Entidade samlSettings


Este artigo contém um modelo e materiais de referência para a configuração de SAML para todo o servidor no Tableau Server, que é feita por meio de um arquivo de configuração com chaves e valores para a entidade samlSettings. Essas informações complementam as etapas de configuração SAML em Configurar SAML em todo o servidor.

Para criar um modelo de configuração de SAML e aplicá-lo ao Tableau Server, conclua estas etapas:

  1. Leia com atenção as duas seguintes seções que descrevem o modelo e sua estrutura (Definições e categorias de modelos e Modelo de configuração samlSettings).

  2. Cole o código JSON contido no modelo em um novo arquivo de texto e salve-o usando a extensão .json.

  3. Use a Referência de entidade de configuração de SAML para obter ajuda sobre como fornecer valores quando for necessário.

  4. Adicione pares de chave/valor opcionais específicos ao seu ambiente. Por exemplo, se seu arquivo de chave do certificado SAML solicitar uma frase secreta, será necessário especificar a frase secreta no parâmetro wgserver.saml.key.passphrase usando o comando tsm configuration set.

  5. Passar o arquivo de configuração para o Tableau Server.

Definições e categorias de modelos

O modelo usa placeholders para cada valor de chave. Esses placeholders são categorizados da seguinte maneira:

  • Obrigatório: atributos com o valor "required" devem ser substituídos pelos dados válidos, antes que o comando de configuração seja executado. Consulte a referência do arquivo de configuração para obter valores válidos.

  • Inserido no código: nomes de atributos com um sublinhado (_) como prefixo, por exemplo "_type" têm valores inseridos no código. Não altere esses valores.

  • Valores padrão: atributos que são definidos para um valor que não é "required" são valores padrão. Eles são atributos exigidos que você pode alterar de acordo com o que for adequado para o seu ambiente.

  • Conjuntos vazios: valores vazios ("") podem ser passados como estão, ou você pode oferecer um valor para a sua instalação.

Importante: todas as opções de entidade diferenciam maiúsculas de minúsculas.

Modelo de configuração samlSettings

Cole este código em um arquivo de texto e faça as alterações relevantes para seu ambiente, usando a referência abaixo.


{
  "configEntities": {
    "samlSettings": {
      "_type": "samlSettingsType",
      "enabled": true,
      "returnUrl": "required",
      "entityId": "required",
      "certFile": "required",
      "keyFile": "required",
      "idpMetadataFile": "required",
      "idpDomainAttribute": "",
      "idpUsernameAttribute": "required"
    }
  }
}

Referência de entidade de configuração de SAML

A lista a seguir inclui todas as opções que podem ser incluídas com o conjunto de entidades "samlSettings".

idpMetadataFile

Obrigatório. O caminho e o nome do arquivo para o arquivo XML gerado pelo IdP. Os metadados de XML devem incluir o atributo do nome do usuário (asserção).

Se as etapas descritas em Configurar SAML em todo o servidor foram seguidas, o valor a ser inserido aqui será:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<metadata-file.xml>"

enabled

true | false

Obrigatório. Indica se a autenticação SAML está ativada. Não defina esta opção para true antes de definir outras opções de configuração SAML necessárias.

returnURL

A URL que os usuários do Tableau Server digitam no navegador para acessar o servidor, como https://tableau_server.example.com. Esse valor é usado para criar o atributo URL ACS ao configurar o IdP.

entityId

Obrigatório. O valor da ID da entidade do provedor de serviços (neste caso, Tableau Server).

Identifica a configuração do Tableau Server para o IdP. Recomendamos que você digite o mesmo valor da opção returnURL.

idpUsernameAttribute

Obrigatório. Nos metadados do IdP, encontre o atributo usado para especificar os valores de nome de usuário e insira o nome desse atributo. O padrão é username.

certFile

Obrigatório. Digite o local e o nome do arquivo de certificado x509 (.crt) para SAML. Por exemplo:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.crt>"

Para obter mais informações, consulte Requisitos do SAML e Configurar SAML em todo o servidor.

keyFile

Obrigatório. Especifique o local do arquivo de chave privada (.key) que acompanha o arquivo de certificado. Por exemplo:

"C:\ProgramData\Tableau\Tableau Server\data\saml\<file.key>"

Observação: se você estiver usando uma chave RSA PKCS#8 que requer uma frase secreta, você deve definir a senha usando uma entidade configKey (consulte Exemplo de arquivo de configuração) ou com tsm configuration set. A chave para a frase secreta que usa esses métodos é wgserver.saml.key.passphrase. O valor deve ser uma cadeia de caracteres não nula.

idpDomainAttribute

Para organizações que usam LDAP ou Active Directory, esse valor especifica qual atributo SAML que o Tableau Server consultará para determinar o nome de domínio. Por exemplo, se o IdP especificar o nome de domínio no atributo domain, então você especificaria domain para esse valor. Observação : para empresas que têm usuários entrando em vários domínios, esse valor é obrigatório.

Se você não fornecer um valor para esta chave, o valor usado depende da configuração de armazenamento de identidades do Tableau Server:

  • Para o armazenamento de identidades local, o valor idpDomainAttribute é ignorado.

  • Para Active Directory ou armazenamentos de identidades LDAP, o Tableau usa o FQDN da definição de configuração wgserver.domain.default.

    Para obter o valor de wgserver.domain.default, é possível executar o seguinte comando:

    tsm configuration get --key wgserver.domain.default

desktopNoSAML

true | false

Opcional. Permitem que os usuários utilizem a autenticação SAML quando fazem logon no Tableau Desktop.

Por padrão, isso não é definido, portanto o comportamento efetivo é equivalente à configuração como false. Se o logon único dos aplicativos de cliente do Tableau não funcionar com seu IdP, é possível definir isso como verdadeiro para desabilitar a autenticação SAML por meio do Tableau Desktop.

appNoSAML

true | false

Opcional. Permita o uso de SAML para fazer logon de versões mais antigas do aplicativo Tableau Mobile. Os dispositivos que executam a versão 19.225.1731 do aplicativo Tableau Mobile e ignoram essa opção. Para desabilitar os dispositivos que executam a versão 19.225.1731 e posteriores do Tableau Mobile, desabilite o SAML como uma opção de logon do cliente no Tableau Server.

logoutEnabled

true | false

Opcional. Permite um logout único [SLO] para usuários que fizeram logon com o SAML. O padrão é true.

Os metadados de configuração IdP devem incluir um único endpoint de logout com vinculação POST.

Esta configuração se aplica apenas para SAML em todo o servidor

Quando definida para false, o Tableau Server não tentará o logout único [SLO].

logoutUrl

Opcional. Insere a URL de redirecionamento usada depois que os usuários saem do servidor. Definir esta opção requer que logoutEnabled seja definido para true.

Por padrão, esta é a página de logon do Tableau Server. Você pode especificar uma URL absoluta ou relativa.

maxAuthenticationAge

Opcional. Especifica o número máximo de segundos permitidos entre a autenticação do usuário com o IdP e o processamento da mensagem AuthNResponse. O valor padrão é -1, o que significa que maxAuthenticationAge não está definido ou é ignorado por padrão. Antes de fevereiro de 2022, o valor padrão era 7200 (2 horas).

Para otimizar o comprimento da sessão, use o mesmo valor de tempo limite que é definido no IdP.

maxAssertionTime

Opcional. Determina o número máximo de segundos, desde a criação, em que uma asserção de SAML pode ser usada. O valor padrão é 3000 (50 minutos).

sha256Enabled

true | false

Opcional. O tipo de assinatura que o Tableau Server usará ao enviar mensagens para o IdP. Quando definido para true, o Tableau Server assinará mensagens com o algoritmo de assinatura SHA 256. Quando definido para false, o Tableau Server assinará mensagens com SHA 1. O padrão é true.

Esta opção define o algoritmo de assinatura para as seguintes mensagens que o Tableau Server assina: 

  • Mensagens AuthnRequest quando signRequests estiver habilitado.
  • Mensagens LogoutRequest se logoutEnabled estiver habilitado.

signRequests

true | false

Opcional. Especifica se o Tableau Server assinará os AuthnRequests enviados ao IdP. Os pedidos assinados nem sempre são necessários para todos os IDPs. Recomendamos assinar solicitações para garantir a opção mais segura ao configurar o SAML. Para verificar se seu IdP aceita solicitação assinada, inspecione os metadados do IdP: se wantAuthnRequestsSigned estiver definido para true, então seu IdP aceitará solicitações assinadas.

O valor padrão é: true. Para desativar as solicitações assinadas, defina essa opção como false.

acceptableAuthnContexts

Opcional. Define o atributo SAML AuthNContextClassRef. Este atributo opcional impõe a validação de certos "contextos" de autenticação em fluxos iniciados pelo IdP. Defina um conjunto separado por vírgulas para este atributo. Quando esse atributo é definido, o Tableau Server valida que a resposta SAML contém pelo menos um dos valores listados. Se a resposta SAML não contiver um dos valores configurados, a autenticação será rejeitada, mesmo que o usuário tenha autenticado com sucesso com o IdP.

Deixar essa opção em branco resultará em comportamento padrão: qualquer resposta SAML autenticada com sucesso resultará em um usuário sendo concedido a uma sessão dentro do Tableau Server.

iFramedIdpEnabled

true | false

Opcional. O valor padrão é false, ou seja, quando os usuários selecionam o botão de fazer logon em uma exibição inserida, o formulário de logon do IdP é aberto em uma janela pop-up.

Ao definir como true, e um usuário de servidor SAML que já tenha feito logon acessar uma página da Web com uma exibição inserida, não será necessário que ele faça logon para visualizar a exibição.

É possível definir isso como true apenas se o IdP oferece suporte a logon dentro de um iframe. A opção de iframe é menos segura do que o uso de um pop-up, por isso nem todos os IdPs oferecem suporte a ela. Se a página de logon do IdP implementar proteção contra clickjack, como a maioria faz, não será possível exibir a página de logon em um iframe e o usuário não conseguirá fazer logon.

Se o seu IdP oferece suporte a fazer logon por meio de um iframe, pode ser necessário habilitá-lo de maneira explícita. No entanto, mesmo que seja possível usar essa opção, ela desabilita a proteção contra clickjack do Tableau Server para SAML e por isso ela ainda apresenta um risco de segurança.

Passar o arquivo de configuração para o Tableau Server

Depois de fornecer um valor apropriado para cada entidade incluída no modelo, use os seguintes comandos para passar o arquivo .json e aplicar os ajustes ao Tableau Server.

tsm settings import -f path-to-file.json

tsm pending-changes apply

Consulte também

Ao concluir a configuração inicial do SAML, use tsm authentication mutual-ssl <commands> para definir valores adicionais.

Para obter a referência da linha de comando referente à configuração do SAML, consulte tsm authentication saml <commands>.

 

Voltar para o topo
Agradecemos seu feedback!Seu feedback foi enviado. Obrigado!