配置服务器范围 SAML
- 版本 :2022.1 及更高版本
在希望 Tableau Server 上的所有单点登录 (SSO) 用户通过单一 SAML 身份提供程序 (IdP) 进行身份验证时配置服务器范围 SAML,或作为第一步在多站点环境中配置特定于站点的 SAML。
在希望 Tableau Server 上的所有单点登录 (SSO) 用户通过单一 SAML 身份提供程序 (IdP) 进行身份验证时配置服务器范围 SAML,或作为第一步在多站点环境中配置特定于站点的 SAML。
如果配置了服务器范围 SAML 并已准备好配置站点,请参见配置特定于站点的 SAML。
我们提供的 SAML 配置步骤假设:
开始之前
收集证书文件并将其放在 Tableau Server 上。
在 Tableau Server 文件夹中,创建一个名为 SAML 的新文件夹,并将 SAML 证书文件的副本放在该文件夹中。例如:
/var/opt/tableau/tableau_server/data/saml
作为灾难恢复计划的一部分,我们建议将证书和 IdP 文件的备份保留在 Tableau Server 外的安全位置。您上传到 Tableau Server 的 SAML 资产文件将由客户端文件服务存储并分发到其他节点。但是,这些文件不会以可恢复格式存储。请参见Tableau Server 客户端文件服务。
注意:如果为 SSL 使用相同的证书文件,您可以选择使用现有证书位置用于配置 SAML,并在此过程中稍后下载 IdP 元数据文件时将其添加到该目录。有关详细信息,请参见 SAML 要求中的为 SAML 使用 SSL 证书和密钥文件。
如果在群集中运行 Tableau Server,则在启用 SAML 时,将跨各个节点上自动分发 SAML 证书、密钥和元数据文件。
此过程要求您将 SAML 证书上载到 TSM,以便在服务器配置中正确存储和分发这些证书。在此过程中,运行 TSM Web 界面的本地计算机上的浏览器必须能够使用 SAML 文件。
如果已经按照上一节中建议的方式将收集并将 SAML 文件保存到 Tableau Server,请从在其中复制文件的 Tableau Server 计算机中运行 TSM Web 界面。
如果您正从其他计算机运行 TSM Web 界面,则需要在继续之前以本地方式复制所有 SAML 文件。在进行下面的过程时,浏览到本地计算机上的文件以将它们上载到 TSM。
在浏览器中打开 TSM:
https://
在“配置”选项卡上,选择“用户身份和访问”,然后选择“身份验证方法”选项卡。
对于“身份验证方法”,选择“SAML”。
在出现的“SAML”部分,完成 GUI 中的步骤 1,同时输入以下设置(还不要选中复选框来为服务器启用 SAML)。
Tableau Server 返回 URL - Tableau Server 用户将访问的 URL,例如 https://tableau-server。
不支持使用 https://localhost 或结尾有斜杠的 URL(例如,http://tableau_server/)。
SAML 实体 ID — 向 IdP 唯一标识您的 Tableau Server 安装的实体 ID。
可以在此处再次输入您的 Tableau Server URL。如果打算稍后启用特定于站点的 SAML,此 URL 还充当每个站点的唯一 ID 的基础。
SAML 证书和密钥文件 — 单击“选择文件”上载其中每个文件。
如果使用 PKCS#8 密码保护的密钥文件,则必须使用 TSM CLI 输入密码:
tsm configuration set -k wgserver.saml.key.passphrase -v
在提供了 GUI 中的步骤 1 所需的信息之后,GUI 中的步骤 2 的“下载 XML 元数据文件”按钮将变为可用。
现在选中 GUI 中的步骤 1 上方的“为服务器启用 SAML 身份验证”复选框。
完成其余 SAML 设置。
对于 GUI 中的步骤 2 和步骤 3,在 Tableau Server 和 IdP 之间交换元数据。(您可能需要在此处查阅 IdP 的文档。)
选择“下载 XML 元数据文件”,并指定文件位置。
对于其他 IdP,转到您的 IdP 帐户,以将 Tableau Server 添加到其应用程序(作为服务提供程序),并根据情况提供 Tableau 元数据。
按照 IdP 的网站或文档中的说明进行操作,下载 IdP 的元数据。将 .xml 文件保存到包含 SAML 证书和密钥文件的同一位置。例如:
/var/opt/tableau/tableau_server/data/saml/idp-metadata.xml
返回到 TSM Web UI。对于 GUI 中的步骤 4,输入 IdP 元数据文件的路径,然后单击“选择文件”。
对于 GUI 中的步骤 5:在某些情况下,您可能需要更改 Tableau Server 配置中的断言值,以匹配 IdP 传递的断言名称。
您可以在 IdP 的 SAML 配置中找到断言名称。如果从 IdP 传递了不同的断言名称,则您必须更新 Tableau Server 以使用同一断言值。
提示:“断言”是关键 SAML 组件,而映射断言的概念起初可能难以捉摸。将这一概念放在表格式数据的上下文中可能有所帮助,在该上下文中,断言(属性)名称相当于表中的列标题。您输入该“标题”名称,而不是可能出现在该列中的值的示例。
对于 GUI 中的步骤 6,选择要在其中为用户提供单点登录体验的 Tableau 应用程序。
注意:运行 Tableau Mobile 应用版本 19.225.1731 及更高版本的设备会忽略用于禁用移动访问的选项。若要为运行这些版本的设备禁用 SAML,请在 Tableau Server 上禁用 SAML 作为客户端登录选项。
对于 SAML 注销重定向,如果 IdP 支持单点注销 (SLO),请输入希望在用户注销后将其重定向到的页面(相对于您为 Tableau Server 返回 URL 输入的路径)。
对于 GUI 中的步骤 7,根据需要为
AuthNContextClassRef
属性添加逗号分隔值。有关如何使用此属性的详细信息,请参见SAML 兼容性注意事项和要求。输入配置信息后,单击“保存待处理的更改”。
单击页面顶部的“待定更改”:
单击“应用更改并重新启动”。
测试配置
在 Web 浏览器中,打开一个新页面或标签,并输入 Tableau Server URL。
浏览器会将您重定向到 IdP 的登录表单。
输入您的单点登录用户名和密码。
IdP 将验证您的凭据,并将您重定向回 Tableau Server 开始页面。