配置特定于站点的 SAML
当您要启用单点登录,并且还使用多个 SAML 身份提供程序 (IdP) 或 IdP 应用程序时,请在多站点环境中使用特定于站点的 SAML。启用站点 SAML 时,您可以为每个站点指定 IdP 或 IdP 应用程序,或者将某些站点配置为使用 SAML,而将其他站点配置为使用默认服务器范围身份验证方法。
如果希望所有服务器用户都使用 SAML 并通过同一个 IdP 应用程序登录,请参见配置服务器范围 SAML。
在站点级别启用 SAML 单点登录之前,请满足以下要求:
必须针对本地身份存储配置 Tableau Server 身份存储。
如果 Tableau Server 配置为使用外部身份存储(例如 Active Directory 或 OpenLDAP),则无法配置特定于站点的 SAML。
确保您的环境和您的 IdP 符合一般的SAML 要求。
某些功能仅在服务器范围 SAML 部署中受支持,包括但不限于:
- 特定于站点的 SAML 部署不支持的受密码保护的密钥文件。
在配置特定于站点的 SAML 之前,您必须配置服务器范围的 SAML。您不需要启用服务器范围的 SAML,但特定于站点的 SAML 需要服务器范围的配置。请参见配置服务器范围 SAML。
请记下 SAML 证书文件的位置。在将服务器配置为支持特定于站点的 SAML时,您将提供此位置。
有关详细信息,请参阅关于配置服务器范围 SAML 的主题中的将元数据和证书文件放在适当位置。
将 Tableau Server 作为服务提供程序添加到 IdP。您可以在 IdP 提供的文档中找到此信息。
确认托管特定于站点的 SAML IdP 的计算机和托管 Tableau Server 的计算机的系统时钟彼此相差不超过 59 秒。Tableau Serer 没有用于调整 Tableau Server 计算机和 IdP 之间的响应偏移(时间差异)的选项。
返回 URL 和实体 ID:在用于配置特定于站点的 SAML 的设置中,Tableau 基于这些设置提供特定于站点的返回 URL 和实体 ID。无法修改特定于站点的返回 URL 和实体 ID。这些配置由 SAML 设置,如配置服务器范围 SAML中所述。
身份验证期限和响应偏移:服务器范围的设置、最长身份验证期限和响应偏移不适用于特定于站点的 SAML。这些配置是硬编码的:
- 最长身份验证期限是指来自 IdP 的身份验证令牌在发出后的有效期。特定于站点的 SAML 的硬编码最长身份验证期限为 24 天。
- 响应偏移是 Tableau Server 时间与仍允许处理消息的断言创建时间(基于 IdP 服务器时间)相差的最大秒数。此设置特定于站点的硬编码值为 59 秒。
username:必填。除了服务器范围的 SAML 配置属性外,站点特定的 SAML 配置属性必须设置为“username”。
注意:要使特定于站点的 SAML 使用服务器范围的 SAML 默认值成功运行,使用 wgserver.saml.idpattribute.username 配置键为服务器范围的 SAML 配置的 username 属性必须为“username”。用于服务器范围 SAML 的 IdP 必须在名为“username”的属性中提供用户名。
HTTP POST 和 HTTP REDIRECT:对于特定于站点的 SAML,Tableau Server 支持 HTTP-POST、HTTP-REDIRECT 和 HTTP-POST-SimpleSign。
满足上述先决条件后,可以运行以下命令以将服务器配置为支持特定于站点的 SAML。
配置服务器范围 SAML。至少必须运行以下 TSM 命令(如果已经配置了服务器范围 SAML,请跳至步骤 2):
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- 启用站点 SAML。运行以下命令:
tsm authentication sitesaml enable
tsm pending-changes apply
关于命令
sitesaml enable
命令会在 Tableau Server Web UI 中的每个站点的“设置”页面上显示“身份验证”选项卡。将服务器配置为支持站点 SAML 后,您可以继续为站点配置 SAML,以完成“身份验证”选项卡上的设置。
如果待定更改需要重新启动服务器,pending-changes apply
命令将显示一个提示,告知您将进行重新启动。即使服务器已停止,此提示也会显示,但在这种情况下不会重新启动。您可以使用 --ignore-prompt
选项隐藏提示,但这样做不会改变重新启动行为。如果更改不需要重新启动,则会在不提示的情况下应用更改。有关详细信息,请参见tsm pending-changes apply。
如果希望检查运行 pending-changes apply
时将执行的命令和设置,则可以先运行以下命令:
tsm pending-changes list --config-only
此部分将引导您完成在 Tableau Server 设置页面的“身份验证”选项卡上出现的配置步骤。
注意:若要完成此过程,您还将需要 IdP 提供的文档。请查找那些介绍如何为 SAML 连接配置或定义服务提供程序或者添加应用程序的主题。