zich afmeldt bij Tableau Server, wordt de aanmeldpagina weergegeven.
Om na het afmelden een andere pagina weer te geven, gebruikt u de opdracht
tsm authentication saml configuremet de optie-suof--signout-url.Om een absolute URL op te geven, gebruikt u een volledig gekwalificeerde URL die begint met
http://ofhttps://, zoals in dit voorbeeld:tsm authentication saml configure -su https://example.comOm een URL op te geven die relatief is voor de Tableau Server host, gebruikt u een pagina die begint met een / (slash):
tsm authentication saml configure -su /ourlogoutpage.html
Active Directory Federation Service (AD FS): u moet AD FS configureren om extra kenmerken te retourneren voor Tableau-verificatie met SAML. De kenmerken Name ID en gebruikersnaam kunnen worden toegewezen aan hetzelfde AD-kenmerk: SAM-Account-Name.
Zie SAML configureren met AD FS op Tableau Server voor meer informatie.
AuthNContextClassRef : AuthNContextClassRef is een optioneel SAML-kenmerk en dwingt de validatie af van bepaalde 'contexten' voor verificatie in door de IdP geïnitieerde flows. U kunt voor dit kenmerk komma-gescheiden waarden instellen met TSM. Wanneer dit kenmerk is ingesteld, valideert Tableau Server of de SAML-respons ten minste één van de vermelde waarden bevat. Als de SAML-respons niet een van de geconfigureerde waarden bevat, wordt de verificatie afgewezen, zelfs als de gebruiker zich succesvol heeft geverifieerd bij de IdP.
Als u dit optionele kenmerk leeg laat, wordt het standaardgedrag toegepast: elk succesvol geverifieerde SAML-reactie resulteert erin dat een gebruiker een sessie binnen Tableau Server wordt verleend.
Deze waarde wordt allen gecontroleerd voor serverbrede SAML. Als SAML voor een site is geconfigureerd, wordt het kenmerk
AuthNContextClassRefgenegeerd.Zie SAML voor de hele server configureren om deze waarde in te stellen met de TSM-webinterface.
Om deze waarde in te stellen met tsm configuration set, gebruikt u de sleutel,
wgserver.saml.authcontextsom een door komma's gescheiden lijst met waarden in te stellen.Zie samlSettings-entiteit om deze waarde in te stellen met een JSON-configuratiebestand.
SAML SSO gebruiken met Tableau-clienttoepassingen
Tableau Server-gebruikers met SAML-referenties kunnen zich bij de server aanmelden via Tableau Desktop of de Tableau Mobile-app. Voor volledige compatibiliteit raden we aan dat de versie van de Tableau-clienttoepassing overeenkomt met die van de server. Om verbinding te maken met sitespecifieke SAML, moeten gebruikers versie 10.0 of hoger van de Tableau-clienttoepassing gebruiken.
Om verbinding te maken met Tableau Server vanuit Tableau Desktop of Tableau Mobile wordt een door de serviceprovider (SP) geïnitieerde verbinding gebruikt.
Geverifieerde gebruikers terugsturen naar Tableau-clients
Wanneer een gebruiker zich aanmeldt bij Tableau Server, verzendt Tableau Server een SAML-verzoek (AuthnRequest) naar de IdP, die de waarde RelayState van de Tableau-toepassing omvat. Als de gebruiker is aangemeld bij Tableau Server vanuit een Tableau-client zoals Tableau Desktop of Tableau Mobile, is het belangrijk dat de waarde RelayState wordt geretourneerd in de SAML-reactie pons van de IdP naar Tableau.
Wanneer de waarde RelayState in dit scenario niet correct wordt geretourneerd, wordt de gebruiker naar diens Tableau Server-startpagina in de webbrowser geleid, in plaats van dat ze worden teruggeleid naar de toepassing waarmee ze zich hebben aangemeld.
Werk samen met uw identiteitsprovider en interne IT-team om te bevestigen dat deze waarde wordt opgenomen als onderdeel van de SAML-reactie van de IdP
XML-datavereisten
Als onderdeel van de SAML-configuratie wisselt u XML-metadata uit tussen Tableau Server en de IdP. Deze XML-metadata worden gebruikt om de verificatie-informatie van een gebruiker te verifiëren wanneer de gebruiker het aanmeldingsproces bij Tableau Server start.
Tableau Server en de IdP genereren elk hun eigen metadata. Elke set metadata moet de informatie bevatten die in de volgende lijst wordt beschreven. Als er informatie ontbreekt in een van beide sets, kunnen er fouten optreden wanneer u SAML configureert of wanneer gebruikers zich proberen aan te melden.
HTTP POST en HTTP REDIRECT: Tableau Server ondersteunt HTTP POST- en HTTP REDIRECT-verzoeken voor SAML-communicatie. In het XML-document met SAML-metadata dat door de IdP wordt geëxporteerd, kan het kenmerk
Bindingworden ingesteld op HTTP-POST of HTTP-REDIRECT.Wanneer het kenmerk
Bindingis ingesteld opHTTP-POST, moeten de SAML-metadata die Tableau Server en de IdP elke keer exporteren, de volgende elementen bevatten.Het element dat de URL opgeeft waarnaar de IdP doorverwijst na succesvolle verificatie. Dit is vereist in de metadata van de serviceprovider, maar niet in de metadata van de identiteitsprovider.
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://<tableau-server>/wg/saml/SSO/index.html index="0" isDefault="true"/>Voor Site SAML is het eindpunt
Location/samlservice/public/sp/metadata?alias=<site alias>.Het element 'logout endpoint' (eindpunt voor afmelden) wordt weergegeven in de Tableau Server-metadata. Dit geeft de URL aan die de IdP zal gebruiken voor het 'logout endpoint' van Tableau Server. Als de IdP-metadata dit element niet bevat, kan Tableau Server geen eindpunt voor afmelden onderhandelen met de IdP en is de SAML-afmeldfunctie niet beschikbaar in Tableau Server:
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/slo"Opmerking: door SP geïnitieerde SLO wordt ondersteund voor serverbrede en sitespecifieke SAML. Door IdP geïnitieerde SLO wordt echter niet ondersteund.
Verifieer of het XML-metadatabestand van de IdP een element SingleSignOnService bevat, waarin de binding is ingesteld op
HTTP-POST, zoals in het volgende voorbeeld:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>Dit element moet zijn opgenomen in de IdP-metadata en geeft de URL aan die Tableau Server gebruikt voor het eindpunt voor afmelden van de IdP.
<md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/slo"/>
Kenmerk met naam gebruikersnaam: u moet de IdP configureren om een assertie te retourneren die de volgende informatie bevat: kenmerk
usernamein het elementsaml:AttributeStatement. Het kenmerktype van de assertie moet zijn:xs:string(het mag niet gespeld worden alsxs:any).Het volgende voorbeeld laat zien hoe dit eruit zou kunnen zien.
<saml:Assertion assertion-element-attributes> <saml:Issuer>issuer-information</saml:Issuer> <Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> ... </Signature> <saml:Subject> ... </saml:Subject> <saml:Conditions condition-attributes > ... </saml:Conditions> <saml:AuthnStatement authn-statement-attributes > ... </saml:AuthnStatement> <saml:AttributeStatement> <saml:Attribute Name="username" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:basic"> <saml:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string"> user-name </saml:AttributeValue> </saml:Attribute> </saml:AttributeStatement> </saml:Assertion>Standaard leest Tableau Server het kenmerk
usernamein de AuthNResponse die wordt geretourneerd door de IdP. Sommige IdP's retourneren echter een ander kenmerk dat bedoeld is om de gebruiker te identificeren.Om het SAML-kenmerk te wijzigen dat de waarde
usernamedoorgeeft, voert u de volgende TSM-opdracht uit:tsm authentication saml map-assertions --user-name <USER-NAME>.Zie tsm authentication.
Lidmaatschap van dynamische groep met SAML-asserties:
Vanaf
Indien hiervoor geconfigureerd, verzendt de IdP tijdens gebruikersauthenticatie de SAML-bevestiging die twee aangepaste claims voor groepslidmaatschap bevat: voor de groep (
https://tableau.com/groups) en voor groepsnamen (bijvoorbeeld 'Groep1' en 'Groep2') waarin de gebruiker zich moet bevinden. Tableau valideert de bewering en maakt vervolgens toegang mogelijk tot de groepen en de inhoud waarvan de machtigingen afhankelijk zijn van die groepen.Voorbeeld van een SAML-XML-reactie
<saml2p:Response xmlns:saml2p="urn:oasis:names:tc:SAML:2.0:protocol" ..... ..... <saml2:Assertion ..... ..... xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion" <saml2:AttributeStatement xmlns:saml2="urn:oasis:names:tc:SAML:2.0:assertion"> <saml2:Attribute Name="https://tableau.com/groups" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified"> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group1 </saml2:AttributeValue> <saml2:AttributeValue xmlns:xs="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="xs:string">Group2 </saml2:AttributeValue> <saml2:Attribute> </saml2:AttributeStatement> </saml2:Assertion> </saml2p:Response>