Freigeben über

Tutorial: Microsoft Entra Einmalige Anmeldeintegration mit Tableau Server

  • Artikel

In diesem Tutorial erfahren Sie, wie Tableau Server in Microsoft Entra ID integrieren. Die Integration von Tableau Sever in Microsoft Entra ID ermöglicht Folgendes:

  • Steuern Sie in Microsoft Entra ID, wer Zugriff auf Tableau Server hat.
  • Ermöglichen Sie es Ihren Benutzern, sich mit ihren Microsoft Entra-Konten automatisch bei Tableau Server anzumelden.
  • Verwalten Sie Ihre Konten an einem zentralen Ort.

Voraussetzungen

Für die ersten Schritte benötigen Sie Folgendes:

  • Ein Microsoft Entra-Abonnement. Falls Sie über kein Abonnement verfügen, können Sie ein kostenloses Azure-Konto verwenden.
  • Ein Tableau Server-Abonnement, für das einmaliges Anmelden (Single Sign-On, SSO) aktiviert ist

Beschreibung des Szenarios

In diesem Tutorial konfigurieren und testen Sie das einmalige Anmelden von Microsoft Entra in einer Testumgebung.

  • Tableau Server unterstützt SP-initiiertes einmaliges Anmelden.

Zum Konfigurieren der Integration von Tableau Server in Microsoft Entra ID müssen Sie Tableau Server aus dem Katalog der Liste der verwalteten SaaS-Apps hinzufügen.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Neue Anwendung.
  3. Geben Sie im Abschnitt Aus Katalog hinzufügen den Suchbegriff Tableau Server in das Suchfeld ein.
  4. Wählen Sie im Ergebnisbereich Tableau Server aus, und fügen Sie dann die App hinzu. Warten Sie einige Sekunden, während die App Ihrem Mandanten hinzugefügt wird.

Alternativ können Sie auch den Enterprise App Configuration Wizard verwenden. Mit diesem Assistenten können Sie Ihrem Mandanten eine Anwendung hinzufügen, der App Benutzer/Gruppen hinzufügen, Rollen zuweisen sowie die SSO-Konfiguration durchlaufen. Erfahren Sie mehr über Microsoft 365-Assistenten.

Konfigurieren und Testen von Microsoft Entra SSO für Tableau Server

Konfigurieren und Testen von Microsoft Entra (SSO) mit Tableau Server mithilfe eines Testbenutzers mit dem Namen B. Simon. Damit SSO funktioniert, muss eine Linkbeziehung zwischen einem Microsoft Entra-Benutzer und dem entsprechenden Benutzer in Tableau Server eingerichtet werden.

Führen Sie zum Konfigurieren und Testen von Microsoft Entra SOO mit Tableau Server die folgenden Schritte aus:

  1. Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra, um Ihren Benutzern die Verwendung dieses Features zu ermöglichen.
    1. Erstellen Sie einen Microsoft Entra-Testbenutzer, um Microsoft Entra-SSO mit dem Testbenutzer B. Simon zu testen.
    2. Zuweisen der Microsoft Entra-Testbenutzerin, um B.Simon die Verwendung des einmaligen Anmeldens von Microsoft Entra zu ermöglichen.
  2. Konfigurieren des einmaligen Anmeldens für Tableau Server , um die Einstellungen für einmaliges Anmelden auf der Anwendungsseite zu konfigurieren
    1. Erstellen eines Tableau Server-Testbenutzers, um ein Pendant von B. Simon in Tableau Server zu erhalten, das mit der Darstellung in Microsoft Entra verknüpft ist.
  3. Testen des einmaligen Anmeldens , um zu überprüfen, ob die Konfiguration funktioniert

Konfigurieren des einmaligen Anmeldens (SSO) von Microsoft Entra

Gehen Sie wie folgt vor, um das einmalige Anmelden von Microsoft Entra zu aktivieren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.

  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Tableau Server>Einmaliges Anmelden.

  3. Wählen Sie auf der Seite SSO-Methode auswählen die Methode SAML aus.

  4. Klicken Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten auf das Stiftsymbol für Grundlegende SAML-Konfiguration, um die Einstellungen zu bearbeiten.

    Edit Basic SAML Configuration

  5. Geben Sie im Abschnitt Grundlegende SAML-Konfiguration die Werte für die folgenden Felder ein:

    a. Geben Sie im Textfeld Anmelde-URL eine URL im folgenden Format ein: https://azure.<domain name>.link

    b. Geben Sie im Feld Bezeichner eine URL im folgenden Format ein: https://azure.<domain name>.link.

    c. Geben Sie im Textfeld Antwort-URL eine URL im folgenden Format ein: https://azure.<domain name>.link/wg/saml/SSO/index.html

    Hinweis

    Die vorangehenden Werte sind keine echten Werte. Aktualisieren Sie die Werte mit der tatsächlichen Anmelde-URL, dem Bezeichner und der Antwort-URL von der Seite „Tableau Server Configuration“ (Tableau Server-Konfiguration). Darauf wird später im Tutorial eingegangen.

  6. Navigieren Sie auf der Seite Einmaliges Anmelden (SSO) mit SAML einrichten im Abschnitt SAML-Signaturzertifikat zu Verbundmetadaten-XML, und wählen Sie Herunterladen aus, um das Zertifikat herunterzuladen und auf Ihrem Computer zu speichern.

    The Certificate download link

  7. Kopieren Sie im Abschnitt Tableau Server einrichten die entsprechenden URLs gemäß Ihren Anforderungen.

    Copy configuration URLs

Erstellen einer Microsoft Entra-Testbenutzerin

In diesem Abschnitt erstellen Sie einen Testbenutzer mit dem Namen B. Simon.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Benutzeradministrator an.
  2. Browsen Sie zu Identität>Benutzer>Alle Benutzer.
  3. Wählen Sie oben auf dem Bildschirm Neuer Benutzer>Neuen Benutzer erstellen aus.
  4. Führen Sie unter den Eigenschaften für Benutzer die folgenden Schritte aus:
    1. Geben Sie im Feld Anzeigename den Namen B.Simon ein.
    2. Geben Sie im Feld Benutzerprinzipalname ein username@companydomain.extension. Beispiel: B.Simon@contoso.com.
    3. Aktivieren Sie das Kontrollkästchen Kennwort anzeigen, und notieren Sie sich den Wert aus dem Feld Kennwort.
    4. Klicken Sie auf Überprüfen + erstellen.
  5. Klicken Sie auf Erstellen.

Zuweisen der Microsoft Entra-Testbenutzerin

In diesem Abschnitt ermöglichen Sie B. Simon die Verwendung des einmaligen Anmeldens, indem Sie ihr Zugriff auf Tableau Server gewähren.

  1. Melden Sie sich beim Microsoft Entra Admin Center mindestens als Cloudanwendungsadministrator an.
  2. Navigieren Sie zu Identität>Anwendungen>Unternehmensanwendungen>Tableau Server.
  3. Wählen Sie auf der Übersichtsseite der App Benutzer und Gruppen aus.
  4. Wählen Sie Benutzer/Gruppe hinzufügen und anschließend im Dialogfeld Zuweisung hinzufügen die Option Benutzer und Gruppen aus.
    1. Wählen Sie im Dialogfeld Benutzer und Gruppen in der Liste „Benutzer“ den Eintrag B. Simon aus, und klicken Sie dann unten auf dem Bildschirm auf die Schaltfläche Auswählen.
    2. Wenn den Benutzern eine Rolle zugewiesen werden soll, können Sie sie im Dropdownmenü Rolle auswählen auswählen. Wurde für diese App keine Rolle eingerichtet, ist die Rolle „Standardzugriff“ ausgewählt.
    3. Klicken Sie im Dialogfeld Zuweisung hinzufügen auf die Schaltfläche Zuweisen.

Konfigurieren des einmaligen Anmeldens für Tableau Server

  1. Zum Konfigurieren des einmaligen Anmeldens für Ihre Anwendung müssen Sie sich als Administrator bei Ihrem Tableau Server-Mandanten anmelden.

  2. Wählen Sie auf der Registerkarte CONFIGURATION (KONFIGURATION)User Identity & Access (Benutzeridentität und Zugriff) aus, und wählen Sie dann die Registerkarte Authentication Method (Authentifizierungsmethode) aus.

    Screenshot shows Authentication selected from User Identity & Access.

  3. Führen Sie auf der Seite CONFIGURATION (KONFIGURATION) die folgenden Schritte aus:

    Screenshot shows the Configuration page where you can enter the values described.

    a. Wählen Sie als Authentication Method (Authentifizierungsmethode) die Option „SAML“ aus.

    b. Aktivieren Sie das Kontrollkästchen Enable SAML Authentication for the server (SAML-Authentifizierung für den Server aktivieren) .

    c. „Tableau Server return URL“: Die URL, auf die Tableau Server-Benutzer zugreifen, z. B. http://tableau_server. Ein Verwenden von http://localhost ist nicht zu empfehlen. Die Verwendung einer URL mit einem nachstehenden Schrägstrich (z.B. http://tableau_server/) wird nicht unterstützt. Kopieren Sie den Wert im Feld Tableau Server return URL (Tableau Server-Rückgabe-URL), und fügen Sie ihn im Abschnitt Grundlegende SAML-Konfiguration ins Textfeld Anmelde-URL ein.

    d. „SAML entity ID“: Die Entitäts-ID zur eindeutigen Identifizierung Ihrer Tableau Server-Installation durch den IdP. Sie können in dieses Feld erneut Ihre Tableau Server-URL eingeben, es muss jedoch nicht die Tableau Server-URL verwendet werden. Kopieren Sie den Wert im Feld SAML entity ID (SAML-Entitäts-ID), und fügen Sie ihn im Abschnitt Grundlegende SAML-Konfiguration ins Textfeld Bezeichner ein.

    e. Klicken Sie auf Download XML Metadata File (XML-Metadatendatei herunterladen) , und öffnen Sie die Datei im Text-Editor. Suchen Sie nach „Assertion Consumer Service URL“ mit HTTP Post und Index 0, und kopieren Sie die URL. Fügen Sie sie im Abschnitt Grundlegende SAML-Konfiguration ins Textfeld Antwort-URL ein.

    f. Suchen Sie nach der Datei mit Ihren Verbundmetadaten, die Sie aus dem Azure-Portal heruntergeladen haben, und laden Sie sie in die SAML Idp metadata file hoch.

    g. Geben Sie die Namen für die Attribute ein, die der IdP verwendet, um Benutzernamen, Anzeigenamen und E-Mail-Adressen aufzunehmen.

    h. Klicken Sie auf Speichern.

    Hinweis

    Der Kunde muss eine PEM-codierte x.509-Zertifikatdatei mit der Erweiterung CRT und eine Private RSA- oder DSA-Schlüsseldatei mit der Erweiterung KEY als Zertifikatschlüsseldatei hochladen. Weitere Informationen zur Zertifikatdatei und zur Zertifikatschlüsseldatei finden Sie in diesem Dokument. Wenn Sie Hilfe bei der Konfiguration von SAML für Tableau Server benötigen, finden Sie weitere Informationen im Artikel Konfigurieren von serverweitem SAML.

    Hinweis

    Die SAML-Zertifikat- und SAML-Schlüsseldateien werden separat generiert und in die Tableau-Server-Manager hochgeladen. Verwenden Sie beispielsweise in der Linux-Shell openssl, um das Zertifikat und den Schlüssel wie folgt zu generieren: openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out saml.crt, laden Sie dann die saml.crt- und private.key-Dateien über die grafische Benutzeroberfläche der TSM-Konfiguration (wie im Screenshot zu Beginn dieses Schritts gezeigt) oder über die Befehlszeile gemäß der Tableau-Dokumentation hoch. Wenn Sie sich in einer Produktionsumgebung befinden, sollten Sie möglicherweise eine sicherere Methode zum Verarbeiten von SAML-Zertifikaten und -Schlüsseln finden.

Erstellen eines Tableau Server-Testbenutzers

In diesem Abschnitt wird in Tableau Server ein Benutzer namens B. Simon erstellt. Sie müssen alle Benutzer in Tableau Server bereitstellen.

Der Benutzername-Wert des Benutzers muss dem Wert entsprechen, den Sie im benutzerdefinierten Attribut Benutzername in Microsoft Entra konfiguriert haben. Bei ordnungsgemäßer Zuordnung sollte die Integration funktionieren: Konfigurieren des einmaligen Anmeldens in Microsoft Entra.

Hinweis

Wenn Sie einen Benutzer manuell erstellen müssen, wenden Sie sich an den Tableau Server-Administrator in Ihrer Organisation.

Testen des einmaligen Anmeldens

In diesem Abschnitt testen Sie die Microsoft Entra-Konfiguration für einmaliges Anmelden mit den folgenden Optionen.

  • Klicken Sie auf Anwendung testen, werden Sie zur Anmelde-URL von Tableau Server weitergeleitet, wo Sie den Anmeldevorgang starten können.

  • Rufen Sie direkt die Tableau Server-Anmelde-URL auf, und initiieren Sie den Anmeldeflow.

  • Sie können „Meine Apps“ von Microsoft verwenden. Wenn Sie in „Meine Apps“ auf die Kachel „Tableau Server“ klicken, werden Sie zur Anmelde-URL von Tableau Server weitergeleitet. Weitere Informationen zu „Meine Apps“ finden Sie in dieser Einführung.

Nächste Schritte

Nach dem Konfigurieren von Tableau Server können Sie die Sitzungssteuerung erzwingen, die in Echtzeit vor der Exfiltration und Infiltration vertraulicher Unternehmensdaten schützt. Die Sitzungssteuerung basiert auf bedingtem Zugriff. Erfahren Sie, wie Sie die Sitzungssteuerung mit Microsoft Defender for Cloud Apps erzwingen.