Autenticación y autorización
Este contenido es parte de Tableau Blueprint, un marco de madurez que le permite ampliar y mejorar la forma en que su organización utiliza los datos para generar impacto. Para comenzar su recorrido, complete nuestra evaluación(El enlace se abre en una ventana nueva).
Tableau proporciona las funcionalidades exhaustivas y la integración profunda necesarias para abarcar todos los aspectos de la seguridad empresarial. Si desea obtener más información, consulte Seguridad de la plataforma de Tableau Server y Lista de comprobación de mejora de la seguridad de Tableau Server (Windows | Linux) o Tableau Cloud: Seguridad en la nube.
Almacén de identidades
A fin de administrar la información de los usuarios y los grupos, Tableau Server requiere un almacén de identidades (Windows | Linux). Hay disponibles dos tipos de almacén de identidades: local (Tableau Server) y externo (Active Directory, LDAP). Al instalar Tableau Server, debe configurar un almacén de identidades local o un almacén de identidades externo. Para obtener más información sobre las opciones de configuración del almacén de identidades, consulte Entidad identityStore.
Al configurar Tableau Server con un almacén de identidades local, toda la información de los usuarios y los grupos se almacena y administra en el repositorio de Tableau Server. En la situación del almacén de identidades local, no hay ninguna fuente externa para los usuarios y grupos. Nota: Si desea cambiar el almacén de identidades luego de finalizar la instalación del servidor, deberá desinstalarlo y reinstalarlo completamente.
Al configurar Tableau Server con un almacén externo, toda la información de usuarios y grupos la almacena y administra un servicio de directorio externo. Es necesario sincronizar Tableau Server con el almacén de identidades externo a fin de crear copias locales de los usuarios y los grupos en el repositorio de Tableau Server. Sin embargo, el almacén de identidades externo es la fuente maestra para todos los datos de los usuarios y los grupos. Cuando los usuarios inician sesión en Tableau Server, sus credenciales se transfieren al directorio externo. Este es responsable de realizar la autenticación del usuario (Windows | Linux). Tableau Server no realiza esta autenticación. Sin embargo, los nombres de usuario de Tableau guardados en el almacén de identidades están asociados con derechos y permisos para Tableau Server. Una vez verificada la autenticación, Tableau Server administra el acceso de los usuarios (autorización) a los recursos de Tableau.
Autenticación
La autenticación comprueba la identidad de un usuario. Todos los usuarios que requieran acceso a Tableau Server o Tableau Cloud (ya sea para administrar el servidor o el sitio, publicar, explorar o administrar contenido) deben estar incluidos como usuarios en el almacén de identidades de Tableau Server o en Tableau Cloud. El método de autenticación puede ejecutarse en Tableau Server o Tableau Cloud (autenticación local), o mediante un proceso externo. En el segundo caso, debe configurar Tableau Server para protocolos de autenticación externa, como Active Directory, OpenLDAP, SAML u OpenID. Otra alternativa es configurar Tableau Cloud para Google o SAML.
Autenticación en Tableau Cloud
Tableau Cloud admite los siguientes tipos de autenticación, que se pueden configurar en la página de autenticación. Para obtener más información, consulte Autenticación en Tableau Cloud.
- Tableau: este es el tipo de autenticación predeterminado, está disponible en todos los sitios y no requiere pasos de configuración adicionales para añadir usuarios. Las credenciales de Tableau se componen de nombre de usuario y contraseña. Estos datos se almacenan en Tableau Cloud. Los usuarios escriben sus credenciales directamente en la página de inicio de sesión de Tableau Cloud.
- Google: si su organización usa aplicaciones de Google, puede permitir que Tableau Cloud use cuentas de Google para habilitar el inicio de sesión único (SSO) por medio de OpenID Connect. Cuando habilita la autenticación de Google, se dirige a los usuarios a la página de inicio de sesión de Google para que introduzcan sus credenciales, almacenadas por Google.
- SAML: otra forma de utilizar SSO es a través de SAML. Para hacerlo, use un proveedor de identidad de terceros (IdP) y configure el sitio para establecer una relación de confianza con el IdP. Cuando se habilita SAML, se dirige a los usuarios a la página de inicio de sesión del IdP. Allí tendrán que escribir sus credenciales de SSO, que ya se almacenaron en el IdP.
Requisito de autenticación multifactor de Tableau Cloud
Además del tipo de autenticación que configure para su sitio, la autenticación multifactor (MFA) a través de su proveedor de identidades (IdP) de SSO es un requisito de Tableau Cloud a partir del 1 de febrero de 2022. Si su organización no trabaja directamente con un IdP de SSO, puede usar Tableau con autenticación MFA para cumplir con el requisito de MFA. Para más información, consulte Acerca de la autenticación multifactor y Tableau Cloud.
Autenticación en Tableau Server
En la siguiente tabla, se indica qué métodos de autenticación de Tableau Server son compatibles con cada almacén de identidades.
Método de autenticación | Autenticación local | AD/LDAP |
---|---|---|
SAML | Sí | Sí |
Kerberos | No | Sí |
SSL mutua | Sí | Sí |
OpenID | Sí | No |
Autenticación de confianza | Sí | Sí |
Active Directory y OpenLDAP
En este caso, deberá instalar Tableau Server en un dominio en Active Directory. Tableau Server sincronizará los metadatos de los usuarios y los grupos entre Active Directory y el almacén de identidades. No hay que añadir manualmente a los usuarios. Sin embargo, una vez sincronizados los datos, tendrá que asignar roles de sitio y servidor. Puede asignarlos individualmente o a grupos. Tableau Server no sincroniza datos en Active Directory. Tableau Server administra el contenido y el acceso al servidor según los datos de permisos de roles en el sitio almacenados en el repositorio.
Si ya usa Active Directory para administrar los usuarios en la organización, debe seleccionar la autenticación de Active Directory durante la configuración de Tableau. Por ejemplo, mediante la sincronización de grupos de Active Directory, puede establecer permisos de Tableau de rol en el sitio mínimo para los usuarios que se sincronizan en los grupos. Puede sincronizar grupos determinados de Active Directory o todos los grupos. Para obtener más información, consulte Sincronizar todos los grupos de Active Directory del servidor. Asegúrese de revisar Administración de usuarios en implementaciones de Active Directory. Allí se detalla cómo el uso de varios dominios, la asignación de nombres de dominios, NetBIOS y el formato de los nombres de usuario en Active Directory influyen en la administración de usuarios de Tableau.
También puede configurar Tableau Server para usar LDAP como un medio genérico de comunicación con el almacén de identidades. Por ejemplo, OpenLDAP es una de las distintas implementaciones del servidor LDAP con un esquema flexible. Tableau Server se puede configurar para consultar el servidor OpenLDAP. Consulte Almacén de identidades. En este caso, la solución de LDAP nativa o una solución de inicio de sesión único podrían llevar a cabo la autenticación. En el diagrama que aparece a continuación, se muestra Tableau Server con la autenticación de Active Directory/OpenLDAP.
SAML
SAML (Lenguaje de marcado de aserción de seguridad) es un estándar XML que permite que dominios web seguros puedan intercambiar datos de autenticación y autorización de usuarios. Puede configurar Tableau Server y Tableau Cloud a fin de que utilicen un proveedor de identidad (IdP) externo para la autenticación de los usuarios mediante SAML 2.0.
Tableau Server y Tableau Cloud son compatibles con SAML iniciado por el proveedor de servicios o el IdP en navegadores y en la aplicación de Tableau Mobile. Para las conexiones desde Tableau Desktop, el proveedor de servicios debe iniciar la solicitud de SAML. Tableau Server y Tableau Cloud no almacenan credenciales de usuario. Con SAML, puede agregar Tableau al entorno de inicio de sesión único de su organización. La autenticación de usuarios a través de SAML no se aplica a los permisos y las autorizaciones para el contenido de Tableau Server o Tableau Cloud, como las fuentes de datos y los libros de trabajo. Tampoco controla el acceso a los datos subyacentes a los que se conectan los libros de trabajo y las fuentes de datos.
En el caso de Tableau Server, puede implementar SAML en todo el servidor o configurar los sitios individualmente. A continuación, se describen estas opciones de forma general:
- Autenticación SAML en todo el servidor. Una única aplicación de IdP de SAML administra la autenticación de todos los usuarios de Tableau Server. Use esta opción si el servidor solo tiene el sitio Predeterminado.
Además, si desea utilizar SAML específico de un sitio para Tableau Server, debe configurar SAML en todo Tableau Server antes de configurar los sitios individuales. No es necesario que SAML esté habilitado en todo Tableau Server para que funcione en un sitio específico, pero sí debe estar configurado.
- Autenticación local en todo el servidor y autenticación SAML en sitios específicos. En un entorno con varios sitios, los usuarios que no estén habilitados para la autenticación SAML en el nivel de sitio pueden iniciar sesión mediante la autenticación local.
- Autenticación SAML en todo el servidor y autenticación SAML en sitios específicos. En un entorno con varios sitios, todos los usuarios se autentican a través de un IdP de SAML configurado en el nivel de sitio y hay que especificar un IdP SAML predeterminado en todo el servidor para los usuarios que pertenezcan a varios sitios.
Para obtener más información, consulte SAML (Windows | Linux). En el diagrama que aparece a continuación, se muestra Tableau Server con la autenticación de SAML.
Si desea configurar SAML para Tableau Cloud, consulte los siguientes requisitos:
- Requisitos de proveedor de identidades (IdP) para la configuración de Tableau
- Requisitos y notas de compatibilidad con SAML
- Usar SSO de SAML en las aplicaciones de cliente de Tableau
- Efectos en Tableau Bridge del cambio del tipo de autenticación
- Requisitos de datos XML
NOTA: Además de estos requisitos, recomendamos destinar una cuenta de administrador de sitio de Tableau Cloud que siempre esté configurada para la autenticación de Tableau. En caso de que se produzca un error con SAML o el IdP, con una cuenta TableauID dedicada, se asegura de que siempre podrá acceder a su sitio de Tableau Cloud.
Tickets confiables
Si inserta vistas de Tableau Server en páginas web, todos los que visiten la página deben ser usuarios con licencia de Tableau Server. Cuando los usuarios visitan la página, se les solicita que inicien sesión en Tableau Server antes de poder acceder a la vista. Si ya tiene una forma de autenticar usuarios en la página Web o dentro de la aplicación web, puede anular esta solicitud y evitar que los usuarios deban iniciar sesión dos veces al configurar la autenticación de confianza.
Autenticación de confianza simplemente significa que ha configurado una relación de confianza entre Tableau Server y uno o más servidores Web. Cuando Tableau Server recibe solicitudes de estos servidores Web de confianza, asume que el servidor Web ha manipulado cualquier autenticación si es necesaria.
Si el servidor Web usa SSPI (Interfaz de proveedor de asistencia de seguridad), no es necesario configurar una autenticación de confianza. Puede insertar vistas y los usuarios tendrán acceso seguro a ellas siempre que sean usuarios de Tableau Server con licencia y miembros de Active Directory (Windows | Linux). En el diagrama que aparece a continuación, se muestra Tableau Server con tickets confiables.
SSL mutua
Con SSL mutuo, puede brindar a los usuarios de Tableau Desktop y otros clientes de Tableau aprobados una experiencia segura y de acceso directo a Tableau Server. Además, con SSL mutuo, cuando un cliente con un certificado SSL válido se conecta a Tableau Server, este confirma la existencia del certificado del cliente y autentica al usuario, según el nombre de usuario en el certificado del cliente. Si el cliente no tiene un certificado SSL válido, Tableau Server puede rechazar la conexión. También puede configurar Tableau Server para que realice la autenticación de nombre de usuario y contraseña si falla el SSL mutuo.
Autorización
La autorización hace referencia a qué usuarios pueden acceder a Tableau Server o Tableau Cloud, y cómo pueden hacerlo, después de que se haya verificado la autenticación. Para obtener más información, consulte Gobernanza en Tableau. La autorización incluye lo siguiente:
- Qué pueden hacer los usuarios con el contenido hospedado en Tableau Server o Tableau Cloud, incluidos los proyectos, los sitios, los libros de trabajo y las vistas.
- Qué acciones pueden llevar a cabo los usuarios con las fuentes de datos administradas por Tableau Server o Tableau Cloud.
- Qué tareas pueden realizar los usuarios para administrar Tableau Server o Tableau Cloud, como configurar los ajustes del servidor y el sitio, ejecutar herramientas de línea de comandos y otras tareas.
La autorización se administra dentro de Tableau Server y Tableau Cloud. Esta se determina mediante una combinación del nivel de licencia del usuario (Tableau Creator, Tableau Explorer, Tableau Viewer), el rol en el sitio y los permisos asociados con entidades específicas, como libros de trabajo y fuentes de datos. El equipo del proyecto debe trabajar en conjunto para definir el modelo de permisos. Los administradores de Tableau Server o del sitio, o los administradores de sitio de Tableau Cloud, deben asignar reglas de permisos a los grupos y bloquearlas para el proyecto. Los permisos personalizados ofrecen más granularidad: desde el acceso o la descarga de fuentes de datos hasta la forma en que los usuarios interactúan con el contenido publicado.
La interfaz intuitiva de Tableau facilita la asociación de usuarios a grupos funcionales, la asignación de permisos a los grupos y la visualización de quién tiene acceso a qué contenido. Puede crear grupos localmente en el servidor o importarlos de Active Directory y sincronizarlos según un programa determinado. La vista de permisos también ayuda a los usuarios corporativos a administrar sus propios usuarios y grupos. Para obtener más información, consulte Inicio rápido: Configurar permisos, Configurar proyectos, grupos y permisos para el autoservicio administrado y Referencia de permisos.