Configurar la comunicación con Internet

En el capítulo anterior hemos explicado cómo configurar SSL para proteger el tráfico entre los clientes (navegadores, dispositivos móviles, etc.) y Tableau Server. Es buena idea configurar SSL, pero es algo fundamental si va a permitir que clientes externos a la red (es decir, de la red pública de Internet) accedan a Tableau Server. Si se ha saltado ese capítulo pero cree que va a permitir a personas de fuera de su red acceder a Tableau Server, retroceda y léalo. Es muy importante que no permita el acceso al servidor si no tiene configurado SSL bajo ninguna circunstancia.

Si desea permite el acceso externo, también debe configurar un servidor proxy inverso. Este tema describe los servidores proxy: qué son y por qué se usan. También damos información sobre cómo configurar los servidores proxy.

 

Hora de llamar al amigo informático

A diferencia de los otros capítulos de Tableau Server: Guía de instalación para todos, que permiten completar la configuración del servidor con la ayuda mínima de un profesional de TI, este capítulo lo hemos escrito para los profesionales de TI. Hemos intentado describir los conceptos de forma que todo el mundo pueda entenderlos, pero configurar los servidores proxy requiere la gestión de certificados, configurar ajustes de proxy y de puertas de enlace y establecer configuraciones de red avanzadas. Si no es profesional de TI y hasta ahora ha estado siguiendo la guía solo, es momento de recurrir a un profesional.

Cómo se comunica Tableau con Internet

Tableau Server necesita acceso de salida a Internet en las situaciones siguientes:

  • Trabajar con mapas. Tableau usa datos de mapas que están hospedados externamente.

    Tableau Server necesita conectarse a las siguientes ubicaciones de Internet con el puerto 443 para usar los mapas:

    • mapsconfig.tableau.com
    • api.mapbox.com

    Si Tableau no puede establecer estas conexiones, los mapas no se cargarán.

    Puede probar la conectividad accediendo a cada una de esas direcciones en un navegador: https://mapsconfig.tableau.com/v1/config.json(El enlace se abre en una ventana nueva) y https://api.mapbox.com/(El enlace se abre en una ventana nueva) le pedirá que descargue un archivo json.

    Si utiliza un proxy para conectarse a Internet y no puede conectarse a api.mapbox.com, consulte Trabajar con firewalls(El enlace se abre en una ventana nueva) en el sitio web de Mapbox.

    Para la versión 2019.1 y anteriores de Tableau Server, consulte la documentación de su versión: Ayuda de Tableau(El enlace se abre en una ventana nueva)

  • Conectarse al servidor de envío de registros de Tableau.

    Puede cargar archivos de registro en Tableau cuando trabaje con el equipo de soporte. Consulte tsm maintenance send-logs(El enlace se abre en una ventana nueva). Para subir archivos a Tableau correctamente, Tableau Server debe poder comunicarse con el servidor de envío de registros en el puerto 443:

    report-issue.tableau.com:443

  • Enviando datos básicos de producto.

    Tableau utiliza el dominio "prod.telemetry.tableausoftware" para recibir los datos básicos de producto sobre los procesos de inicio y apagado. También sirve para los datos de uso de producto más generales.

    El tráfico a este dominio se producirá en el puerto 80 (para el registro inicial de nuestros clientes de datos de producto) y en el puerto 443 (para todo el tráfico posterior).

    prod.telemetry.tableausoftware.com:80

    prod.telemetry.tableausoftware.com:443

  • Licencia. Los productos de Tableau se conectan a Internet para activar las claves de producto. Si el software de Tableau no se activa con la Herramientas de activación sin conexión, todos los productos de Tableau deben tener acceso a Internet para validar licencias. Específicamente, Tableau requiere acceso a Internet durante las siguientes operaciones de licencias: activación y desactivación, y también en la fecha de mantenimiento de la actualización. Para obtener más información sobre estas operaciones, consulte Administrar licencias(El enlace se abre en una ventana nueva).

    Tableau Server necesita conectarse a las siguientes ubicaciones de Internet por cuestiones relacionadas con licencias:

    • licensing.tableau.com:443

    • atr.licensing.tableau.com:443

    • s.ss2.us

    • ocsp.rootg2.amazontrust.com

    • ocsp.rootca1.amazontrust.com

    • ocsp.sca1b.amazontrust.com

    • crt.sca1b.amazontrust.com

    • crt.rootca1.amazontrust.com

    • ocsp.sca0a.amazontrust.com

    • crt.sca0a.amazontrust.com

    • ocsp.sca1a.amazontrust.com

    • crt.sca1a.amazontrust.com

    • ocsp.sca2a.amazontrust.com

    • crt.sca2a.amazontrust.com

    • ocsp.sca3a.amazontrust.com

    • crt.sca3a.amazontrust.com

    • ocsp.sca4a.amazontrust.com

    • crt.sca4a.amazontrust.com

    • crl.rootca1.amazontrust.com

    • crl.rootg2.amazontrust.com

    • crl.sca1b.amazontrust.com

    Las solicitudes de los dominios anteriores pueden estar en el puerto 80 o 443. El puerto 80 se utiliza para la validación de certificados (revocación, cadena de certificados, etc.). El puerto 443 se utiliza para las conexiones SSL.

    Si Tableau Server no puede establecer una conexión mientras intenta activar su licencia, se le solicitará que realice una activación sin conexión.

  • Trabajar con datos externos o basados en la nube.

    Tableau Server necesita conectarse a las siguientes ubicaciones de Internet para los servicios de Box, Dropbox, OneDrive, Google Drive, Google Sheets y Anaplan:

    galop.connectors.tableau.com:443: actualiza la configuración del entorno.

Tableau Server y los servidores proxy

Tableau Server está diseñado para funcionar dentro de una red interna protegida. Por lo tanto, nuestra recomendación primordial es esta: no configure Tableau Server en el equipo que actúa como puerta de enlace de Internet de la organización. Como recomendamos al principio, debe instalar Tableau Server en un equipo dedicado que no ejecute otros procesos y, en este caso, que no esté directamente expuesto a Internet.

Se debe configurar un servidor proxy: un equipo que transmita el tráfico entre una red (interna) local e Internet. Los servidores proxy de reenvío hacen de mediadores para el tráfico que va de la red a objetivos de Internet. Los servidores proxy inversos transmiten el tráfico de Internet a objetivos de dentro de la red.

Si trabaja en una organización de gran tamaño, el departamento de TI habrá configurado los servidores proxy con toda seguridad. Si usted está configurando todo por su cuenta, ahora es, como hemos señalado, cuando debería pedir ayuda a alguien con experiencia en servidores proxy. Pero vamos a empezar con una descripción general de los servidores proxy.

Importante: Como señalamos en el capítulo Planificación de la implementación, se desaconseja instalar Tableau Server en un equipo que ejecute IIS. Además, si utiliza algún software antivirus, tiene que seguir las recomendaciones de la base de conocimiento(El enlace se abre en una ventana nueva) para excluir los directorios de Tableau Server. En los procedimientos de este capítulo se presupone que Tableau Server se ha instalado en un equipo limpio.

Servidores proxy de reenvío

Un proxy de reenvío es un servidor situado entre los equipos que hay en su red e Internet. Cuando una aplicación que está en un equipo de la red necesita acceso a Internet, no envía la solicitud directamente a Internet. Lo que hace es enviar la solicitud al proxy de reenvío, que, a su vez, reenvía la solicitud. Los servidores proxy de reenvío ayudan a los administradores a administrar el tráfico dirigido a Internet para tareas como equilibrar la carga, bloquear el acceso a sitios, etc.

Muchas organizaciones usan un proxy de reenvío en la red. En ellas, los equipos que hay dentro de la red deben estar configurados para enviar tráfico al proxy de reenvío. Eso suele ser necesario aunque los usuarios no intenten acceder a Internet. Por ejemplo, para que los usuarios puedan crear libros de trabajo que incluyan mapas, Tableau Desktop y Tableau Server deben tener acceso a los servidores de mapas de Tableau que están hospedados en Internet. Además, de forma predeterminada el componente de licencia para los productos de Tableau se conecta a Internet para activar los productos. Si el software de Tableau no se activa con la Herramientas de activación sin conexión(El enlace se abre en una ventana nueva), todos los productos de Tableau deben tener acceso a Internet para validar las licencias.

Si la organización utiliza un servidor proxy de reenvío, debe asegurarse de que Tableau Desktop y Server estén configurados para usarlo. Si el servidor proxy autentica a los usuarios en las conexiones salientes, debe configurar las Opciones de Internet de Windows en Tableau Server para que se use la cuenta de usuario Ejecución como a modo de contexto de seguridad.

La sección Recursos adicionales, más abajo, incluye un vínculo a información sobre cómo configurar un servidor proxy de reenvío.

Servidor proxy inverso

Un proxy inverso es un servidor que recibe solicitudes de clientes externos (de Internet) y las reenvía a Tableau Server. ¿Por qué motivo debería usar un proxy inverso? La respuesta básica es "por seguridad". Un proxy inverso hace que Tableau Server esté disponible en Internet sin tener que exponer la dirección IP del servidor en Internet. Un proxy inverso también sirve como dispositivo de autenticación y de paso, lo cual evita que se almacenen datos en lugares a los que puedan acceder personas externas a la compañía (las zonas desmilitarizadas, para los que conozcan el término). Este requisito puede ser importante para las organizaciones que estén sujetas a diversas normativas de privacidad, como PCI, HIPAA o SOX.

Ilustración de cómo funciona con Tableau Server un proxy inverso

En el diagrama siguiente se ilustra el trayecto de comunicación cuando un cliente hace una solicitud a Tableau Server, que está configurado para funcionar con un servidor proxy inverso.

  1. Un cliente externo inicia una conexión a Tableau Server. El cliente usa la URL pública que se ha configurado para el servidor proxy inverso, por ejemplo https://tableau.example.com. (El cliente no sabe que están accediendo a un proxy inverso).

  2. El proxy inverso pasa la solicitud a Tableau Server. El proxy inverso se puede configurar para que autentique al cliente (mediante SSL/TLS) como una condición previa para transmitir la solicitud a Tableau Server.

  3. Tableau Server recibe la solicitud y envía la respuesta al proxy inverso.

  4. El proxy inverso devuelve el contenido al cliente. En lo que concierne al cliente, acaba de interactuar con Tableau Server y no tiene forma de saber que el proxy inverso ha mediado en la comunicación.

Servidores proxy y SSL

Para mayor seguridad, debe configurar los servidores proxy para que usen SSL al gestionar el tráfico externo a la red. Esto le ayuda a garantizar la privacidad, la integridad del contenido y la autenticación. A menos que haya implementado otras medidas de seguridad para proteger el tráfico entre su puerta de enlace de Internet y Tableau Server, también le recomendamos que configure SSL entre el proxy de puerta de enlace y Tableau Server. Como señalamos en el capítulo anterior, Protección del tráfico entre los clientes y el servidor, puede usar certificados internos o autofirmados para cifrar el tráfico que se transmite entre los servidores de Tableau y otros equipos internos.

Recomendamos que el tráfico esté protegido por SSL en cada salto: de fuera al servidor proxy inverso y del proxy inverso a Tableau Server. En este escenario, le recomendamos que configure el proxy inverso para que rechace las conexiones que no usen SSL (es decir, las que no tengan https:// en la URL).

Si va a usar la autenticación de Kerberos, debe configurar Tableau Server para el proxy antes de configurar Tableau Server para Kerberos.

Para obtener más información, consulte Configurar Kerberos(El enlace se abre en una ventana nueva). Además, puede utilizar SAML, OpenID Connect o Trusted Tickets con un proxy inverso.

Configurar Tableau Server para que funcione con un servidor proxy inverso

Bueno, ya le hemos dado motivos para usar un proxy inverso. Antes de configurar Tableau Server, debe recopilar la información siguiente sobre la configuración del servidor proxy. Si usted no es la persona que configuró el servidor proxy inverso, tendrá que pedirle esta información al informático.

Elemento Descripción
Dirección IP o CNAME

Puede especificar una dirección IP o un valor CNAME para esta opción.

Las direcciones IP públicas del servidor proxy. La dirección IP debe tener el formato IPv4 (por ejemplo, 203.0.113.0) y debe ser una dirección IP estática.

Si no puede proporcionar una IP estática, o si está utilizando proxy en la nube o compensadores de carga externos, puede especificar el valor de DNS de CNAME (nombre canónico) que los clientes usarán para conectarse a Tableau Server. Este valor CNAME se debe configurar en la solución de proxy inverso para comunicarse con Tableau Server.

FQDN El nombre de dominio completamente calificado que los usuarios emplean para contactar con Tableau Server, por ejemplo tableau.example.com. Tableau Server no admite ningún FQDN que tenga más información que el nombre de dominio, como example.com/tableau. (El informático podría interpretar que Tableau Server no admite el cambio de contexto).
No FQDN Cualquier nombre de subdominio para el servidor proxy. En el ejemplo de tableau.example.com, el nombre del subdominio es tableau.
Alias Cualquier nombre alternativo público para el servidor proxy. En la mayoría de los casos, los alias se designan con valores de CNAME. Un ejemplo es un servidor proxy bigbox.example.com y entradas CNAME de ftp.example.com y www.example.com.
Puertos Los números de puerto para el tráfico desde el cliente hacia el servidor proxy inverso y, además, para el tráfico desde el servidor proxy hacia Tableau Server.

Si quiere configurar Tableau Server, utilice Tableau Services Manager (TSM). Tableau Services Manager es el conjunto de herramientas de administración que se utiliza para instalar, configurar y administrar los servicios de Tableau.

  1. Escriba el comando siguiente para configurar el valor FQDN que usarán los clientes para conectarse a Tableau Server a través del servidor proxy, donde name es el valor FQDN:

    tsm configuration set -k gateway.public.host -v "name"

    Por ejemplo, si accede a Tableau Server escribiendo https://tableau.example.com en el navegador, escriba este comando:

    tsm configuration set -k gateway.public.host -v "tableau.example.com"

  2. Escriba el comando siguiente para configurar la dirección o el valor de CNAME del servidor proxy, donde server_address es la dirección IPv4 o el valor de CNAME:

    tsm configuration set -k gateway.trusted -v "server_ip_address"

    Si la organización usa varios servidores proxy, escriba varias direcciones IPv4 y sepárelas con comas. No se admite el uso de intervalos de IP. Para mejorar el inicio y la inicialización de Tableau Server, reduzca el número de entradas de gateway.trusted.

  3. Escriba el siguiente comando para especificar nombres alternativos para el servidor proxy, como su nombre de dominio completamente calificado, cualquier nombre de dominio que no esté completamente calificado y los alias. Si hay más de un nombre, sepárelos con una coma.

    tsm configuration set -k gateway.trusted_hosts -v "name1, name2, name3"

    Por ejemplo:

    tsm configuration set -k gateway.trusted_hosts -v "proxy1.example.com, proxy1, ftp.example.com, www.example.com"

  4. Si el servidor proxy usa SSL para comunicarse con Internet, ejecute el comando siguiente, que le indica a Tableau que el servidor proxy inverso usa el puerto 443 en lugar del puerto 80:

    tsm configuration set -k gateway.public.port -v 443

    Nota: Si el servidor proxy usa una conexión SSL para comunicarse con Tableau Server, deberá configurarse y habilitarse SSL en Tableau Server.

  5. Escriba el comando siguiente para aplicar el cambio hecho en la configuración y reiniciar Tableau Server.

    tsm pending-changes apply

Configurar el servidor proxy inverso para que funcione con Tableau Server

Para habilitar el acceso de clientes desde Internet a través de un proxy inverso hay que conservar (o añadir) determinados encabezados de mensajes para Tableau Server. Esto se ve en el gráfico siguiente.

Los encabezados que Tableau Server requiere son:

  • REMOTE_ADDR y X-FORWARDED-FOR (XFF). Tableau Server necesita estos encabezados para averiguar la dirección IP de la que proceden las solicitudes.

  • HOST y X-FORWARDED HOST (XFH). Estos encabezados se usan para generar vínculos absolutos a Tableau Server cuando responde al cliente.

  • X-FORWARDED-PROTO (XFP). Este encabezado se requiere si ejecuta SSL en el proxy pero no en Tableau Server. Como ya hemos señalado, lo mejor es ejecutar SSL en todos los saltos.

Solución de problemas y notas relacionados con los servidores proxy inversos

Como existen distintas soluciones de proxy, no podemos detallar los pasos para definir la configuración de extremo a extremo. Sin embargo, hemos recopilado algunos consejos y datos relacionados con la habilitación de un proxy inverso con Tableau Server.

Configuración de encabezados

  • Los encabezados X-FORWARDED-PROTO son importantes para las situaciones en las que HTTP o HTTPS no se mantienen en cada paso de la ruta de los mensajes. Si, por ejemplo, el proxy inverso necesita SSL para las solicitudes externas, pero el tráfico entre el proxy inverso y Tableau Server no está configurado para usar SSL, es necesario tener encabezados X-FORWARDED-PROTO. Algunas soluciones de proxy añaden los encabezados X-FORWARDED-PROTO automáticamente, mientras que otras no. Por último, en función de la solución de proxy que tenga, puede que tenga que configurar el reenvío de puerto para que traduzca la solicitud del puerto 443 al 80.

  • Algunos servidores proxy requieren una regla aparte del encabezado X-FORWARDED-PROTO. Por ejemplo, un dispositivo proxy F5 requiere la aplicación de una iRule en el servidor virtual que hospeda el espacio de nombres de URL para Tableau Server.

  • Los servidores proxy y los equilibradores de carga externos se pueden mezclar y apilar en varias formaciones. En el caso de que haya varios saltos, el orden de los encabezados que se presente a Tableau Server deberá coincidir con la secuencia de saltos que el tráfico ha de dar para llegar a Tableau Server. Además, para habilitar los vales de confianza, todos los servidores proxy de la cadena deben especificarse en los ajustes gateway.trusted y trusted.hosts.

  • Si hay varias IP en el ajuste gateway.trusted, deberá separar los valores con una coma y un espacio cuando envíe el comando (por ejemplo, "203.0.113.0, 10.32.56.78"). Toda la cadena debe ir entre comillas dobles, como se muestra.

Autenticación

  • Si va a usar la autenticación de Kerberos, debe configurar Tableau Server para el proxy antes de configurar Tableau Server para Kerberos.

    Para obtener más información, consulte Configurar Kerberos(El enlace se abre en una ventana nueva) en la ayuda de Tableau Server.

  • Los servidores proxy inversos de Apache no son compatibles si Tableau Server está usando SSPI (Active Directory con Habilitar inicio de sesión automático) para autenticar a los usuarios de Tableau Server. Los servidores proxy inversos de Apache son compatibles si Tableau Server solo usa Active Directory para autenticar a los usuarios (sin Habilitar inicio de sesión automático).

  • Configure el proxy para que realice la autenticación con SSL. No configure el servidor proxy para que exija a los usuarios que se autentiquen.

Continúe con Creación de usuarios.

Recurso adicional

¡Gracias por sus comentarios!