設定全伺服器的 SAML
在希望 Tableau Server 上的所有單一登入 (SSO) 使用者透過單一 SAML 身分識別提供者 (IdP) 進行驗證時設定伺服器範圍 SAML,或作為第一步在多網站環境中設定特定於網站的 SAML。
如果設定了伺服器範圍 SAML 並已準備好設定網站,請參閱設定特定於網站的 SAML。
我們提供的 SAML 設定步驟假設:
開始之前
作為災難復原計劃的一部分,我們建議將憑證和 IdP 檔案的備份儲存在 Tableau Server 之外的安全位置。您上載到 Tableau Server 的 SAML 資產檔案將由用戶端檔案服務儲存並散發至其他節點。但是,這些檔案不會以可復原的格式儲存。請參閱Tableau Server Client File Service。
附註:如果為 SSL 使用相同的憑證檔案,您可以選取使用現有憑證位置用於設定 SAML,並在該程序中稍後下載 IdP 中繼資料檔時將其新增到該目錄。有關詳情,請參閱 SAML 需求中的針對 SAML 使用 SSL 憑證和金鑰檔案。
如果您在叢集中執行 Tableau Server,則 SAML 憑證、金鑰和中繼資料檔案會在您啟用 SAML 時自動發佈到所有節點。
執行此程序時,您必須將 SAML 憑證上載至 TSM,使其正確儲存並散發在伺服器組態中。在此程序中,您必須可在執行 TSM Web 介面的本機電腦上透過瀏覽器使用 SAML 檔案。
如果您已依照上一節的建議,將 SAML 檔案收集並儲存到 Tableau Server 中,請從您複製檔案的 Tableau Server 電腦執行 TSM Web 介面。
如果您要從不同的電腦執行 TSM Web 介面,則必須先在本機複製所有 SAML 檔案,再繼續作業。請依照下列程序,瀏覽至本機電腦上的檔案,將其上載至 TSM。
在瀏覽器中開啟 TSM:
https://<tsm-computer-name>:8850。有關詳情,請參閱登入到 Tableau 服務管理員 Web UI。
在「設定」索引標籤上,選取「使用者身分和存取」,然後選取「驗證方法」索引標籤。
對於「驗證方法」,選取「SAML」。
在出現的「SAML」部分完成 GUI 中的步驟 1,同時輸入以下設定(不要選取核取方塊來為伺服器啟用 SAML):
Tableau Server 返回 URL - Tableau Server 使用者將存取的 URL,例如 https://tableau-server。
不支援使用 https://localhost 或結尾有斜杠的 URL(例如,http://tableau_server/)。
SAML 實體 ID — 向 IdP 唯一識別您的 Tableau Server 安裝的實體 ID。
可以在此處再次輸入您的 Tableau Server URL。如果打算稍後啟用特定於網站的 SAML,此 URL 還充當每個網站的唯一 ID 的基礎。
SAML 憑證和金鑰檔案 — 按一下「選取檔案」以上載各個檔案。
若您使用的是 PKCS#8 複雜密碼保護的金鑰檔案,則必須使用 TSM CLI 來輸入複雜密碼:
tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>
在 GUI 中的步驟 1 中提供所需的資訊之後,GUI 中步驟 2 中的「下載 XML 中繼資料檔案」按鈕將變為可用。
現在選取 GUI 中「步驟 1」上方的「為伺服器啟用 SAML 驗證」核取方塊。
完成其餘 SAML 設定。
在 GUI 中的步驟 2 和步驟 3 中,在 Tableau Server 和 IdP 之間交換中繼資料。(您可能需要在此處查閱 IdP 的文件。)
選取「下載 XML 中繼資料檔案」,並指定檔案位置。
如果要使用 AD FS 設定 SAML,您可以返回到「在 Tableau Server 上使用 AD FS 設定 SAML」的步驟 3:設定 AD FS 以接受來自 Tableau Server 的登入請求。
對於其他 IdP,轉到您的 IdP 帳戶,以將 Tableau Server 新增到其應用程式(作為服務提供者),並根據情況提供 Tableau 中繼資料。
按照 IdP 的網站或文件中的說明進行操作,下載 IdP 的中繼資料。將 .xml 檔案儲存到包含 SAML 憑證和金鑰檔的同一位置。例如:
C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml
返回到 TSM Web UI。在 GUI 中的步驟 4 中,輸入 IdP 中繼資料檔案的路徑,然後按一下「選取檔案」。
在 GUI 中的步驟 5 中:在某些情況下,您可能需要變更 Tableau Server 設定中的判斷提示值,以符合由 IdP 傳遞的判斷提示名稱。
您可以在 IdP 的 SAML 設定中找到判斷提示名稱。如果判斷提示名稱是由 IdP 傳遞而來,則您必須更新 Tableau Server 以使用相同的判斷提示值。
提示:「判斷提示」是關鍵 SAML 元件,而對應判斷提示的概念起初可能難以捉摸。將這一概念放在表格式資料的上下文中可能有所幫助,在該上下文中,判斷提示(屬性)名稱相當於表中的列標題。您輸入該「標題」名稱,而不是可能出現在該列中的值的範例。
在 GUI 中的步驟 6 中,選取要在其中為使用者提供單一登入體驗的 Tableau 應用程式。
附註:執行 Tableau Mobile 應用程式 19.225.1731 版及更新版本的裝置,會忽略停用行動存取的選項。若要針對執行該等版本的裝置停用 SAML 驗證,您必須在 Tableau Server 上停用 SAML 做為用戶端登入選項。
對於 SAML 登出重新導向,如果 IdP 支援單一登出 (SLO),請輸入您希望使用者登出後將其重新導向前往的頁面(相對於您為 Tableau Server 傳回 URL 輸入的路徑)。
(可選)如果是 GUI 中的第 7 步,請執行以下操作:
為
AuthNContextClassRef
屬性新增一個以逗號分隔的值。有關如何使用此屬性的詳情,請參閱 SAML 相容性說明和要求。如果不將域作為使用者名稱的一部分傳送,則指定網域屬性(即,
domain\username
)。有關更多資訊,請參閱 執行多個網域。
輸入設定資訊後,按一下「儲存暫止的變更」。
按一下頁面頂端的「暫止的變更」:
按一下「套用變更並重新啟動」。
在 Web 瀏覽器中,開啟一個新頁面或標籤,並輸入 Tableau Server URL。
瀏覽器會將您重定向到 IdP 的登入表單。
輸入您的單一登入使用者名和密碼。
IdP 將驗證您的認證,並將您重定向回 Tableau Server 開始頁面。