กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์
ใช้ SAML เฉพาะไซต์ในสภาพแวดล้อมแบบหลายไซต์เมื่อต้องการเปิดใช้การลงชื่อเพียงครั้งเดียว และยังใช้ผู้ให้บริการข้อมูลประจำตัว SAML (IdP) หลายรายหรือแอปพลิเคชัน IdP ด้วย เมื่อเปิดใช้ SAML ของไซต์ คุณสามารถระบุ IdP หรือแอปพลิเคชัน IdP สำหรับแต่ละไซต์ หรือกำหนดค่าบางไซต์ให้ใช้ SAML และไซต์อื่นๆ ให้ใช้วิธีการตรวจสอบสิทธิ์แบบทั่วทั้งเซิร์ฟเวอร์เริ่มต้น
หากคุณต้องการให้ผู้ใช้เซิร์ฟเวอร์ทั้งหมดใช้ SAML และเข้าสู่ระบบผ่านแอปพลิเคชัน IdP เดียวกัน โปรดดู กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
โปรดทำตามข้อกำหนดต่อไปนี้ก่อนแล้วจึงจะสามารถเปิดใช้การลงชื่อเพียงครั้งเดียวของ SAML ได้ในระดับไซต์
ต้องกำหนดค่าที่เก็บข้อมูลประจำตัว Tableau Server สำหรับที่เก็บข้อมูลประจำตัวในเครื่อง
คุณไม่สามารถกำหนดค่า SAML เฉพาะไซต์ได้ในกรณีที่กำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลประจำตัวภายนอก เช่น Active Directory หรือ OpenLDAP
ตรวจสอบว่าสภาพแวดล้อมและ IdP ของคุณเป็นไปตามข้อกำหนดของ SAML
ฟีเจอร์บางอย่างรองรับเฉพาะในการปรับใช้ SAML แบบทั่วทั้งเซิร์ฟเวอร์เท่านั้น ซึ่งรวมถึงแต่ไม่จำกัดเพียงดังนี้
- ไฟล์สำคัญที่ป้องกันด้วยรหัสผ่าน ซึ่งไม่รองรับในการปรับใช้ SAML เฉพาะไซต์
คุณต้องกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์ก่อนที่จะกำหนดค่า SAML เฉพาะไซต์ ทั้งนี้ คุณไม่จำเป็นต้องเปิดใช้ SAML แบบทั่วทั้งเซิร์ฟเวอร์ แต่ SAML เฉพาะไซต์ต้องมีการกำหนดค่าแบบทั่วทั้งเซิร์ฟเวอร์ โปรดดู กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
บันทึกตำแหน่งของไฟล์ใบรับรอง SAML คุณจะแสดงตำแหน่งนี้เมื่อกำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์
หากต้องการข้อมูลเพิ่มเติม โปรดดู สร้างข้อมูลเมตาและไฟล์ใบรับรองในหัวข้อเกี่ยวกับการกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์
เพิ่ม Tableau Server ในฐานะผู้ให้บริการไปยัง IdP โดยคุณจะสามารถดูข้อมูลนี้ได้ในเอกสารประกอบที่ IdP ให้มา
ยืนยันว่านาฬิการะบบของคอมพิวเตอร์ที่โฮสต์ SAML IdP ของไซต์และคอมพิวเตอร์ที่โฮสต์ Tableau Server อยู่ในช่วงที่ห่างกันไม่เกิน 59 วินาที Tableau Server ไม่มีตัวเลือกการกำหนดค่าเพื่อปรับความคลาดเคลื่อนของการตอบสนอง (ความต่างเรื่องเวลา) ระหว่างคอมพิวเตอร์ Tableau Server และ IdP
URL การส่งคืนและ ID เอนทิตี: ในการตั้งค่าสำหรับการกำหนดค่า SAML เฉพาะไซต์ Tableau จะระบุ URL การส่งคืนเฉพาะไซต์และ ID เอนทิตีที่อิงตามการตั้งค่าเหล่านี้ โดยจะไม่สามารถแก้ไข URL การส่งคืนเฉพาะไซต์และ ID เอนทิตีได้ การกำหนดค่าเหล่านี้ตั้งค่าโดย TSM ตามที่อธิบายไว้ในกำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์
อายุการตรวจสอบสิทธิ์และความคลาดเคลื่อนของการตอบสนอง: การตั้งค่าแบบทั่วทั้งเซิร์ฟเวอร์ อายุการตรวจสอบสิทธิ์สูงสุด และความคลาดเคลื่อนของการตอบสนองไม่มีผลกับ SAML เฉพาะไซต์ โดยการกำหนดค่าเหล่านี้เป็นแบบฮาร์ดโค้ด
- อายุการตรวจสอบสิทธิ์สูงสุดหมายถึงระยะเวลาที่โทเค็นการตรวจสอบสิทธิ์จาก IdP ใช้ได้หลังจากที่มีการออกโทเค็น โดย SAML เฉพาะไซต์จะมีอายุการตรวจสอบสิทธิ์สูงสุดแบบฮาร์ดโค้ดเท่ากับ 24 วัน
- ความคลาดเคลื่อนของการตอบสนองคือจำนวนวินาทีที่ต่างกันสูงสุดระหว่างเวลาของ Tableau Server กับเวลาของการสร้างการยืนยัน (ตามเวลาของเซิร์ฟเวอร์ IdP) ที่ยังคงอนุญาตให้ประมวลผลข้อความได้ โดยค่าเฉพาะไซต์แบบฮาร์ดโค้ดสำหรับสิ่งนี้คือ 59 วินาที
ชื่อผู้ใช้: จำเป็น นอกเหนือจากแอตทริบิวต์การกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์แล้ว ยังต้องตั้งค่าการกำหนดค่า SAML เฉพาะไซต์เป็น “ชื่อผู้ใช้”
หมายเหตุ: เพื่อให้ SAML เฉพาะไซต์สามารถทำงานด้วยค่าดีฟอลต์ SAML ทั่วทั้งเซิร์ฟเวอร์ได้อย่างประสบความสำเร็จ แอตทริบิวต์ของชื่อผู้ใช้ที่กำหนดค่าสำหรับ SAML ทั่วทั้งเซิร์ฟเวอร์ด้วยคีย์การกำหนดค่า wgserver.saml.idpattribute.username ต้องเป็น "ชื่อผู้ใช้" IdP ที่ใช้สำหรับ SAML ทั่วทั้งเซิร์ฟเวอร์จะต้องส่งชื่อผู้ใช้ในแอตทริบิวต์ที่มีชื่อว่า "ชื่อผู้ใช้"
HTTP POST และ HTTP REDIRECT: สำหรับ SAML เฉพาะไซต์ Tableau Server รองรับ HTTP-POST, HTTP-REDIRECT และ HTTP-POST-SimpleSign
หลังจากทำตามข้อกำหนดเบื้องต้นที่แสดงไว้ข้างต้นแล้ว คุณสามารถเรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์ได้
กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ อย่างน้อยที่สุด คุณต้องเรียกใช้คำสั่ง TSM ต่อไปนี้ (หากคุณกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์ไว้แล้ว ให้ข้ามไปยังขั้นตอนที่ 2)
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- เปิดใช้ SAML ของไซต์ เรียกใช้คำสั่งต่อไปนี้:
tsm authentication sitesaml enable
tsm pending-changes apply
เกี่ยวกับคำสั่ง
คำสั่ง sitesaml enable
จะแสดงแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่าของแต่ละไซต์ใน UI เว็บของ Tableau Server หลังจากที่กำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML ของไซต์แล้ว คุณสามารถกำหนดค่า SAML สำหรับไซต์ให้ทำงานผ่านการตั้งค่าในแท็บการตรวจสอบสิทธิ์ได้อย่างต่อเนื่อง
หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply
จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt
แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply
หากต้องการตรวจสอบคำสั่งและการตั้งค่าที่จะดำเนินการเมื่อเรียกใช้ pending-changes apply
คุณสามารถเรียกใช้คำสั่งต่อไปนี้ก่อนได้
tsm pending-changes list --config-only
ส่วนนี้จะนำคุณไปยังขั้นตอนการกำหนดค่าที่ปรากฏบนแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่า Tableau Server
หมายเหตุ: หากต้องการดำเนินการขั้นตอนนี้ให้เสร็จสิ้น คุณจะต้องมีเอกสารประกอบที่ IdP ให้มา ค้นหาหัวข้อที่พูดถึงการกำหนดค่าหรือการกำหนดผู้ให้บริการสำหรับการเชื่อมต่อ SAML หรือการเพิ่มแอปพลิเคชัน