Problemen met SAML oplossen
In dit onderwerp vindt u informatie over het oplossen van problemen die kunnen optreden bij het configureren van SAML-verificatie.
SAML en Automatisch inloggen inschakelen
Als u SAML gebruikt en Tableau Server ook is geconfigureerd om Active Directory te gebruiken, selecteert u Automatisch inloggen inschakelen niet. Automatisch inloggen inschakelen en SAML kunnen niet beide op dezelfde serverinstallatie worden gebruikt.
HTTP-statusfout 500 bij het configureren van SAML
Onder bepaalde omstandigheden kunt u een HTTP-statusfout 500 krijgen en de volgende foutmelding zien nadat u SAML hebt ingeschakeld en naar de Tableau Server-URL in een browser bent gegaan:
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
Controleer het volgende om deze fout op te lossen:
De IdP-URL voor het SSO-profiel dat is opgegeven op het tabblad SAML is correct.
De IdP-URL voor het SSO-profiel dat is opgegeven bij het instellen van de serviceprovider in de IdP, is correct.
De IdP is geconfigureerd om
HTTP-POST
-verzoeken te gebruiken. (Omleiden en SOAP worden niet ondersteund.)
Als een van deze instellingen niet correct is, voert u de gewenste wijzigingen door en voert u de SAML-configuratiestappen opnieuw uit. Begin met het genereren en exporteren van het XML-metadatadocument vanuit Tableau Server.
Als deze instellingen correct zijn, maar de fout nog steeds wordt weergegeven, controleer dan de metadata-XML die door Tableau Server en door de IdP wordt geproduceerd, zoals beschreven in SAML-vereisten.
Aanmelden vanaf de opdrachtregel
SAML wordt niet gebruikt voor verificatie wanneer u zich aanmeldt bij Tableau Server met tabcmd of het Tableau Data Extract-opdrachtregelhulpprogramma(Link wordt in een nieuw venster geopend) (meegeleverd met Tableau Desktop), zelfs als Tableau Server is geconfigureerd voor gebruik van SAML. Voor deze tools is de verificatie vereist die is geconfigureerd toen Tableau Server oorspronkelijk werd geïnstalleerd (lokale verificatie of AD).
Inloggen mislukt: Gebruiker niet gevonden
Inloggen mislukt met de volgende melding:
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
Deze fout betekent meestal dat de gebruikersnamen die zijn opgeslagen in Tableau Server niet overeenkomen met de gebruikersnamen die door de IdP zijn verstrekt. Zorg dat deze overeenkomen om dit probleem op te lossen. Als de gebruikersnaam van Jolanda Smeets bijvoorbeeld in de IdP is opgeslagen als jsmith
, moet deze in Tableau Server ook als jsmith
worden opgeslagen.
Inloggen mislukt: SSL-offloading
Inloggen mislukt met de volgende melding:
Unable to Sign In - Invalid username or password.
Bovendien bevatten de vizportal-logboeken (ingesteld op de modus debug
) het volgende bericht:
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
Opmerking: Om SAML-gerelateerde gebeurtenissen te loggen, moet vizportal.log.level
worden ingesteld op debug
. Zie Registratieniveaus wijzigen voor meer informatie.
Deze combinatie van berichten duidt op een verkeerde configuratie van een externe proxyserver die SSL offloadt voor de verbinding met Tableau Server. Om dit probleem op te lossen, raadpleegt u het KB-artikel 'Unable to Sign In' and 'Invalid username or password' Error With SAML After Upgrading(Link wordt in een nieuw venster geopend).
SAML-foutenlogboek
SAML-verificatie vindt plaats buiten Tableau Server, waardoor het lastig kan zijn om verificatieproblemen op te lossen. Inlogpogingen worden echter wel geregistreerd door Tableau Server. U kunt een momentopname van logboekbestanden maken en deze gebruiken om problemen op te lossen. Zie Momentopnamen van logboekbestanden (archieflogboeken) voor meer informatie.
Opmerking: Als u SAML-gerelateerde gebeurtenissen wilt loggen, moet vizportal.log.level
worden ingesteld op debug
. Zie Registratieniveaus wijzigen voor meer informatie.
Controleer op SAML-fouten in de volgende bestanden in de uitgepakte momentopname van het logboekbestand:
\vizportal\vizportal-<n>.log
Het toepassingsproces (vizportal.exe) verwerkt de verificatie, dus SAML-reacties worden door dat proces geregistreerd.
Afsluitende schuine streep
Bevestig op het tabblad SAML dat de retour-URL van Tableau Server niet eindigt met een afsluitende schuine streep
Juist: http://tableau_server
Onjuist: http://tableau_server/
Connectiviteit bevestigen
Controleer of de Tableau Server die u configureert, een routeerbaar IP-adres of een NAT bij de firewall heeft die tweerichtingsverkeer rechtstreeks naar de server toestaat.
U kunt uw connectiviteit testen door telnet uit te voeren op Tableau Server en te proberen verbinding te maken met de SAML IdP. Bijvoorbeeld: C:\telnet 12.360.325.10 80
De bovenstaande test zou u moeten verbinden met de HTTP-poort (80) op de IdP en u zou een HTTP-header moeten ontvangen.
Meerdere domeinen
Bevestig op het tabblad SAML dat het kenmerk Tableau Server Domein het domein in de indeling domain\username
in de SAML-assertie detecteert door het leeg te laten.
Juist: <empty>
Onjuist: yourdomain.com