設定特定於網站的 SAML

當您要啟用單一登入,並且還使用多個 SAML 身分識別提供者 (IdP) 或 IdP 應用程式時,請在多網站環境中使用特定於網站的 SAML。啟用網站 SAML 時,您可以為每個網站指定 IdP 或 IdP 應用程式,或者將某些網站設定為使用 SAML,而將其他網站設定為使用預設伺服器範圍驗證方法。

如果希望所有伺服器使用者都使用 SAML 並透過同一個 IdP 應用程式登入,請參閱設定全伺服器的 SAML

啟用特定於網站的 SAML 的先決條件

在網站層級啟用 SAML 單一登入之前,請滿足以下要求:

  • 必須為本機識別身份存放區設定 Tableau Server 識別身份存放區。

     如果使用外部識別身份存放區(例如 Active Directory 或 OpenLDAP)設定 Tableau Server,則無法設定網站特定的 SAML。

  • 確保您的環境和您的 IdP 符合一般的SAML 要求

    某些功能僅在伺服器範圍的 SAML 部署中受支援,包括但不限於:

    • 受密碼保護的金鑰檔案,在特定於網站的 SAML 部署中不受支援。
  • 在設定特定於網站的 SAML 之前,必須設定伺服器範圍的 SAML。不需要啟用伺服器範圍的 SAML,但特定於網站的 SAML 需要伺服器範圍的設定。請參閱設定全伺服器的 SAML

  • 請記下 SAML 憑證檔案的位置。在將伺服器設定為支援特定於網站的 SAML時,您將提供此位置。

    有關詳情,請參閱關於設定伺服器範圍 SAML 的主題中的將中繼資料和憑證檔案放在適當位置

  • Tableau Server 作為服務提供者新增到 IdP。您可以在 IdP 提供的文件中找到此資訊。

  • 確認託管特定於網站的 SAML IdP 的電腦和託管 Tableau Server 的電腦的系統時鐘彼此相差不超過 59 秒。Tableau Server 沒有設定選項來調整 Tableau Server 電腦和 IdP 之間的回應誤差(時間差異)。

與特定於網站的 SAML 相關的伺服器範圍設定

傳回 URL 與實體 ID:在設定具體站台的設定中,Tableau 提供一個具體站台傳回基於這些設定檔 URL 與實體 ID。無法修改特定於網站的返回 URL 和實體 ID。這些設定由 TSM 設定,如設定全伺服器的 SAML 中所述。

驗證期限與回應偏態:伺服器範圍的設定、最長驗證期限和回應偏態不適用於具體站台的 SAML。這些設定為硬式編碼:

  • 最長身分驗證期限是指 IdP 的驗證權杖在簽發後的有效期限。特定於網站的 SAML 的硬式編碼最長身分驗證期限為 24 天。
  • 回應扭曲是指仍允許處理訊息的 Tableau Server 時間與判斷提示建立時間(基於 IdP 伺服器時間)之間的最大秒數差。特定於網站的硬式編碼值為 59 秒。

使用者名稱:必需。除伺服器圍的 SAML 組態屬性外,具體站台的 SAML 組態屬性必須設定為「username」。

附註:要讓特定於站台的 SAML 在伺服器範圍的 SAML 預設值下成功執行,使用 wgserver.saml.idpattribute.username 設定金鑰為伺服器範圍的 SAML 設定的使用者名稱屬性必須為「username」。用於伺服器範圍 SAML 的 IdP 必須在名為「username」的屬性中提供使用者名稱。

HTTP POST 與 HTTP REDIRECT:如果是具體站台的 SAML,Tableau Server 支援 HTTP-POST、HTTP-REDIRECT 與 HTTP-POST-SimpleSign。

將伺服器設定為支援特定於網站的 SAML

滿足上述先決條件後,可以執行以下命令以將伺服器設定為支援特定於網站的 SAML。

  1. 設定全伺服器的 SAML。您至少必須執行下列 TSM 命令(如果您已設定全伺服器的 SAML,請跳至步驟 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. 啟用網站 SAML。執行以下命令:

    tsm authentication sitesaml enable

    tsm pending-changes apply

關於命令

sitesaml enable 命令會在 Tableau Server Web UI 中的每個網站的 [設定] 頁面上顯示 [驗證] 索引標籤。將伺服器設定為支援網站 SAML 後,您可以繼續為網站設定 SAML,以完成 [驗證] 索引標籤上的設定。

如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply

如果希望檢查執行 pending-changes apply 時將執行的命令和設定,則可以先執行以下命令:

tsm pending-changes list --config-only

為網站設定 SAML

此部分將引導您完成在 Tableau Server「設定」頁面 的「驗證」索引標籤上出現的設定步驟。在自託管 Tableau Server 安裝中,只有當在伺服器層級啟用了對特定於網站的 SAML 的支援時,此頁面才會出現。

附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。

步驟 1:從 Tableau 中匯出中繼資料
步驟 2 和步驟 3:外部步驟
步驟 4:將 IdP 中繼資料匯入 Tableau 網站
步驟 5: 匹配屬性
步驟 6:管理使用者
步驟 7:疑難排解