กำหนดค่า SAML ด้วย AD FS ใน Tableau Server

คุณสามารถกำหนดค่า Active Directory Federation Services (AD FS) ให้เป็นผู้ให้บริการข้อมูลประจำตัว SAML และเพิ่ม Tableau Server ไปยังแอปพลิเคชันแบบลงชื่อเพียงครั้งเดียวที่รองรับของคุณได้ เมื่อคุณผสานรวม AD FS กับ SAML และ Tableau Server ผู้ใช้จะสามารถลงชื่อเข้าใช้ Tableau Server ได้โดยใช้ข้อมูลเข้าสู่ระบบเครือข่ายมาตรฐานของตนเอง

ข้อกำหนดเบื้องต้น

ก่อนที่คุณจะสามารถกำหนดค่า Tableau Server และ SAML ได้ด้วย AD FS สภาพแวดล้อมของคุณต้องมีสิ่งต่อไปนี้

  • เซิร์ฟเวอร์ที่เรียกใช้ Microsoft Windows Server 2008 R2 (หรือใหม่กว่า) ด้วย AD FS 2.0 (หรือใหม่กว่า) และติดตั้ง IIS

  • เราขอแนะนำให้คุณรักษาความปลอดภัยเซิร์ฟเวอร์ AD FS (เช่น การใช้พร็อกซีแบบย้อนกลับ) เมื่อเซิร์ฟเวอร์ AD FS สามารถเข้าถึงได้จากนอกไฟร์วอลล์ Tableau Server ก็สามารถเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเข้าสู่ระบบที่โฮสต์โดย AD FS ได้

  • ใบรับรอง SSL ที่เข้ารหัสโดยใช้การเข้ารหัสแบบ SHA-2 (256 หรือ 512 บิต) และเป็นไปตามข้อกำหนดเพิ่มเติมที่ระบุไว้ในส่วนต่อไปนี้

ขั้นตอนที่ 1: ตรวจสอบการเชื่อมต่อ SSL ไปยัง AD FS

AD FS ต้องมีการเชื่อมต่อ SSL หากคุณยังไม่ได้ดำเนินการ ให้ทำตามขั้นตอนใน กำหนดค่า SSL สำหรับทราฟฟิก HTTP ภายนอกไปยังและจาก Tableau Server ให้เสร็จสิ้นด้วยการใช้ใบรับรองที่เป็นไปตามข้อกำหนดที่ระบุไว้ข้างต้น

หรือหากได้มีการกำหนดค่า Tableau Server ให้ทำงานร่วมกับพร็อกซีแบบย้อนกลับหรือตัวกระจายโหลดที่มีการยุติ SSL (มักเรียกว่าการถ่ายโอน SSL) คุณก็ไม่จำเป็นต้องกำหนดค่า SSL ภายนอก

ขั้นตอนที่ 2: กำหนดค่า SAML ใน Tableau Server

ทำตามขั้นตอนใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ ผ่านการดาวน์โหลดข้อมูลเมตาของ Tableau Server ไปยังไฟล์ XML เมื่อถึงขั้นตอนดังกล่าว ให้กลับมาที่นี่แล้วดำเนินต่อไปยังส่วนถัดไป

ขั้นตอนที่ 3: กำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบจาก Tableau Server

หมายเหตุ: ขั้นตอนเหล่านี้จะแสดงแอปพลิเคชันของบุคคลที่สาม และอาจเปลี่ยนแปลงได้ทุกเมื่อโดยที่เราไม่ทราบ

การกำหนดค่า AD FS ให้ยอมรับคำขอเข้าสู่ระบบ Tableau Server คือกระบวนการแบบหลายขั้นตอน ซึ่งเริ่มต้นด้วยการนำเข้าไฟล์ข้อมูลเมตา XML ของ Tableau Server ไปยัง AD FS

  1. ทำอย่างใดอย่างหนึ่งต่อไปนี้เพื่อเปิดตัวช่วยเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง

  2. Windows Server 2008 R2:

    1. เลือกเมนูเริ่มต้น > ไปยังเครื่องมือสำหรับการดูแลระบบ > AD FS 2.0

    2. ใน AD FS 2.0 ให้คลิกขวาที่โฟลเดอร์ความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องในส่วนความสัมพันธ์ของความน่าเชื่อถือ แล้วคลิกเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง

    Windows Server 2012 R2:

    1. เปิดตัวจัดการเซิร์ฟเวอร์ แล้วคลิกการจัดการ AD FS ในเมนูเครื่องมือ

    2. ในการจัดการ AD FS ให้คลิกเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องในเมนูการดำเนินการ

  3. ในตัวช่วยเพิ่มความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง ให้คลิกเริ่มต้น

  4. ในหน้าเลือกแหล่งข้อมูล ให้เลือกนำเข้าข้อมูลเกี่ยวกับฝ่ายที่เกี่ยวข้องจากไฟล์ แล้วคลิกเรียกดูเพื่อค้นหาไฟล์ข้อมูลเมตา XML ของ Tableau Server โดยค่าเริ่มต้น ไฟล์นี้มีชื่อว่า samlspmetadata.xml

  5. คลิกถัดไป แล้วพิมพ์ชื่อและคำอธิบายสำหรับความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องในช่องชื่อที่แสดงและบันทึกในหน้าระบุชื่อที่แสดง

  6. คลิกถัดไปเพื่อข้ามหน้ากำหนดค่าการตรวจสอบสิทธิ์หลายปัจจัยเลย

  7. คลิกถัดไปเพื่อข้ามหน้าเลือกกฎการให้สิทธิ์การออก

  8. คลิกถัดไปเพื่อข้ามหน้าพร้อมเพิ่มความน่าเชื่อถือ

  9. ในหน้าเสร็จสิ้น ให้เลือกช่องทำเครื่องหมายเปิดกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์สำหรับความน่าเชื่อถือของฝ่ายที่เกี่ยวข้องเมื่อตัวช่วยปิด แล้วคลิกปิด

ต่อมา คุณจะทำงานในกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์เพื่อเพิ่มกฎที่รับรองว่าการยืนยันซึ่งส่งโดย AD FS จะตรงกับการยืนยันที่ Tableau Server คาดไว้ อย่างน้อยที่สุด Tableau Server ต้องมีที่อยู่อีเมล อย่างไรก็ตาม การระบุชื่อและนามสกุลนอกเหนือจากอีเมลจะช่วยให้มั่นใจว่าชื่อผู้ใช้ที่แสดงใน Tableau Server เป็นชื่อเดียวกับที่อยู่ในบัญชี AD

  1. ในกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์ ให้คลิกเพิ่มกฎ

  2. ในหน้าเลือกประเภทกฎ ให้เลือกส่งแอตทริบิวต์ LDAP เป็นการอ้างสิทธิ์สำหรับเทมเพลตกฎการอ้างสิทธิ์ แล้วคลิกถัดไป

  3. ในหน้ากำหนดค่ากฎการอ้างสิทธิ์ ให้ป้อนชื่อสำหรับกฎที่เหมาะกับคุณสำหรับชื่อกฎการอ้างสิทธิ์

  4. สำหรับที่เก็บแอตทริบิวต์ ให้เลือก Active Directory และทำการแมปให้เสร็จสิ้นตามที่แสดงด้านล่าง จากนั้นคลิกเสร็จสิ้น

  5. การแมปจะคำนึงถึงตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก รวมถึงต้องสะกดตัวอักษรให้ตรงกันทั้งหมด ดังนั้นโปรดตรวจสอบรายการของคุณอีกครั้ง ตารางนี้แสดงแอตทริบิวต์ทั่วไปและการแมปการอ้างสิทธิ์ ตรวจสอบแอตทริบิวต์ด้วยการกำหนดค่า Active Directory ที่เจาะจง

    แอตทริบิวต์ LDAPประเภทการอ้างสิทธิ์ขาออก
    ชื่อบัญชี SAMID ชื่อ
    ชื่อบัญชี SAMชื่อผู้ใช้
    ชื่อfirstName
    นามสกุลlastName

หากคุณเรียกใช้ AD FS 2016 หรือใหม่กว่า คุณต้องเพิ่มกฎเพื่อส่งผ่านค่าการอ้างสิทธิ์ทั้งหมด หากคุณเรียกใช้ AD FS เวอร์ชันเก่ากว่า ให้ข้ามไปยังขั้นตอนถัดไปเพื่อส่งออกข้อมูลเมตา AD FS

  1. คลิกเพิ่มกฎ
  2. ในส่วนเทมเพลตกฎการอ้างสิทธิ์ ให้เลือกส่งผ่านหรือกรองการอ้างสิทธิ์ขาเข้า
  3. ในส่วนชื่อกฎการอ้างสิทธิ์ ให้ป้อน Windows
  4. ในป๊อปอัปแก้ไขกฎ - Windows
    • ในส่วนประเภทการอ้างสิทธิ์ขาเข้า ให้เลือกชื่อบัญชี Windows
    • เลือกส่งผ่านค่าการอ้างสิทธิ์ทั้งหมด
    • คลิกตกลง

ตอนนี้คุณจะส่งออกข้อมูลเมตา AD FS ที่จะนำเข้าไปยัง Tableau Server ในภายหลัง คุณจะยังต้องตรวจสอบว่ามีการกำหนดค่าและเข้ารหัสข้อมูลเมตาอย่างถูกต้องสำหรับ Tableau Server และตรวจสอบข้อกำหนด AD FS อื่นๆ สำหรับการกำหนดค่า SAML

  1. ส่งออกข้อมูลเมตา AD FS Federation ไปยังไฟล์ XML แล้วดาวน์โหลดไฟล์จาก https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml

  2. เปิดไฟล์ข้อมูลเมตาในเครื่องมือแก้ไขข้อความ เช่น Sublime Text หรือ Notepad++ และตรวจสอบว่ามีการเข้ารหัสไฟล์ดังกล่าวเป็น UTF-8 อย่างถูกต้องโดยไม่มี BOM

    หากไฟล์แสดงประเภทการเข้ารหัสอื่น ให้บันทึกไฟล์จากเครื่องมือแก้ไขข้อความที่มีการเข้ารหัสที่ถูกต้อง

  3. ตรวจสอบว่า AD FS ใช้การตรวจสอบสิทธิ์ตามแบบฟอร์ม การเข้าสู่ระบบจะดำเนินการในหน้าต่างเบราว์เซอร์ คุณจึงต้องเลือก AD FS เป็นค่าเริ่มต้นสำหรับการตรวจสอบสิทธิ์ประเภทนี้

    แก้ไข c:\inetpub\adfs\ls\web.config และค้นหาแท็ก , แล้วย้ายบรรทัดเพื่อให้ปรากฏก่อนในรายการ บันทึกไฟล์เพื่อให้ IIS สามารถโหลดซ้ำโดยอัตโนมัติได้

    หมายเหตุ: หากคุณไม่เห็นไฟล์ c:\inetpub\adfs\ls\web.config ระบบจะไม่ติดตั้งและกำหนดค่า IIS บนเซิร์ฟเวอร์ AD FS ของคุณ

  4. (ไม่บังคับ) ขั้นตอนนี้จำเป็นต้องทำเฉพาะในกรณีที่มีการกำหนดค่า AD FS เป็น IDP สำหรับ SAML เฉพาะไซต์เท่านั้น ขั้นตอนนี้ไม่จำเป็นต้องทำในกรณีที่มีการกำหนดค่า AD FS เป็น IDP สำหรับ SAML แบบทั่วทั้งไซต์

    กำหนดค่าตัวระบุฝ่ายที่เกี่ยวข้องของ AD FS เพิ่มเติม ซึ่งช่วยให้ระบบแก้ปัญหา AD FS ด้วยการออกจากระบบ SAML ได้

    ทำอย่างใดอย่างหนึ่งต่อไปนี้:

    Windows Server 2008 R2:

    1. ใน AD FS 2.0 ให้คลิกขวาที่ฝ่ายที่เกี่ยวข้องที่คุณสร้างขึ้นสำหรับ Tableau Server เวอร์ชันก่อนหน้า แล้วคลิกพร็อพเพอร์ตี้

    2. ในแท็บตัวระบุ ให้ป้อน https://<tableauservername>/public/sp/metadata ในช่องตัวระบุฝ่ายที่เกี่ยวข้อง แล้วคลิกเพิ่ม

    Windows Server 2012 R2:

    1. ในการจัดการ AD FS ให้คลิกขวาที่ฝ่ายที่เกี่ยวข้องที่คุณสร้างขึ้นสำหรับ Tableau Server เวอร์ชันก่อนหน้าในรายการความน่าเชื่อถือของฝ่ายที่เกี่ยวข้อง แล้วคลิกพร็อพเพอร์ตี้

    2. ในแท็บตัวระบุ ให้ป้อน https://<tableauservername/public/sp/metadata ในช่องตัวระบุฝ่ายที่เกี่ยวข้อง แล้วคลิกเพิ่ม

    หมายเหตุ: AD FS สามารถใช้กับ Tableau Server สำหรับฝ่ายที่เกี่ยวข้องฝ่ายเดียวไปยังอินสแตนซ์เดียวกันได้ AD FS ไม่สามารถใช้กับฝ่ายที่เกี่ยวข้องหลายฝ่ายไปยังอินสแตนซ์เดียวกันได้ เช่น ไซต์ SAML แบบหลายไซต์หรือการกำหนดค่า SAML ของไซต์และแบบทั่วทั้งเซิร์ฟเวอร์

ขั้นตอนที่ 4: ระบุข้อมูลเมตา AD FS ให้กับ Tableau Server

  1. กลับมาที่ UI เว็บของ TSM แล้วไปที่แท็บ การกำหนดค่า > ข้อมูลประจำตัวผู้ใช้และการเข้าถึง > วิธีการรับรองสิทธิ์

  2. ในขั้นตอนที่ 4 ของหน้าต่างการกำหนดค่า SAML ให้ป้อนตำแหน่งของไฟล์ XML ที่ส่งออกจาก AD FS แล้ว และเลือกอัปโหลด

    ภาพหน้าจอที่ไฮไลต์พื้นที่ของ TSM UI ที่คุณอัปโหลดข้อมูลเมตา SAML IDP

  3. ทำตามขั้นตอนที่เหลือ (จับคู่การยืนยันและระบุการเข้าถึงประเภทไคลเอ็นต์) ตามที่ระบุไว้ใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

  4. บันทึกและนำการเปลี่ยนแปลงไปใช้

  5. ทำตามขั้นตอนต่อไปนี้หากนี่ไม่ใช่ครั้งแรกที่กำหนดค่า SAML:

    1. หยุดการทำงานของ Tableau Server, เปิด CLI ของ TSM แล้วเรียกใช้คำสั่งต่อไปนี้

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a -1

    2. ปรับใช้การเปลี่ยนแปลง:

      tsm pending-changes apply

      หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

ขอบคุณสำหรับข้อเสนอแนะของคุณส่งข้อเสนอแนะของคุณเรียบร้อยแล้ว ขอขอบคุณ