Felsöka SAML
Det här ämnet innehåller information om hur du löser problem som kan uppstå när SAML-autentisering konfigureras.
SAML och aktivera automatisk inloggning
Om du använder SAML och om Tableau Server även har konfigurerats att använda Active Directory ska du inte välja Aktivera automatisk inloggning också. Aktivera automatisk inloggning och SAML kan inte användas tillsammans på samma serverinstallation.
HTTP-status 500-fel vid konfiguration av SAML
Under vissa omständigheter kan du få ett HTTP-status 500-fel och se följande fel när du har aktiverat SAML och navigerat till Tableau Server.URL:en i en webbläsare:
org.opensaml.saml2.metadata.provider.MetadataProviderException: User specified binding is not supported
by the Identity Provider using profile urn:oasis:names:tc:SAML:2.0:profiles:SSO:browser
Kontrollera följande för att åtgärda detta fel:
Att IdP-adressen för enkel inloggning-profilen som anges på SAML-fliken stämmer.
Att IdP-adressen för enkel inloggning-profilen som angavs när tjänsteleverantören skapades i IdP stämmer.
Att IdP har konfigurerats för att använda
HTTP-POST
-förfrågningar. (Omdirigering och SOAP stöds inte.)
Om någon av dessa inställningar var felaktiga gör du tillämpliga uppdateringar och utför sedan stegen för SAML-konfiguration igen. Börja med att generera och exportera XML-metadatadokumentet från Tableau Server.
Om dessa inställningar stämmer men felet fortfarande visas ska du granska XML-metadata som produceras av Tableau Server och IdP, enligt beskrivningen i SAML-krav.
Logga in från kommandoraden
SAML används inte för autentisering när du loggar in på Tableau Server via tabcmd eller Tableau Data Extract command line utility(Länken öppnas i ett nytt fönster) (som medföljer Tableau Desktop), även om Tableau Server har konfigurerats för att använda SAML. För dessa verktyg krävs den autentisering som konfigurerades när Tableau Server ursprungligen installerades (antingen lokal autentisering eller AD).
Inloggningsfel: användaren hittades inte
Inloggningsfel med följande meddelande:
>Login failure: Identity Provider authentication successful for user <username from IdP>. Failed to find the user in Tableau Server.
Detta fel innebär vanligtvis att de användarnamn som lagras i Tableau Server och de som tillhandahålls av IdP inte stämmer överens. Säkerställ att de matchar när du ska åtgärda detta. Om till exempel Jane Smiths användarnamn lagras som jsmith
i IdP måste det lagras som jsmith
i Tableau Server.
Inloggningsfel: SSL-avlastning
Inloggningsfel med följande meddelande:
Unable to Sign In - Invalid username or password.
Dessutom innehåller vizportal-loggarna (inställda på debug
-läge) följande meddelande:
DEBUG com.tableau.core.util.RemoteIP - Found header null in X-FORWARDED-PROTO
Obs! För att loggföra SAML-relaterade händelser måste vizportal.log.level
ställas in på debug
. Du hittar mer information i Ändra loggningsnivåer.
Den här kombinationen av meddelanden anger en felaktig konfiguration av en extern proxyserver som avlastar SSL för anslutningen till Tableau Server. Läs KB-artikeln ”Unable to Sign In” and ”Invalid username or password” Error With SAML After Upgrading(Länken öppnas i ett nytt fönster).
SAML-fellogg
SAML-autentisering sker utanför Tableau Server, så det kan vara svårt att felsöka autentiseringsproblem. Inloggningsförsök loggas dock av Tableau Server. Du kan skapa en ögonblicksbild av loggfiler och använda dem när du ska felsöka problem. Mer information finns i Ögonblicksbilder av loggfiler (arkivloggar).
Obs! För att loggföra SAML-relaterade händelser måste vizportal.log.level
ställas in på debug
. Du hittar mer information i Ändra loggningsnivåer.
Kontrollera om det finns SAML-fel i följande filer i den uppackade loggfilens ögonblicksbild:
\vizportal\vizportal-<n>.log
Applikationsprocessen (vizportal.exe) hanterar autentisering, så SAML-svar loggas av den processen.
Efterföljande snedstreck
På SAML-fliken bekräftar du att Retur-URL:en i Tableau Server inte slutar med ett efterföljande snedstreck
Rätt: http://tableau_server
Fel: http://tableau_server/
Bekräfta anslutningen
Bekräfta att den Tableau Server du konfigurerar antingen har en ruttbar IP-adress eller NAT i brandväggen som tillåter dubbelriktad trafik direkt till servern.
Du kan testa anslutningen genom att köra telnet på Tableau Server och försöka ansluta till SAML IdP. Exempel: C:\telnet 12.360.325.10 80
Ovanstående test bör ansluta dig till HTTP-porten (80) på IdP och du bör få ett HTTP-huvud.
Flera domäner
På SAML-fliken bekräftar du att attributet Tableau Server Domän kommer att upptäcka domänen i formatet domain\username
i SAML-påståendet genom att lämna det tomt.
Korrekt: <tomt>
Felaktigt: dindomän.se