Configurar SAML em todo o servidor
Configure o SAML em todo o servidor, quando desejar que todos os usuários de logon único (SSO) no Tableau Server sejam autenticados por meio de um único provedor de identidade (IdP) do SAML ou como a primeira etapa para configurar um SAML específico do site em um ambiente de vários sites.
Se você configurou o SAML em todo o servidor e está pronto para configurar um site, consulte Configurar SAML para um site específico.
As etapas de configuração do SAML que fornecemos pressupõem que:
Você está familiarizado com as opções de configuração da autenticação SAML no Tableau Server, como descrito no tópico SAML.
Você certificou-se de que seu ambiente atende os Requisitos do SAML e obteve os arquivos de certificado do SAML descritos nos requisitos.
Antes de começar
Como parte do seu plano de recuperação de desastres, recomendamos manter um backup de arquivos de certificado e IdP em um local seguro fora do Tableau Server. Os arquivos de ativos SAML que você carrega no Tableau Server serão armazenados e distribuídos a outros nós pelo Serviço de arquivos do cliente. No entanto, esses arquivos não são armazenados em um formato recuperável. Consulte Serviço de arquivo do cliente do Tableau Server.
Observação: se você usa os mesmos arquivos de certificado para o SSL, é possível usar, alternativamente, a localização do certificado existente para configurar o SAML e adicionar o arquivo de metadados do IdP àquele diretório ao baixá-lo mais tarde neste procedimento. Para obter mais informações, consulte Uso do certificado SSL e arquivos-chave para SAML nos requisitos do SAML.
Se você estiver executando o Tableau Server em um cluster, os certificados SAML, as chaves e o arquivo de metadados serão automaticamente distribuídos nos nós quando você habilitar o SAML.
Este procedimento exige que você carregue os certificados SAML para o TSM, de forma que eles sejam armazenados e distribuídos corretamente na configuração do servidor. Os arquivos SAML devem estar disponíveis no navegador do computador local onde você executa a interface na Web do TSM neste procedimento.
Se você tiver coletado e salvado os arquivos SAML no Tableau Server conforme recomendado na seção anterior, execute a interface na Web do TSM no computador do Tableau Server onde você copiou os arquivos.
Se estiver executando a interface na Web do TSM a partir de um computador diferente, será necessário copiar todos os arquivos SAML localmente antes de continuar. Ao seguir o procedimento abaixo, navegue até os arquivos no computador local para carregá-los para o TSM.
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Na guia Configuração, selecione Identidade e acesso do usuário e, em seguida, a guia Método de autenticação.

Para Método de autenticação, selecione SAML.
Na seção SAML exibida, conclua a Etapa 1 na interface de usuário, inserindo as seguintes configurações (não marque ainda a caixa de seleção para habilitar o SAML para o servidor):
URL de retorno do Tableau Server—A URL que os usuários do Tableau Server vão acessar, como https://tableau-server.
O uso de https://localhost ou uma URL com um barra à direita (por exemplo, http://tableau_server/) não é compatível.
ID de entidade do SAML—A ID de entidade que identifica a instalação do Tableau Server para o IdP.
Você pode inserir a URL do Tableau Server novamente aqui. Se você planeja habilitar o SAML específico do site posteriormente, essa URL também serve como base para cada ID exclusiva do site.
Certificado SAML e arquivos-chave- clique em Selecionar arquivo para carregar cada um desses arquivos.
Se estiver usando um arquivo de chave protegido por frase secreta PKCS#8, será necessário inserir a frase com o TSM CLI.
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Após fornecer as informações necessárias na Etapa 1 na interface de usuário, o botão Baixar arquivo de metadados XML na Etapa 2 na interface de usuário será disponibilizado.
Agora, selecione a caixa de seleção Ativar autenticação de SAML para o servidor acima da Etapa 1 na interface de usuário.
Preencha as configurações restantes do SAML.
Para as Etapas 2 e 3, troque os metadados entre o Tableau Server e o IdP. (Aqui talvez seja necessário verificar a documentação de IdP.)
Selecione Baixar arquivo de metadados XML e especifique o local do arquivo.
Se estiver configurando o SAML com o AD FS, poderá retornar a Etapa 3: configurar o AD FS para aceitar solicitações de logon do Tableau Server de "Configurar SAML com o AD FS no Tableau Server".
Para outros IdPs, acesse a conta do IdP para adicionar o Tableau Server a seus aplicativos (como um provedor de serviços), fornecendo os metadados do Tableau, conforme necessário.
Siga as instruções no site ou na documentação do IdP para baixar os metadados de IdP. Salve o arquivo .xml no mesmo local que contém o certificado SAML e os arquivos-chave. Por exemplo:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xmlRetorne para a interface do usuário da Web no TSM. Na Etapa 4 na interface de usuário, insira o caminho para o arquivo de metadados de IdP e, em seguida, clique em Selecionar arquivo.

Para a Etapa 5, em alguns casos, talvez seja necessário alterar os valores da asserção na configuração do Tableau Server para corresponder aos nomes da asserção que são transmitidos pelo IdP.
Você pode encontrar nomes de asserção na configuração SAML do IdP. Se diferentes nomes de asserção forem enviados de seu IdP, atualize o Tableau Server para usar o mesmo valor de asserção.
Dica: "asserções" são um componente-chave do SAML e o conceito de asserções de mapeamento pode ser complicado no começo. Colocar isso em um contexto de dados tabulares, no qual o nome de asserção (atributo) é equivalente a um cabeçalho de coluna na tabela, pode ajudar. Você insere o nome de "título", em vez de um exemplo de um valor que pode ser exibido nessa coluna.
Para a Etapa 6, selecione os aplicativos do Tableau nos quais você deseja fornecer aos usuários uma experiência de logon único.
Observação: a opção para desabilitar o acesso móvel é ignorada por dispositivos que executam a versão 19.225.1731 do aplicativo Tableau Mobile e superior. Para desabilitar o SAML nos dispositivos que executam essas versões, desabilite o SAML como uma opção de logon do cliente no Tableau Server.
Para o redirecionamento de saída do SAML, se o IdP oferecer suporte ao logout único (SLO), insira a página para qual deseja redirecionar os usuários após se desconectarem, em relação ao caminho inserido para a URL de retorno do Tableau Server.
(Opcional) Para a Etapa 7, faça o seguinte:
Adicione um valor separado por vírgula para o atributo
AuthNContextClassRef. Para obter mais informações sobre como esse atributo é usado, consulte Notas e requisitos de compatibilidade do SAML.Especifique um atributo de domínio se não enviar o domínio como parte do nome de usuário (ou seja,
domain\username). Para obter mais informações, consulte Ao executar vários domínios.
(Opcional) Para a Etapa 8, marque a caixa de seleção Habilitar captura de atributos do usuário durante autenticação SAML. Para obter mais informações sobre atributos de usuários, consulte Personalizar e controlar o acesso aos dados usando atributos de usuário.

Clique em Salvar alterações pendentes após ter inserido as informações de configuração.
Clique em Alterações pendentes na parte superior da página:

Clique em Aplicar alterações e reiniciar.
Antes de começar
Depois de começar, faça o seguinte:
Vá para o site ou aplicativo do seu IdP e exporte o arquivo XML de metadados do IdP.
Confirme se o XML de IdP inclui um elemento SingleSignOnService, no qual a associação é definida para
HTTP-POST, conforme o exemplo a seguir:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
Reúna os arquivos de certificado e coloque-os no Tableau Server.
Na pasta Tableau Server, crie uma nova pasta chamada SAML e coloque as cópias do certificado SAML nela. Por exemplo:
C:\Program Files\Tableau\Tableau Server\SAMLEsta é a localização recomendada porque a conta de usuário que executa o Tableau Server tem as permissões necessárias para acessar essa pasta.
Etapa 1: configurar URL de retorno, ID da entidade SAML e especificar arquivos de chave e certificado
Abra o shell de prompt de comando e defina as configurações de SAML para o servidor (substituindo valores de espaço reservado por nomes de arquivo e caminho de ambiente).
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"Para obter mais informações, consulte
tsm authentication saml configure.Se estiver usando a chave PKCS#8 protegida por uma frase secreta, insira essa frase da seguinte forma:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>Se o SAML ainda não estiver habilitado no Tableau Server, por exemplo, você está configurando-o pela primeira vez ou desabilitou-o, habilite-o agora:
tsm authentication saml enableAplique as alterações:
tsm pending-changes applySe as alterações pendentes exigirem uma reinicialização do servidor, o comando
pending-changes applyexibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção--ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
Etapa 2: gerar os metadados do Tableau Server e configurar o IdP
Execute o comando a seguir para gerar o arquivo de metadados XML do Tableau Server.
tsm authentication saml export-metadata -f <file-name.xml>Você pode especificar um nome de arquivo ou omitir o parâmetro
-fpara criar um arquivo padrão chamadosamlmetadata.xml.No site do seu IdP ou em seu aplicativo:
Adicione o Tableau Server como um Provedor de serviços.
Consulte a documentação do seu IdP para obter informações sobre como fazer isso. Como parte do processo de configuração do Tableau Server como um Provedor de serviços, você importará o arquivo de metadados do Tableau Server que gerou do comando
export-metadata.Confirme se o seu IdP usa nome de usuário como o atributo para verificar os usuários.
Etapa 3: corresponder asserções
Em alguns casos, talvez seja necessário alterar os valores da asserção na configuração do Tableau Server para corresponder aos nomes da asserção que são transmitidos pelo IdP.
Você pode encontrar nomes de asserção na configuração SAML do IdP. Se diferentes nomes de asserção forem enviados de seu IdP, atualize o Tableau Server para usar o mesmo valor de asserção.
Dica: "asserções" são um componente-chave do SAML e o conceito de asserções de mapeamento pode ser complicado no começo. Colocar isso em um contexto de dados tabulares, no qual o nome de asserção (atributo) é equivalente a um cabeçalho de coluna na tabela, pode ajudar. Você insere o nome de "título", em vez de um exemplo de um valor que pode ser exibido nessa coluna.
A tabela a seguir mostra os valores de asserção padrão e a chave de configuração que armazena o valor.
| Asserção | Valor padrão | Chave |
|---|---|---|
| Username | username | wgserver.saml.idpattribute.username |
| Nome de exibição | displayName | O Tableau não oferece suporte a esse tipo de atributo. |
email | O Tableau não oferece suporte a esse tipo de atributo. | |
| Domínio | (não mapeado por padrão) | wgserver.saml.idpattribute.domain |
Para alterar um determinado valor, execute o comando tsm configuration set com o par de chave:valor apropriado.
Por exemplo, para alterar a asserção de username para o valor, name, execute os comandos a seguir:
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
Como alternativa, você pode usar o comando tsm authentication saml map-assertions para alterar um determinado valor.
Por exemplo, para definir a asserção de domínio para um valor chamado domain e especificar valor como "example.myco.com", execute os seguintes comandos:
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
Opcional: desabilitar tipos de cliente usando SAML
Por padrão, o Tableau Desktop e o aplicativo Tableau Mobile permitem a autenticação SAML.
Caso seu IdP não suporte esta funcionalidade, é possível desabilitar o logon com SAML para clientes do Tableau usando os comandos a seguir:
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
Observação: a opção --mobile-access disable é ignorada por dispositivos que executam a versão 19.225.1731 do aplicativo Tableau Mobile e superior. Para desabilitar o SAML nos dispositivos que executam essas versões, desabilite o SAML como uma opção de logon do cliente no Tableau Server.
tsm pending-changes apply
Opcional: adicionar valor AuthNContextClassRef
Adicione um valor separado por vírgula para o atributo AuthNContextClassRef. Para obter mais informações sobre como esse atributo é usado, consulte Notas e requisitos de compatibilidade do SAML.
Para definir esse atributo, execute os comandos a seguir:
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
Testar a configuração
No navegador da Web, abra uma nova página ou guia e insira a URL do Tableau Server.

O navegador o direciona para o formulário de logon do IdP.
Insira seu nome de usuário do logon único e senha.

O IdP verifica suas credenciais e o redireciona para a página inicial do Tableau Server.
Personalizar e controlar o acesso aos dados usando atributos de usuário
Os atributos de usuário são metadados de usuário definidos pela sua organização. Os atributos de usuário podem ser usados para determinar o acesso em um modelo de autorização típico de controle de acesso baseado em atributos (ABAC). Os atributos de usuário podem ser qualquer aspecto do perfil do usuário, incluindo cargos, associação departamental, nível de gerenciamento etc. Eles também podem estar associados a contextos de usuário de tempo de execução, como onde o usuário está conectado ou sua preferência de idioma.
Ao incluir atributos do usuário em seu fluxo de trabalho, você pode controlar e personalizar a experiência do usuário por meio de acesso e personalização de dados.
- Acesso aos dados: os atributos do usuário podem ser usados para impor políticas de segurança de dados. Isso garante que os usuários vejam apenas as informações que estão autorizados a ver.
- Personalização: ao passar atributos de usuário como localização e função, seu conteúdo pode ser personalizado para exibir apenas as informações relevantes para o usuário que o acessa, facilitando a localização das informações de que precisa.
Resumo das etapas para passar atributos de usuário
O processo de habilitar atributos de usuário em um fluxo de trabalho é resumido nas seguintes etapas:
- Habilitar a configuração de atributos de usuário
- Incluir atributos de usuário na asserção
- Verificar se o autor do conteúdo inclui funções de atributo de usuário e filtros relevantes
- Revisar o conteúdo
Etapa 1: habilitar a configuração de atributos de usuário
Por motivos de segurança, os atributos de usuário só são validados em um fluxo de trabalho de autenticação quando a configuração de atributo de usuário é habilitada por um
Abra o TSM em um navegador:
https://<tsm-computer-name>:8850. Para obter mais informações, consulte Fazer logon na interface do usuário na Web do Tableau Services Manager.
Na guia CONFIGURAÇÃO, selecione Identidade e acesso do usuário > Método de autenticação.
Em Método de autenticação, selecione SAML no menu suspenso.
Sob Etapa 8, marque a caixa de seleção Habilitar captura de atributos do usuário durante autenticação SAML.
Quando terminar, faça o seguinte:
Clique em Salvar alterações pendentes.
Clique no botão Alterações o pendentes na parte superior da página.
Clique em Aplicar alterações e reiniciar.
Etapa 2: incluir o atributo de usuário na asserção
Certifique-se de que a asserção contenha os atributos de usuário.
Observação: os atributos na resposta SAML estão sujeitos ao limite de 4096 caracteres, com exceção dos atributos scope ou scp. Se os atributos na resposta, incluindo os atributos do usuário, excederem esse limite, o Tableau vai remover os atributos e passar o atributo ExtraAttributesRemoved. O autor do conteúdo pode então criar um cálculo com o atributo ExtraAttributesRemoved para determinar como exibir o conteúdo aos usuários quando o atributo for detectado.
Exemplo
Suponha que você tenha um funcionário, Fred Suzuki, que é um gerente localizado na região Sul. Você quer garantir que, quando Fred revisar relatórios, ele só consiga ver os dados da região Sul. Em um cenário como este, você pode incluir o atributo de usuário Region na resposta SAML, como no exemplo abaixo.
<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
<saml;Subject">
<saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
<saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
<saml:AttributeValue">South</saml:AttributeValue">
</saml:Attribute">
</saml:AttributeStatement">
</saml:Assertion">
Etapa 3: verificar se o autor do conteúdo inclui funções de atributo
Verifique se o autor do conteúdo inclui as funções de atributo do usuário e filtros relacionados para controlar quais dados podem ser exibidos em seu conteúdo. Para garantir que as asserções de atributo do usuário sejam passadas para o Tableau, o conteúdo deve conter uma das seguintes funções de atributo do usuário:
USERATTRIBUTE('attribute_name')USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')
A função usada pelo autor de conteúdo depende se os atributos do usuário devem retornar um único valor ou vários. Para obter mais informações sobre essas funções e exemplos de cada uma, consulte Funções do usuário(O link abre em nova janela) na Ajuda do Tableau.
Observações:
- Visualização do conteúdo com essas funções não está disponível durante a criação no Tableau Desktop ou Tableau Cloud. A função retornará NULL ou FALSE. Para garantir que as funções do usuário funcionem conforme o esperado, recomendamos que o autor revise as funções após disponibilizar o conteúdo.
- Para garantir que o conteúdo seja renderizado conforme o esperado, o autor do conteúdo pode considerar a inclusão de um cálculo que use
ExtraAttributesRemovedque 1) verifica esse atributo e 2) determina o que fazer com o conteúdo se ele existir, como exibir uma mensagem. O Tableau só adicionará o atributoExtraAttributesRemovede removerá todos os outros atributos (excetoscpouscope) quando os atributos no SAML XML excederem 4096 caracteres. Isso é para garantir o desempenho ideal e respeitar as limitações de armazenamento.
Exemplo
Continuando o exemplo introduzido na Etapa 2: incluir o atributo de usuário na asserção acima, para passar a asserção de atributo de usuário “Region” para uma pasta de trabalho, o autor pode incluir USERATTRIBUTEINCLUDES. Por exemplo, USERATTRIBUTEINCLUDES('Region', [Region]), onde “Region” é o atributo do usuário e [Region] é uma coluna nos dados. Usando o novo cálculo, o autor pode criar uma tabela com dados de Gerente e Vendas. Quando o cálculo é adicionado, a pasta de trabalho retorna os valores “False” conforme esperado.

Para mostrar apenas os dados associados à região Sul na pasta de trabalho inserida, o autor pode criar um filtro e personalizá-lo para mostrar valores quando a região Sul for “True”. Quando o filtro é aplicado, a pasta de trabalho fica em branco, conforme esperado, porque a função está retornando valores “False” e o filtro é personalizado para mostrar apenas valores “True”.

Etapa 4: revisar o conteúdo
Revise e valide o conteúdo.
Exemplo
Para concluir o exemplo da Etapa 3: verificar se o autor do conteúdo inclui funções de atributo acima, você pode ver que os dados de vendas na exibição são personalizados para Fred Suzuki porque o contexto de usuário dele é a região Sul.

Os gerentes das regiões representadas na pasta de trabalho devem ver o valor associado à sua região. Por exemplo, Sawdie Pawthorne, da região Oeste, vê dados específicos para sua região.

Os gerentes cujas regiões não estão representadas na pasta de trabalho verão uma pasta de trabalho em branco.
Problemas conhecidos e limitações
Existem alguns problemas conhecidos e limitações que você deve considerar ao trabalhar com funções de atributo do usuário.
