設定特定於網站的 SAML
當您要啟用單一登入,並且還使用多個 SAML 身分識別提供者 (IdP) 或 IdP 應用程式時,請在多網站環境中使用特定於網站的 SAML。啟用網站 SAML 時,您可以為每個網站指定 IdP 或 IdP 應用程式,或者將某些網站設定為使用 SAML,而將其他網站設定為使用預設伺服器範圍驗證方法。
如果希望所有伺服器使用者都使用 SAML 並透過同一個 IdP 應用程式登入,請參閱設定全伺服器的 SAML。
在網站層級啟用 SAML 單一登入之前,請滿足以下要求:
必須為本機識別身份存放區設定 Tableau Server 識別身份存放區。
如果使用外部識別身份存放區(例如 Active Directory 或 OpenLDAP)設定 Tableau Server,則無法設定網站特定的 SAML。
確保您的環境和您的 IdP 符合一般的SAML 要求。
某些功能僅在伺服器範圍的 SAML 部署中受支援,包括但不限於:
- 受密碼保護的金鑰檔案,在特定於網站的 SAML 部署中不受支援。
在設定特定於網站的 SAML 之前,必須設定伺服器範圍的 SAML。不需要啟用伺服器範圍的 SAML,但特定於網站的 SAML 需要伺服器範圍的設定。請參閱設定全伺服器的 SAML。
請記下 SAML 憑證檔案的位置。在將伺服器設定為支援特定於網站的 SAML時,您將提供此位置。
有關詳情,請參閱關於設定伺服器範圍 SAML 的主題中的將中繼資料和憑證檔案放在適當位置。
將 Tableau Server 作為服務提供者新增到 IdP。您可以在 IdP 提供的文件中找到此資訊。
確認託管特定於網站的 SAML IdP 的電腦和託管 Tableau Server 的電腦的系統時鐘彼此相差不超過 59 秒。Tableau Server 沒有設定選項來調整 Tableau Server 電腦和 IdP 之間的回應誤差(時間差異)。
傳回 URL 與實體 ID:在設定具體站台的設定中,Tableau 提供一個具體站台傳回基於這些設定檔 URL 與實體 ID。無法修改特定於網站的返回 URL 和實體 ID。這些設定由 TSM 設定,如設定全伺服器的 SAML 中所述。
驗證期限與回應偏態:伺服器範圍的設定、最長驗證期限和回應偏態不適用於具體站台的 SAML。這些設定為硬式編碼:
- 最長身分驗證期限是指 IdP 的驗證權杖在簽發後的有效期限。特定於網站的 SAML 的硬式編碼最長身分驗證期限為 24 天。
- 回應扭曲是指仍允許處理訊息的 Tableau Server 時間與判斷提示建立時間(基於 IdP 伺服器時間)之間的最大秒數差。特定於網站的硬式編碼值為 59 秒。
使用者名稱:必需。除伺服器圍的 SAML 組態屬性外,具體站台的 SAML 組態屬性必須設定為「username」。
附註:要讓特定於站台的 SAML 在伺服器範圍的 SAML 預設值下成功執行,使用 wgserver.saml.idpattribute.username 設定金鑰為伺服器範圍的 SAML 設定的使用者名稱屬性必須為「username」。用於伺服器範圍 SAML 的 IdP 必須在名為「username」的屬性中提供使用者名稱。
HTTP POST 與 HTTP REDIRECT:如果是具體站台的 SAML,Tableau Server 支援 HTTP-POST、HTTP-REDIRECT 與 HTTP-POST-SimpleSign。
滿足上述先決條件後,可以執行以下命令以將伺服器設定為支援特定於網站的 SAML。
設定全伺服器的 SAML。您至少必須執行下列 TSM 命令(如果您已設定全伺服器的 SAML,請跳至步驟 2):
tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>
- 啟用網站 SAML。執行以下命令:
tsm authentication sitesaml enable
tsm pending-changes apply
關於命令
sitesaml enable
命令會在 Tableau Server Web UI 中的每個網站的 [設定] 頁面上顯示 [驗證] 索引標籤。將伺服器設定為支援網站 SAML 後,您可以繼續為網站設定 SAML,以完成 [驗證] 索引標籤上的設定。
如果擱置組態需要重新啟動伺服器,pending-changes apply
命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt
選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply。
如果希望檢查執行 pending-changes apply
時將執行的命令和設定,則可以先執行以下命令:
tsm pending-changes list --config-only
此部分將引導您完成在 Tableau Server「設定」頁面 的「驗證」索引標籤上出現的設定步驟。
附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。