กำหนดค่า SAML ด้วย Azure AD IdP บน Tableau Server


คุณสามารถกำหนดค่า Azure AD เป็นผู้ให้บริการข้อมูลประจำตัว SAML (IdP) ของคุณ และเพิ่ม Tableau Server ไปยังแอปพลิเคชันแบบลงชื่อเพียงครั้งเดียว (SSO) ที่รองรับได้ เมื่อคุณผสานรวม Azure AD กับ SAML และ Tableau Server ผู้ใช้จะสามารถเข้าสู่ระบบ Tableau Server ได้โดยใช้ข้อมูลเข้าสู่ระบบเครือข่ายมาตรฐานของตนเอง

ก่อนเริ่มต้น: ข้อกำหนดเบื้องต้น

ก่อนที่คุณจะสามารถกำหนดค่า Tableau Server และ SAML ได้ด้วย Azure AD สภาพแวดล้อมของคุณต้องมีสิ่งต่อไปนี้

ขั้นตอนที่ 1: ตรวจสอบการเชื่อมต่อ SSL ไปยัง Azure AD

Azure AD ต้องมีการเชื่อมต่อ SSL หากคุณยังไม่ได้ดำเนินการ ให้ทำตามขั้นตอนใน กำหนดค่า SSL สำหรับทราฟฟิก HTTP ภายนอกไปยังและจาก Tableau Server ให้เสร็จสิ้นด้วยการใช้ใบรับรองที่เป็นไปตามข้อกำหนดที่ระบุไว้ข้างต้น

หรือหากได้มีการกำหนดค่า Tableau Server ให้ทำงานร่วมกับพร็อกซีแบบย้อนกลับหรือตัวจัดสรรภาระงานที่มีการยุติ SSL (มักเรียกว่าการถ่ายโอน SSL) คุณก็ไม่จำเป็นต้องกำหนดค่า SSL ภายนอก

หากองค์กรใช้พร็อกซีแอป Azure AD โปรดดูส่วนพร็อกซีแอป Azure AD ด้านล่าง

ขั้นตอนที่ 2: กำหนดค่า SAML ใน Tableau Server

ทำตามขั้นตอนใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ ผ่านการดาวน์โหลดข้อมูลเมตาของ Tableau Server ไปยังไฟล์ XML เมื่อถึงขั้นตอนดังกล่าว ให้กลับมาที่นี่แล้วดำเนินต่อไปยังส่วนถัดไป

ขั้นตอนที่ 3: กำหนดค่ากฎการอ้างสิทธิ์ Azure AD

การแมปจะคำนึงถึงตัวอักษรพิมพ์ใหญ่และพิมพ์เล็ก รวมถึงต้องสะกดตัวอักษรให้ตรงกันทั้งหมด ดังนั้นโปรดตรวจสอบรายการของคุณอีกครั้ง ตารางนี้แสดงแอตทริบิวต์ทั่วไปและการแมปการอ้างสิทธิ์ คุณควรตรวจสอบแอตทริบิวต์ด้วยการกำหนดค่า Azure AD ที่เจาะจง

แอตทริบิวต์ LDAPประเภทการอ้างสิทธิ์ขาออก
onpremisessamaccountnameชื่อผู้ใช้
ชื่อ

firstName

หมายเหตุ: ข้อมูลนี้ไม่บังคับ

นามสกุล

lastName

หมายเหตุ: ข้อมูลนี้ไม่บังคับ

ชื่อ NetBIOS

โดเมน

หมายเหตุ: ข้อมูลนี้จำเป็นเฉพาะในกรณีที่คุณมีผู้ใช้ที่เข้าสู่ระบบจากโดเมนที่ไม่ใช่โดเมนเริ่มต้นเท่านั้น

ในบางองค์กร Azure AD ในฐานะ SAML IdP จะใช้ร่วมกับ Active Directory ในฐานะที่เก็บข้อมูลประจำตัวสำหรับ Tableau Server ในกรณีนี้ username มักจะเป็นชื่อ sAMAccountName ดูเอกสารประกอบของ Microsoft สำหรับการระบุแอตทริบิวต์ sAMAccountName ภายใน Azure AD เพื่อแมปกับแอตทริบิวต์ username

ขั้นตอนที่ 4: ระบุข้อมูลเมตา Azure AD ให้กับ Tableau Server

  1. กลับมาที่ UI เว็บของ TSM แล้วไปที่แท็บ การกำหนดค่า > ข้อมูลประจำตัวผู้ใช้และการเข้าถึง > วิธีการรับรองสิทธิ์

  2. ในขั้นตอนที่ 4 ของแผงการกำหนดค่า SAML ให้ป้อนตำแหน่งของไฟล์ XML ที่ส่งออกจาก Azure AD แล้ว และเลือกอัปโหลด

    ภาพหน้าจอที่ไฮไลต์พื้นที่ของ TSM UI ที่คุณอัปโหลดข้อมูลเมตา SAML IDP

  3. ทำตามขั้นตอนที่เหลือ (จับคู่การยืนยันและระบุการเข้าถึงประเภทไคลเอ็นต์) ตามที่ระบุไว้ใน กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ บันทึกและนำการเปลี่ยนแปลงไปใช้

  4. ทำตามขั้นตอนต่อไปนี้หากไม่ใช่ครั้งแรกที่กำหนดค่า SAML:

    1. หยุดการทำงานของ Tableau Server เปิด CLI ของ TSM แล้วเรียกใช้คำสั่งต่อไปนี้

      tsm configuration set -k wgserver.saml.sha256 -v true

      tsm authentication saml configure -a -1

    2. ปรับใช้การเปลี่ยนแปลง:

      tsm pending-changes apply

      หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

พร็อกซีแอป Azure AD

หากคุณเรียกใช้พร็อกซีแอป Azure AD ก่อนเปิดใช้งาน Tableau Server และ SAML คุณจะต้องทำการกำหนดค่าเพิ่มเติมไปยังพร็อกซีแอป Azure AD

Tableau Server สามารถยอมรับการเข้าชมจาก URL หนึ่งรายการได้เมื่อเปิดใช้ SAML เท่านั้น อย่างไรก็ตาม พร็อกซีแอป Azure AD จะกำหนด URL ภายนอกและ URL ภายในตามค่าเริ่มต้น

คุณต้องกำหนดค่าทั้งสองนี้เป็น URL เดียวกันในโดเมนที่กำหนดเอง หากต้องการข้อมูลเพิ่มเติม โปรดดู เอกสารประกอบของ Microsoft เกี่ยวกับกำหนดค่าโดเมนที่กำหนดเองด้วยพร็อกซีแอปพลิเคชัน Azure AD(ลิงก์จะเปิดในหน้าต่างใหม่)

การแก้ปัญหา

พร็อกซีแอป Azure AD

ในบางกรณี ลิงก์ไปยังมุมมองจะแสดงผลภายใน แต่ล้มเหลวภายนอกเมื่อการเข้าชมกำลังขัดขวางพร็อกซีแอป Azure AD ปัญหานี้จะเกิดขึ้นเมื่อมีเครื่องหมายสี่เหลี่ยม (#) ใน URL และผู้ใช้กำลังเข้าถึงลิงก์ด้วยเบราว์เซอร์ โดยแอป Tableau Mobile สามารถเข้าถึง URL ด้วยเครื่องหมายสี่เหลี่ยมได้

การหมดเวลาของเซสชันผู้ใช้ดูเหมือนว่าจะถูกละเว้น

เมื่อมีการกำหนดค่า Tableau Server สำหรับ SAML ผู้ใช้อาจพบข้อผิดพลาดในการเข้าสู่ระบบเนื่องจากมีการกำหนดการตั้งค่าอายุการตรวจสอบสิทธิ์สูงสุดของ IdP เป็นค่าที่มากกว่าการตั้งค่าอายุการตรวจสอบสิทธิ์สูงสุดของ Tableau หากต้องการแก้ไขปัญหานี้ คุณสามารถใช้ตัวเลือกการกำหนด tsm ที่ตั้งค่าไว้ wgserver.saml.forceauthn เพื่อกำหนดให้ IdP ตรวจสอบสิทธิ์ผู้ใช้อีกครั้งได้ในแต่ละครั้งที่ Tableau เปลี่ยนเส้นทางคำขอการตรวจสอบสิทธิ์ แม้ว่าเซสชัน IdP สำหรับผู้ใช้ยังคงทำงานอยู่ก็ตาม

ตัวอย่างเช่น Tableau จะเปลี่ยนเส้นทางคำขอการตรวจสอบสิทธิ์ไปยัง IdP ที่ส่งการยืนยันที่มีการตรวจสอบสิทธิ์ผู้ใช้แล้วให้กับ Tableau ในเวลาต่อมาเมื่อ maxInactiveTime ในการตั้งค่าของ Azure AD มากกว่า maxAuthenticationAge ในการตั้งค่าของ Tableau Server อย่างไรก็ตาม Tableau จะปฏิเสธการตรวจสอบสิทธิ์ผู้ใช้เนื่องจากผู้ใช้ได้รับการตรวจสอบสิทธิ์นอก maxAuthenticationAge ของ Tableau Server ในกรณีเช่นนี้ คุณสามารถทำอย่างใดอย่างหนึ่งหรือทั้งสองอย่างต่อไปนี้ได้

  • เปิดใช้งานตัวเลือก wgserver.saml.forceauthn เพื่อกำหนดให้ IdP ตรวจสอบสิทธิ์ผู้ใช้อีกครั้งทุกครั้งที่ Tableau เปลี่ยนเส้นทางคำขอการตรวจสอบสิทธิ์ หากต้องการข้อมูลเพิ่มเติม โปรดดูwgserver.saml.forceauthn
  • เพิ่มการตั้งค่า maxAuthenticationAge ของ Tableau Server หากต้องการข้อมูลเพิ่มเติม โปรดดู “a, --max-auth-age <max-auth-age>” ในหัวข้อ tsm authentication

AppID ไม่ตรงกัน

เมื่อตรวจสอบไฟล์ vizportal.log คุณอาจเห็นข้อผิดพลาด “กลุ่มเป้าหมายที่กำหนดไม่ตรงกับผู้รับ

หากต้องการแก้ไขปัญหานี้ ให้ตรวจสอบว่า appID ตรงกับข้อมูลที่ส่งมา Azure จะเพิ่ม "SPN" ต่อท้าย appID โดยอัตโนมัติเมื่อใช้ ID แอปพลิเคชันกับแอปที่กำลังใช้งานอยู่ คุณสามารถเปลี่ยนค่าได้ในการตั้งค่า Tableau SAML โดยเพิ่ม "SPN:" นำหน้า ID แอปพลิเคชัน

ตัวอย่างเช่น: SPN:myazureappid1234

ย้อนกลับไปด้านบน