Configurar SAML para um site específico

Use o SAML específico ao site em um ambiente de vários sites quando quiser ativar o logon único e se você também usa os provedores de identidade (IdPs) do SAML ou aplicativos IdP. Ao habilitar o SAML do site, é possível especificar o aplicativo IdP ou IdP para cada site ou configurar alguns sites para usar o SAML e os outros para usar o método de autenticação para todo o servidor padrão.

Se quiser que todos os usuários usem o SAML e façam logon por meio do mesmo aplicativo IdP, consulte Configurar SAML em todo o servidor.

Pré-requisitos para ativar o SAML específico ao site

Antes de ativar o logon único do SAML no nível de site, conclua os requisitos a seguir:

  • Configure o método de autenticação de todo o servidor que pode ser usado com o SAML específico ao site. Este método se aplicará a usuários que não pertencem ao site ou a múltiplos sites.

    Com o SAML específico ao site, você pode usar a autenticação local ou autenticação SAML em todo o servidor. Não é possível usar o Active Directory com os sites habilitados para SAML.

  • Certifique-se de que o ambiente e o IdP atendem os Requisitos do SAML gerais.

  • Observe o local dos arquivos de certificado SAML. Você fornece isso ao Configurar o servidor para oferecer suporte para SAML específico ao site.

    Para obter mais informações, consulte Colocar os metadados e os arquivos de certificado no local apropriado no tópico sobre configuração do SAML para todo o servidor.

  • Adicione o Tableau Server como um provedor de serviço ao seu IdP. Essas informações estão disponíveis na documentação fornecida pelo IdP.

  • Confirme se os relógios de sistema do computador que hospeda o SAML IdP do site e o que hospeda o Tableau Server estão com uma diferença de horário de até 59 segundos.

Configurações em todo o site relacionadas ao SAML específico ao site

No arquivo workgroup.yml do servidor, as configurações em todo o site usadas para o SAML específico ao site incluem:

  • wgserver.saml.returnurl e wgserver.saml.entityid: nas configurações para definição do SAML específico ao site, o Tableau fornece a URL de retorno específica ao site e a ID de entidade baseadas nessas configurações. A URL de retorno específica ao site e a ID de entidade não podem ser modificadas.

  • wgserver.saml.domain, wgserver.saml.port e wgserver.saml.protocol são usados para solicitações do SAML no nível de site.

As configurações em todo o site wgserver.saml.maxauthenticationage e wgserver.saml.responseskew não se aplicam ao SAML específico ao site.

Configurar o servidor para oferecer suporte para SAML específico ao site

Após completar os pré-requisitos listados acima, você pode executar os comandos a seguir para configurar o servidor para suportar SAML específico ao site.

  1. Configure o SAML do servidor.
    • Se você já configurou o SAML do servidor, não execute o comando tsm authentication saml configure. Pule para a Etapa 2.
    • Se você ainda não configurou o SAML do servidor, execute o seguinte comando para fornecer o local do certificado SAML e os nomes de arquivo, juntamente com os outros atributos necessários. Para obter mais informações, consulte tsm authentication saml <commands>.

      tsm authentication saml configure --idp-entity-id <tableau-server-entity-id> --idp-return-url <tableau-server-return-url> --cert-file <path-to-saml-certificate.crt> --key-file <path-to-saml-keyfile.key>

  2. Habilite o SAML do site. Execute os seguintes comandos:

    tsm authentication sitesaml enable

    tsm pending-changes apply

Sobre os comandos

O comando sitesaml enable expõe a guia Autenticação na página Configurações de cada site na IU da Web do Tableau Server. Após a configuração do servidor para suportar o SAML de site, continue a Configurar SAML para um site, para trabalhar com as configurações na guia Autenticação.

O comando pending-changes apply exibe um prompt para informar que reiniciará o Tableau Server se o servidor estiver em execução. O prompt será exibido mesmo que o servidor esteja parado, porém, nesse caso, não há reinicialização. Cancele o prompt com a opção --ignore-prompt, mas isso não altera o comportamento de reinicialização. Para obter mais informações, consulte tsm pending-changes apply.

Caso queira analisar os comandos e as configurações que serão usadas ao executar pending-changes apply, execute o comando a seguir antes:

tsm pending-changes list --config-only

Configurar SAML para um site

Esta seção o guia pelas etapas de configuração que aparecem na página Autenticação, na interface de usuário da Web do Tableau Server. Em uma instalação do Tableau Server auto-hospedado, esta página aparece apenas quando o suporte para SAML específico ao site estiver habilitado no nível do servidor. Está habilitado por padrão no Tableau Online.

Observação: Para concluir esse processo, você precisará também da documentação que seu IdP fornecer. Procure tópicos que referenciam a configuração ou definição de um provedor de serviços para uma conexão SAML ou adição de um aplicativo.

Etapa 1: exportar metadados do Tableau

Para criar a conexão de entre o SAML e seu Tableau Server IdP, é necessário trocar os metadados exigidos entre os dois serviços. Para obter metadados do Tableau Server, faça uma das seguintes etapas. Consulte a documentação de configuração de SAML do IdP para confirmar a opção correta.

  • Selecione Exportar metadados para baixar um arquivo XML que contenha a ID da entidade SAML do Tableau Server, URL do Assertion Consumer Service (ACS) e o certificado X.509.

    A ID da entidade é específica de site e baseada na ID de entidade em todo o servidor especificada ao habilitar o sites SAML no servidor. Por exemplo, se você especificou https://tableau_server, talvez você veja a seguinte ID de entidade para o site:

    https://tableau_server/samlservice/public/sp/metadata?alias=48957410-9396-430a-967c-75bdb6e002a0

    Não é possível modificar a ID de entidade específica de site ou a URL ACS gerada pelo Tableau.

  • Selecione Baixar certificado de entrada e criptografia, se o seu IdP espera as informações necessárias de uma maneira diferente. Por exemplo, se ele deseja que você insira a ID da entidade Tableau Server, a URL do ACS e o certificado X.509 em locais separados.

    A imagem a seguir foi editada para mostrar que essas configurações são as mesmas no Tableau Online e no Tableau Server.

Etapas 2 e 3: etapas externas

Para a Etapa 2, para importar os metadados exportados na etapa 1, faça logon na sua conta IdP e siga as instruções fornecidas pela documentação do IdP para enviar os metadados de Tableau Server.

Para a Etapa 3, a documentação do IdP irá orientá-lo sobre como fornecer metadados ao provedor de serviço. Ela instruirá para você baixar um arquivo de metadados, ou exibirá o código XML. Se exibir o código XML, copie e cole-o em um novo arquivo de texto e salve o arquivo em uma extensão .xml.

Etapa 4: importar metadados do IdP para o site do Tableau

Na página de Autenticação no Tableau Server, importe o arquivo de metadados baixado do IdP ou configurado manualmente no XML, se fornecido.

Etapa 5: corresponder atributos

Os atributos contêm autenticação, autorização e outras informações sobre um usuário. Na coluna Nome de asserção do provedor de identidade (IdP), forneça os atributos que contêm as informações exigidas pelo Tableau Server.

  • Nome de usuário ou e-mail: (obrigatório) insira o nome do atributo que armazena nomes de usuário ou endereços de e-mail.

  • Nome para exibição: (opcional, mas recomendado) alguns IdPs usam atributos separados para nomes e sobrenomes. Outros IdPs usam o nome completo em um atributo.

    Selecione o botão que corresponda à maneira que seu IdP armazenar os nomes. Por exemplo, se o IdP combinar o nome e o sobrenome em um atributo, selecione Nome de exibição e insira o nome do atributo.

    Screen shot of step 5 for configuring site SAML for Tableau Server -- matching attributes

Etapa 6: gerenciar usuários

Selecionar usuários existentes do Tableau Server ou novos usuários que você deseja aprovar para logon único.

Quando você adiciona ou importa usuários, também pode especificar o tipo de autenticação deles. Na página Usuários, você pode alterar o tipo de autenticação dos usuários sempre após adicioná-los.

Para obter mais informações, consulte Adicionar usuários a um site ou Importar usuários a Definir o tipo de autenticação do usuário para SAML.

Importante: usuários que se autenticam com um SAML específico a cada site podem pertencer a apenas um site. Se um usuário precisar acessar vários sites, defina o tipo de autenticação para o padrão do servidor. Dependendo de como o SAML específico a cada site foi configurado pelo administrador do servidor, o padrão do servidor é SAML de autenticação local ou de todo o servidor.

Etapa 7: solucionar problemas

Comece com as etapas de solução de problemas sugeridas na página Autenticação. Se essas etapas não resolverem o problema, consulte Solucionar problemas do SAML.

Tipo de autenticação padrão para exibições inseridas

Parte da ativação do SAML no site é especificar como os usuários acessam as exibições inseridas nas páginas da Web.

  • Permitir que os usuários escolham o tipo de autenticação

    Ao selecionar essa opção, duas possibilidades de logon aparecem onde a exibição está inserida: um botão Entrar que usa a autenticação de logon único e um link para usar a TableauID, como uma alternativa.

    Dica: com essa opção, os usuários precisam saber qual alternativa devem escolher. Como parte da notificação enviada aos usuários após adicioná-los ao site de logon único, informe-os que tipo de autenticação deve ser usada para uma variedade de cenários de logon. Por exemplo, exibições inseridas, Tableau Desktop, Tableau Bridge, Tableau Mobile e assim por diante.

  • TableauID

    Essa opção requer que os usuários façam logon usando uma TableauID, mesmo se o SAML estiver habilitado no site. Normalmente, ele é reservado para os administradores para a solução de problemas com exibições inseridas e SAML.

  • Logon único com SAML

    Se o seu IdP não for compatível com o logon em um iframe, selecione Autenticar em uma janela suspensa separada. Quando um usuário acessa a página da Web com a exibição inserida, a janela suspensa é exibida ao selecionar o botão Entrar.

    Se o seu IdP for compatível com o logon em um iframe, selecione Autenticar utilizando um iFrame (menos seguro, não suportado por todos os IdPs). A inserção por iframe pode fornecer uma experiência de usuário mais simplificada. Por exemplo, se um usuário já estiver autenticado com seu IdP e a inserção iframe estiver habilitada, o usuário autenticará facilmente com o Tableau Server ao navegar por páginas que contêm visualizações inseridas do Tableau.

    Aviso: como os iframes podem ser vulneráveis a ataques de clickjacking (roubo de cliques), nem todos os IdPs suportam o logon por meio de um iframe. Com o ataque de clickjacking, o invasor tenta fazer com que os usuários cliquem ou entrem em um conteúdo. Eles fazem isso exibindo a página para atacar em uma camada transparente sobre uma página que não tem relação. No Tableau Server, um invasor pode tentar capturar as credenciais do usuário ou fazer com que o usuário altere as configurações. Para obter mais informações, consulte Roubo de cliques no site Open Web Application Security Project.

Obrigado pelo feedback! Ocorreu um erro ao enviar seu feedback. Tente novamente ou envie-nos uma mensagem..