Configurar SAML com IdP do Azure AD no Tableau Server

Você pode configurar o Azure AD como provedor de identidade do SAML (IdP) e adicionar o Tableau Server aos aplicativos de logon único (SSO) compatíveis. Ao integrar o Azure AD com o SAML e o Tableau Server, seus usuários poderão fazer logon no Tableau Server usando suas credenciais de rede padrão.

Antes de começar: pré-requisitos

Antes de configurar o Tableau Server e o SAML com o Azure AD, seu ambiente deve ter o seguinte:

Etapa 1: verificar a conexão SSL com o Azure AD

O Azure AD requer uma conexão SSL. Caso não tenha feito, conclua as etapas em Configurar o SSL para tráfego de HTTP externo e do Tableau Server, usando um certificado que atenda aos requisitos especificados acima.

Como alternativa, se o Tableau Server estiver configurado para funcionar com um proxy reverso ou balanceador de carga onde o SSL está sendo encerrado (comumente chamado de descarregamento de SSL), você não precisará configurar o SSL externo.

Se sua organização usar o proxy do aplicativo Azure AD, consulte a seção abaixo,Proxy do aplicativo Azure AD.

Etapa 2: configurar SAML no Tableau Server

Conclua as etapas em Configurar SAML em todo o servidor, baixando os metadados do Tableau Server para um arquivo XML. Nesse ponto, volte aqui e continue para a próxima seção.

Etapa 3: configurar regras de declaração do Azure AD

O mapeamento diferencia maiúsculas de minúsculas, portanto verifique suas entradas. Esta tabela mostra atributos comuns e mapeamentos de declaração. Você deve verificar os atributos com a configuração específica do Azure AD.

Atributo LDAPTipo de declaração de saída
onpremisessamaccountnameusername
Nome

firstName

Observação: isso é opcional.

Sobrenome

lastName

Observação: isso é opcional.

netbiosname

domain

Observação: isso só é necessário se você tiver usuários fazendo login em um domínio que não seja o padrão.

Em algumas organizações, o Azure AD como um IdP de SAML é usado com o Active Directory como o armazenamento de identidade do Tableau Server. Neste caso, username geralmente é o nome sAMAccountName. Consulte a documentação da Microsoft para identificar o atributo sAMAccountName dentro do Azure AD e mapear o atributo username.

Etapa 4: fornecer metadados do Azure AD para o Tableau Server

  1. Retorne à interface do usuário da Web do TSM e navegue até guia Configuração > Identidade e acesso do usuário > Método de autenticação.

  2. Na Etapa 4 do painel de configuração do SAML, insira o local do arquivo XML exportado do Azure AD e selecione Fazer upload .

    Captura de tela destacando a área da interface de dados do TSM onde você carrega metadados SAML IDP

  3. Conclua as etapas restantes (asserções correspondentes e especifique o acesso do tipo de cliente) conforme especificado em Configurar SAML em todo o servidor. Salve e aplique as alterações.

  4. Execute as etapas a seguir se essa não for a primeira vez que configura o SAML:

    1. Interrompa o Tableau Server, abra o CLI do TSM e execute os seguintes comandos.

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a -1

    2. Aplique as alterações:

      tsm pending-changes apply

      Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Proxy de aplicativo do Azure AD

Se você estiver executando o Proxy de aplicativo do Azure AD Proxy na frente do Tableau Server, e o SAML estiver ativado, então precisará fazer uma configuração adicional para o Proxy de aplicativo do Azure AD.

O Tableau Server só pode aceitar tráfego em uma URL quando o SAML estiver ativado. No entanto, por padrão, o Proxy de aplicativo do Azure AD define URLs externa e interna.

Você deve definir esses dois valores para a mesma URL em seu domínio personalizado. Para obter mais informações, consulte a documentação da Microsoft, Configurar domínios personalizados com o Proxy de Aplicativo do Azure AD(O link abre em nova janela).

Solução de problemas

Proxy de aplicativo do Azure AD

Em alguns casos, os links para exibições são renderizados internamente, mas falham externamente quando o tráfego está cruzando um Proxy de aplicativo do Azure AD. O problema surge quando há um sinal de cerquilha (#) na URL e os usuários estão acessando o link em um navegador. O aplicativo Tableau Mobile é capaz de acessar URLs com um sinal de libra.

Os tempos limites da sessão do usuário parecem ser ignorados

Quando o Tableau Server é configurado para SAML, os usuários podem ter erros de login porque a configuração de idade máxima de autenticação do IdP está definida como um valor maior do que a configuração de idade máxima de autenticação do Tableau. Para resolver esse problema, você pode usar a opção de conjunto de configuração tsm wgserver.saml.forceauthn para exigir que o IdP reautentique o usuário sempre que o Tableau redirecionar a solicitação de autenticação, mesmo se a sessão do IdP para o usuário ainda estiver ativa.

Por exemplo, quando a configuração do Azure AD maxInactiveTime é maior do que a configuração do Tableau Server maxAuthenticationAge, o Tableau redireciona a solicitação de autenticação para o IdP, que subsequentemente envia ao Tableau uma declaração de que o usuário já está autenticado. No entanto, como o usuário foi autenticado fora do Tableau Server maxAuthenticationAge, o Tableau rejeita a autenticação do usuário. Nesses casos, você pode fazer um dos procedimentos a seguir:

  • Habilite a opção wgserver.saml.forceauthn para exigir que o IdP reautentique o usuário sempre que o Tableau redirecionar a solicitação de autenticação. Para obter mais informações, consulte wgserver.saml.forceauthn.
  • Aumente a configuração maxAuthenticationAge do Tableau Server. Para obter mais informações, consulte “a, --max-auth-age<max-auth-age>” no tópico de tsm authentication.

Incompatibilidade de AppID

Ao revisar o arquivo vizportal.log, você pode ver o erro "O público pretendido não corresponde ao destinatário".

Para resolver esse problema, verifique se o appID corresponde ao que é enviado. O Azure acrescentará automaticamente "SPN" ao appID ao usar a ID do aplicativo com o aplicativo que está sendo usado. Você pode alterar o valor nas configurações do Tableau SAML adicionando o prefixo "SPN:" à ID do aplicativo.

Por exemplo: SPN:myazureappid1234