Configurar SAML com AD FS no Tableau Server

Você pode configurar o Active Directory Federation Services (AD FS) como um provedor de identidade de SAML e adicionar o Tableau Server aos aplicativos de logon único suportados. Ao integrar o AD FS com o SAML e o Tableau Server, seus usuários poderão fazer logon no Tableau Server usando suas credenciais de rede padrão.

Pré-requisitos

Antes de configurar o Tableau Server e o SAML com o AD FS, seu ambiente deve ter o seguinte:

  • Um servidor que executa Microsoft Windows Server 2008 R2 (ou posterior) com AD FS 2.0 (ou posterior) e IIS instalados.

  • Recomenda-se que você proteja o seu servidor AD FS (por exemplo, utilizando um proxy reverso). Quando o seu servidor AD FS puder ser acessado fora do firewall, o Tableau Server poderá redirecionar os usuários à página de logon hospedada pelo AD FS.

  • O certificado SSL codificado usando a codificação SHA-2 (256 ou 512 bits), e que esteja em conformidade com os requerimentos listados nas seções a seguir:

Etapa 1: verificar a conexão SSL com o AD FS

O AD FS requer uma conexão SSL. Caso não tenha feito, conclua as etapas em Configurar o SSL para tráfego de HTTP externo e do Tableau Server, usando um certificado que atenda aos requisitos especificados acima.

Como alternativa, se o Tableau Server estiver configurado para funcionar com um proxy reverso ou balanceador de carga onde o SSL está sendo encerrado (comumente chamado de descarregamento de SSL), você não precisará configurar o SSL externo.

Etapa 2: configurar SAML no Tableau Server

Conclua as etapas em Configurar SAML em todo o servidor, baixando os metadados do Tableau Server para um arquivo XML. Nesse ponto, volte aqui e continue para a próxima seção.

Etapa 3: configurar o AD FS para aceitar solicitações de logon do Tableau Server

Observação: estas etapas refletem um aplicativo de terceiros e estão sujeitas a alteração sem o nosso conhecimento.

A configuração do AD FS para aceitar as solicitações de logon do Tableau Server é um processo de várias etapas, iniciando com a importação do arquivo de metadados XML do Tableau Server para o AD FS.

  1. Realize uma das seguintes ações para abrir o Assistente de confiança de terceira parte confiável:

  2. Windows Server 2008 R2:

    1. Selecione menu Iniciar > para Ferramentas administrativas> AD FS 2.0.

    2. No AD FS 2.0, em Relacionamentos Confiáveis, clique com o botão direito do mouse na pasta Confianças de Terceira Parte Confiável e, em seguida, clique em Adicionar Confiança de Terceira Parte Confiável.

    Windows Server 2012 R2:

    1. Abra o Gerenciador de servidores e, em seguida, no menu Ferramentas, clique em Gerenciamento do AD FS.

    2. Em Gerenciamento do AD FS, no menu Ação, clique em Adicionar Confiança de Terceira Parte Confiável.

  3. No Assistente Adicionar Terceira Parte Confiável, clique em Iniciar.

  4. Na página Selecionar fonte de dados, selecione Importar dados sobre a parte confiável de um arquivo e clique em Procurar para encontrar o arquivo de metadados XML do Tableau Server. Por padrão, esse arquivo é chamado samlspmetadata.xml.

  5. Clique em Avançar e na página Especificar nome de exibição, digite um nome e uma descrição para a confiança da parte confiável nas caixas Nome de exibição e Observações.

  6. Clique em Avançar para ignorar a página Configurar autenticação multifator agora.

  7. Clique em Avançar para ignorar a página Escolher regras de autorização de emissão.

  8. Clique em Avançar para ignorar a página Pronto para incluir confiança.

  9. Na página Concluir, selecione a caixa de seleção Abrir a caixa de diálogo Editar Regras de Declarações para esta confiança de terceira parte confiável quando o assistente fechar, e clique em Fechar.

O próximo passo é trabalhar na caixa de diálogo Editar regras de declaração para adicionar uma regra que garanta que as afirmações enviadas pelo AD FS coincidam com as afirmações esperadas pelo Tableau Server. No mínimo, o Tableau Server precisa de um endereço de e-mail. No entanto, incluir o nome e o sobrenome, além do e-mail, garantirá que os nomes de usuário exibidos no Tableau Server sejam os mesmos que os da sua conta AD.

  1. Na caixa de diálogo Editar regras de declaração, clique em Adicionar regra.

  2. Na página Escolher tipo de regra, para Modelo da regra de declaração, selecione Enviar atributos LDAP como declarações e, em seguida, clique em Avançar.

  3. Na página Configurar regra de declaração, para Nome da regra de declaração, insira um nome que fizer sentido para você.

  4. Para Repositório de atributos, selecione Active Directory, complete o mapeamento conforme mostrado abaixo e clique em Concluir.

  5. O mapeamento diferencia maiúsculas de minúsculas, portanto verifique suas entradas. Esta tabela mostra atributos comuns e mapeamentos de declaração. Verifique os atributos com a configuração específica do Active Directory.

    Atributo LDAPTipo de declaração de saída
    SAM-Account-NameID de nome
    SAM-Account-Nameusername
    NomefirstName
    SobrenomelastName

Se você estiver executando o AD FS 2016 ou posterior, deverá adicionar uma regra para transmitir todos os valores de solicitação. Se você estiver executando uma versão antiga do AD FS, vá para o próximo procedimento para exportar metadados do AD FS.

  1. Clique em Adicionar regra.
  2. Em Solicitar modelo de regra, escolha Transmitir ou Filtrar uma solicitação de entrada.
  3. Em Solicitar nome da regra, digite Windows.
  4. Na janela pop-up Editar Regra - Windows:
    • Em Tipo de solicitação de entrada, selecione Nome da conta do Windows.
    • Selecione Transmitir todos os valores de solicitação.
    • Clique em OK.

O próximo passo é exportar os metadados do AD FS que serão importados posteriormente para o Tableau Server. Verifique também se os metadados estão configurados e codificados corretamente para Tableau Server e verifique outros requisitos do AD FS para a sua configuração SAML.

  1. Exporte os metadados de AD FS Federation para um arquivo XML e, em seguida, baixe o arquivo em https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Abra o arquivo de metadados em um editor de texto como Sublime Text ou Notepad++ e verifique se ele está corretamente codificado como UTF-8 sem BOM.

    Se o arquivo mostrar algum outro tipo de codificação, salve-o no editor de texto com a codificação correta.

  3. Verifique se o AD FS está usando a autenticação com base em formulários. Os logons são realizados em uma janela do navegador, então você precisa que o AD FS tenha esse tipo de autenticação como padrão.

    Edite c:\inetpub\adfs\ls\web.config, pesquise pela marca , e mova a linha, de modo que ela apareça em primeiro na lista. Salve o arquivo para que o IIS possa recarregá-lo automaticamente.

    Observação: se você não visualizar o arquivo c:\inetpub\adfs\ls\web.config, o IIS não é instalado e configurado no servidor AD FS.

  4. (Opcional) essa etapa é necessária somente se o AD FS estiver configurado como IDP para SAML específico ao site. Esta etapa não é necessária se o AD FS estiver configurado como IDP para SAML em todo o servidor.

    Configure um identificador de parte confiável AD FS adicional. Isso permite que o seu sistema solucione qualquer problema do AD FS ao sair do SAML.

    Execute um destes procedimentos:

    Windows Server 2008 R2:

    1. No AD FS 2.0, clique com o botão direito do mouse na parte confiável criada anteriormente para o Tableau Server e em clique em Propriedades.

    2. Na guia Identificadores, na caixa Identificador da parte confiável, insira https://<tableauservername>/public/sp/metadata e clique em Adicionar.

    Windows Server 2012 R2:

    1. Em Gerenciamento de AD FS na lista Confianças de parte confiável, clique com o botão direito do mouse na parte confiável criada anteriormente para o Tableau Server e clique em Propriedades.

    2. Na guia Identificadores, na caixa Identificador da parte confiável, insira https://<tableauservername>/public/sp/metadata e clique em Adicionar.

    Observação: o AD FS pode ser usado com o Tableau Server de uma única parte confiável para a mesma instância. O AD FS não pode ser usado para várias partes confiáveis na mesma instância, por exemplo, vários sites SAML do site ou configurações SAML do site e do servidor.

Etapa 4: fornecer metadados do AD FS para o Tableau Server

  1. Retorne à interface do usuário da Web do TSM e navegue até guia Configuração > Identidade e acesso do usuário > Método de autenticação.

  2. Na Etapa 4 do painel de configuração do SAML, insira o local do arquivo XML exportado do AD FS e selecione Fazer upload .

    Captura de tela destacando a área da interface de dados do TSM onde você carrega metadados SAML IDP

  3. Conclua as etapas restantes (asserções correspondentes e especifique o acesso do tipo de cliente) conforme especificado em Configurar SAML em todo o servidor.

  4. Salve e aplique as alterações.

  5. Execute as etapas a seguir se essa não for a primeira vez que configura o SAML:

    1. Interrompa o Tableau Server, abra a CLI do TSM e execute os seguintes comandos:

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a 7776000

    2. Aplique as alterações:

      tsm pending-changes apply

      Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!