Autenticación y autorización
Este contenido forma parte de la metodología Blueprint de Tableau. Conozca la metodología Blueprint de Tableau(El enlace se abre en una ventana nueva).
Tableau proporciona las funcionalidades exhaustivas y la integración profunda necesarias para abarcar todos los aspectos de la seguridad empresarial. Si desea obtener más información, consulte Seguridad de la plataforma de Tableau Server y Lista de comprobación de mejora de la seguridad de Tableau Server (Windows | Linux) o Tableau Cloud: Seguridad en la nube.
Almacén de identidades
A fin de administrar la información de los usuarios y los grupos, Tableau Server requiere un almacén de identidades (Windows | Linux). Hay disponibles dos tipos de almacén de identidades: local (Tableau Server) y externo (Active Directory, LDAP). Al instalar Tableau Server, debe configurar un almacén de identidades local o un almacén de identidades externo. Para obtener más información sobre las opciones de configuración del almacén de identidades, consulte Entidad identityStore.
Al configurar Tableau Server con un almacén de identidades local, toda la información de los usuarios y los grupos se almacena y administra en el repositorio de Tableau Server. Con un almacén de identidades local, no hay una fuente externa para usuarios y grupos. Nota: Si desea cambiar el almacén de identidades luego de finalizar la instalación del servidor, deberá desinstalarlo y reinstalarlo completamente.
Al configurar Tableau Server con un almacén externo, toda la información de los usuarios y los grupos se almacena y administra a través de un servicio de directorio externo. Es necesario sincronizar Tableau Server con el almacén de identidades externo a fin de crear copias locales de los usuarios y los grupos en el repositorio de Tableau Server. Sin embargo, el almacén de identidades externo es la fuente maestra para todos los datos de los usuarios y los grupos. Cuando los usuarios inician sesión en Tableau Server, sus credenciales se transfieren al directorio externo. Este es responsable de realizar la autenticación del usuario (Windows | Linux). Tableau Server no realiza esta autenticación. Sin embargo, los nombres de usuario de Tableau guardados en el almacén de identidades están asociados con derechos y permisos para Tableau Server. Una vez que se verifica la autenticación, Tableau Server administra el acceso de los usuarios (autorización) para los recursos de Tableau.
Autenticación
La autenticación comprueba la identidad de un usuario. Todos los usuarios que requieran acceso a Tableau Server o Tableau Cloud (ya sea para administrar el servidor o el sitio, publicar, explorar o administrar contenido) deben estar incluidos como usuarios en el almacén de identidades de Tableau Server o en Tableau Cloud. El método de autenticación puede ejecutarse en Tableau Server o Tableau Cloud (autenticación local), o mediante un proceso externo. En el segundo caso, debe configurar Tableau Server para protocolos de autenticación externa, como Active Directory, OpenLDAP, SAML u OpenID. Otra alternativa es configurar Tableau Cloud para Google o SAML.
Autenticación en Tableau Cloud
Tableau Cloud admite los siguientes tipos de autenticación, que se pueden configurar en la página de autenticación. Para obtener más información, consulte Autenticación en Tableau Cloud.
- Tableau: este es el tipo de autenticación predeterminado. Está disponible en todos los sitios y no requiere pasos de configuración adicionales antes de agregar usuarios. Las credenciales de Tableau se componen de nombre de usuario y contraseña. Estos datos se almacenan en Tableau Cloud. Los usuarios escriben sus credenciales directamente en la página de inicio de sesión de Tableau Cloud.
- Google: si su organización usa aplicaciones de Google, puede permitir que Tableau Cloud use cuentas de Google para habilitar el inicio de sesión único (SSO) por medio de OpenID Connect. Cuando se habilita la autenticación de Google, se dirige a los usuarios directamente a la página de inicio de sesión de Google. Allí tendrán que escribir sus credenciales, que Google almacena.
- SAML: otra manera de usar el SSO es a través de SAML. Para ello, deberá usar un proveedor de identidades (IdP) de terceros y configurar el sitio para establecer una relación de confianza con el IdP. Cuando se habilita SAML, se dirige a los usuarios a la página de inicio de sesión del IdP. Allí tendrán que escribir sus credenciales de SSO, que ya se almacenaron en el IdP.
Requisito de autenticación de múltiples factores de Tableau Cloud
Además del tipo de autenticación que configure para su sitio, la autenticación de múltiples factores (MFA) a través de su proveedor de identidades (IdP) de SSO es un requisito de Tableau Cloud a partir del 1 de febrero de 2022. Si su organización no trabaja directamente con un IdP de SSO, puede usar Tableau con autenticación MFA para cumplir con el requisito de MFA. Para más información, consulte Acerca de la autenticación multifactor y Tableau Cloud.
Autenticación en Tableau Server
En la siguiente tabla, se indica qué métodos de autenticación de Tableau Server son compatibles con cada almacén de identidades.
Método de autenticación | Autenticación local | AD/LDAP |
|---|---|---|
SAML | Sí | Sí |
Kerberos | No | Sí |
Autenticación SSL mutua | Sí | Sí |
OpenID | Sí | No |
Autenticación de confianza | Sí | Sí |
Active Directory y OpenLDAP
En este caso, deberá instalar Tableau Server en un dominio en Active Directory. Tableau Server sincronizará los metadatos de los usuarios y los grupos entre Active Directory y el almacén de identidades. No es necesario agregar manualmente a los usuarios. Sin embargo, una vez sincronizados los datos, tendrá que asignar los roles del sitio y el servidor. Puede asignarlos individualmente o a grupos. Tableau Server no sincroniza datos en Active Directory. Tableau Server administra el contenido y el acceso al servidor según los datos de permisos de roles del sitio almacenados en el repositorio.
Si ya usa Active Directory para administrar los usuarios en la organización, debe seleccionar la autenticación de Active Directory durante la configuración de Tableau. Por ejemplo, mediante la sincronización de grupos de Active Directory, puede establecer permisos de Tableau de rol en el sitio mínimo para los usuarios que se sincronizan en los grupos. Puede sincronizar grupos determinados de Active Directory o todos los grupos. Para obtener más información, consulte Sincronizar todos los grupos de Active Directory del servidor. Asegúrese de revisar Administración de usuarios en implementaciones de Active Directory. Allí se detalla cómo el uso de varios dominios, la asignación de nombres de dominios, NetBIOS y el formato de los nombres de usuario en Active Directory influyen en la administración de usuarios de Tableau.
También puede configurar Tableau Server para usar LDAP como un medio genérico de comunicación con el almacén de identidades. Por ejemplo, OpenLDAP es una de las diferentes implementaciones de servidor LDAP con un esquema flexible. Es posible configurar Tableau Server para que realice consultas en el servidor OpenLDAP. Consulte Almacén de identidades. En este caso, la solución de LDAP nativa o una solución de inicio de sesión único podrían llevar a cabo la autenticación. En el diagrama que aparece a continuación, se muestra Tableau Server con la autenticación de Active Directory/OpenLDAP.
SAML
SAML (Lenguaje de marcado de aserción de seguridad) es un estándar XML que permite que dominios web seguros puedan intercambiar datos de autenticación y autorización de usuarios. Puede configurar Tableau Server y Tableau Cloud a fin de que utilicen un proveedor de identidad (IdP) externo para la autenticación de los usuarios mediante SAML 2.0.
Tableau Server y Tableau Cloud son compatibles con SAML iniciado por el proveedor de servicios o el IdP en navegadores y en la aplicación de Tableau Mobile. Para las conexiones desde Tableau Desktop, el proveedor de servicios debe iniciar la solicitud de SAML. Tableau Server y Tableau Cloud no almacenan credenciales de usuario. Con SAML, puede agregar Tableau al entorno de inicio de sesión único de su organización. La autenticación de usuarios a través de SAML no se aplica a los permisos y las autorizaciones para el contenido de Tableau Server o Tableau Cloud, como las fuentes de datos y los libros de trabajo. Tampoco controla el acceso a los datos subyacentes a los que se conectan los libros de trabajo y las fuentes de datos.
En el caso de Tableau Server, puede implementar SAML en todo el servidor o configurar los sitios individualmente. A continuación se ofrece un resumen de esas opciones.
- Autenticación SAML en todo el servidor. Una única aplicación de IdP de SAML administra la autenticación de todos los usuarios de Tableau Server. Use esta opción si el servidor incluye únicamente el sitio predeterminado.
Además, si desea utilizar SAML específico de un sitio para Tableau Server, debe configurar SAML en todo Tableau Server antes de configurar los sitios individuales. No es necesario que SAML esté habilitado en todo Tableau Server para que funcione en un sitio específico, pero sí debe estar configurado.
- Autenticación local en todo el servidor y autenticación SAML en sitios específicos. En un entorno de múltiples sitios, los usuarios que no están habilitados para la autenticación SAML a nivel del sitio pueden iniciar sesión con la autenticación local.
- Autenticación SAML en todo el servidor y autenticación SAML en sitios específicos. En un entorno de múltiples sitios, todos los usuarios se autentican a través de un IdP de SAML configurado a nivel del sitio. Además, deberá especificar un IdP de SAML predeterminado en todo el servidor para los usuarios que pertenecen a múltiples sitios.
Para obtener más información, consulte SAML (Windows | Linux). En el diagrama que aparece a continuación, se muestra Tableau Server con la autenticación de SAML.
Si desea configurar SAML para Tableau Cloud, consulte los siguientes requisitos:
- Requisitos de proveedor de identidades (IdP) para la configuración de Tableau
- Requisitos y notas de compatibilidad con SAML
- Usar SSO de SAML en las aplicaciones de cliente de Tableau
- Efectos en Tableau Bridge del cambio del tipo de autenticación
- Requisitos de datos XML
NOTA: Además de estos requisitos, recomendamos destinar una cuenta de administrador de sitio de Tableau Cloud que siempre esté configurada para la autenticación de Tableau. En caso de que se produzca un error con SAML o el IdP, con una cuenta TableauID dedicada, se asegura de que siempre podrá acceder a su sitio de Tableau Cloud.
Tickets confiables
Si inserta vistas de Tableau Server en páginas web, todos los que visiten la página deben ser usuarios con licencia de Tableau Server. Cuando los usuarios visitan la página, se les solicita que inicien sesión en Tableau Server antes de poder acceder a la vista. Si ya cuenta con un método de autenticación de usuarios en la página web o dentro de la aplicación web, puede anular esta solicitud. De esta manera, los usuarios no tendrán que iniciar sesión dos veces. Para hacerlo, configure la autenticación de confianza.
La autenticación de confianza simplemente significa que ha establecido una relación de confianza entre Tableau Server y uno o más servidores web. Cuando Tableau Server recibe solicitudes de estos servidores web de confianza, asume que el servidor web ya realizó cualquier autenticación necesaria.
Si el servidor web usa SSPI (Interfaz del proveedor de soporte de seguridad), no es necesario configurar una autenticación de confianza. Puede insertar vistas y los usuarios tendrán acceso seguro a ellas siempre que sean usuarios de Tableau Server con licencia y miembros de Active Directory (Windows | Linux). En el diagrama que aparece a continuación, se muestra Tableau Server con tickets confiables.
Autenticación SSL mutua
Con SSL mutuo, puede brindar a los usuarios de Tableau Desktop y otros clientes de Tableau aprobados una experiencia segura y de acceso directo a Tableau Server. Además, con SSL mutuo, cuando un cliente con un certificado SSL válido se conecta a Tableau Server, este confirma la existencia del certificado del cliente y autentica al usuario, según el nombre de usuario en el certificado del cliente. Si el cliente no tiene un certificado SSL válido, Tableau Server puede rechazar la conexión. También puede configurar Tableau Server para que realice la autenticación de nombre de usuario y contraseña si falla el SSL mutuo.
Autorización
La autorización hace referencia a qué usuarios pueden acceder a Tableau Server o Tableau Cloud, y cómo pueden hacerlo, después de que se haya verificado la autenticación. Para obtener más información, consulte Gobernanza en Tableau. La autorización incluye lo siguiente:
- Qué pueden hacer los usuarios con el contenido hospedado en Tableau Server o Tableau Cloud, incluidos los proyectos, los sitios, los libros de trabajo y las vistas.
- Qué acciones pueden llevar a cabo los usuarios con las fuentes de datos administradas por Tableau Server o Tableau Cloud.
- Qué tareas pueden realizar los usuarios para administrar Tableau Server o Tableau Cloud, como configurar los ajustes del servidor y el sitio, ejecutar herramientas de línea de comandos y otras tareas.
La autorización se administra dentro de Tableau Server y Tableau Cloud. Esta se determina mediante una combinación del nivel de licencia del usuario (Tableau Creator, Tableau Explorer, Tableau Viewer), el rol en el sitio y los permisos asociados con entidades específicas, como libros de trabajo y fuentes de datos. El equipo del proyecto debe trabajar en conjunto para definir el modelo de permisos. Los administradores de Tableau Server o del sitio, o los administradores de sitio de Tableau Cloud, deben asignar reglas de permisos a los grupos y bloquearlas para el proyecto. Los permisos personalizados ofrecen más granularidad: desde el acceso o la descarga de fuentes de datos hasta la forma en que los usuarios interactúan con el contenido publicado.
La interfaz intuitiva de Tableau facilita la asociación de usuarios a grupos funcionales, la asignación de permisos a los grupos y la visualización de quién tiene acceso a qué contenido. Puede crear grupos localmente en el servidor o importarlos de Active Directory y sincronizarlos según un programa determinado. La vista de permisos también ayuda a los usuarios corporativos a administrar sus propios usuarios y grupos. Para obtener más información, consulte Inicio rápido: Configurar permisos, Configurar proyectos, grupos y permisos para el autoservicio administrado y Referencia de permisos.