กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์


กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์เมื่อคุณต้องการให้ผู้ใช้การลงชื่อเพียงครั้งเดียว (SSO) ทุกคนใน Tableau Server ให้ตรวจสอบสิทธิ์ผ่านผู้ให้บริการระบุตัวตน (IdP) SAML หรือเป็นขั้นตอนแรกในการกำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์ในสภาพแวดล้อมหลายไซต์

หากคุณได้กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์และพร้อมที่จะกำหนดค่าไซต์แล้ว ให้ดูที่ กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์.

ขั้นตอนการกำหนดค่า SAML ที่เรามีให้จะทำการอนุมานดังนี้:

  • คุณมีความคุ้นเคยอยู่แล้วกับตัวเลือกต่างๆ ในการกำหนดค่าการตรวจสอบสิทธิ์ SAML ใน Tableau Server ตามที่อธิบายไว้ในหัวข้อ SAML

  • คุณได้ตรวจสอบยืนยันแล้วว่าสภาพแวดล้อมของคุณเป็นไปตาม ข้อกำหนดของ SAML และรับไฟล์ใบรับรอง SAML ที่อธิบายไว้ในข้อกำหนดเหล่านั้น

ก่อนที่คุณจะเริ่มต้น

เพื่อเป็นขั้นตอนหนึ่งในแผนการกู้คืนในกรณีภัยพิบัติ เราขอแนะนำให้เก็บการสำรองข้อมูลใบรับรองและไฟล์ IdP ในตำแหน่งที่ปลอดภัยภายนอก Tableau Server ไฟล์เนื้อหา SAML ที่คุณอัปโหลดไปยัง Tableau Server จะจัดเก็บและกระจายไปยังโหนดอื่นๆ โดยบริการไฟล์ไคลเอ็นต์ อย่างไรก็ตาม ไฟล์เหล่านี้จะไม่ถูกจัดเก็บในรูปแบบที่สามารถกู้คืนได้ โปรดดู บริการไฟล์ไคลเอ็นต์ของ Tableau Server

หมายเหตุ: หากคุณใช้ไฟล์ใบรับรองเดียวกันสำหรับ SSL คุณสามารถใช้ตำแหน่งเดียวกันกับใบรับรองที่มีอยู่เพื่อกำหนดค่า SAML และเพิ่มไฟล์ข้อมูลเมตา IdP ไปยังไดเรกทอรีดังกล่าวเมื่อคุณดาวน์โหลดภายหลังในกระบวนการนี้ หากต้องการข้อมูลเพิ่มเติม โปรดดู การใช้ใบรับรอง SSL และไฟล์สำคัญสำหรับ SAML ในข้อกำหนด SAML

หากคุณเรียกใช้ Tableau Server ในคลัสเตอร์ ใบรับรอง คีย์ และไฟล์ข้อมูลเมตา SAML จะกระจายโดยอัตโนมัติไปยังโหนดต่างๆ เมื่อคุณเปิดใช้งาน SAML

กระบวนการนี้กำหนดให้คุณต้องอัปโหลดใบรับรอง SAML ไปยัง TSM เพื่อให้นำไปจัดเก็บและกระจายอย่างถูกต้องในการกำหนดค่าเซิร์ฟเวอร์ ไฟล์ SAML จะต้องพร้อมใช้งานสำหรับเบราว์เซอร์ในคอมพิวเตอร์ภายในเมื่อคุณเรียกใช้อินเทอร์เฟซเว็บ TSM ในกระบวนการนี้

หากคุณได้รวบรวมและบันทึกไฟล์ SAML ไปยัง Tableau Server ตามที่แนะนำในหมวดก่อนหน้านี้ ให้เรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์ Tableau Server ที่คุณคัดลอกไฟล์

หากคุณเรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์เครื่องอื่น คุณก็จะต้องคัดลอกไฟล์ SAML ทั้งหมดไว้ในเครื่องก่อนดำเนินการต่อ ขณะที่คุณดำเนินตามกระบวนการด้านล่าง ให้เรียกดูไฟล์ในคอมพิวเตอร์ภายในเพื่ออัปโหลดไปยัง TSM

  1. เปิด TSM ในเบราว์เซอร์:

    https://<tsm-computer-name>:8850. หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI

  2. บนแท็บการกำหนดค่า ให้เลือกข้อมูลประจำตัวผู้ใช้และการเข้าถึง แล้วเลือกแท็บเมธอดการตรวจสอบสิทธิ์

    การตั้งค่าการตรวจสอบสิทธิ์ผู้ใช้ Tableau Services Manager

  3. สำหรับเมธอดการตรวจสอบสิทธิ์ ให้เลือก SAML

  4. ในหมวด SAML ที่ปรากฎขึ้น ให้ทำขั้นตอนที่ 1 ใน GUI ให้เสร็จสิ้นแล้วป้อนการตั้งค่าต่อไปนี้ (อย่าเพิ่งเลือกกล่องทำเครื่องหมายเพื่อเปิดใช้งาน SAML สำหรับเซิร์ฟเวอร์):

    • URL การส่งคืนของ Tableau Server— URL ที่ผู้ใช้ Tableau Server จะเข้าถึง เช่น https://tableau-server

      โดยจะไม่รองรับการใช้ https://localhost หรือ URL ที่มีเครื่องหมายทับต่อท้าย (เช่น http://tableau_server/)

    • ID เอนทิตี SAML—ID เอนทิตีที่ระบุการติดตั้ง Tableau Server ของคุณแบบไม่ซ้ำไปยัง IdP

      คุณสามารถป้อน URL Tableau Server ของคุณอีกครั้งได้ที่นี่ หากคุณวางแผนที่จะเปิดใช้งาน SAML ที่เฉพาะเจาะจงสำหรับไซต์ภายหลัง URL นี้ก็จะทำหน้าที่เป็นฐานสำหรับ ID ที่ไม่ซ้ำของแต่ละไซต์เช่นกัน

    • ไฟล์ใบรับรองและคีย์ของ SAML— คลิก เลือกไฟล์ เพื่ออัปโหลดแต่ละไฟล์เหล่านี้

      หากคุณกำลังใช้ไฟล์คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านด้วย CLI ของ TSM ดังนี้:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      หลังจากที่คุณให้ข้อมูลที่จำเป็นในขั้นตอนที่ 1 ใน GUI แล้ว ปุ่ม ดาวน์โหลดไฟล์ข้อมูลเมตา XML ในขั้นตอนที่ 2 ใน GUI จะพร้อมใช้งาน

  5. ต่อไปให้เลือกกล่องทำเครื่องหมาย เปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับเซิร์ฟเวอร์ ด้านบนขั้นตอนที่ 1 ใน GUI

  6. ดำเนินการตั้งค่า SAML ที่เหลือให้เสร็จสิ้น

    1. สำหรับขั้นตอนที่ 2 และ 3 ใน GUI ให้แลกเปลี่ยนข้อมูลเมตาระหว่าง Tableau Server กับ IdP (ต่อไปนี้เป็นจุดที่คุณควรตรวจสอบกับเอกสารประกอบของ IdP)

      เลือก ดาวน์โหลดไฟล์ข้อมูลเมตา XML และระบุตำแหน่งของไฟล์

      หากคุณกำลังกำหนดค่า SAML ด้วย AD FS, คุณสามารถกลับไปที่ ขั้นตอนที่ 3: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Server ของ “กำหนดค่า SAML ด้วย AD FS ใน Tableau Server”

      สำหรับ IdP อื่นๆ ให้ไปยังบัญชี IdP ของคุณเพื่อเพิ่ม Tableau Server ไปยังแอปพลิเคชัน (ในฐานะผู้ให้บริการ) และระบุข้อมูลเมตา Tableau ตามความเหมาะสม

      ทำตามคำแนะนำในเว็บไซต์หรือเอกสารประกอบของ IdP เพื่อดาวน์โหลดข้อมูลเมตาของ IdP บันทึกไฟล์ .xml ไปยังตำแหน่งเดียวกันที่เก็บไฟล์ใบรับรองและคีย์ SAML ของคุณไว้ ตัวอย่าง:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. กลับไปยัง UI เว็บของ TSM สำหรับขั้นตอนที่ 4 ใน GUI ให้ป้อนพาธไปยังไฟล์ข้อมูลเมตา IdP แล้วคลิก เลือกไฟล์

      ภาพหน้าจอที่ไฮไลต์พื้นที่ของ TSM UI ที่คุณอัปโหลดข้อมูลเมตา SAML IDP

    3. สำหรับขั้นตอนที่ 5 ใน GUI: ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง

      คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน

      เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น

    4. สำหรับขั้นตอนที่ 6 ใน GUI ให้เลือกแอปพลิเคชัน Tableau ที่คุณต้องการมอบประสบการณ์การลงชื่อเพียงครั้งเดียวแก่ผู้ใช้

      หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือกในการปิดใช้งานการเข้าถึงแบบพกพา หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server

    5. สำหรัการเปลี่ยนเส้นทางการออกจากระบบ SAML หาก IdP ของคุณรองรับการออกจากระบบเพียงครั้งเดียว (SLO) ให้ป้อนหน้าที่คุณต้องการเปลี่ยนเส้นทางผู้ใช้หลังจากที่ผู้ใช้ออกจากระบบ ซึ่งเกี่ยวข้องกันกับพาธที่คุณป้อนสำหรับ URL การส่งคืนของ Tableau Server

    6. (ไม่บังคับ) สำหรับขั้นตอนที่ 7 ใน GUI ให้ดำเนินการต่อไปนี้:

  7. คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ หลังจากที่คุณได้ป้อนข้อมูลการกำหนดค่าแล้ว

  8. คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:

  9. คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท

ก่อนที่คุณจะเริ่มต้น

ก่อนที่จะเริ่มต้น ให้ตรวจสอบสิ่งต่อไปนี้:

  • ไปยังเว็บไซต์หรือแอปพลิเคชันของ IdP ของคุณ และส่งออกไฟล์ XML ข้อมูลเมตาของ IdP

    ยืนยันว่า XML ข้อมูลเมตาจาก IdP มีองค์ประกอบ SingleSignOnService ซึ่งมีการตั้งค่าการผูกโยงเป็น HTTP-POST ตามตัวอย่างต่อไปนี้:

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

  • รวบรวมไฟล์ใบรับรองและนำไปไว้ใน Tableau Server

    ในโฟลเดอร์ Tableau Server สร้างโฟลเดอร์ใหม่ที่ชื่อว่า SAML และนำสำเนาของไฟล์ใบรับรอง SAML ไปไว้ในโฟลเดอร์ดังกล่าว ตัวอย่าง:

    C:\Program Files\Tableau\Tableau Server\SAML

    นี่คือตำแหน่งที่แนะนำเนื่องจากบัญชีผู้ใช้ที่เรียกใช้ Tableau Server มีสิทธิ์ที่จำเป็นต่อการเข้าถึงโฟลเดอร์นี้

ขั้นตอนที่ 1: กำหนดค่า URL ส่งคืน, ID เอนทิตี SAML และระบุไฟล์ใบรับรองและคีย์

  1. เปิดเชลล์ข้อความแจ้งคำสั่งและกำหนดค่าการตั้งค่า SAML สำหรับเซิร์ฟเวอร์ (แทนค่าตัวยึดตำแหน่งด้วยพาธสภาพแวดล้อมและชื่อไฟล์)

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"

    หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm authentication saml configure

  2. หากคุณกำลังใช้คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านดังนี้:

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. หากไม่ได้เปิดใช้งาน SAML ไว้ใน Tableau Server เช่น คุณทำการกำหนดค่าเป็นครั้งแรกหรือคุณได้ปิดใช้งานไว้ ให้เปิดใช้งานตอนนี้เลย:

    tsm authentication saml enable

  4. ปรับใช้การเปลี่ยนแปลง:

    tsm pending-changes apply

    หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ขั้นตอนที่ 2: สร้างข้อมูลเมตา Tableau Server และกำหนดค่า IdP

  1. เรียกใช้คำสั่งต่อไปนี้เพื่อสร้างไฟล์ข้อมูลเมตา XML ที่จำเป็นสำหรับ Tableau server

    tsm authentication saml export-metadata -f <file-name.xml>

    คุณสามารถระบุชื่อไฟล์หรือละพารามิเตอร์ -f เพื่อสร้างไฟล์ที่เป็นค่าเริ่มต้นที่ชื่อว่า samlmetadata.xml

  2. ในเว็บไซต์ IdP ของคุณหรือในแอปพลิเคชัน:

    • เพิ่ม Tableau Server เป็นผู้ให้บริการ

      อ้างอิงเอกสารประกอบของ IdP ของคุณเพื่อดูวิธีในการทำเช่นนี้ โดยส่วนหนึ่งของกระบวนการในการกำหนดค่า Tableau Server ให้เป็นผู้ให้บริการ คุณจะต้องนำเข้าไฟล์ข้อมูลเมตา Tableau Server ที่คุณสร้างจากคำสั่ง export-metadata

    • ยืนยันว่า IdP ของคุณใช้ username เป็นแอตทริบิวต์เพื่อตรวจสอบยืนยันผู้ใช้

ขั้นตอนที่ 3: จับคู่การยืนยัน

ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง

คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน

เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น

ตารางต่อไปนี้แสดงค่าการยืนยันที่เป็นค่าเริ่มต้นและคีย์การกำหนดค่าที่เก็บค่าดังกล่าว

การยืนยันค่าเริ่มต้นคีย์
ชื่อผู้ใช้usernamewgserver.saml.idpattribute.username
ชื่อที่แสดงdisplayName

Tableau ไม่รองรับประเภทแอตทริบิวต์นี้

อีเมลemail

Tableau ไม่รองรับประเภทแอตทริบิวต์นี้

โดเมน(ไม่ได้แมปไว้โดยค่าเริ่มต้น)wgserver.saml.idpattribute.domain

วิธีการเปลี่ยนค่าที่มีให้ ให้เรียกใช้คำสั่ง tsm configuration set พร้อมคู่คีย์ค่าที่เหมาะสม

ตัวอย่างเช่น หากต้องการเปลี่ยนการยืนยัน username ให้เป็นค่า name ให้เรียกใช้คำสั่งต่อไปนี้:

tsm configuration set -k wgserver.saml.idpattribute.username -v name

tsm pending-changes apply

หรือคุณสามารถใช้คำสั่ง tsm authentication saml map-assertions เพื่อเปลี่ยนค่าที่มีให้

เช่น วิธีการเปลี่ยนการยืนยันโดเมนให้เป็นค่าที่ชื่อว่า domain และระบุค่าให้เป็น "example.myco.com" ให้เรียกใช้คำสั่งต่อไปนี้:

tsm authentication saml map-assertions --domain example.myco.com

tsm pending-changes apply

ไม่บังคับ: ปิดใช้งานประเภทไคลเอ็นต์จากการใช้ SAML

โดยค่าเริ่มต้น ทั้ง Tableau Desktop และแอป Tableau Mobile จะอนุญาตการตรวจสอบสิทธิ์ SAML

หาก IdP ของคุณไม่รองรับฟังก์ชันนี้ คุณสามารถปิดใช้งานการเข้าสู่ระบบ SAML สำหรับไคลเอ็นต์ Tableau ด้วยการใช้คำสั่งต่อไปนี้:

tsm authentication saml configure --desktop-access disable

tsm authentication saml configure --mobile-access disable

หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือก --mobile-access disable หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server

tsm pending-changes apply

ไม่บังคับ: เพิ่มค่า AuthNContextClassRef

เพิ่มค่าที่คั่นด้วยจุลภาคสำหรับแอตทริบิวต์ AuthNContextClassRef หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้แอตทริบิวต์นี้ โปรดดู บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML

วิธีการตั้งค่าแอตทริบิวต์นี้ ให้เรียกใช้คำสั่งต่อไปนี้:

tsm configuration set -k wgserver.saml.authcontexts -v <value>

tsm pending-changes apply

ทดสอบการกำหนดค่า

  1. ในเว็บเบราว์เซอร์ของคุณ ให้เปิดหน้าหรือแท็บใหม่แล้วป้อน URL Tableau Server

    เบราว์เซอร์จะเปลี่ยนเส้นทางคุณไปยังฟอร์มการเข้าสู่ระบบของ IdP

  2. ป้อนชื่อผู้ใช้และรหัสผ่านการลงชื่อเพียงครั้งเดียว

    IdP จะตรวจสอบยืนยันข้อมูลเข้าสู่ระบบของคุณและเปลี่ยนเส้นทางให้คุณกลับมาที่หน้าเริ่มต้น Tableau Server ของคุณ

ย้อนกลับไปด้านบน
ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ