Essa página foi útil?
Sim Não

Configurar SAML em todo o servidor

O Tableau Server no Windows agora inclui o Tableau Services Manager (TSM), que substitui o Utilitário de configuração e a ferramenta de linha comando tabadmin. Caso precise de ajuda para uma versão anterior do Tableau Server, consulte a página Ajuda do Tableau.

Configure o SAML em todo o servidor, quando desejar que todos os usuários de logon único (SSO) no Tableau Server sejam autenticados por meio de um único provedor de identidade (IdP) do SAML ou como a primeira etapa para configurar um SAML específico do site em um ambiente de vários sites.

Se você configurou o SAML em todo o servidor e está pronto para configurar um site, consulte Configurar SAML para um site específico.

As etapas de configuração do SAML que fornecemos pressupõem que:

  • Você está familiarizado com as opções de configuração da autenticação SAML no Tableau Server, como descrito em SAML.

  • Você certificou-se de que seu ambiente atende os Requisitos do SAML e obteve os arquivos de certificado do SAML descritos nos requisitos.

Visão geral da configuração do SAML

Para configurar o SAML para o Tableau Server, conclua os conjuntos de etapas a seguir.

  1. Colocar os arquivos de certificado e metadados IdP no local adequado — Esta seção inclui informações para configuração do SAML para um cluster do Tableau Server.

  2. Escolher o método de configuração do SAML — aqui você encontra as etapas do método de configuração mais confortável para você: interface do usuário na Web do Tableau Services Manager (TSM), TSM CLI ou a entidade samlSettings com o arquivo JSON.

  3. Gerar os metadados do Tableau Server e configurar o IdP — Adicione o Tableau Server como um provedor de serviços.

  4. Testar a configuração — Fazer logon na interface do usuário do Tableau Server na Web.

Colocar os arquivos de certificado e metadados IdP no local adequado

Nesta fase, é preciso coletar os arquivos necessários para a configuração SAML no local designado no computador do Tableau Server. Esses arquivos incluem:

  • Cópias do certificado SAML e arquivos-chave.

    Para revisar os requisitos do arquivo de certificado, consulte Requisitos do SAML.

  • Se desejar configurar o SAML usando o TSM CLI ou a entidade samlSettings, também será possível obter o arquivo XML dos metadados do IdP.

    Caso planeje Configurar o SAML usando a interface do usuário Web do TSM, obtenha os metadados do IdP ao passar pelas etapas na interface do usuário.

Reunir o certificado e os arquivos de metadados

  1. Na pasta Tableau Server, crie uma nova pasta chamada SAML e coloque as cópias do certificado SAML nela. Por exemplo:

    C:\Program Files\Tableau\Tableau Server\SAML

    Esta é a localização recomendada porque a conta de usuário que executa o Tableau Server tem as permissões necessárias para acessar essa pasta.

    (Também mantenha os arquivos de certificado em uma localização segura, fora da árvore diretórios do Tableau Server.)

    Observação: se você usa os mesmos arquivos de certificado para o SSL, é possível usar, alternativamente, a localização do certificado existente para configurar o SAML e adicionar o arquivo de metadados do IdP àquele diretório ao baixá-lo mais tarde neste procedimento. Para obter mais informações, consulte Sobre os arquivos de chave e certificado nos requisitos do SAML.

  2. Execute um destes procedimentos:

    Caso planeje configurar o SAML na interface do usuário do TSM, pule esta etapa. Ela será concluída ao passar por todas as etapas da interface do usuário.

    Se planeja configurar o SAML usando o TSM CLI ou a entidade samlSettings do TSM, vá até o site ou aplicativo do IdP e exporte o arquivo XML de metadados do IdP.

    Confirme se o XML de IdP inclui um elemento SingleSignOnService, no qual a associação é definida para HTTP-POST, conforme o exemplo a seguir:

    <md:SingleSignOnService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://SERVER-NAME:9031/idp/SSO.saml2"/>

  3. Se você estiver executando um cluster do Tableau Server, conclua as etapas a seguir em cada nó que executa um processo de servidor de aplicativos (vizportal):

    1. Repita a etapa anterior para criar um diretório para os arquivos de certificado e de chave do SAML (ou use o local do certificado existente se você usar os mesmos arquivos de certificado para o SSL).

    2. Copie os arquivos de certificado, chave e metadados IdP do diretório saml do nó inicial para o mesmo local nos nós subsequentes.

    Após copiar os arquivos aos nós subsequentes, não é necessário fazer qualquer configuração adicional nesses nós.

Escolher o método de configuração do SAML

Estas são as opções para configuração do SAML em todo o servidor:

Usar a entidade samlSettings com um arquivo de configuração

As entidades TSM usam JSON e pares de chave-valor. Use o modelo de arquivo de configuração abaixo para criar um arquivo .json. Forneça valores das chaves adequadas pra seu ambiente, em seguida transmita o arquivo .json para o Tableau Server com os comandos a seguir:

tsm settings import -f <path-to-file.json>

tsm pending-changes apply

O modelo SAML mostra as chaves mínimas necessárias para habilitar o SAML em todo o site.

Será necessário substituir os valores de espaço reservado do returnUrl, entityId, certFile, keyFile, idpMetadataFile e idpUsernameAttribute.

Por exemplo, para idpMetadataFile, insira o seguinte:

C:\Program Files\Tableau\Tableau Server\SAML\idp-metadata.xml

{ "configEntities": { "samlSettings": { "_type": "samlSettingsType", "enabled": true, "returnUrl": "https://your-tableau-server", "entityId": "https://your-server-entity-id", "certFile": "/path/to/file/crt", "keyFile": "/path/to/file.key", "idpMetadataFile": "/path/to/metadata.xml", "idpUsernameAttribute": "username-attr" } } }

Se estiver usando a chave PKCS#8 protegida por uma frase secreta, insira a esta frase da seguinte forma:

tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

tsm pending-changes apply

A frase secreta será codificada e salva. Consulte Gerenciar segredos do servidor.

Para saber mais, consulte: Entidade samlSettings.

Em seguida, Gerar os metadados do Tableau Server e configurar o IdP

Usar a CLI do TSM

Execute os seguintes comandos:

  1. Com a localização criada, caso tenha seguido as etapas em Colocar os arquivos de certificado e metadados IdP no local adequado, e incluindo todos os parâmetros obrigatórios para a configuração inicial, defina as configurações SAML para o servidor (substituindo valores de espaço reservado com seu caminho do ambiente e nomes de arquivo).

    Linux

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata /var/opt/tableau/tableau_server/data/saml/<metadata-file.xml> --idp-return-url https://tableau-server --cert-file /var/opt/tableau/tableau_server/data/saml/<file.crt> --key-file /var/opt/tableau/tableau_server/data/saml/<file.key>

    Windows

    tsm authentication saml configure --idp-entity-id https://tableau-server --idp-metadata "C:\Program Files\Tableau\Tableau Server\SAML\<metadata-file.xml>" --idp-return-url https://tableau-server --cert-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.crt>" --key-file "C:\Program Files\Tableau\Tableau Server\SAML\<file.key>"

  2. Se estiver usando a chave PKCS#8 protegida por uma frase secreta, insira a esta frase da seguinte forma:

    tsm configuration set -k wgserver.saml.key.passphrase -v <passphrase>

  3. Se o SAML ainda não estiver habilitado no Tableau Server, por exemplo, você está configurando-o pela primeira vez ou desabilitou-o, habilite-o agora:

    tsm authentication saml enable

  4. Aplique as alterações:

    tsm pending-changes apply

    O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Em seguida, Gerar os metadados do Tableau Server e configurar o IdP

Gerar os metadados do Tableau Server e configurar o IdP

  1. Execute o comando a seguir para gerar o arquivo de metadados XML do Tableau Server.

    tsm authentication saml export-metadata -f <file-name.xml>

    Você pode especificar um nome de arquivo ou omitir o parâmetro -f para criar um arquivo padrão chamado samlmetadata.xml.

  2. No site do seu IdP ou em seu aplicativo:

    • Adicione o Tableau Server como um Provedor de serviços.

      Consulte a documentação do seu IdP para obter informações sobre como fazer isso. Como parte do processo de configuração do Tableau Server como um Provedor de serviços, você importará o arquivo de metadados do Tableau Server que gerou do comando export-metadata.

    • Confirme se o seu IdP usa nome de usuário como o atributo para verificar os usuários.

Testar a configuração

  1. No navegador da Web, abra uma nova página ou guia e insira a URL do Tableau Server.

    O navegador o direciona para o formulário de logon do IdP.

  2. Insira seu nome de usuário do logon único e senha.

    O IdP verifica suas credenciais e o redireciona para a página inicial do Tableau Server.