กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์เมื่อคุณต้องการให้ผู้ใช้การลงชื่อเพียงครั้งเดียว (SSO) ทุกคนใน Tableau Server ให้ตรวจสอบสิทธิ์ผ่านผู้ให้บริการระบุตัวตน (IdP) SAML หรือเป็นขั้นตอนแรกในการกำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์ในสภาพแวดล้อมหลายไซต์
หากคุณได้กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์และพร้อมที่จะกำหนดค่าไซต์แล้ว ให้ดูที่ กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์.
ขั้นตอนการกำหนดค่า SAML ที่เรามีให้จะทำการอนุมานดังนี้:
คุณมีความคุ้นเคยอยู่แล้วกับตัวเลือกต่างๆ ในการกำหนดค่าการตรวจสอบสิทธิ์ SAML ใน Tableau Server ตามที่อธิบายไว้ในหัวข้อ SAML
คุณได้ตรวจสอบยืนยันแล้วว่าสภาพแวดล้อมของคุณเป็นไปตาม ข้อกำหนดของ SAML และรับไฟล์ใบรับรอง SAML ที่อธิบายไว้ในข้อกำหนดเหล่านั้น
ก่อนที่คุณจะเริ่มต้น
เพื่อเป็นขั้นตอนหนึ่งในแผนการกู้คืนในกรณีภัยพิบัติ เราขอแนะนำให้เก็บการสำรองข้อมูลใบรับรองและไฟล์ IdP ในตำแหน่งที่ปลอดภัยภายนอก Tableau Server ไฟล์เนื้อหา SAML ที่คุณอัปโหลดไปยัง Tableau Server จะจัดเก็บและกระจายไปยังโหนดอื่นๆ โดยบริการไฟล์ไคลเอ็นต์ อย่างไรก็ตาม ไฟล์เหล่านี้จะไม่ถูกจัดเก็บในรูปแบบที่สามารถกู้คืนได้ โปรดดู บริการไฟล์ไคลเอ็นต์ของ Tableau Server
หมายเหตุ: หากคุณใช้ไฟล์ใบรับรองเดียวกันสำหรับ SSL คุณสามารถใช้ตำแหน่งเดียวกันกับใบรับรองที่มีอยู่เพื่อกำหนดค่า SAML และเพิ่มไฟล์ข้อมูลเมตา IdP ไปยังไดเรกทอรีดังกล่าวเมื่อคุณดาวน์โหลดภายหลังในกระบวนการนี้ หากต้องการข้อมูลเพิ่มเติม โปรดดู การใช้ใบรับรอง SSL และไฟล์สำคัญสำหรับ SAML ในข้อกำหนด SAML
หากคุณเรียกใช้ Tableau Server ในคลัสเตอร์ ใบรับรอง คีย์ และไฟล์ข้อมูลเมตา SAML จะกระจายโดยอัตโนมัติไปยังโหนดต่างๆ เมื่อคุณเปิดใช้งาน SAML
กระบวนการนี้กำหนดให้คุณต้องอัปโหลดใบรับรอง SAML ไปยัง TSM เพื่อให้นำไปจัดเก็บและกระจายอย่างถูกต้องในการกำหนดค่าเซิร์ฟเวอร์ ไฟล์ SAML จะต้องพร้อมใช้งานสำหรับเบราว์เซอร์ในคอมพิวเตอร์ภายในเมื่อคุณเรียกใช้อินเทอร์เฟซเว็บ TSM ในกระบวนการนี้
หากคุณได้รวบรวมและบันทึกไฟล์ SAML ไปยัง Tableau Server ตามที่แนะนำในหมวดก่อนหน้านี้ ให้เรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์ Tableau Server ที่คุณคัดลอกไฟล์
หากคุณเรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์เครื่องอื่น คุณก็จะต้องคัดลอกไฟล์ SAML ทั้งหมดไว้ในเครื่องก่อนดำเนินการต่อ ขณะที่คุณดำเนินตามกระบวนการด้านล่าง ให้เรียกดูไฟล์ในคอมพิวเตอร์ภายในเพื่ออัปโหลดไปยัง TSM
เปิด TSM ในเบราว์เซอร์:
https://<tsm-computer-name>:8850. หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI
บนแท็บการกำหนดค่า ให้เลือกข้อมูลประจำตัวผู้ใช้และการเข้าถึง แล้วเลือกแท็บเมธอดการตรวจสอบสิทธิ์
สำหรับเมธอดการตรวจสอบสิทธิ์ ให้เลือก SAML
ในหมวด SAML ที่ปรากฎขึ้น ให้ทำขั้นตอนที่ 1 ใน GUI ให้เสร็จสิ้นแล้วป้อนการตั้งค่าต่อไปนี้ (อย่าเพิ่งเลือกกล่องทำเครื่องหมายเพื่อเปิดใช้งาน SAML สำหรับเซิร์ฟเวอร์):
URL การส่งคืนของ Tableau Server— URL ที่ผู้ใช้ Tableau Server จะเข้าถึง เช่น https://tableau-server
โดยจะไม่รองรับการใช้ https://localhost หรือ URL ที่มีเครื่องหมายทับต่อท้าย (เช่น http://tableau_server/)
ID เอนทิตี SAML—ID เอนทิตีที่ระบุการติดตั้ง Tableau Server ของคุณแบบไม่ซ้ำไปยัง IdP
คุณสามารถป้อน URL Tableau Server ของคุณอีกครั้งได้ที่นี่ หากคุณวางแผนที่จะเปิดใช้งาน SAML ที่เฉพาะเจาะจงสำหรับไซต์ภายหลัง URL นี้ก็จะทำหน้าที่เป็นฐานสำหรับ ID ที่ไม่ซ้ำของแต่ละไซต์เช่นกัน
ไฟล์ใบรับรองและคีย์ของ SAML— คลิก เลือกไฟล์ เพื่ออัปโหลดแต่ละไฟล์เหล่านี้
หากคุณกำลังใช้ไฟล์คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านด้วย CLI ของ TSM ดังนี้:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
หลังจากที่คุณให้ข้อมูลที่จำเป็นในขั้นตอนที่ 1 ใน GUI แล้ว ปุ่ม ดาวน์โหลดไฟล์ข้อมูลเมตา XML ในขั้นตอนที่ 2 ใน GUI จะพร้อมใช้งาน
ต่อไปให้เลือกกล่องทำเครื่องหมาย เปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับเซิร์ฟเวอร์ ด้านบนขั้นตอนที่ 1 ใน GUI
ดำเนินการตั้งค่า SAML ที่เหลือให้เสร็จสิ้น
สำหรับขั้นตอนที่ 2 และ 3 ใน GUI ให้แลกเปลี่ยนข้อมูลเมตาระหว่าง Tableau Server กับ IdP (ต่อไปนี้เป็นจุดที่คุณควรตรวจสอบกับเอกสารประกอบของ IdP)
เลือก ดาวน์โหลดไฟล์ข้อมูลเมตา XML และระบุตำแหน่งของไฟล์
หากคุณกำลังกำหนดค่า SAML ด้วย AD FS, คุณสามารถกลับไปที่ ขั้นตอนที่ 3: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Server ของ “กำหนดค่า SAML ด้วย AD FS ใน Tableau Server”
สำหรับ IdP อื่นๆ ให้ไปยังบัญชี IdP ของคุณเพื่อเพิ่ม Tableau Server ไปยังแอปพลิเคชัน (ในฐานะผู้ให้บริการ) และระบุข้อมูลเมตา Tableau ตามความเหมาะสม
ทำตามคำแนะนำในเว็บไซต์หรือเอกสารประกอบของ IdP เพื่อดาวน์โหลดข้อมูลเมตาของ IdP บันทึกไฟล์ .xml ไปยังตำแหน่งเดียวกันที่เก็บไฟล์ใบรับรองและคีย์ SAML ของคุณไว้ ตัวอย่าง:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml
กลับไปยัง UI เว็บของ TSM สำหรับขั้นตอนที่ 4 ใน GUI ให้ป้อนพาธไปยังไฟล์ข้อมูลเมตา IdP แล้วคลิก เลือกไฟล์
สำหรับขั้นตอนที่ 5 ใน GUI: ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง
คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน
เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น
สำหรับขั้นตอนที่ 6 ใน GUI ให้เลือกแอปพลิเคชัน Tableau ที่คุณต้องการมอบประสบการณ์การลงชื่อเพียงครั้งเดียวแก่ผู้ใช้
หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือกในการปิดใช้งานการเข้าถึงแบบพกพา หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server
สำหรัการเปลี่ยนเส้นทางการออกจากระบบ SAML หาก IdP ของคุณรองรับการออกจากระบบเพียงครั้งเดียว (SLO) ให้ป้อนหน้าที่คุณต้องการเปลี่ยนเส้นทางผู้ใช้หลังจากที่ผู้ใช้ออกจากระบบ ซึ่งเกี่ยวข้องกันกับพาธที่คุณป้อนสำหรับ URL การส่งคืนของ Tableau Server
(ไม่บังคับ) สำหรับขั้นตอนที่ 7 ใน GUI ให้ดำเนินการต่อไปนี้:
เพิ่มค่าที่คั่นด้วยจุลภาคสำหรับแอตทริบิวต์
AuthNContextClassRef
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้แอตทริบิวต์นี้ โปรดดู บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAMLระบุแอตทริบิวต์โดเมนหากไม่ได้ส่งโดเมนเป็นส่วนหนึ่งของชื่อผู้ใช้ (เช่น
domain\username
) หากต้องการข้อมูลเพิ่มเติม โปรดดู เมื่อใช้งานหลายโดเมน
คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ หลังจากที่คุณได้ป้อนข้อมูลการกำหนดค่าแล้ว
คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:
คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท
ก่อนที่คุณจะเริ่มต้น
ก่อนที่จะเริ่มต้น ให้ตรวจสอบสิ่งต่อไปนี้:
ไปยังเว็บไซต์หรือแอปพลิเคชันของ IdP ของคุณ และส่งออกไฟล์ XML ข้อมูลเมตาของ IdP
ยืนยันว่า XML ข้อมูลเมตาจาก IdP มีองค์ประกอบ SingleSignOnService ซึ่งมีการตั้งค่าการผูกโยงเป็น
HTTP-POST
ตามตัวอย่างต่อไปนี้:<md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>
รวบรวมไฟล์ใบรับรองและนำไปไว้ใน Tableau Server
ในโฟลเดอร์ Tableau Server สร้างโฟลเดอร์ใหม่ที่ชื่อว่า SAML และนำสำเนาของไฟล์ใบรับรอง SAML ไปไว้ในโฟลเดอร์ดังกล่าว ตัวอย่าง:
C:\Program Files\Tableau\Tableau Server\SAML
นี่คือตำแหน่งที่แนะนำเนื่องจากบัญชีผู้ใช้ที่เรียกใช้ Tableau Server มีสิทธิ์ที่จำเป็นต่อการเข้าถึงโฟลเดอร์นี้
ขั้นตอนที่ 1: กำหนดค่า URL ส่งคืน, ID เอนทิตี SAML และระบุไฟล์ใบรับรองและคีย์
เปิดเชลล์ข้อความแจ้งคำสั่งและกำหนดค่าการตั้งค่า SAML สำหรับเซิร์ฟเวอร์ (แทนค่าตัวยึดตำแหน่งด้วยพาธสภาพแวดล้อมและชื่อไฟล์)
tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"
หากต้องการข้อมูลเพิ่มเติม โปรดดู
tsm authentication saml configure
หากคุณกำลังใช้คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านดังนี้:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
หากไม่ได้เปิดใช้งาน SAML ไว้ใน Tableau Server เช่น คุณทำการกำหนดค่าเป็นครั้งแรกหรือคุณได้ปิดใช้งานไว้ ให้เปิดใช้งานตอนนี้เลย:
tsm authentication saml enable
ปรับใช้การเปลี่ยนแปลง:
tsm pending-changes apply
หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง
pending-changes apply
จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก--ignore-prompt
แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply
ขั้นตอนที่ 2: สร้างข้อมูลเมตา Tableau Server และกำหนดค่า IdP
เรียกใช้คำสั่งต่อไปนี้เพื่อสร้างไฟล์ข้อมูลเมตา XML ที่จำเป็นสำหรับ Tableau server
tsm authentication saml export-metadata -f <file-name.xml>
คุณสามารถระบุชื่อไฟล์หรือละพารามิเตอร์
-f
เพื่อสร้างไฟล์ที่เป็นค่าเริ่มต้นที่ชื่อว่าsamlmetadata.xml
ในเว็บไซต์ IdP ของคุณหรือในแอปพลิเคชัน:
เพิ่ม Tableau Server เป็นผู้ให้บริการ
อ้างอิงเอกสารประกอบของ IdP ของคุณเพื่อดูวิธีในการทำเช่นนี้ โดยส่วนหนึ่งของกระบวนการในการกำหนดค่า Tableau Server ให้เป็นผู้ให้บริการ คุณจะต้องนำเข้าไฟล์ข้อมูลเมตา Tableau Server ที่คุณสร้างจากคำสั่ง
export-metadata
ยืนยันว่า IdP ของคุณใช้ username เป็นแอตทริบิวต์เพื่อตรวจสอบยืนยันผู้ใช้
ขั้นตอนที่ 3: จับคู่การยืนยัน
ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง
คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน
เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น
ตารางต่อไปนี้แสดงค่าการยืนยันที่เป็นค่าเริ่มต้นและคีย์การกำหนดค่าที่เก็บค่าดังกล่าว
การยืนยัน | ค่าเริ่มต้น | คีย์ |
---|---|---|
ชื่อผู้ใช้ | username | wgserver.saml.idpattribute.username |
ชื่อที่แสดง | displayName | Tableau ไม่รองรับประเภทแอตทริบิวต์นี้ |
อีเมล | email | Tableau ไม่รองรับประเภทแอตทริบิวต์นี้ |
โดเมน | (ไม่ได้แมปไว้โดยค่าเริ่มต้น) | wgserver.saml.idpattribute.domain |
วิธีการเปลี่ยนค่าที่มีให้ ให้เรียกใช้คำสั่ง tsm configuration set
พร้อมคู่คีย์ค่าที่เหมาะสม
ตัวอย่างเช่น หากต้องการเปลี่ยนการยืนยัน username
ให้เป็นค่า name
ให้เรียกใช้คำสั่งต่อไปนี้:
tsm configuration set -k wgserver.saml.idpattribute.username -v name
tsm pending-changes apply
หรือคุณสามารถใช้คำสั่ง tsm authentication saml map-assertions
เพื่อเปลี่ยนค่าที่มีให้
เช่น วิธีการเปลี่ยนการยืนยันโดเมนให้เป็นค่าที่ชื่อว่า domain
และระบุค่าให้เป็น "example.myco.com" ให้เรียกใช้คำสั่งต่อไปนี้:
tsm authentication saml map-assertions --domain example.myco.com
tsm pending-changes apply
ไม่บังคับ: ปิดใช้งานประเภทไคลเอ็นต์จากการใช้ SAML
โดยค่าเริ่มต้น ทั้ง Tableau Desktop และแอป Tableau Mobile จะอนุญาตการตรวจสอบสิทธิ์ SAML
หาก IdP ของคุณไม่รองรับฟังก์ชันนี้ คุณสามารถปิดใช้งานการเข้าสู่ระบบ SAML สำหรับไคลเอ็นต์ Tableau ด้วยการใช้คำสั่งต่อไปนี้:
tsm authentication saml configure --desktop-access disable
tsm authentication saml configure --mobile-access disable
หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือก --mobile-access disable
หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server
tsm pending-changes apply
ไม่บังคับ: เพิ่มค่า AuthNContextClassRef
เพิ่มค่าที่คั่นด้วยจุลภาคสำหรับแอตทริบิวต์ AuthNContextClassRef
หากต้องการข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้แอตทริบิวต์นี้ โปรดดู บันทึกและข้อกำหนดเกี่ยวกับความเข้ากันได้ของ SAML
วิธีการตั้งค่าแอตทริบิวต์นี้ ให้เรียกใช้คำสั่งต่อไปนี้:
tsm configuration set -k wgserver.saml.authcontexts -v <value>
tsm pending-changes apply
ทดสอบการกำหนดค่า
ในเว็บเบราว์เซอร์ของคุณ ให้เปิดหน้าหรือแท็บใหม่แล้วป้อน URL Tableau Server
เบราว์เซอร์จะเปลี่ยนเส้นทางคุณไปยังฟอร์มการเข้าสู่ระบบของ IdP
ป้อนชื่อผู้ใช้และรหัสผ่านการลงชื่อเพียงครั้งเดียว
IdP จะตรวจสอบยืนยันข้อมูลเข้าสู่ระบบของคุณและเปลี่ยนเส้นทางให้คุณกลับมาที่หน้าเริ่มต้น Tableau Server ของคุณ