กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์เมื่อคุณต้องการให้ผู้ใช้การลงชื่อเพียงครั้งเดียว (SSO) ทุกคนใน Tableau Server ให้ตรวจสอบสิทธิ์ผ่านผู้ให้บริการระบุตัวตน (IdP) SAML หรือเป็นขั้นตอนแรกในการกำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์ในสภาพแวดล้อมหลายไซต์
หากคุณได้กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์และพร้อมที่จะกำหนดค่าไซต์แล้ว ให้ดูที่ กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์.
ขั้นตอนการกำหนดค่า SAML ที่เรามีให้จะทำการอนุมานดังนี้:
คุณมีความคุ้นเคยอยู่แล้วกับตัวเลือกต่างๆ ในการกำหนดค่าการตรวจสอบสิทธิ์ SAML ใน Tableau Server ตามที่อธิบายไว้ในหัวข้อ SAML
คุณได้ตรวจสอบยืนยันแล้วว่าสภาพแวดล้อมของคุณเป็นไปตาม ข้อกำหนดของ SAML และรับไฟล์ใบรับรอง SAML ที่อธิบายไว้ในข้อกำหนดเหล่านั้น
ก่อนที่คุณจะเริ่มต้น
เพื่อเป็นขั้นตอนหนึ่งในแผนการกู้คืนในกรณีภัยพิบัติ เราขอแนะนำให้เก็บการสำรองข้อมูลใบรับรองและไฟล์ IdP ในตำแหน่งที่ปลอดภัยภายนอก Tableau Server ไฟล์เนื้อหา SAML ที่คุณอัปโหลดไปยัง Tableau Server จะจัดเก็บและกระจายไปยังโหนดอื่นๆ โดยบริการไฟล์ไคลเอ็นต์ อย่างไรก็ตาม ไฟล์เหล่านี้จะไม่ถูกจัดเก็บในรูปแบบที่สามารถกู้คืนได้ โปรดดู บริการไฟล์ไคลเอ็นต์ของ Tableau Server
หมายเหตุ: หากคุณใช้ไฟล์ใบรับรองเดียวกันสำหรับ SSL คุณสามารถใช้ตำแหน่งเดียวกันกับใบรับรองที่มีอยู่เพื่อกำหนดค่า SAML และเพิ่มไฟล์ข้อมูลเมตา IdP ไปยังไดเรกทอรีดังกล่าวเมื่อคุณดาวน์โหลดภายหลังในกระบวนการนี้ หากต้องการข้อมูลเพิ่มเติม โปรดดู การใช้ใบรับรอง SSL และไฟล์สำคัญสำหรับ SAML ในข้อกำหนด SAML
หากคุณเรียกใช้ Tableau Server ในคลัสเตอร์ ใบรับรอง คีย์ และไฟล์ข้อมูลเมตา SAML จะกระจายโดยอัตโนมัติไปยังโหนดต่างๆ เมื่อคุณเปิดใช้งาน SAML
กระบวนการนี้กำหนดให้คุณต้องอัปโหลดใบรับรอง SAML ไปยัง TSM เพื่อให้นำไปจัดเก็บและกระจายอย่างถูกต้องในการกำหนดค่าเซิร์ฟเวอร์ ไฟล์ SAML จะต้องพร้อมใช้งานสำหรับเบราว์เซอร์ในคอมพิวเตอร์ภายในเมื่อคุณเรียกใช้อินเทอร์เฟซเว็บ TSM ในกระบวนการนี้
หากคุณได้รวบรวมและบันทึกไฟล์ SAML ไปยัง Tableau Server ตามที่แนะนำในหมวดก่อนหน้านี้ ให้เรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์ Tableau Server ที่คุณคัดลอกไฟล์
หากคุณเรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์เครื่องอื่น คุณก็จะต้องคัดลอกไฟล์ SAML ทั้งหมดไว้ในเครื่องก่อนดำเนินการต่อ ขณะที่คุณดำเนินตามกระบวนการด้านล่าง ให้เรียกดูไฟล์ในคอมพิวเตอร์ภายในเพื่ออัปโหลดไปยัง TSM
เปิด TSM ในเบราว์เซอร์:
https://<tsm-computer-name>:8850. หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI
บนแท็บการกำหนดค่า ให้เลือกข้อมูลประจำตัวผู้ใช้และการเข้าถึง แล้วเลือกแท็บเมธอดการตรวจสอบสิทธิ์
สำหรับเมธอดการตรวจสอบสิทธิ์ ให้เลือก SAML
ในหมวด SAML ที่ปรากฎขึ้น ให้ทำขั้นตอนที่ 1 ใน GUI ให้เสร็จสิ้นแล้วป้อนการตั้งค่าต่อไปนี้ (อย่าเพิ่งเลือกกล่องทำเครื่องหมายเพื่อเปิดใช้งาน SAML สำหรับเซิร์ฟเวอร์):
URL การส่งคืนของ Tableau Server— URL ที่ผู้ใช้ Tableau Server จะเข้าถึง เช่น https://tableau-server
โดยจะไม่รองรับการใช้ https://localhost หรือ URL ที่มีเครื่องหมายทับต่อท้าย (เช่น http://tableau_server/)
ID เอนทิตี SAML—ID เอนทิตีที่ระบุการติดตั้ง Tableau Server ของคุณแบบไม่ซ้ำไปยัง IdP
คุณสามารถป้อน URL Tableau Server ของคุณอีกครั้งได้ที่นี่ หากคุณวางแผนที่จะเปิดใช้งาน SAML ที่เฉพาะเจาะจงสำหรับไซต์ภายหลัง URL นี้ก็จะทำหน้าที่เป็นฐานสำหรับ ID ที่ไม่ซ้ำของแต่ละไซต์เช่นกัน
ไฟล์ใบรับรองและคีย์ของ SAML— คลิก เลือกไฟล์ เพื่ออัปโหลดแต่ละไฟล์เหล่านี้
หากคุณกำลังใช้ไฟล์คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านด้วย CLI ของ TSM ดังนี้:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
หลังจากที่คุณให้ข้อมูลที่จำเป็นในขั้นตอนที่ 1 ใน GUI แล้ว ปุ่ม ดาวน์โหลดไฟล์ข้อมูลเมตา XML ในขั้นตอนที่ 2 ใน GUI จะพร้อมใช้งาน
ต่อไปให้เลือกกล่องทำเครื่องหมาย เปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับเซิร์ฟเวอร์ ด้านบนขั้นตอนที่ 1 ใน GUI
ดำเนินการตั้งค่า SAML ที่เหลือให้เสร็จสิ้น
สำหรับขั้นตอนที่ 2 และ 3 ใน GUI ให้แลกเปลี่ยนข้อมูลเมตาระหว่าง Tableau Server กับ IdP (ต่อไปนี้เป็นจุดที่คุณควรตรวจสอบกับเอกสารประกอบของ IdP)
เลือก ดาวน์โหลดไฟล์ข้อมูลเมตา XML และระบุตำแหน่งของไฟล์
หากคุณกำลังกำหนดค่า SAML ด้วย AD FS, คุณสามารถกลับไปที่ ขั้นตอนที่ 3: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Server ของ “กำหนดค่า SAML ด้วย AD FS ใน Tableau Server”
สำหรับ IdP อื่นๆ ให้ไปยังบัญชี IdP ของคุณเพื่อเพิ่ม Tableau Server ไปยังแอปพลิเคชัน (ในฐานะผู้ให้บริการ) และระบุข้อมูลเมตา Tableau ตามความเหมาะสม
ทำตามคำแนะนำในเว็บไซต์หรือเอกสารประกอบของ IdP เพื่อดาวน์โหลดข้อมูลเมตาของ IdP บันทึกไฟล์ .xml ไปยังตำแหน่งเดียวกันที่เก็บไฟล์ใบรับรองและคีย์ SAML ของคุณไว้ ตัวอย่าง:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml
กลับไปยัง UI เว็บของ TSM สำหรับขั้นตอนที่ 4 ใน GUI ให้ป้อนพาธไปยังไฟล์ข้อมูลเมตา IdP แล้วคลิก เลือกไฟล์
สำหรับขั้นตอนที่ 5 ใน GUI: ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง
คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน
เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น
สำหรับขั้นตอนที่ 6 ใน GUI ให้เลือกแอปพลิเคชัน Tableau ที่คุณต้องการมอบประสบการณ์การลงชื่อเพียงครั้งเดียวแก่ผู้ใช้
หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือกในการปิดใช้งานการเข้าถึงแบบพกพา หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server
สำหรัการเปลี่ยนเส้นทางการออกจากระบบ SAML หาก IdP ของคุณรองรับการออกจากระบบเพียงครั้งเดียว (SLO) ให้ป้อนหน้าที่คุณต้องการเปลี่ยนเส้นทางผู้ใช้หลังจากที่ผู้ใช้ออกจากระบบ ซึ่งเกี่ยวข้องกันกับพาธที่คุณป้อนสำหรับ URL การส่งคืนของ Tableau Server
(ไม่บังคับ) สำหรับขั้นตอนที่ 7 ใน GUI ให้ดำเนินการต่อไปนี้:
เพิ่มค่าที่คั่นด้วยจุลภาคสำหรับแอตทริบิวต์
AuthNContextClassRef
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้แอตทริบิวต์นี้ โปรดดู บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAMLระบุแอตทริบิวต์โดเมนหากไม่ได้ส่งโดเมนเป็นส่วนหนึ่งของชื่อผู้ใช้ (เช่น
domain\username
) หากต้องการข้อมูลเพิ่มเติม โปรดดู เมื่อใช้งานหลายโดเมน
คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ หลังจากที่คุณได้ป้อนข้อมูลการกำหนดค่าแล้ว
คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:
คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท
ในเว็บเบราว์เซอร์ของคุณ ให้เปิดหน้าหรือแท็บใหม่แล้วป้อน URL Tableau Server
เบราว์เซอร์จะเปลี่ยนเส้นทางคุณไปยังฟอร์มการเข้าสู่ระบบของ IdP
ป้อนชื่อผู้ใช้และรหัสผ่านการลงชื่อเพียงครั้งเดียว
IdP จะตรวจสอบยืนยันข้อมูลเข้าสู่ระบบของคุณและเปลี่ยนเส้นทางให้คุณกลับมาที่หน้าเริ่มต้น Tableau Server ของคุณ