Configurar SAML para um site específico

Use o SAML específico ao site em um ambiente de vários sites quando quiser ativar o logon único e se você também usa os provedores de identidade (IdPs) do SAML ou aplicativos IdP. Ao habilitar o SAML do site, é possível especificar o aplicativo IdP ou IdP para cada site ou configurar alguns sites para usar o SAML e os outros para usar o método de autenticação para todo o servidor padrão.

Se quiser que todos os usuários usem o SAML e façam logon por meio do mesmo aplicativo IdP, consulte Configurar SAML em todo o servidor.

Pré-requisitos para ativar o SAML específico ao site

Antes de ativar o logon único do SAML no nível de site, conclua os requisitos a seguir:

  • O armazenamento de identidades do Tableau Server deve ser configurado para armazenamento de identidades local.

     Não é possível configurar o SAML específico do site se o Tableau Server estiver configurado com um armazenamento de identidade externo, como Active Directory ou OpenLDAP.

  • Certifique-se de que o ambiente e o IdP atendem os Requisitos do SAML gerais.

    Alguns recursos são suportados apenas em implantações do SAML em todo o servidor, incluindo mas não limitado a:

    • Os arquivos-chave protegidos por senha, que não são aceitos em implantações SAML específicas do site.
  • Você deve configurar o SAML em todo o servidor antes de configurar o SAML específico do site. Você não precisa habilitar o SAML em todo o servidor, mas o SAML específico do site requer a configuração em todo o servidor. Consulte Configurar SAML em todo o servidor.

  • Observe o local dos arquivos de certificado SAML. Você fornece isso ao Configurar o servidor para oferecer suporte para SAML específico ao site.

    Para obter mais informações, consulte Colocar os metadados e os arquivos de certificado no local apropriado no tópico sobre configuração do SAML para todo o servidor.

  • Adicione o Tableau Server como um provedor de serviço ao seu IdP. Essas informações estão disponíveis na documentação fornecida pelo IdP.

  • Confirme se os relógios de sistema do computador que hospeda o SAML IdP do site e o que hospeda o Tableau Server estão com uma diferença de horário de até 59 segundos. O Tableau Server não tem uma opção de configuração para ajustar a distorção de resposta (diferença de tempo) entre o computador do Tableau Server e o IdP.

Configurações em todo o site relacionadas ao SAML específico ao site

Retornar URL e ID de entidade: nas configurações para configurar o SAML específico do site, o Tableau fornece uma URL de retorno específico do site e um ID de entidade com base nessas configurações. A URL de retorno específica ao site e a ID de entidade não podem ser modificadas. Essas configurações são definidas pelo TSM, conforme descrito em Configurar SAML em todo o servidor.

Distorção de idade e resposta de autenticação: as configurações de todo o servidor, a idade máxima de autenticação e a distorção de resposta não se aplicam ao SAML específico do site. Essas configurações são codificadas:

  • O tempo máximo de autenticação refere-se a quanto tempo um token de autenticação do IdP é válido após ser emitido. O tempo máximo de autenticação codificado do SAML específico do site é de 24 dias.
  • A inclinação da resposta é a diferença máxima em segundos entre o horário do Tableau Server e o horário da criação da asserção (com base no horário do servidor IdP) que ainda permite que a mensagem seja processada. O valor específico do site em código para isso é 59 segundos.

Nome de usuário: obrigatório. Além do atributo de configuração SAML em todo o servidor, o atributo de configuração SAML específico do site deve ser definido como "nome de usuário".

Observação: para que o SAML específico do site opere com êxito com um padrão SAML de todo o servidor, o atributo username configurado para SAML de todo o servidor com a chave de configuração wgserver.saml.idpattribute.username deve ser "username". O IdP usado para SAML em todo o servidor deve fornecer o nome de usuário em um atributo chamado "nome de usuário".

HTTP POST e HTTP REDIRECT: para SAML específico do site, o Tableau Server oferece suporte a HTTP-POST, HTTP-REDIRECT e HTTP-POST-SimpleSign.

Configurar o servidor para oferecer suporte para SAML específico ao site

Após completar os pré-requisitos listados acima, você pode executar os comandos a seguir para configurar o servidor para suportar SAML específico ao site.

  1. Configurar SAML em todo o servidor. No mínimo, você deve executar o seguinte comando TSM (se você já configurou o SAML em todo o servidor, pule para a Etapa 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite o SAML do site. Execute os seguintes comandos:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Sobre os comandos

O comando sitesaml enable expõe a guia Autenticação na página Configurações de cada site na IU da Web do Tableau Server. Após a configuração do servidor para suportar o SAML de site, continue a Configurar SAML para um site, para trabalhar com as configurações na guia Autenticação.

Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Caso queira analisar os comandos e as configurações que serão usadas ao executar pending-changes apply, execute o comando a seguir antes:

tsm pending-changes list --config-only

Configurar SAML para um site

Esta seção o guia pelas etapas de configuração que aparecem na guia Autenticação, na página Configurações do Tableau Server. Em uma instalação do Tableau Server auto-hospedado, esta página aparece apenas quando o suporte para SAML específico ao site estiver habilitado no nível do servidor.

Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.

Etapa 1: exportar metadados do Tableau

Para criar a conexão de entre o SAML e seu Tableau Server IdP, é necessário trocar os metadados exigidos entre os dois serviços. Para obter metadados do Tableau Server, escolha um dos seguintes métodos. Consulte a documentação de configuração de SAML do IdP para confirmar a opção correta.

  • Selecione o botão Exportar metadados para baixar um arquivo XML que contenha a ID da entidade SAML do Tableau Server, URL do Assertion Consumer Service (ACS) e o certificado X.509.

    A ID da entidade é específica de site e baseada na ID de entidade em todo o servidor especificada ao habilitar o sites SAML no servidor. Por exemplo, se você especificou https://tableau_server, talvez você veja a seguinte ID de entidade para o site:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Não é possível modificar a ID de entidade específica de site ou a URL ACS gerada pelo Tableau.

  • Selecione Baixar certificado, se o seu IdP espera as informações necessárias de uma maneira diferente. Por exemplo, se ele deseja que você insira a ID da entidade Tableau Server, a URL do ACS e o certificado X.509 em locais separados.

    A imagem a seguir foi editada para mostrar que essas configurações são as mesmas no Tableau Cloud e no Tableau Server.

Etapas 2 e Etapa 3: etapas externas

Para a etapa 2, para importar os metadados exportados na etapa 1, faça logon na sua conta IdP e siga as instruções fornecidas pela documentação do IdP para enviar os metadados de Tableau Server.

Para a etapa 3, a documentação do IdP irá orientá-lo sobre como fornecer metadados ao provedor de serviço. Ela instruirá para você baixar um arquivo de metadados, ou exibirá o código XML. Se exibir o código XML, copie e cole-o em um novo arquivo de texto e salve o arquivo em uma extensão .xml.

Etapa 4: importar metadados do IdP para o site do Tableau

Na página de Autenticação no Tableau Server, importe o arquivo de metadados baixado do IdP ou configurado manualmente no XML, se fornecido.

Observação: se estiver editando a configuração, você precisará carregar o arquivo de metadados para que o Tableau saiba usar a ID da entidade do IdP e a URL do serviço SSO corretos.

Etapa 5: corresponder atributos

Os atributos contêm autenticação, autorização e outras informações sobre um usuário. Na coluna Nome de asserção do provedor de identidade (IdP), forneça os atributos que contêm as informações exigidas pelo Tableau Server.

  • Nome de usuário ou e-mail: (obrigatório) insira o nome do atributo que armazena nomes de usuário ou endereços de e-mail.

  • Nome para exibição: (opcional) alguns IdPs usam atributos separados para nomes e sobrenomes. Outros IdPs armazenam o nome completo em um atributo. Se você estiver usando SAML com autenticação local, o atributo de nome para exibição não será sincronizado com o SAML IdP.

    Selecione o botão que corresponda à maneira que seu IdP armazenar os nomes. Por exemplo, se o IdP combinar o nome e o sobrenome em um atributo, selecione Nome de exibição e insira o nome do atributo.

    Captura de tela da etapa 5 para configurar SAML de site para Tableau Server - atributos correspondentes

Etapa 6: gerenciar usuários

Selecionar usuários existentes do Tableau Server ou novos usuários que você deseja aprovar para logon único.

Quando você adiciona ou importa usuários, também pode especificar o tipo de autenticação deles. Na página Usuários, você pode alterar o tipo de autenticação dos usuários sempre após adicioná-los.

Para obter mais informações, consulte Adicionar usuários a um site ou Importar usuários a Definir o tipo de autenticação do usuário para SAML.

Importante: usuários que se autenticam com um SAML específico a cada site podem pertencer a apenas um site. Se um usuário precisar acessar vários sites, defina o tipo de autenticação para o padrão do servidor. Dependendo de como o SAML específico a cada site foi configurado pelo administrador do servidor, o padrão do servidor é SAML de autenticação local ou de todo o servidor.

Etapa 7: solucionar problemas

Comece com as etapas de solução de problemas sugeridas na página Autenticação. Se essas etapas não resolverem o problema, consulte Solucionar problemas do SAML.

Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!