Configurar SAML para um site específico
Use o SAML específico ao site em um ambiente de vários sites quando quiser ativar o logon único e se você também usa os provedores de identidade (IdPs) do SAML ou aplicativos IdP. Ao habilitar o SAML do site, é possível especificar o aplicativo IdP ou IdP para cada site ou configurar alguns sites para usar o SAML e os outros para usar o método de autenticação para todo o servidor padrão.
Se quiser que todos os usuários usem o SAML e façam logon por meio do mesmo aplicativo IdP, consulte Configurar SAML em todo o servidor.
Antes de ativar o logon único do SAML no nível de site, conclua os requisitos a seguir:
O armazenamento de identidades do Tableau Server deve ser configurado para armazenamento de identidades local.
Não é possível configurar o SAML específico do site se o Tableau Server estiver configurado com um armazenamento de identidade externo, como Active Directory ou OpenLDAP.
Certifique-se de que o ambiente e o IdP atendem os Requisitos do SAML gerais.
Alguns recursos são suportados apenas em implantações do SAML em todo o servidor, incluindo mas não limitado a:
- Os arquivos-chave protegidos por senha, que não são aceitos em implantações SAML específicas do site.
Você deve configurar o SAML em todo o servidor antes de configurar o SAML específico do site. Você não precisa habilitar o SAML em todo o servidor, mas o SAML específico do site requer a configuração em todo o servidor. Consulte Configurar SAML em todo o servidor.
Observe o local dos arquivos de certificado SAML. Você fornece isso ao Configurar o servidor para oferecer suporte para SAML específico ao site.
Para obter mais informações, consulte Colocar os metadados e os arquivos de certificado no local apropriado no tópico sobre configuração do SAML para todo o servidor.
Adicione o Tableau Server como um provedor de serviço ao seu IdP. Essas informações estão disponíveis na documentação fornecida pelo IdP.
Confirme se os relógios de sistema do computador que hospeda o SAML IdP do site e o que hospeda o Tableau Server estão com uma diferença de horário de até 59 segundos. O Tableau Server não tem uma opção de configuração para ajustar a distorção de resposta (diferença de tempo) entre o computador do Tableau Server e o IdP.
Retornar URL e ID de entidade: nas configurações para configurar o SAML específico do site, o Tableau fornece uma URL de retorno específico do site e um ID de entidade com base nessas configurações. A URL de retorno específica ao site e a ID de entidade não podem ser modificadas. Essas configurações são definidas pelo TSM, conforme descrito em Configurar SAML em todo o servidor.
Distorção de idade e resposta de autenticação: as configurações de todo o servidor, a idade máxima de autenticação e a distorção de resposta não se aplicam ao SAML específico do site. Essas configurações são codificadas:
- O tempo máximo de autenticação refere-se a quanto tempo um token de autenticação do IdP é válido após ser emitido. O tempo máximo de autenticação codificado do SAML específico do site é de 24 dias.
- A inclinação da resposta é a diferença máxima em segundos entre o horário do Tableau Server e o horário da criação da asserção (com base no horário do servidor IdP) que ainda permite que a mensagem seja processada. O valor específico do site em código para isso é 59 segundos.
Nome de usuário: obrigatório. Além do atributo de configuração SAML em todo o servidor, o atributo de configuração SAML específico do site deve ser definido como "nome de usuário".
Observação: para que o SAML específico do site opere com êxito com um padrão SAML de todo o servidor, o atributo username configurado para SAML de todo o servidor com a chave de configuração wgserver.saml.idpattribute.username deve ser "username". O IdP usado para SAML em todo o servidor deve fornecer o nome de usuário em um atributo chamado "nome de usuário".
HTTP POST e HTTP REDIRECT: para SAML específico do site, o Tableau Server oferece suporte a HTTP-POST, HTTP-REDIRECT e HTTP-POST-SimpleSign.
Após completar os pré-requisitos listados acima, você pode executar os comandos a seguir para configurar o servidor para suportar SAML específico ao site.
Configurar SAML em todo o servidor. No mínimo, você deve executar o seguinte comando TSM (se você já configurou o SAML em todo o servidor, pule para a Etapa 2):
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- Habilite o SAML do site. Execute os seguintes comandos:
tsm authentication sitesaml enable
tsm pending-changes apply
Sobre os comandos
O comando sitesaml enable
expõe a guia Autenticação na página Configurações de cada site na IU da Web do Tableau Server. Após a configuração do servidor para suportar o SAML de site, continue a Configurar SAML para um site, para trabalhar com as configurações na guia Autenticação.
Se as alterações pendentes exigirem uma reinicialização do servidor, o comando pending-changes apply
exibirá um prompt para que você saiba que ocorrerá uma reinicialização. Esse prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt
, mas isso não altera o comportamento de reinicialização. Se as alterações não exigirem uma reinicialização, elas serão aplicadas sem um prompt. Para obter mais informações, consulte tsm pending-changes apply.
Caso queira analisar os comandos e as configurações que serão usadas ao executar pending-changes apply
, execute o comando a seguir antes:
tsm pending-changes list --config-only
Esta seção o guia pelas etapas de configuração que aparecem na guia Autenticação, na página Configurações do Tableau Server.
Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.