กำหนดค่า SAML ที่เฉพาะเจาะจงสำหรับไซต์

ใช้ SAML เฉพาะไซต์ในสภาพแวดล้อมแบบหลายไซต์เมื่อต้องการเปิดใช้การลงชื่อเพียงครั้งเดียว และยังใช้ผู้ให้บริการข้อมูลประจำตัว SAML (IdP) หลายรายหรือแอปพลิเคชัน IdP ด้วย เมื่อเปิดใช้ SAML ของไซต์ คุณสามารถระบุ IdP หรือแอปพลิเคชัน IdP สำหรับแต่ละไซต์ หรือกำหนดค่าบางไซต์ให้ใช้ SAML และไซต์อื่นๆ ให้ใช้วิธีการตรวจสอบสิทธิ์แบบทั่วทั้งเซิร์ฟเวอร์เริ่มต้น

หากคุณต้องการให้ผู้ใช้เซิร์ฟเวอร์ทั้งหมดใช้ SAML และเข้าสู่ระบบผ่านแอปพลิเคชัน IdP เดียวกัน โปรดดู กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

ข้อกำหนดเบื้องต้นสำหรับการเปิดใช้ SAML เฉพาะไซต์

โปรดทำตามข้อกำหนดต่อไปนี้ก่อนแล้วจึงจะสามารถเปิดใช้การลงชื่อเพียงครั้งเดียวของ SAML ได้ในระดับไซต์

  • ต้องกำหนดค่าที่เก็บข้อมูลประจำตัว Tableau Server สำหรับที่เก็บข้อมูลประจำตัวในเครื่อง

     คุณไม่สามารถกำหนดค่า SAML เฉพาะไซต์ได้ในกรณีที่กำหนดค่า Tableau Server ด้วยที่เก็บข้อมูลประจำตัวภายนอก เช่น Active Directory หรือ OpenLDAP

  • ตรวจสอบว่าสภาพแวดล้อมและ IdP ของคุณเป็นไปตามข้อกำหนดของ SAML

    ฟีเจอร์บางอย่างรองรับเฉพาะในการปรับใช้ SAML แบบทั่วทั้งเซิร์ฟเวอร์เท่านั้น ซึ่งรวมถึงแต่ไม่จำกัดเพียงดังนี้

    • ไฟล์สำคัญที่ป้องกันด้วยรหัสผ่าน ซึ่งไม่รองรับในการปรับใช้ SAML เฉพาะไซต์
  • คุณต้องกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์ก่อนที่จะกำหนดค่า SAML เฉพาะไซต์ ทั้งนี้ คุณไม่จำเป็นต้องเปิดใช้ SAML แบบทั่วทั้งเซิร์ฟเวอร์ แต่ SAML เฉพาะไซต์ต้องมีการกำหนดค่าแบบทั่วทั้งเซิร์ฟเวอร์ โปรดดู กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

  • บันทึกตำแหน่งของไฟล์ใบรับรอง SAML คุณจะแสดงตำแหน่งนี้เมื่อกำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์

    หากต้องการข้อมูลเพิ่มเติม โปรดดู สร้างข้อมูลเมตาและไฟล์ใบรับรองในหัวข้อเกี่ยวกับการกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์

  • เพิ่ม Tableau Server ในฐานะผู้ให้บริการไปยัง IdP โดยคุณจะสามารถดูข้อมูลนี้ได้ในเอกสารประกอบที่ IdP ให้มา

  • ยืนยันว่านาฬิการะบบของคอมพิวเตอร์ที่โฮสต์ SAML IdP ของไซต์และคอมพิวเตอร์ที่โฮสต์ Tableau Server อยู่ในช่วงที่ห่างกันไม่เกิน 59 วินาที Tableau Server ไม่มีตัวเลือกการกำหนดค่าเพื่อปรับความคลาดเคลื่อนของการตอบสนอง (ความต่างเรื่องเวลา) ระหว่างคอมพิวเตอร์ Tableau Server และ IdP

การตั้งค่าแบบทั่วทั้งเซิร์ฟเวอร์ที่เกี่ยวข้องกับ SAML เฉพาะไซต์

URL การส่งคืนและ ID เอนทิตี: ในการตั้งค่าสำหรับการกำหนดค่า SAML เฉพาะไซต์ Tableau จะระบุ URL การส่งคืนเฉพาะไซต์และ ID เอนทิตีที่อิงตามการตั้งค่าเหล่านี้ โดยจะไม่สามารถแก้ไข URL การส่งคืนเฉพาะไซต์และ ID เอนทิตีได้ การกำหนดค่าเหล่านี้ตั้งค่าโดย TSM ตามที่อธิบายไว้ในกำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์

อายุการตรวจสอบสิทธิ์และความคลาดเคลื่อนของการตอบสนอง: การตั้งค่าแบบทั่วทั้งเซิร์ฟเวอร์ อายุการตรวจสอบสิทธิ์สูงสุด และความคลาดเคลื่อนของการตอบสนองไม่มีผลกับ SAML เฉพาะไซต์ โดยการกำหนดค่าเหล่านี้เป็นแบบฮาร์ดโค้ด

  • อายุการตรวจสอบสิทธิ์สูงสุดหมายถึงระยะเวลาที่โทเค็นการตรวจสอบสิทธิ์จาก IdP ใช้ได้หลังจากที่มีการออกโทเค็น โดย SAML เฉพาะไซต์จะมีอายุการตรวจสอบสิทธิ์สูงสุดแบบฮาร์ดโค้ดเท่ากับ 24 วัน
  • ความคลาดเคลื่อนของการตอบสนองคือจำนวนวินาทีที่ต่างกันสูงสุดระหว่างเวลาของ Tableau Server กับเวลาของการสร้างการยืนยัน (ตามเวลาของเซิร์ฟเวอร์ IdP) ที่ยังคงอนุญาตให้ประมวลผลข้อความได้ โดยค่าเฉพาะไซต์แบบฮาร์ดโค้ดสำหรับสิ่งนี้คือ 59 วินาที

ชื่อผู้ใช้: จำเป็น นอกเหนือจากแอตทริบิวต์การกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์แล้ว ยังต้องตั้งค่าการกำหนดค่า SAML เฉพาะไซต์เป็น “ชื่อผู้ใช้”

หมายเหตุ: เพื่อให้ SAML เฉพาะไซต์สามารถทำงานด้วยค่าดีฟอลต์ SAML ทั่วทั้งเซิร์ฟเวอร์ได้อย่างประสบความสำเร็จ แอตทริบิวต์ของชื่อผู้ใช้ที่กำหนดค่าสำหรับ SAML ทั่วทั้งเซิร์ฟเวอร์ด้วยคีย์การกำหนดค่า wgserver.saml.idpattribute.username ต้องเป็น "ชื่อผู้ใช้" IdP ที่ใช้สำหรับ SAML ทั่วทั้งเซิร์ฟเวอร์จะต้องส่งชื่อผู้ใช้ในแอตทริบิวต์ที่มีชื่อว่า "ชื่อผู้ใช้"

HTTP POST และ HTTP REDIRECT: สำหรับ SAML เฉพาะไซต์ Tableau Server รองรับ HTTP-POST, HTTP-REDIRECT และ HTTP-POST-SimpleSign

กำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์

หลังจากทำตามข้อกำหนดเบื้องต้นที่แสดงไว้ข้างต้นแล้ว คุณสามารถเรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML เฉพาะไซต์ได้

  1. กำหนดค่า SAML ทั่วทั้งเซิร์ฟเวอร์ อย่างน้อยที่สุด คุณต้องเรียกใช้คำสั่ง TSM ต่อไปนี้ (หากคุณกำหนดค่า SAML แบบทั่วทั้งเซิร์ฟเวอร์ไว้แล้ว ให้ข้ามไปยังขั้นตอนที่ 2)

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. เปิดใช้ SAML ของไซต์ เรียกใช้คำสั่งต่อไปนี้:

    tsm authentication sitesaml enable

    tsm pending-changes apply

เกี่ยวกับคำสั่ง

คำสั่ง sitesaml enable จะแสดงแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่าของแต่ละไซต์ใน UI เว็บของ Tableau Server หลังจากที่กำหนดค่าเซิร์ฟเวอร์ให้รองรับ SAML ของไซต์แล้ว คุณสามารถกำหนดค่า SAML สำหรับไซต์ให้ทำงานผ่านการตั้งค่าในแท็บการตรวจสอบสิทธิ์ได้อย่างต่อเนื่อง

หากการเปลี่ยนแปลงที่รอดำเนินการจำเป็นต้องรีสตาร์ทเซิร์ฟเวอร์ คำสั่ง pending-changes apply จะแสดงข้อความแจ้งเพื่อแจ้งให้คุณทราบว่าจะรีสตาร์ท โดยข้อความแจ้งนี้จะปรากฏขึ้นแม้ว่าเซิร์ฟเวอร์จะหยุดทำงาน แต่ในกรณีนี้จะไม่มีการรีสตาร์ท คุณสามารถระงับข้อความแจ้งได้โดยใช้ตัวเลือก --ignore-prompt แต่การดำเนินการนี้จะไม่เปลี่ยนลักษณะการรีสตาร์ท หากการเปลี่ยนแปลงไม่จำเป็นต้องใช้การรีสตาร์ท ระบบจะปรับใช้การเปลี่ยนแปลงนั้นโดยไม่มีข้อความแจ้ง หากต้องการข้อมูลเพิ่มเติม โปรดดู tsm pending-changes apply

หากต้องการตรวจสอบคำสั่งและการตั้งค่าที่จะดำเนินการเมื่อเรียกใช้ pending-changes apply คุณสามารถเรียกใช้คำสั่งต่อไปนี้ก่อนได้

tsm pending-changes list --config-only

กำหนดค่า SAML สำหรับไซต์

ส่วนนี้จะนำคุณไปยังขั้นตอนการกำหนดค่าที่ปรากฏบนแท็บการตรวจสอบสิทธิ์ในหน้าการตั้งค่า Tableau Server ในการติดตั้ง Tableau Server ที่โฮสต์เอง หน้านี้จะปรากฏขึ้นก็ต่อเมื่อเปิดใช้งานการรองรับ SAML เฉพาะไซต์ที่ระดับเซิร์ฟเวอร์เท่านั้น

หมายเหตุ: หากต้องการดำเนินการขั้นตอนนี้ให้เสร็จสิ้น คุณจะต้องมีเอกสารประกอบที่ IdP ให้มา ค้นหาหัวข้อที่พูดถึงการกำหนดค่าหรือการกำหนดผู้ให้บริการสำหรับการเชื่อมต่อ SAML หรือการเพิ่มแอปพลิเคชัน

ขั้นตอนที่ 1: ส่งออกข้อมูลเมตาจาก Tableau
ขั้นตอนที่ 2 และ 3: ขั้นตอนภายนอก
ขั้นตอนที่ 4: นำเข้าข้อมูลเมตา IdP ไปยังไซต์ Tableau
ขั้นตอนที่ 5: แมปแอตทริบิวต์
ขั้นตอนที่ 6: จัดการผู้ใช้
ขั้นตอนที่ 7: การแก้ปัญหา