Configurar SAML para um site específico

Use o SAML específico ao site em um ambiente de vários sites quando quiser ativar o logon único e se você também usa os provedores de identidade (IdPs) do SAML ou aplicativos IdP. Ao habilitar o SAML do site, é possível especificar o aplicativo IdP ou IdP para cada site ou configurar alguns sites para usar o SAML e os outros para usar o método de autenticação para todo o servidor padrão.

Se quiser que todos os usuários usem o SAML e façam logon por meio do mesmo aplicativo IdP, consulte Configurar SAML em todo o servidor.

Pré-requisitos para ativar o SAML específico ao site

Antes de ativar o logon único do SAML no nível de site, conclua os requisitos a seguir:

  • O armazenamento de identidades do Tableau Server deve ser configurado para armazenamento de identidades local.

     Não é possível configurar o SAML específico do site se o Tableau Server estiver configurado com um armazenamento de identidade externo, como Active Directory ou OpenLDAP.

  • Certifique-se de que o ambiente e o IdP atendem os Requisitos do SAML gerais.

    Alguns recursos são suportados apenas em implantações do SAML em todo o servidor, incluindo mas não limitado a:

    • Os arquivos-chave protegidos por senha, que não são aceitos em implantações SAML específicas do site.
  • Você deve configurar o SAML em todo o servidor antes de configurar o SAML específico do site. Você não precisa habilitar o SAML em todo o servidor, mas o SAML específico do site requer a configuração em todo o servidor. Consulte Configurar SAML em todo o servidor.

  • Observe o local dos arquivos de certificado SAML. Você fornece isso ao Configurar o servidor para oferecer suporte para SAML específico ao site.

    Para obter mais informações, consulte Colocar os metadados e os arquivos de certificado no local apropriado no tópico sobre configuração do SAML para todo o servidor.

  • Adicione o Tableau Server como um provedor de serviço ao seu IdP. Essas informações estão disponíveis na documentação fornecida pelo IdP.

  • Confirme se os relógios de sistema do computador que hospeda o SAML IdP do site e o que hospeda o Tableau Server estão com uma diferença de horário de até 59 segundos. O Tableau Server não tem uma opção de configuração para ajustar a distorção de resposta (diferença de tempo) entre o computador do Tableau Server e o IdP.

Configurações em todo o site relacionadas ao SAML específico ao site

Retornar URL e ID de entidade: nas configurações para configurar o SAML específico do site, o Tableau fornece uma URL de retorno específico do site e um ID de entidade com base nessas configurações. A URL de retorno específica ao site e a ID de entidade não podem ser modificadas. Essas configurações são definidas pelo TSM, conforme descrito em Configurar SAML em todo o servidor.

Distorção de idade e resposta de autenticação: as configurações de todo o servidor, a idade máxima de autenticação e a distorção de resposta não se aplicam ao SAML específico do site. Essas configurações são codificadas:

  • O tempo máximo de autenticação refere-se a quanto tempo um token de autenticação do IdP é válido após ser emitido. O tempo máximo de autenticação codificado do SAML específico do site é de 24 dias.
  • A inclinação da resposta é a diferença máxima em segundos entre o horário do Tableau Server e o horário da criação da asserção (com base no horário do servidor IdP) que ainda permite que a mensagem seja processada. O valor específico do site em código para isso é 59 segundos.

Nome de usuário: obrigatório. Além do atributo de configuração SAML em todo o servidor, o atributo de configuração SAML específico do site deve ser definido como "nome de usuário".

Observação: para que o SAML específico do site opere com êxito com um padrão SAML de todo o servidor, o atributo username configurado para SAML de todo o servidor com a chave de configuração wgserver.saml.idpattribute.username deve ser "username". O IdP usado para SAML em todo o servidor deve fornecer o nome de usuário em um atributo chamado "nome de usuário".

HTTP POST e HTTP REDIRECT: para SAML específico do site, o Tableau Server oferece suporte a HTTP-POST, HTTP-REDIRECT e HTTP-POST-SimpleSign.

Configurar o servidor para oferecer suporte para SAML específico ao site

Após completar os pré-requisitos listados acima, você pode executar os comandos a seguir para configurar o servidor para suportar SAML específico ao site.

  1. Configurar SAML em todo o servidor. No mínimo, você deve executar o seguinte comando TSM (se você já configurou o SAML em todo o servidor, pule para a Etapa 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite o SAML do site. Execute os seguintes comandos:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Sobre os comandos

O comando sitesaml enable expõe a guia Autenticação na página Configurações de cada site na IU da Web do Tableau Server. Após a configuração do servidor para suportar o SAML de site, continue a Configurar SAML para um site, para trabalhar com as configurações na guia Autenticação.

Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.

Caso queira analisar os comandos e as configurações que serão usadas ao executar pending-changes apply, execute o comando a seguir antes:

tsm pending-changes list --config-only

Configurar SAML para um site

Esta seção o guia pelas etapas de configuração que aparecem na guia Autenticação, na página Configurações do Tableau Server. Em uma instalação do Tableau Server auto-hospedado, esta página aparece apenas quando o suporte para SAML específico ao site estiver habilitado no nível do servidor.

Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.

Etapa 1: exportar metadados do Tableau
Etapas 2 e Etapa 3: etapas externas
Etapa 4: importar metadados do IdP para o site do Tableau
Etapa 5: corresponder atributos
Etapa 6: gerenciar usuários
Etapa 7: solucionar problemas