Configurar SAML para um site específico

O Tableau Server no Windows agora inclui o Tableau Services Manager (TSM), que substitui o Utilitário de configuração e a ferramenta de linha comando tabadmin. Caso precise de ajuda para uma versão anterior do Tableau Server, consulte a página Ajuda do Tableau.

Use o SAML específico ao site em um ambiente de vários sites quando quiser ativar o logon único e se você também usa os provedores de identidade (IdPs) do SAML ou aplicativos IdP. Ao habilitar o SAML do site, é possível especificar o aplicativo IdP ou IdP para cada site ou configurar alguns sites para usar o SAML e os outros para usar o método de autenticação para todo o servidor padrão.

Se quiser que todos os usuários usem o SAML e façam logon por meio do mesmo aplicativo IdP, consulte Configurar SAML em todo o servidor.

Pré-requisitos para ativar o SAML específico ao site

Antes de ativar o logon único do SAML no nível de site, conclua os requisitos a seguir:

  • Configure o método de autenticação de todo o servidor que pode ser usado com o SAML específico ao site. Este método se aplicará a usuários que não pertencem ao site ou a múltiplos sites.

    Com o SAML específico ao site, você pode usar a autenticação local ou autenticação SAML em todo o servidor. Não é possível usar o Active Directory com os sites habilitados para SAML.

  • Certifique-se de que o ambiente e o IdP atendem os Requisitos do SAML gerais.

  • Observe o local dos arquivos de certificado SAML. Você fornece isso ao Configurar o servidor para oferecer suporte para SAML específico ao site.

    Para obter mais informações, consulte Colocar os metadados e os arquivos de certificado no local apropriado no tópico sobre configuração do SAML para todo o servidor.

  • Adicione o Tableau Server como um provedor de serviço ao seu IdP. Essas informações estão disponíveis na documentação fornecida pelo IdP.

  • Confirme se os relógios de sistema do computador que hospeda o SAML IdP do site e o que hospeda o Tableau Server estão com uma diferença de horário de até 59 segundos.

Configurações em todo o site relacionadas ao SAML específico ao site

No arquivo workgroup.yml do servidor, as configurações em todo o site usadas para o SAML específico ao site incluem:

  • wgserver.saml.returnurl e wgserver.saml.entityid: nas configurações para definição do SAML específico ao site, o Tableau fornece a URL de retorno específica ao site e a ID de entidade baseadas nessas configurações. A URL de retorno específica ao site e a ID de entidade não podem ser modificadas.

  • wgserver.saml.domain, wgserver.saml.port e wgserver.saml.protocol são usados para solicitações do SAML no nível de site.

As configurações em todo o site wgserver.saml.maxauthenticationage e wgserver.saml.responseskew não se aplicam ao SAML específico ao site.

Configurar o servidor para oferecer suporte para SAML específico ao site

Após completar os pré-requisitos listados acima, você pode executar os comandos a seguir para configurar o servidor para suportar SAML específico ao site.

  1. Configure o SAML do servidor.
    • Se você já configurou o SAML do servidor, não execute o comando tsm authentication saml configure. Pule para a Etapa 2.
    • Se você ainda não configurou o SAML do servidor, execute o seguinte comando para fornecer o local do certificado SAML e os nomes de arquivo, juntamente com os outros atributos necessários. Para obter mais informações, consulte tsm authentication saml <commands>.

      tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite o SAML do site. Execute os seguintes comandos:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Sobre os comandos

O comando sitesaml enable expõe a guia Autenticação na página Configurações de cada site na IU da Web do Tableau Server. Após a configuração do servidor para suportar o SAML de site, continue a Configurar SAML para um site, para trabalhar com as configurações na guia Autenticação.

O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Caso queira analisar os comandos e as configurações que serão usadas ao executar pending-changes apply, execute o comando a seguir antes:

tsm pending-changes list --config-only

Configurar SAML para um site

Esta seção o guia pelas etapas de configuração que aparecem na página Autenticação, na interface de usuário da Web do Tableau Server. Em uma instalação do Tableau Server auto-hospedado, esta página aparece apenas quando o suporte para SAML específico ao site estiver habilitado no nível do servidor. Está habilitado por padrão no Tableau Online.

Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.

Etapa 1: exportar metadados do Tableau

Para criar a conexão de entre o SAML e seu Tableau Server IdP, é necessário trocar os metadados exigidos entre os dois serviços. Para obter metadados do Tableau Server, realize uma das seguintes etapas. Consulte a documentação de configuração de SAML do IdP para confirmar a opção correta.

  • Selecione Exportar metadados para baixar um arquivo XML que contenha a ID da entidade SAML do Tableau Server, URL do Assertion Consumer Service (ACS) e o certificado X.509.

    A ID da entidade é específica de site e baseada na ID de entidade em todo o servidor especificada ao habilitar o sites SAML no servidor. Por exemplo, se você especificou https://tableau_server, talvez você veja a seguinte ID de entidade para o site:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Não é possível modificar a ID de entidade específica de site ou a URL ACS gerada pelo Tableau.

  • Selecione Baixar certificado de entrada e criptografia, se o seu IdP espera as informações necessárias de uma maneira diferente. Por exemplo, se ele deseja que você insira a ID da entidade Tableau Server, a URL do ACS e o certificado X.509 em locais separados.

    A imagem a seguir foi editada para mostrar que essas configurações são as mesmas no Tableau Online e no Tableau Server.

Etapas 2 e 3: etapas externas

Para a Etapa 2, para importar os metadados exportados na etapa 1, faça logon na sua conta IdP e siga as instruções fornecidas pela documentação do IdP para enviar os metadados de Tableau Server.

Para a Etapa 3, a documentação do IdP irá orientá-lo sobre como fornecer metadados ao provedor de serviço. Ela instruirá para você baixar um arquivo de metadados, ou exibirá o código XML. Se exibir o código XML, copie e cole-o em um novo arquivo de texto e salve o arquivo em uma extensão .xml.

Etapa 4: importar metadados do IdP para o site do Tableau

Na página de Autenticação no Tableau Server, importe o arquivo de metadados baixado do IdP ou configurado manualmente no XML, se fornecido.

Etapa 5: corresponder atributos

Os atributos contêm autenticação, autorização e outras informações sobre um usuário. Na coluna Nome de asserção do provedor de identidade (IdP), forneça os atributos que contêm as informações exigidas pelo Tableau Server.

  • Nome de usuário ou e-mail: (obrigatório) insira o nome do atributo que armazena nomes de usuário ou endereços de e-mail.

  • Nome para exibição: (opcional, mas recomendado) alguns IdPs usam atributos separados para nomes e sobrenomes. Outros IdPs usam o nome completo em um atributo.

    Selecione o botão que corresponda à maneira que seu IdP armazenar os nomes. Por exemplo, se o IdP combinar o nome e o sobrenome em um atributo, selecione Nome de exibição e insira o nome do atributo.

    Screen shot of step 5 for configuring site SAML for Tableau Server -- matching attributes

Etapa 6: gerenciar usuários

Selecionar usuários existentes do Tableau Server ou novos usuários que você deseja aprovar para logon único.

Quando você adiciona ou importa usuários, também pode especificar o tipo de autenticação deles. Na página Usuários, você pode alterar o tipo de autenticação dos usuários sempre após adicioná-los.

Para obter mais informações, consulte Adicionar usuários a um site ou Importar usuários a Definir o tipo de autenticação do usuário para SAML.

Importante: usuários que se autenticam com um SAML específico a cada site podem pertencer a apenas um site. Se um usuário precisar acessar vários sites, defina o tipo de autenticação para o padrão do servidor. Dependendo de como o SAML específico a cada site foi configurado pelo administrador do servidor, o padrão do servidor é SAML de autenticação local ou de todo o servidor.

Etapa 7: solucionar problemas

Comece com as etapas de solução de problemas sugeridas na página Autenticação. Se essas etapas não resolverem o problema, consulte Solucionar problemas do SAML.

Tipo de autenticação padrão para exibições inseridas

Parte da ativação do SAML no site é especificar como os usuários acessam as exibições inseridas nas páginas da Web.

  • Permitir que os usuários escolham o tipo de autenticação

    Ao selecionar essa opção, duas possibilidades de logon aparecem onde a exibição está inserida: um botão Entrar que usa a autenticação de logon único e um link para usar a TableauID, como uma alternativa.

    Dica: com essa opção, os usuários precisam saber qual alternativa devem escolher. Como parte da notificação enviada aos usuários após adicioná-los ao site de logon único, informe-os que tipo de autenticação deve ser usada para uma variedade de cenários de logon. Por exemplo, exibições inseridas, Tableau Desktop, Tableau Bridge, Tableau Mobile e assim por diante.

  • TableauID

    Essa opção requer que os usuários façam logon usando uma TableauID, mesmo se o SAML estiver habilitado no site. Normalmente, ele é reservado para os administradores para a solução de problemas com exibições inseridas e SAML.

  • Logon único com SAML

    Se o seu IdP não for compatível com o logon em um iframe, selecione Autenticar em uma janela suspensa separada. Quando um usuário acessa a página da Web com a exibição inserida, a janela suspensa é exibida ao selecionar o botão Entrar.

    Se o seu IdP for compatível com o logon em um iframe, selecione Autenticar utilizando um iFrame (menos seguro, não suportado por todos os IdPs). A inserção por iframe pode fornecer uma experiência de usuário mais simplificada. Por exemplo, se um usuário já estiver autenticado com seu IdP e a inserção iframe estiver habilitada, o usuário autenticará facilmente com o Tableau Server ao navegar por páginas que contêm visualizações inseridas do Tableau.

    Aviso: como os iframes podem ser vulneráveis a ataques de clickjacking (roubo de cliques), nem todos os IdPs suportam o logon por meio de um iframe. Com o ataque de clickjacking, o invasor tenta fazer com que os usuários cliquem ou entrem em um conteúdo. Eles fazem isso exibindo a página para atacar em uma camada transparente sobre uma página que não tem relação. No Tableau Server, um invasor pode tentar capturar as credenciais do usuário ou fazer com que o usuário altere as configurações. Para obter mais informações, consulte Roubo de cliques no site Open Web Application Security Project.

Agradecemos o seu feedback. Ocorreu um erro ao enviar seu feedback.