Controlar la autenticación y el acceso en Tableau Mobile

Métodos de autenticación admitidos

Tableau Server

Tableau Mobile admite los siguientes métodos de autenticación para Tableau Server.

MétodoConsideraciones en Tableau Mobile
Autenticación local (básica) 
Kerberos
  • Solo para iOS
SAML 
NTLM 
SSL mutua
OpenID Connect

Para obtener información sobre cómo configurar estos métodos, consulte la Ayuda de Tableau Server para Windows(El enlace se abre en una ventana nueva) y Linux(El enlace se abre en una ventana nueva).

Tableau Cloud

Tableau Mobile admite los tres métodos de autenticación para Tableau Cloud.

Para obtener información sobre cómo configurar estos métodos, consulte Autenticación(El enlace se abre en una ventana nueva) en la página de ayuda de Tableau Cloud.

Autenticación con el navegador del dispositivo

OpenID Connect (incluido Google) y la autenticación SSL mutua se lleva a cabo mediante el navegador del dispositivo móvil (Safari, Chrome). El intercambio entre el navegador y Tableau Mobile está protegido por Proof Key for Code Exchange(El enlace se abre en una ventana nueva)(PKCE) de OAuth.

Para que esta autenticación tenga lugar, debe habilitar la configuración Iniciar sesión con el navegador del dispositivo, siguiendo las instrucciones que se indican a continuación. La única excepción a este requisito es la autenticación SSL mutua en Android, que no requiere cambios de configuración.

Tableau Server (versión 2019.4 o posterior)

Si utiliza un sistema MDM o MAM, establezca el parámetro AppConfig RequireSignInWithDeviceBrowser con el valor True. Como alternativa, los usuarios de Tableau Server pueden habilitar la opción "Iniciar sesión con el navegador del dispositivo" en sus dispositivos individuales. El parámetro AppConfig reemplaza la configuración del usuario.

Tableau Cloud

Establezca el parámetro AppConfig RequireSignInWithDeviceBrowser con el valor True. Para establecer los parámetros de AppConfig, debe implementar la aplicación con un sistema MDM o MAM. La configuración del usuario no tiene ningún efecto para Tableau Cloud, por lo que si no utiliza un sistema MDM o MAM, no podrá permitir la autenticación de Google.

Anular el navegador predeterminado utilizado para la autenticación

Cuando configura Tableau Mobile para usar el navegador para la autenticación, usa el navegador predeterminado para el dispositivo: Safari para iOS y Chrome para Android. Para habilitar el acceso condicional para Microsoft Intune, debe configurar Tableau Mobile para usar Microsoft Edge para la autenticación. Esto requiere dos parámetros AppConfig:

  • Configure RequireSignInWithDeviceBrowser como true, para que Tableau Mobile use el navegador para la autenticación.
  • Configure OverrideDeviceBrowser como Edge, para cambiar el navegador utilizado para la autenticación del dispositivo predeterminado a Microsoft Edge. Si cambia este parámetro sin necesidad de iniciar sesión con el navegador, no tendrá ningún efecto. Para obtener más información, consulte Parámetros de AppConfig para Tableau Mobile.

Además de configurar los parámetros de AppConfig para Tableau Mobile, configure su entorno de Microsoft Intune de la siguiente manera:

  • Si usa Azure App Proxy, debe usar passthrough como método de autenticación previa.
  • El método de autenticación debe ser SAML u OpenID.
  • El proveedor de identidad debe ser Azure Active Directory.

Mantener temporalmente conectados a los usuarios

Para mantener temporalmente conectados a los usuarios de Tableau Mobile, asegúrese de que los clientes conectados estén habilitados para Tableau Cloud o Tableau Server. Si desactiva esta configuración predeterminada, los usuarios deberán iniciar sesión cada vez que se conecten al servidor.

Verificar la configuración de los clientes conectados para Tableau Cloud

  1. Inicie sesión en Tableau Cloud como administrador.
  2. Seleccione Configuración y luego seleccione la pestaña Autenticación.
  3. En Clientes conectados, anote el ajuste de Permitir que los clientes se conecten automáticamente a Tableau Cloud.

Para obtener más información, consulte Acceder a los sitios desde clientes conectados en la ayuda de Tableau Cloud.

Verificar la configuración de los clientes conectados para Tableau Server

  1. Inicie sesión en Tableau Server como administrador.
  2. En el menú Sitio, haga clic en Administrar todos los sitios y, a continuación, seleccione Configuración > General.
  3. En Clientes conectados, anote el ajuste de Permitir que los clientes se conecten automáticamente a Tableau Server.

Para obtener más información, consulte Deshabilitar autenticación automática de cliente en la ayuda de Tableau Server.

Cambiar el tiempo que los usuarios permanecen conectados a Tableau Server

Cuando la configuración de clientes conectados no está habilitada, la duración de una sesión en Tableau Mobile se controla mediante los límites de Tableau Server. Cuando la configuración de clientes conectados está habilitada, Tableau Mobile utiliza tokens de OAuth para restablecer la sesión y mantener a los usuarios conectados, siempre que los tokens sean válidos.

Cambiar los valores de token para clientes conectados

Para mantener a un usuario conectado, Tableau Mobile envía un token de actualización al sistema de autenticación, que a su vez entrega un nuevo token de acceso al dispositivo móvil. Puede cambiar el tiempo que los usuarios permanecen conectados ajustando la configuración de los tokens de actualización.

En la interfaz de línea de comandos de Tableau Services Manager, configure las siguientes opciones:

refresh_token.idle_expiry_in_seconds

Establece el número de segundos que un token puede permanecer sin uso antes de caducar. El valor predeterminado de 1 209 600 es igual a 14 días. Introduzca un valor de -1 para que los tokens inactivos no caduquen nunca.

refresh_token.absolute_expiry_in_seconds

Establece el número de segundos antes de que los tokens de actualización caduquen por completo. El valor predeterminado de 31 536 000 es igual a 365 días. Introduzca un valor de -1 para que los tokens no caduquen nunca.

refresh_token.max_count_per_user

Establece el número máximo de tokens de actualización que se pueden emitir para cada usuario. El valor predeterminado es 24. Introduzca un valor de -1 para eliminar por completo el límite de tokens.

Para establecer las opciones anteriores, utilice esta sintaxis en la interfaz de la línea de comandos:

tsm configuration set -k <config.key> -v <config_value>.

Por ejemplo, para limitar el número de tokens de actualización a 5 por usuario, introduzca lo siguiente:

tsm configuration set -k <refresh_token.max_count_per_user> -v <5>

Para obtener más información, consulte Opciones de tsm configuration set(El enlace se abre en una ventana nueva) en la ayuda de Tableau Server.

Cambiar los límites de sesión de Tableau Server

Si deshabilita los clientes conectados, los límites de sesión de Tableau Server determinan la duración de una sesión en Tableau Mobile. Estos límites no afectan a los clientes conectados, ya que los tokens de actualización restablecen la sesión siempre que los tokens sean válidos. Para obtener más información, consulte Comprobar la configuración de la duración de la sesión en la ayuda de Tableau Server.

En la interfaz de línea de comandos de Tableau Services Manager, configure la siguiente opción:

wgserver.session.idle_limit

Establece el número de minutos antes de que caduque una sesión de Tableau, lo que requerirá un nuevo inicio de sesión. El valor predeterminado es 240.

Habilitar el bloqueo de aplicaciones para mejorar la seguridad

Los tokens de autenticación de larga duración permiten a los usuarios permanecer conectados, ya que les proporciona un acceso constante a los datos. Sin embargo, es posible que le preocupe este acceso abierto a los datos de Tableau Mobile. En lugar de requerir que los usuarios inicien sesión con más frecuencia, puede habilitar el bloqueo de aplicaciones para ofrecer a los usuarios una forma segura y sencilla de acceder al contenido.

El bloqueo de aplicaciones para Tableau Mobile no autentica a los usuarios con Tableau Server o Tableau Cloud, sino que proporciona una capa de seguridad para los usuarios que ya han iniciado sesión. Cuando el bloqueo de la aplicación está activado, los usuarios deben abrir la aplicación utilizando el método de seguridad que han configurado para desbloquear sus dispositivos. Los métodos biométricos admitidos son Face ID o Touch ID (iOS) y el reconocmiento de huella dactilar, cara o iris (Android). Los métodos alternativos compatibles son el código de acceso (iOS) y el patrón, el pin o la contraseña (Android).

Antes de habilitar el bloqueo de aplicaciones

Asegúrese de que la configuración de Clientes conectados para Tableau Server o Tableau Cloud esté activada. Para obtener más información, consulte Mantener temporalmente conectados a los usuarios. Si no tiene esta configuración habilitada, los usuarios deberán iniciar sesión cada vez que se conecten a Tableau Server o a Tableau Cloud, lo que elimina la necesidad de un bloqueo de la aplicación.

En el caso de Tableau Server, puede controlar con precisión el tiempo que los usuarios permanecen conectados ajustando los valores de caducidad de los tokens de actualización. Para obtener más información, consulte Cambiar el tiempo que los usuarios permanecen conectados a Tableau Server. Un bloqueo de aplicación está destinado a utilizarse con tokens de larga duración, como los que utilizan los valores de caducidad predeterminados.

Nota: Si su instalación del Tableau Server utiliza un servidor proxy inverso, tenga en cuenta que los usuarios pueden necesitar iniciar sesión al desbloquear la aplicación. Esto se debe a que sus tokens de proxy inverso expiraron, pero sus tokens de actualización siguen activos.

Habilitar la configuración del bloqueo de la aplicación

Para Tableau Cloud

  1. Inicie sesión en Tableau Cloud como administrador.
  2. Seleccione Configuración y luego seleccione la pestaña Autenticación.
  3. En Bloqueo de aplicación de Tableau Mobile, marque la opción Activar bloqueo de aplicación .

Para las versiones de Tableau Server 2019.4 y posteriores

  1. Inicie sesión en Tableau Server como administrador.
  2. Navegue hasta el sitio donde desee habilitar el bloqueo de la aplicación.
  3. Seleccione Configuración.
  4. En Tableau Mobile, compruebe la configuración Habilitar bloqueo de la aplicación.

Para las versiones 2019.3 y anteriores de Tableau Server

La configuración para habilitar el bloqueo de aplicaciones no está disponible para las versiones 2019.3 y anteriores de Tableau Server. Sin embargo, aún puede habilitar el bloqueo de aplicaciones con el parámetro AppConfig para sistemas MDM y MAM. Consulte RequireAppLock en Claves de AppConfig.

Bloqueo de aplicaciones habilitado por el usuario

Los usuarios también pueden habilitar individualmente el bloqueo de aplicaciones para sus dispositivos a través de una configuración dentro de la aplicación. Sin embargo, los usuarios no pueden desactivar el bloqueo de la aplicación a través de esta configuración si su administrador la ha habilitado.

Pantalla de configuración de Tableau Mobile

Cuando el bloqueo de la aplicación está activado

Después de habilitar el bloqueo de la aplicación, los usuarios que hayan iniciado sesión deberán desbloquear la aplicación cuando la abran. Si los usuarios no han configurado un método para desbloquear sus dispositivos, se les pedirá que lo hagan para desbloquear la aplicación.

Si los usuarios no logran desbloquear la aplicación, tendrán la opción de intentarlo de nuevo o salir de Tableau. Si los usuarios no logran desbloquear la aplicación después de cinco intentos utilizando un método biométrico, o si sus dispositivos no están configurados para usar estos métodos, se les pedirá que desbloqueen utilizando un método alternativo como un código de acceso.

Si introduce una clave de acceso varias veces y no la desbloquea, el usuario quedará bloqueado fuera del dispositivo en su totalidad, no solo de la aplicación. El número de intentos antes de que esto ocurra depende del dispositivo. Los intentos posteriores de desbloquear el dispositivo se retrasan aumentando el tiempo entre cada intento.

Inicio de sesión único para Tableau Mobile

Para la autenticación de inicio de sesión único (SSO), Tableau Mobile admite SAML y OpenID Connect para todas las plataformas móviles y Kerberos para dispositivos iOS.

SAML

Si Tableau Cloud o Tableau Server está configurado para utilizar SAML, se redirige automáticamente a los usuarios al proveedor de identidad (IdP) para que inicien sesión en Tableau Mobile. No obstante, SAML no transmite las credenciales a otras aplicaciones que usan el inicio de sesión único. SAML no requiere una configuración especial para dispositivos móviles, excepto en el caso de dispositivos que utilicen Microsoft Intune. Para habilitar SAML para Microsoft Intune, consulte Anular el navegador predeterminado utilizado para la autenticación.

OpenID Connect

Si Tableau Server está configurado para usar OpenID Connect para la autenticación, o si Tableau Cloud está configurado para usar Google (a través de OpenID Connect), el inicio de sesión único (SSO) tiene lugar con el proveedor de identidad externo (IdP) mediante el navegador del dispositivo móvil. Para habilitar el SSO con el navegador, consulte Autenticación con el navegador del dispositivo. Para habilitar OpenID Connect específicamente para Microsoft Intune, consulte Anular el navegador predeterminado utilizado para la autenticación.

Kerberos (solo iOS y Tableau Server)

Para usar la autenticación de Kerberos, los dispositivos deben estar especialmente configurados para su organización. La configuración de Kerberos está fuera del alcance de este documento y de la asistencia de Tableau. Aquí encontrará algunos recursos de terceros que le ayudarán a empezar.

Al configurar un perfil de configuración, necesitará las URL utilizadas para acceder al servidor Tableau. Para la clave URLPrefixMatches, si opta por mostrar las cadenas de URL de forma explícita, incluya las URL con todas las opciones de protocolo y los números de puerto adecuados.

  • Si sus servidores usan SSL, las direcciones URL deberían usar el protocolo https y el nombre de dominio completamente calificado del servidor. Una de las direcciones URL también debería especificar el puerto 443.

    Por ejemplo, especifique https://fully.qualifed.domain.name:443/ y https://servername.fully.qualified.domain.name/

  • Si los usuarios acceden al servidor de Tableau especificando únicamente el nombre del servidor local, también debe incluir estas variaciones.

    Por ejemplo, especifique http://servername/ y http://servername:80/

Nota: el cierre de sesión no borra los vales de Kerberos en un dispositivo. Si los vales de Kerberos almacenados todavía son válidos, cualquiera que use el dispositivo puede acceder al servidor y el sitio en los que el usuario inició sesión por última vez, sin proporcionar credenciales.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!