Интеграция единого входа Microsoft Entra с Tableau Server

В этой статье вы узнаете, как интегрировать Tableau Server с идентификатором Microsoft Entra. При интеграции Tableau Server с Microsoft Entra ID вы можете:

• Контролируйте в Microsoft Entra ID, кто имеет доступ к Серверу Tableau.
• Включите автоматический вход пользователей в Tableau Server с помощью учетных записей Microsoft Entra.
• Управляйте своими учетными записями в едином центре.

В сценарии, описанном в этой статье, предполагается, что у вас уже есть следующие предварительные требования:

• Учетная запись пользователя Microsoft Entra с активной подпиской. Если у вас еще нет учетной записи, вы можете создать учетную запись бесплатно.
• Одна из следующих ролей:
  • Администратор приложений
  • администратор облачных приложений
  • Владелец приложения.

• Подписка Tableau Server с включенной поддержкой единого входа.

В этой статье описана настройка и проверка единого входа Microsoft Entra в тестовой среде.

• Tableau Server поддерживает единый вход (SSO), инициированный поставщиком услуг (SP)

Чтобы настроить интеграцию Tableau Server с идентификатором Microsoft Entra ID, необходимо добавить Tableau Server из коллекции в список управляемых приложений SaaS.

1. Войдите в Центр администрирования Microsoft Entra в качестве Администратора облачных приложений.
2. Перейдите к Идентификация>Приложения>Корпоративные приложения>Новое приложение.
3. В разделе Добавление из коллекции введите Tableau Server в строке поиска.
4. Выберите Tableau Server на панели результатов и добавьте это приложение. Подождите несколько секунд, пока приложение добавляется в клиент.

Кроме того, можно использовать мастер настройки корпоративных приложений . В этом мастере вы можете добавить приложение в учетную запись арендатора, добавить пользователей и группы в приложение, назначить роли, а также пройтись по конфигурации единого входа (SSO). Дополнительные сведения о мастерах Microsoft 365.

Настройте и протестируйте единый вход (SSO) Microsoft Entra в Tableau Server с помощью тестового пользователя B.Simon. Для обеспечения работы единого входа необходимо установить связь между пользователем Microsoft Entra и соответствующим пользователем в Tableau Server.

Чтобы настроить и проверить единый вход Microsoft Entra в Tableau Server, выполните следующие действия.

1. Настройте Microsoft Entra SSO, чтобы ваши пользователи могли воспользоваться этой функцией.
   1. создание тестового пользователя Microsoft Entra для тестирования единого входа Microsoft Entra с помощью B.Simon.
   2. Назначить тестового пользователя Microsoft Entra для того, чтобы B.Simon мог использовать единый вход Microsoft Entra.
2. Настройте единый вход для Tableau Server - для настройки параметров единого входа на стороне приложения.
   1. Создать тестового пользователя в Tableau Server - для того чтобы в Tableau Server был аналог пользователя B.Simon, связанный с учетной записью Microsoft Entra.
3. Тест SSO, чтобы проверить, работает ли конфигурация.

Выполните следующие действия, чтобы включить Единый Вход Microsoft Entra.

1. Войдите в Центр администрирования Microsoft Entra с учетной записью, имеющей права не ниже уровня администратора облачных приложений.

2. Перейдите к приложениям>Identity>Enterprise>Tableau Server>единыйвход.

3. На странице Выбор метода единого входа выберите SAML.

4. На странице Настройка единого входа с помощью SAML щелкните значок карандаша в разделе Базовая конфигурация SAML, чтобы изменить параметры.

   

5. В разделе Базовая конфигурация SAML введите значения для следующих полей:

   a. В текстовом поле "URL-адрес для входа" введите URL-адрес, используя следующий шаблон: https://azure.<domain name>.link

   b. В поле Идентификатор введите URL-адрес, используя следующий шаблон: https://azure.<domain name>.link

   c. В текстовом поле URL-адрес ответа введите URL-адрес, используя следующий шаблон: https://azure.<domain name>.link/wg/saml/SSO/index.html

   Ескерім

   Предыдущие значения не являются реальными значениями. Обновите значения с фактическим URL-адресом входа, идентификатором и URL-адресом ответа на странице конфигурации сервера Tableau, которая описана далее в статье.

6. На странице Настройка единого входа с помощью SAML в разделе сертификат подписи SAML найдите XML-метаданных федерации и выберите Скачать, чтобы скачать сертификат и сохранить его на компьютере.

   

7. В разделе Настройка Tableau Server скопируйте соответствующие URL-адреса, исходя из ваших нужд.

   

В этом разделе описано, как создать тестового пользователя B.Simon.

1. Войдите в Центр администрирования Microsoft Entra как минимум Администратор пользователей.
2. Перейдите в раздел Identity>Users>All users.
3. Выберите Новый пользователь>Создать нового пользователяв верхней части экрана.
4. В свойствах пользователя выполните следующие действия.
   1. В поле "Отображаемое имя" введите B.Simon.
   2. В поле основное имя пользователя введите username@companydomain.extension. Например, B.Simon@contoso.com.
   3. Установите флажок Показать пароль, а затем запишите значение, отображаемое в поле Password.
   4. Выберите Проверка + создание.
5. Выберите Создать.

В этом разделе описано, как разрешить пользователю B.Simon использовать единый вход, предоставив этому пользователю доступ к Tableau Server.

1. Войдите в систему Центр администрирования Microsoft Entra как минимум Администратор облачных приложений.
2. Перейдите к Identity>приложениям>Enterprise приложениям>Tableau Server.
3. На странице обзора приложения выберите Пользователи и группы.
4. Выберите Добавление пользователя/группы, затем выберите Пользователи и группы в диалоговом окне Добавить назначение.
   1. В диалоговом окне "Пользователи и группы" выберите B.Simon в списке "Пользователи", а затем нажмите кнопку "Выбрать" в нижней части экрана.
   2. Если вы ожидаете, что роль будет назначена пользователям, ее можно выбрать в раскрывающемся списке Выбрать роль. Если для этого приложения не настроена роль, будет выбрана роль "Доступ по умолчанию".
   3. В диалоговом окне Добавить задание нажмите кнопку Присвоить.

1. Чтобы настроить единый вход для приложения, необходимо войти в клиент Tableau Server в качестве администратора.

2. На вкладке конфигурации выберите удостоверение пользователя & Access, а затем перейдите на вкладку "Метод аутентификации".

   

3. На странице конфигурации выполните следующие действия:

   

   a. Для метода проверки подлинностивыберите SAML.

   b. Установите флажок Включение аутентификации SAML для сервера.

   c. URL-адрес возврата Tableau Server — URL-адрес, к которому будут обращаться пользователи Tableau Server, например http://tableau_server. Использование http://localhost не рекомендуется. Использование URL-адреса с косой чертой (например, http://tableau_server/) не поддерживается. Скопируйте URL-адрес возврата Tableau Server и вставьте его в текстовое поле URL-адреса входа в разделе основной конфигурации SAML .

   д. Идентификатор сущности SAML — идентификатор сущности однозначно идентифицирует вашу установку Tableau Server для Поставщика удостоверений (IdP). Вы можете ввести URL-адрес сервера Tableau еще раз здесь, если вам нравится, но он не должен быть URL-адресом сервера Tableau. Скопируйте идентификатор сущности SAML и вставьте его в текстовое поле идентификатор в разделе Базовая конфигурация SAML.

   e. Щелкните Скачать XML-файл метаданных и откройте его в приложении текстового редактора. Найдите URL-адрес службы потребителей утверждений с помощью http Post и Index 0 и скопируйте URL-адрес. Теперь вставьте его в текстовое поле для URL-адреса ответа в разделе Базовая конфигурация SAML.

   f. Найдите файл метаданных федерации, скачанный с портала Azure, а затем загрузите его в файл метаданных SAML Idp .

   g. Введите имена атрибутов, которые идентификатор поставщика удостоверений использует для хранения имен пользователей, отображаемых имен и адресов электронной почты.

   h. Нажмите кнопку Сохранить.

   Ескерім

   Клиент должен отправить файл сертификата с кодировкой PEM x509 с расширением CRT и файл закрытого ключа RSA или DSA с расширением .key в виде файла ключа сертификата. Дополнительные сведения о файле сертификата и файле ключа сертификата см. в этом документе. Если вам нужна помощь по настройке SAML на сервере Tableau, ознакомьтесь с этой статьей Настройка серверной SAML.

   Ескерім

   Файлы сертификата SAML и КЛЮЧА SAML создаются отдельно и передаются в диспетчер серверов Tableau. Например, в оболочке Linux используйте openssl, чтобы создать сертификат и ключ следующим образом: openssl req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout private.key -out saml.crt, затем отправьте файлы saml.crt и private.key с помощью графического интерфейса конфигурации TSM (как показано на снимке экрана в начале этого шага) или через командную строку в соответствии с документацией Tableau. Если вы работаете в производственной среде, вам может потребоваться более безопасный способ обработки сертификатов и ключей SAML.

Цель этого раздела — создать пользователя с именем B.Simon в Tableau Server. Нужно настроить всех пользователей в сервере Tableau.

Имя пользователя должно соответствовать значению, которое вы настроили в пользовательском атрибуте Microsoft Entra имени пользователя. При правильном сопоставлении интеграция должна работать при настройке единого входа Microsoft Entra.

В этом разделе вы проверяете конфигурацию единого входа Microsoft Entra с помощью следующих параметров.

• Щелкните , чтобы протестировать это приложение, вы будете перенаправлены по URL-адресу входа в Tableau Server, где можно инициировать процесс входа.

• Перейдите напрямую по URL-адресу для входа в Tableau Server и начните процесс входа.

• Вы можете использовать Microsoft My Apps. Щелкнув плитку Tableau Server в разделе "Мои приложения", вы перейдете по URL-адресу для входа в Tableau Server. Дополнительные сведения о "Моих Приложениях" см. в разделе Введение в "Мои Приложения".

После настройки Tableau Server вы можете применить функцию управления сеансом, которая защищает конфиденциальные данные вашей организации от кражи и несанкционированного доступа в режиме реального времени. Контроль сеансов является частью условного доступа. Узнайте, как применить управление сеансами с помощью Microsoft Defender для облачных приложений.