กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์เมื่อคุณต้องการให้ผู้ใช้การลงชื่อเพียงครั้งเดียว (SSO) ทุกคนใน Tableau Server ให้ตรวจสอบสิทธิ์ผ่านผู้ให้บริการระบุตัวตน (IdP) SAML หรือเป็นขั้นตอนแรกในการกำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์ในสภาพแวดล้อมหลายไซต์

หากคุณได้กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์และพร้อมที่จะกำหนดค่าไซต์แล้ว ให้ดูที่ กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์.

ขั้นตอนการกำหนดค่า SAML ที่เรามีให้จะทำการอนุมานดังนี้:

  • คุณมีความคุ้นเคยอยู่แล้วกับตัวเลือกต่างๆ ในการกำหนดค่าการตรวจสอบสิทธิ์ SAML ใน Tableau Server ตามที่อธิบายไว้ในหัวข้อ SAML

  • คุณได้ตรวจสอบยืนยันแล้วว่าสภาพแวดล้อมของคุณเป็นไปตาม ข้อกำหนดของ SAML และรับไฟล์ใบรับรอง SAML ที่อธิบายไว้ในข้อกำหนดเหล่านั้น

ก่อนที่คุณจะเริ่มต้น

เพื่อเป็นขั้นตอนหนึ่งในแผนการกู้คืนในกรณีภัยพิบัติ เราขอแนะนำให้เก็บการสำรองข้อมูลใบรับรองและไฟล์ IdP ในตำแหน่งที่ปลอดภัยภายนอก Tableau Server ไฟล์เนื้อหา SAML ที่คุณอัปโหลดไปยัง Tableau Server จะจัดเก็บและกระจายไปยังโหนดอื่นๆ โดยบริการไฟล์ไคลเอ็นต์ อย่างไรก็ตาม ไฟล์เหล่านี้จะไม่ถูกจัดเก็บในรูปแบบที่สามารถกู้คืนได้ โปรดดู บริการไฟล์ไคลเอ็นต์ของ Tableau Server

หมายเหตุ: หากคุณใช้ไฟล์ใบรับรองเดียวกันสำหรับ SSL คุณสามารถใช้ตำแหน่งเดียวกันกับใบรับรองที่มีอยู่เพื่อกำหนดค่า SAML และเพิ่มไฟล์ข้อมูลเมตา IdP ไปยังไดเรกทอรีดังกล่าวเมื่อคุณดาวน์โหลดภายหลังในกระบวนการนี้ หากต้องการข้อมูลเพิ่มเติม โปรดดู การใช้ใบรับรอง SSL และไฟล์สำคัญสำหรับ SAML ในข้อกำหนด SAML

หากคุณเรียกใช้ Tableau Server ในคลัสเตอร์ ใบรับรอง คีย์ และไฟล์ข้อมูลเมตา SAML จะกระจายโดยอัตโนมัติไปยังโหนดต่างๆ เมื่อคุณเปิดใช้งาน SAML

กระบวนการนี้กำหนดให้คุณต้องอัปโหลดใบรับรอง SAML ไปยัง TSM เพื่อให้นำไปจัดเก็บและกระจายอย่างถูกต้องในการกำหนดค่าเซิร์ฟเวอร์ ไฟล์ SAML จะต้องพร้อมใช้งานสำหรับเบราว์เซอร์ในคอมพิวเตอร์ภายในเมื่อคุณเรียกใช้อินเทอร์เฟซเว็บ TSM ในกระบวนการนี้

หากคุณได้รวบรวมและบันทึกไฟล์ SAML ไปยัง Tableau Server ตามที่แนะนำในหมวดก่อนหน้านี้ ให้เรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์ Tableau Server ที่คุณคัดลอกไฟล์

หากคุณเรียกใช้อินเทอร์เฟซเว็บ TSM จากคอมพิวเตอร์เครื่องอื่น คุณก็จะต้องคัดลอกไฟล์ SAML ทั้งหมดไว้ในเครื่องก่อนดำเนินการต่อ ขณะที่คุณดำเนินตามกระบวนการด้านล่าง ให้เรียกดูไฟล์ในคอมพิวเตอร์ภายในเพื่ออัปโหลดไปยัง TSM

  1. เปิด TSM ในเบราว์เซอร์:

    https://<tsm-computer-name>:8850. หากต้องการข้อมูลเพิ่มเติม โปรดดูเข้าสู่ระบบ Tableau Services Manager Web UI

  2. บนแท็บการกำหนดค่า ให้เลือกข้อมูลประจำตัวผู้ใช้และการเข้าถึง แล้วเลือกแท็บเมธอดการตรวจสอบสิทธิ์

    การตั้งค่าการตรวจสอบสิทธิ์ผู้ใช้ Tableau Services Manager

  3. สำหรับเมธอดการตรวจสอบสิทธิ์ ให้เลือก SAML

  4. ในหมวด SAML ที่ปรากฎขึ้น ให้ทำขั้นตอนที่ 1 ใน GUI ให้เสร็จสิ้นแล้วป้อนการตั้งค่าต่อไปนี้ (อย่าเพิ่งเลือกกล่องทำเครื่องหมายเพื่อเปิดใช้งาน SAML สำหรับเซิร์ฟเวอร์):

    • URL การส่งคืนของ Tableau Server— URL ที่ผู้ใช้ Tableau Server จะเข้าถึง เช่น https://tableau-server

      โดยจะไม่รองรับการใช้ https://localhost หรือ URL ที่มีเครื่องหมายทับต่อท้าย (เช่น http://tableau_server/)

    • ID เอนทิตี SAML—ID เอนทิตีที่ระบุการติดตั้ง Tableau Server ของคุณแบบไม่ซ้ำไปยัง IdP

      คุณสามารถป้อน URL Tableau Server ของคุณอีกครั้งได้ที่นี่ หากคุณวางแผนที่จะเปิดใช้งาน SAML ที่เฉพาะเจาะจงสำหรับไซต์ภายหลัง URL นี้ก็จะทำหน้าที่เป็นฐานสำหรับ ID ที่ไม่ซ้ำของแต่ละไซต์เช่นกัน

    • ไฟล์ใบรับรองและคีย์ของ SAML— คลิก เลือกไฟล์ เพื่ออัปโหลดแต่ละไฟล์เหล่านี้

      หากคุณกำลังใช้ไฟล์คีย์ PKCS#8 ที่ปกป้องด้วยวลีรหัสผ่าน คุณจะต้องป้อนวลีรหัสผ่านด้วย CLI ของ TSM ดังนี้:

      tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

      หลังจากที่คุณให้ข้อมูลที่จำเป็นในขั้นตอนที่ 1 ใน GUI แล้ว ปุ่ม ดาวน์โหลดไฟล์ข้อมูลเมตา XML ในขั้นตอนที่ 2 ใน GUI จะพร้อมใช้งาน

  5. ต่อไปให้เลือกกล่องทำเครื่องหมาย เปิดใช้งานการตรวจสอบสิทธิ์ SAML สำหรับเซิร์ฟเวอร์ ด้านบนขั้นตอนที่ 1 ใน GUI

  6. ดำเนินการตั้งค่า SAML ที่เหลือให้เสร็จสิ้น

    1. สำหรับขั้นตอนที่ 2 และ 3 ใน GUI ให้แลกเปลี่ยนข้อมูลเมตาระหว่าง Tableau Server กับ IdP (ต่อไปนี้เป็นจุดที่คุณควรตรวจสอบกับเอกสารประกอบของ IdP)

      เลือก ดาวน์โหลดไฟล์ข้อมูลเมตา XML และระบุตำแหน่งของไฟล์

      หากคุณกำลังกำหนดค่า SAML ด้วย AD FS, คุณสามารถกลับไปที่ ขั้นตอนที่ 3: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Server ของ “กำหนดค่า SAML ด้วย AD FS ใน Tableau Server”

      สำหรับ IdP อื่นๆ ให้ไปยังบัญชี IdP ของคุณเพื่อเพิ่ม Tableau Server ไปยังแอปพลิเคชัน (ในฐานะผู้ให้บริการ) และระบุข้อมูลเมตา Tableau ตามความเหมาะสม

      ทำตามคำแนะนำในเว็บไซต์หรือเอกสารประกอบของ IdP เพื่อดาวน์โหลดข้อมูลเมตาของ IdP บันทึกไฟล์ .xml ไปยังตำแหน่งเดียวกันที่เก็บไฟล์ใบรับรองและคีย์ SAML ของคุณไว้ ตัวอย่าง:

      C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

    2. กลับไปยัง UI เว็บของ TSM สำหรับขั้นตอนที่ 4 ใน GUI ให้ป้อนพาธไปยังไฟล์ข้อมูลเมตา IdP แล้วคลิก เลือกไฟล์

      ภาพหน้าจอที่ไฮไลต์พื้นที่ของ TSM UI ที่คุณอัปโหลดข้อมูลเมตา SAML IDP

    3. สำหรับขั้นตอนที่ 5 ใน GUI: ในบางกรณี คุณอาจจำเป็นต้องเปลี่ยนค่าการยืนยันในการกำหนดค่า Tableau Server เพื่อให้ตรงกับชื่อการยืนยันที่ IdP ของคุณเป็นผู้ส่ง

      คุณสามารถค้นหาชื่อการยืนยันได้ในการกำหนดค่า SAML ของ IdP หากชื่อการยืนยันที่แตกต่างกันถูกส่งผ่านไปจาก IdP ของคุณ คุณต้องอัปเดต Tableau Server เพื่อใช้ค่าการยืนยันเดียวกัน

      เคล็ดลับ: “การยืนยัน” เป็นคอมโพเนนต์หลักของ SAML และแนวคิดในการยืนยันการแมปอาจเป็นเรื่องที่ยุ่งยากในตอนแรก การใส่รายการนี้ในบริบทข้อมูลแบบตารางที่ชื่อการยืนยัน (แอตทริบิวต์) เทียบเท่ากับส่วนหัวของคอลัมน์ในตารางอาจช่วยได้ คุณป้อนชื่อ "หัวเรื่อง" นั้น แทนที่จะเป็นตัวอย่างของค่าที่อาจปรากฏในคอลัมน์นั้น

    4. สำหรับขั้นตอนที่ 6 ใน GUI ให้เลือกแอปพลิเคชัน Tableau ที่คุณต้องการมอบประสบการณ์การลงชื่อเพียงครั้งเดียวแก่ผู้ใช้

      หมายเหตุ: อุปกรณ์ที่ใช้แอป Tableau Mobile เวอร์ชัน 19.225.1731 และสูงกว่าจะเพิกเฉยตัวเลือกในการปิดใช้งานการเข้าถึงแบบพกพา หากต้องการปิดใช้งาน SAML สำหรับอุปกรณ์ที่ใช้เวอร์ชันเหล่านี้ คุณต้องปิดใช้งาน SAML ในฐานะตัวเลือกการเข้าสู่ระบบไคลเอ็นต์บน Tableau Server

    5. สำหรัการเปลี่ยนเส้นทางการออกจากระบบ SAML หาก IdP ของคุณรองรับการออกจากระบบเพียงครั้งเดียว (SLO) ให้ป้อนหน้าที่คุณต้องการเปลี่ยนเส้นทางผู้ใช้หลังจากที่ผู้ใช้ออกจากระบบ ซึ่งเกี่ยวข้องกันกับพาธที่คุณป้อนสำหรับ URL การส่งคืนของ Tableau Server

    6. (ไม่บังคับ) สำหรับขั้นตอนที่ 7 ใน GUI ให้ดำเนินการต่อไปนี้:

  7. คลิกบันทึกการเปลี่ยนแปลงที่รอดำเนินการ หลังจากที่คุณได้ป้อนข้อมูลการกำหนดค่าแล้ว

  8. คลิกการเปลี่ยนแปลงที่รอดำเนินการที่ด้านบนของหน้า:

  9. คลิกปรับใช้การเปลี่ยนแปลงและรีสตาร์ท

ทดสอบการกำหนดค่า

  1. ในเว็บเบราว์เซอร์ของคุณ ให้เปิดหน้าหรือแท็บใหม่แล้วป้อน URL Tableau Server

    เบราว์เซอร์จะเปลี่ยนเส้นทางคุณไปยังฟอร์มการเข้าสู่ระบบของ IdP

  2. ป้อนชื่อผู้ใช้และรหัสผ่านการลงชื่อเพียงครั้งเดียว

    IdP จะตรวจสอบยืนยันข้อมูลเข้าสู่ระบบของคุณและเปลี่ยนเส้นทางให้คุณกลับมาที่หน้าเริ่มต้น Tableau Server ของคุณ