設定特定於網站的 SAML

當您要啟用單一登入,並且還使用多個 SAML 身分識別提供者 (IdP) 或 IdP 應用程式時,請在多網站環境中使用特定於網站的 SAML。啟用網站 SAML 時,您可以為每個網站指定 IdP 或 IdP 應用程式,或者將某些網站設定為使用 SAML,而將其他網站設定為使用預設伺服器範圍驗證方法。

如果希望所有伺服器使用者都使用 SAML 並透過同一個 IdP 應用程式登入,請參閱設定全伺服器的 SAML

啟用特定於網站的 SAML 的先決條件

在網站層級啟用 SAML 單一登入之前,請滿足以下要求:

  • 必須為本機識別身份存放區設定 Tableau Server 識別身份存放區。

     如果使用外部識別身份存放區(例如 Active Directory 或 OpenLDAP)設定 Tableau Server,則無法設定網站特定的 SAML。

  • 確保您的環境和您的 IdP 符合一般的SAML 要求

    某些功能僅在伺服器範圍的 SAML 部署中受支援,包括但不限於:

    • 受密碼保護的金鑰檔案,在特定於網站的 SAML 部署中不受支援。
  • 在設定特定於網站的 SAML 之前,必須設定伺服器範圍的 SAML。不需要啟用伺服器範圍的 SAML,但特定於網站的 SAML 需要伺服器範圍的設定。請參閱設定全伺服器的 SAML

  • 請記下 SAML 憑證檔案的位置。在將伺服器設定為支援特定於網站的 SAML時,您將提供此位置。

    有關詳情,請參閱關於設定伺服器範圍 SAML 的主題中的將中繼資料和憑證檔案放在適當位置

  • Tableau Server 作為服務提供者新增到 IdP。您可以在 IdP 提供的文件中找到此資訊。

  • 確認託管特定於網站的 SAML IdP 的電腦和託管 Tableau Server 的電腦的系統時鐘彼此相差不超過 59 秒。Tableau Server 沒有設定選項來調整 Tableau Server 電腦和 IdP 之間的回應誤差(時間差異)。

與特定於網站的 SAML 相關的伺服器範圍設定

傳回 URL 與實體 ID:在設定具體站台的設定中,Tableau 提供一個具體站台傳回基於這些設定檔 URL 與實體 ID。無法修改特定於網站的返回 URL 和實體 ID。這些設定由 TSM 設定,如設定全伺服器的 SAML 中所述。

驗證期限與回應偏態:伺服器範圍的設定、最長驗證期限和回應偏態不適用於具體站台的 SAML。這些設定為硬式編碼:

  • 最長身分驗證期限是指 IdP 的驗證權杖在簽發後的有效期限。特定於網站的 SAML 的硬式編碼最長身分驗證期限為 24 天。
  • 回應扭曲是指仍允許處理訊息的 Tableau Server 時間與判斷提示建立時間(基於 IdP 伺服器時間)之間的最大秒數差。特定於網站的硬式編碼值為 59 秒。

使用者名稱:必需。除伺服器圍的 SAML 組態屬性外,具體站台的 SAML 組態屬性必須設定為「username」。

附註:要讓特定於站台的 SAML 在伺服器範圍的 SAML 預設值下成功執行,使用 wgserver.saml.idpattribute.username 設定金鑰為伺服器範圍的 SAML 設定的使用者名稱屬性必須為「username」。用於伺服器範圍 SAML 的 IdP 必須在名為「username」的屬性中提供使用者名稱。

HTTP POST 與 HTTP REDIRECT:如果是具體站台的 SAML,Tableau Server 支援 HTTP-POST、HTTP-REDIRECT 與 HTTP-POST-SimpleSign。

將伺服器設定為支援特定於網站的 SAML

滿足上述先決條件後,可以執行以下命令以將伺服器設定為支援特定於網站的 SAML。

  1. 設定全伺服器的 SAML。您至少必須執行下列 TSM 命令(如果您已設定全伺服器的 SAML,請跳至步驟 2):

    tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. 啟用網站 SAML。執行以下命令:

    tsm authentication sitesaml enable

    tsm pending-changes apply

關於命令

sitesaml enable 命令會在 Tableau Server Web UI 中的每個網站的 [設定] 頁面上顯示 [驗證] 索引標籤。將伺服器設定為支援網站 SAML 後,您可以繼續為網站設定 SAML,以完成 [驗證] 索引標籤上的設定。

如果擱置組態需要重新啟動伺服器,pending-changes apply 命令將顯示提示,讓您知道即將重新啟動。即使伺服器已停止,也會顯示提示,但在這種情況下不會重新啟動。您可以使用 --ignore-prompt 選項隱藏提示,但這樣做不會改變重新啟動行為。如果變更不需要重新啟動,則不會出現提示即可套用變更。有關詳情,請參閱 tsm pending-changes apply

如果希望檢查執行 pending-changes apply 時將執行的命令和設定,則可以先執行以下命令:

tsm pending-changes list --config-only

為網站設定 SAML

此部分將引導您完成在 Tableau Server「設定」頁面 的「驗證」索引標籤上出現的設定步驟。在自託管 Tableau Server 安裝中,只有當在伺服器層級啟用了對特定於網站的 SAML 的支援時,此頁面才會出現。

附註: 若要完成這個處理序,您還將需要 IdP 提供的文件。請查找那些介紹如何為 SAML 連線設定或定義服務提供程式或者新增應用程式的主題。

步驟 1:從 Tableau 中匯出中繼資料

要在 Tableau Server 與您的 IdP 之間建立 SAML 連線,需要在這兩項服務之間交換必需的中繼資料。若要從 Tableau Server 中獲取中繼資料,請選擇以下任一方法。請參閱 IdP 的 SAML 設定文件來確認正確的選項。

  • 選取「匯出中繼資料」按鈕,以下載一個包含 Tableau Server SAML 實體識別碼、判斷提示取用者服務 (ACS) URL 和 X.509 憑證的 XML 檔案。

    實體 ID 特定於網站,並且基於您在伺服器上啟用網站 SAML 時指定的伺服器範圍實體 ID。例如,如果已指定 https://tableau_server,則可能會看到網站的以下實體 ID:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    您無法修改特定於網站的實體 ID 或 Tableau 生成的 ACS URL。

  • 如果您的 IdP 期望以另一種方式獲得所需的資訊,請選取「下載憑證」。舉例來說,它希望您在將臨的位置中輸入 Tableau Server 實體 ID、ACS URL 和 X.509 憑證。

    下圖經過編輯,顯示出這些設定在 Tableau Cloud 和 Tableau Server 中相同。

步驟 2 和步驟 3:外部步驟

對於步驟 2, 若要匯入您在步驟 1 中匯出的中繼資料,請登入您的 IdP 帳戶,然後按照 IdP 的文件提供的說明來提交 Tableau Server 中繼資料。

對於步驟 3,IdP 的文件將也可在如何向服務提供程式提供中繼資料方面為您提供指導。它將指示您下載中繼資料檔,或者將顯示 XML 代碼。如果它顯示 XML 代碼,請將代碼複製並粘貼到一個新文字檔中,並使用 .xml 副檔名儲存檔案。

步驟 4:將 IdP 中繼資料匯入 Tableau 網站

Tableau Server 中的「驗證」 頁面上,匯入您從 IdP 下載或透過它提供的 XML 手動設定的中繼資料檔。

附註:如果編輯設定,則需要上傳中繼資料檔案,以便 Tableau 了解是否使用正確的 IdP 實體 ID 和 SSO 服務 URL。

步驟 5: 匹配屬性

屬性包含有關使用者的驗證、授權和其他資訊。「身分識別提供者 (IdP) 判斷提示取用者服務名稱」 欄中,提供包含 Tableau Server 所需資訊的屬性。

  • 使用者名或電子郵件:(必填)輸入存儲使用者姓名或電子郵件地址的屬性的名稱。

  • 顯示名稱:(可選)某些 IdP 對名字和姓氏使用單獨的屬性,而其他 IdP 則將全名儲存在一個屬性中。若將 SAML 用於本機驗證,則顯示名稱屬性不會與 SAML IdP 同步。

    選取對您的 IdP 存儲名稱的方式對應的按鈕。舉例來說,如果 IdP 將名和姓合併在一個屬性中,請選取「顯示名稱」,然後輸入屬性名稱。

    擷取 Tableau Server 設定網站 SAML 步驟 5 - 匹配屬性的螢幕畫面

步驟 6:管理使用者

選取現有的 Tableau Server 使用者,或者新增您想批准其進行單一登入的新使用者。

在新增或匯入使用者時,還要指定使用者的驗證類型。在「使用者」頁面上,可以在新增使用者後隨時變更使用者的驗證類型。

有關詳情,請參閱向網站新增使用者匯入使用者針對 SAML 設定使用者驗證類型

重要資訊: 使用特定於網站的 SAML 進行驗證的使用者只能屬於一個網站。如果使用者需要存取多個網站,請將其驗證類型設定為伺服器預設值。根據伺服器管理員設定特定於網站的 SAML 的方式,伺服器預設值為本機驗證或伺服器範圍 SAML。

步驟 7:疑難排解

首先執行「驗證」頁面上建議的疑難排解步驟。如果這些步驟無法解決問題,請參閱 SAML 疑難排解

感謝您的意見反應!已成功提交您的意見回饋。謝謝!