Konfigurera serveromfattande SAML

Konfigurera SAML för hela servern när du vill att alla SSO-användare på Tableau Server ska autentisera sig via en enda SAML-identitetsprovider (IdP), eller som det första steget för att konfigurera platsspecifik SAML i en miljö med flera platser.

Om du har konfigurerat serveromfattande SAML och är redo att konfigurera en plats, se Konfigurera platsspecifik SAML.

De SAML-konfigurationssteg vi tillhandahåller gör följande antaganden:

  • Du känner till alternativen för att konfigurera SAML-autentisering på Tableau Server, som beskrivs i ämnet SAML.

  • Du har verifierat att din miljö uppfyller SAML-krav och har erhållit SAML-certifikatfilerna som beskrivs i dessa krav.

Innan du börjar

Vi rekommenderar vi att du behåller en säkerhetskopia av certifikat- och IdP-filer på en säker plats utanför Tableau Server som en del av din plan för haverihantering. De SAML-resurssfiler du laddar upp till Tableau Server kommer att lagras och distribueras till andra noder av klientfiltjänsten. Dessa filer lagras dock inte i ett återställningsbart format. Läs mer i Klientfiltjänst (CFS) för Tableau Server.

Obs! Om du använder samma certifikatfiler för SSL kan du även använda den befintliga certifikatplatsen för att konfigurera SAML och lägga till IdP-metadatafilen i den katalogen när du hämtar den senare i denna procedur. Mer information finns i Använda SSL-certifikat och nyckelfiler för SAML i SAML-kraven.

Om du kör Tableau Server i ett kluster kommer SAML-certifikat, nycklar och metadatafilen distribueras automatiskt över noderna när du aktiverar SAML.

Denna procedur kräver att du laddar upp SAML-certifikaten till TSM så att de lagras och distribueras korrekt i serverkonfigurationen. SAML-filerna måste finns tillgängliga för webbläsaren på den lokala datorn där du kör TSM-webbgränssnittet i denna procedur.

Om du har samlat och sparat SAML-filerna till Tableau Server som rekommenderas i föregående avsnitt kör du sedan TSM-webbgränssnittet från den Tableau Server-dator du kopierade filerna från.

Om du kör TSM-webbgränssnittet från en annan dator måste du kopiera alla SAML-filer lokalt innan du fortsätter. När du följer proceduren nedan bläddrar du till filerna på den lokala datorn för att ladda upp dem till TSM.

  1. Öppna TSM i en webbläsare:

    https://<tsm-computer-name>:8850. Du hittar mer information i Logga in på webbgränssnittet för Tableau Services Manager.

  2. Välj Användaridentitet och åtkomst på fliken Konfiguration och välj sedan fliken Autentiseringsmetod.

    Inställningar för användarautentisering i Tableau Services Manager

  3. Som Autentiseringsmetod väljer du SAML.

  4. I SAML-avsnittet som visas, slutför steg 1 i det grafiska gränssnittet och ange följande inställningar (markera inte kryssrutan ännu för att aktivera SAML för servern):

    • Retur-URL för Tableau Server – Den URL som användarna av Tableau Server kommer att få åtkomst till, till exempel https://tableau-server.

      Att använda https://localhost eller en URL med ett efterföljande snedstreck (till exempel http://tableau_server/) stöds inte.

    • SAML-entitets-ID – Entitets-ID identifierar unikt din Tableau Server-installation till IdP.

      Du kan ange din Tableau Server-webbadress igen här. Om du planerar att aktivera platsspecifik SAML senare fungerar även denna webbadress som bas för unikt ID för varje webbplats.

    • SAML-certifikat och nyckelfiler – Klicka på Välj fil för att ladda upp var och en av dessa filer.

      Om du använder en PKCS# 8-nyckelfil som är skyddad med en lösenordsfras måste du ange lösenordsfrasen med TSM CLI:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      När du har lämnat informationen som krävs i steg 1 i det grafiska användargränssnittet blir knappen Ladda ner XML-metadatafil i steg 2 i det grafiska användargränssnittet tillgänglig.

  5. Markera nu kryssrutan Aktivera SAML-autentisering för servern ovanför steg 1 i det grafiska gränssnittet.

  6. Slutför återstående SAML-inställningar.

    1. Byt ut metadata mellan Tableau Server och identitetsprovidern för steg 2 och 3 i det grafiska användargränssnittet. (Här kan du behöva kontrollera dokumentationen för identitetsprovidern).

      Välj Hämta XML-metadatafil och ange filsökvägen.

      Om du konfigurerar SAML med AD FS kan du gå tillbaka till Steg 3: Konfigurera AD FS för att acceptera inloggningsförfrågningar från Tableau Server till ”Konfigurera SAML med AD FS på Tableau Server”.

      För andra identitetsprovider, gå till ditt IDP-konto för att lägga till Tableau Server till dess program (som tjänsteleverantör) och ange lämplig Tableau-metadata.

      Följ anvisningarna på identitetsproviderns webbplats eller dokumentation för att ladda ner IdP-metadata. Spara .xml-filen på samma plats där ditt SAML-certifikat och dina nyckelfiler finns. Till exempel:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. Återgå till webbgränssnittet för TSM. För steg 4 i det grafiska gränssnittet anger du sökvägen till IdP-metadatafilen och klickar sedan på Välj fil.

      Skärmdump som visar det område i TMS-användargränssnittet där du laddar upp SAML-metadata för identitetsleverantören

    3. För steg 5 det grafiska gränssnittet: I vissa fall kanske du måste ändra kontrollvärdena i Tableau Server-konfigurationen för att matcha de kontrollnamn som skickas av din IdP.

      Du hittar namnen på intygen i identitetsleverantörens SAML-konfiguration. Om andra intygsnamn skickas från identitetsleverantören måste du uppdatera Tableau Server så att samma intygsvärde används där.

      Tips: ”Intyg” är en viktig komponent i SAML, och i början kan det vara svårt att förstå vad det betyder att mappa intyg. Det kan vara lättare att förstå begreppet om vi sätter det i kontexten av en datatabell, där intygets namn (attributet) motsvarar en kolumnrubrik i tabellen. Du anger namnet på ”rubriken” i stället för ett exempel på ett värde som kan förekomma i kolumnen.

    4. För steg 6 i det grafiska gränssnittet väljer du de Tableau-program där du vill tillhandahålla enkel inloggning för användarna.

      Obs! Alternativet att inaktivera mobil åtkomst ignoreras av enheter som kör Tableau Mobile-appen version 19.225.1731 och senare. Om du vill inaktivera SAML för enheter som kör dessa versioner måste du inaktivera SAML som klientinloggningsalternativ i Tableau Server.

    5. För omdirigering av SAML-utloggning, om din identitetsprovider stöder enkel utloggning (SLO), anger du sidan du vill omdirigera användare till efter att de har loggat ut i förhållande till sökvägen du angav för Tableau Server retur-URL:en.

    6. (Valfritt) För steg 7 i det grafiska användargränssnittet gör du följande:

  7. Klicka på Spara väntande ändringar när du har angett konfigurationsinformationen.

  8. Klicka på Väntande ändringar längst upp på sidan:

  9. Klicka på Tillämpa ändringarna och starta om.

Testa konfigurationen

  1. Öppna en ny sida eller flik i webbläsaren och ange webbadressen för Tableau Server.

    Webbläsaren omdirigerar dig till IdP-inloggningsformuläret.

  2. Ange användarnamn och lösenord för enkel inloggning.

    Identitetsprovidern verifierar dina inloggningsuppgifter och omdirigerar dig tillbaka till din startsida Tableau Server.