Sitespecifieke SAML configureren

Gebruik sitespecifieke SAML in een omgeving met meerdere sites wanneer u eenmalige aanmelding wilt inschakelen en u ook meerdere SAML-identiteitsproviders (IdP's) of IdP-toepassingen gebruikt. Wanneer u site-SAML inschakelt, kunt u voor elke site de IdP of IdP-toepassing opgeven, of sommige sites configureren om SAML te gebruiken en andere om de standaard verificatiemethode op de hele server te gebruiken.

Als u wilt dat alle servergebruikers SAML gebruiken en zich aanmelden via dezelfde IdP-toepassing, raadpleegt u SAML voor de hele server configureren.

Vereisten voor het inschakelen van sitespecifieke SAML

Voordat u SAML met eenmalige aanmelding op siteniveau kunt inschakelen, moet aan de volgende vereisten zijn voldoen:

  • Het Tableau Server-identiteitenarchief moet zijn geconfigureerd voor het lokale identiteitenarchief.

     U kunt geen sitespecifieke SAML configureren als Tableau Server is geconfigureerd met een extern identiteitenarchief zoals Active Directory of OpenLDAP.

  • Zorg ervoor dat uw omgeving en uw IdP voldoen aan de algemene SAML-vereisten.

    Sommige functies worden alleen ondersteund in serverbrede SAML-implementaties, waaronder maar niet beperkt tot:

    • Met een wachtwoord beveiligde sleutelbestanden worden niet ondersteund in sitespecifieke SAML-implementaties.
  • U moet SAML voor de hele server configureren voordat u sitespecifieke SAML configureert. U hoeft SAML voor de hele server niet in te schakelen, maar sitespecifieke SAML vereist wel de serverbrede configuratie. SAML voor de hele server configureren.

  • Let op de locatie van de SAML-certificaatbestanden. U geeft deze op wanneer u De server configureren voor ondersteuning van sitespecifieke SAML.

    Zie Metadata- en certificaatbestanden op de juiste locatie zetten in het onderwerp over het configureren van SAML voor de hele server voor meer informatie.

  • Voeg Tableau Server toe als serviceprovider voor uw IdP. Deze informatie vindt u in de documentatie die de IdP verstrekt.

  • Controleer of de systeemklokken van de computer die de site-SAML IdP host en de computer die Tableau Server host, max. 59 seconden van elkaar verschillen. Tableau Server heeft geen configuratieoptie om de responsafwijking (tijdsverschil) tussen de Tableau Server-computer en de IdP aan te passen.

Serverbrede instellingen met betrekking tot sitespecifieke SAML

Retour-URL en entiteits-ID: In de instellingen voor het configureren van sitespecifieke SAML biedt Tableau een sitespecifieke retour-URL en entiteits-ID op basis van deze instellingen. De sitespecifieke retour-URL en entiteits-ID kunnen niet worden gewijzigd. Deze configuraties worden door TSM ingesteld zoals beschreven in SAML voor de hele server configureren.

Verificatieleeftijd en responsafwijking: Serverbrede instellingen, verificatieleeftijd en responsafwijking zijn niet van toepassing op sitespecifieke SAML. Deze configuraties zijn in code vastgelegd:

  • De maximale verificatieleeftijd verwijst naar hoe lang een verificatietoken van de IdP geldig is nadat het is uitgegeven. De in code vastgelegde maximale verificatieleeftijd voor sitespecifieke SAML is 24 dagen.
  • De responsscheefheid is het maximale aantal seconden verschil tussen de tijd van Tableau Server en het tijdstip van het maken van de assertie (op basis van de tijd van de IdP-server) waarbij het bericht nog kan worden verwerkt. De in code opgenomen, sitespecifieke waarde hiervoor is 59 seconden.

Gebruikersnaam: Vereist. Naast het serverbrede SAML-configuratiekenmerk moet het sitespecifieke SAML-configuratiekenmerk worden ingesteld op 'username'.

Opmerking: Om sitespecifieke SAML succesvol te laten werken met een serverbrede SAML-standaard, moet het gebruikersnaamkenmerk dat is geconfigureerd voor serverbrede SAML met de configuratiesleutel wgserver.saml.idpattribute.username, 'username' zijn. De IdP die voor serverbrede SAML wordt gebruikt, moet de gebruikersnaam leveren in een kenmerk met de naam 'username'.

HTTP POST en HTTP REDIRECT: Voor sitespecifieke SAML ondersteunt Tableau Server HTTP-POST, HTTP-REDIRECT en HTTP-POST-SimpleSign.

De server configureren voor ondersteuning van sitespecifieke SAML

Wanneer aan alle hierboven genoemde vereisten is voldaan, kunt u de volgende opdrachten uitvoeren om de server te configureren voor ondersteuning van sitespecifieke SAML.

  1. SAML voor de hele server configureren. U moet minimaal de volgende TSM-opdracht uitvoeren (als u al SAML voor de hele server hebt geconfigureerd, gaat u naar stap 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Activeer de site-SAML. Voer de volgende opdrachten uit:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Over de opdrachten

Met de opdracht sitesaml enable wordt het tabblad Verificatie op de pagina Instellingen van elke site in de webinterface Tableau Server weergegeven. Nadat u de server hebt geconfigureerd om site-SAML te ondersteunen, kunt u doorgaan met de stap SAML configureren voor een site om de instellingen op het tabblad Verificatie te configureren.

Als voor de in behandeling zijnde wijzigingen de Server opnieuw moet worden opgestart, geeft de opdracht pending-changes apply een prompt weer om u te laten weten dat de server opnieuw wordt gestart. Deze prompt verschijnt ook als de server is gestopt, maar in dat geval vindt er geen herstart plaats. U kunt de prompt onderdrukken met de optie --ignore-prompt, maar dit verandert niets aan het herstartgedrag. Als opnieuw opstarten niet nodig is voor de wijzigingen, worden de wijzigingen zonder waarschuwing van een prompt toegepast. Zie tsm pending-changes apply voor meer informatie.

Als u de opdrachten en instellingen wilt bekijken die worden uitgevoerd wanneer u pending-changes apply uitvoert, kunt u eerst de volgende opdracht uitvoeren:

tsm pending-changes list --config-only

SAML configureren voor een site

In dit gedeelte worden de configuratiestappen beschreven die worden weergegeven op het tabblad Verificatie op de Tableau Server pagina Instellingen. In een zelfgehoste Tableau Server-installatie wordt deze pagina alleen weergegeven als ondersteuning voor sitespecifieke SAML op serverniveau is ingeschakeld.

Opmerking: om dit proces te voltooien, hebt u ook de documentatie nodig die uw IdP u verstrekt. Zoek naar onderwerpen die betrekking hebben op het configureren of definiëren van een serviceprovider voor een SAML-verbinding of het toevoegen van een toepassing.

Stap 1: metadata exporteren vanuit Tableau
Stap 2 en stap 3: externe stappen
Stap 4: IdP-metadata importeren naar de Tableau-site
Stap 5: zorg dat de beweringen overeenkomen
Stap 6: gebruikers beheren
Stap 7: problemen oplossen