Sitespecifieke SAML configureren

Gebruik sitespecifieke SAML in een omgeving met meerdere sites wanneer u eenmalige aanmelding wilt inschakelen en u ook meerdere SAML-identiteitsproviders (IdP's) of IdP-toepassingen gebruikt. Wanneer u site-SAML inschakelt, kunt u voor elke site de IdP of IdP-toepassing opgeven, of sommige sites configureren om SAML te gebruiken en andere om de standaard verificatiemethode op de hele server te gebruiken.

Als u wilt dat alle servergebruikers SAML gebruiken en zich aanmelden via dezelfde IdP-toepassing, raadpleegt u SAML voor de hele server configureren.

Vereisten voor het inschakelen van sitespecifieke SAML

Voordat u SAML met eenmalige aanmelding op siteniveau kunt inschakelen, moet aan de volgende vereisten zijn voldoen:

  • Het Tableau Server-identiteitenarchief moet zijn geconfigureerd voor het lokale identiteitenarchief.

     U kunt geen sitespecifieke SAML configureren als Tableau Server is geconfigureerd met een extern identiteitenarchief zoals Active Directory of OpenLDAP.

  • Zorg ervoor dat uw omgeving en uw IdP voldoen aan de algemene SAML-vereisten.

    Sommige functies worden alleen ondersteund in serverbrede SAML-implementaties, waaronder maar niet beperkt tot:

    • Met een wachtwoord beveiligde sleutelbestanden worden niet ondersteund in sitespecifieke SAML-implementaties.
  • U moet SAML voor de hele server configureren voordat u sitespecifieke SAML configureert. U hoeft SAML voor de hele server niet in te schakelen, maar sitespecifieke SAML vereist wel de serverbrede configuratie. SAML voor de hele server configureren.

  • Let op de locatie van de SAML-certificaatbestanden. U geeft deze op wanneer u De server configureren voor ondersteuning van sitespecifieke SAML.

    Zie Metadata- en certificaatbestanden op de juiste locatie zetten in het onderwerp over het configureren van SAML voor de hele server voor meer informatie.

  • Voeg Tableau Server toe als serviceprovider voor uw IdP. Deze informatie vindt u in de documentatie die de IdP verstrekt.

  • Controleer of de systeemklokken van de computer die de site-SAML IdP host en de computer die Tableau Server host, max. 59 seconden van elkaar verschillen. Tableau Server heeft geen configuratieoptie om de responsafwijking (tijdsverschil) tussen de Tableau Server-computer en de IdP aan te passen.

Serverbrede instellingen met betrekking tot sitespecifieke SAML

Retour-URL en entiteits-ID: In de instellingen voor het configureren van sitespecifieke SAML biedt Tableau een sitespecifieke retour-URL en entiteits-ID op basis van deze instellingen. De sitespecifieke retour-URL en entiteits-ID kunnen niet worden gewijzigd. Deze configuraties worden door TSM ingesteld zoals beschreven in SAML voor de hele server configureren.

Verificatieleeftijd en responsafwijking: Serverbrede instellingen, verificatieleeftijd en responsafwijking zijn niet van toepassing op sitespecifieke SAML. Deze configuraties zijn in code vastgelegd:

  • De maximale verificatieleeftijd verwijst naar hoe lang een verificatietoken van de IdP geldig is nadat het is uitgegeven. De in code vastgelegde maximale verificatieleeftijd voor sitespecifieke SAML is 24 dagen.
  • De responsscheefheid is het maximale aantal seconden verschil tussen de tijd van Tableau Server en het tijdstip van het maken van de assertie (op basis van de tijd van de IdP-server) waarbij het bericht nog kan worden verwerkt. De in code opgenomen, sitespecifieke waarde hiervoor is 59 seconden.

Gebruikersnaam: Vereist. Naast het serverbrede SAML-configuratiekenmerk moet het sitespecifieke SAML-configuratiekenmerk worden ingesteld op 'username'.

Opmerking: Om sitespecifieke SAML succesvol te laten werken met een serverbrede SAML-standaard, moet het gebruikersnaamkenmerk dat is geconfigureerd voor serverbrede SAML met de configuratiesleutel wgserver.saml.idpattribute.username, 'username' zijn. De IdP die voor serverbrede SAML wordt gebruikt, moet de gebruikersnaam leveren in een kenmerk met de naam 'username'.

HTTP POST en HTTP REDIRECT: Voor sitespecifieke SAML ondersteunt Tableau Server HTTP-POST, HTTP-REDIRECT en HTTP-POST-SimpleSign.

De server configureren voor ondersteuning van sitespecifieke SAML

Wanneer aan alle hierboven genoemde vereisten is voldaan, kunt u de volgende opdrachten uitvoeren om de server te configureren voor ondersteuning van sitespecifieke SAML.

  1. SAML voor de hele server configureren. U moet minimaal de volgende TSM-opdracht uitvoeren (als u al SAML voor de hele server hebt geconfigureerd, gaat u naar stap 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Activeer de site-SAML. Voer de volgende opdrachten uit:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Over de opdrachten

Met de opdracht sitesaml enable wordt het tabblad Verificatie op de pagina Instellingen van elke site in de webinterface Tableau Server weergegeven. Nadat u de server hebt geconfigureerd om site-SAML te ondersteunen, kunt u doorgaan met de stap SAML configureren voor een site om de instellingen op het tabblad Verificatie te configureren.

Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Als u de opdrachten en instellingen wilt bekijken die worden uitgevoerd wanneer u pending-changes apply uitvoert, kunt u eerst de volgende opdracht uitvoeren:

tsm pending-changes list --config-only

SAML configureren voor een site

In dit gedeelte worden de configuratiestappen beschreven die worden weergegeven op het tabblad Verificatie op de Tableau Server pagina Instellingen. In een zelfgehoste Tableau Server-installatie wordt deze pagina alleen weergegeven als ondersteuning voor sitespecifieke SAML op serverniveau is ingeschakeld.

Opmerking: om dit proces te voltooien, hebt u ook de documentatie nodig die uw IdP u verstrekt. Zoek naar onderwerpen die betrekking hebben op het configureren of definiëren van een serviceprovider voor een SAML-verbinding of het toevoegen van een toepassing.

Stap 1: metadata exporteren vanuit Tableau

Om de SAML-verbinding tussen Tableau Server en uw IdP te maken, moet u de vereiste metadata tussen de twee services uitwisselen. Om metadata te verkrijgen van Tableau Server, kiest u een van de volgende methoden. Raadpleeg de SAML-configuratiedocumentatie van de IdP om de juiste optie te bevestigen.

  • Selecteer de knop Metadata exporteren om een XML-bestand te downloaden met de Tableau Server SAML-entiteits-ID, Assertion Consumer Service (ACS)-URL en het X.509-certificaat.

    De entiteits-ID is sitespecifiek en gebaseerd op de serverbrede entiteits-ID die u hebt opgegeven toen u site-SAML op de server inschakelde. Als u bijvoorbeeld https://tableau_server hebt opgegeven, ziet u mogelijk de volgende entiteits-ID voor de site:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    U kunt de sitespecifieke entiteits-ID of ACS-URL die Tableau genereert, niet wijzigen.

  • Selecteer Certificaat downloaden als uw IdP de vereiste informatie op een andere manier verwacht. Als u bijvoorbeeld de Tableau Server entiteits-ID, ACS-URL en X.509-certificaat op afzonderlijke locaties moet invoeren.

    De volgende afbeelding is bewerkt om aan te geven dat deze instellingen in Tableau Cloud en Tableau Server hetzelfde zijn.

Stap 2 en stap 3: externe stappen

Voor stap 2 moet u zich aanmelden bij uw IdP-account om de metadata te importeren die u in stap 1 hebt geëxporteerd. Gebruik vervolgens de instructies in de documentatie van de IdP om de Tableau Server-metadata in te dienen.

Voor stap 3 zal de documentatie van de IdP u ook begeleiden bij het verstrekken van metadata aan een serviceprovider. U krijgt de opdracht een metadatabestand te downloaden, of er wordt XML-code weergegeven. Als XML-code wordt weergegeven, kopieer en plak de code dan in een nieuw tekstbestand en sla het bestand op met de extensie .xml.

Stap 4: IdP-metadata importeren naar de Tableau-site

Importeer op de pagina Verificatie in Tableau Server, het metadatabestand dat u van de IdP hebt gedownload of handmatig hebt geconfigureerd vanuit de XML die deze heeft verstrekt.

Opmerking: als u de configuratie bewerkt, moet u het metadatabestand uploaden. Zo weet Tableau dat de juiste IdP-entiteits-ID en URL voor de SSO-service moeten worden gebruikt.

Stap 5: zorg dat de beweringen overeenkomen

Kenmerken bevatten verificatie, autorisatie en andere informatie over een gebruiker. Geef in de kolom Assertienaam van identiteitsprovider (IdP) de kenmerken op met de informatie die Tableau Server vereist.

  • Gebruikersnaam of e-mail: (Verplicht) voer de naam in van het kenmerk waarin gebruikersnamen of e-mailadressen zijn opgeslagen.

  • Weergavenaam: (Optioneel) sommige IdP's gebruiken aparte kenmerken voor voor- en achternaam, terwijl andere IdP's de volledige naam in één kenmerk opslaan. Als u SAML met lokale verificatie gebruikt, wordt het kenmerk weergavenaam niet gesynchroniseerd met de SAML IdP.

    Selecteer de knop die overeenkomt met de manier waarop uw IdP de namen opslaat. Als de IdP bijvoorbeeld voor- en achternaam in één kenmerk combineert, selecteert u Weergavenaamen voert u vervolgens de kenmerknaam in.

    Schermafbeelding van stap 5 voor het configureren van site SAML voor Tableau Server -- overeenkomende kenmerken

Stap 6: gebruikers beheren

Selecteer bestaande Tableau Server-gebruikers, of voeg nieuwe gebruikers toe die u wilt goedkeuren voor eenmalige aanmelding.

Wanneer u gebruikers toevoegt of importeert, geeft u ook hun verificatietype op. Op de pagina Gebruikers kunt u het verificatietype van gebruikers op elk gewenst moment wijzigen nadat u ze hebt toegevoegd.

Zie Gebruikers aan een site toevoegen of Gebruikers importeren en Het gebruikersverificatietype instellen voor SAML voor meer informatie.

Belangrijk: gebruikers die zich verifiëren met sitespecifieke SAML, kunnen slechts tot één site behoren. Als een gebruiker toegang tot meerdere sites nodig heeft, stelt u het verificatietype in op de standaardserver. Afhankelijk van hoe de sitespecifieke SAML door de serverbeheerder is geconfigureerd, is de standaardserver lokale verificatie of serverbrede SAML.

Stap 7: problemen oplossen

Begin met de stappen voor probleemoplossing die op de pagina Verificatie worden voorgesteld. Als deze stappen het probleem niet oplossen, raadpleeg dan Problemen met SAML oplossen.

Bedankt voor uw feedback.De feedback is verzonden. Dank u wel.