OpenID Connect


Puede configurar Tableau Cloud para que admita OpenID Connect (OIDC) para el inicio de sesión único (SSO). OIDC es un protocolo de autenticación estándar que permite que los usuarios inicien sesión en un proveedor de identidad (IdP) como, por ejemplo, Google o Salesforce. Cuando ya hayan iniciado sesión correctamente en su IdP, se iniciará sesión automáticamente en Tableau Cloud.

Para configurar OIDC hay que llevar a cabo varios pasos. En los temas de esta sección se proporciona información general sobre el uso de Tableau Cloud con OIDC, así como una secuencia para configurar el IdP y Tableau Cloud.

Para configurar OIDC mediante la API de REST de Tableau, consulte Métodos de conexión OpenID(El enlace se abre en una ventana nueva).

Información general sobre la autenticación

Esta sección describe el proceso de autenticación OpenID Connect (OIDC) con Tableau Cloud.

1. Un usuario intenta iniciar sesión en Tableau Cloud desde un equipo cliente.

2. Tableau Cloud redirige la solicitud de autenticación a la puerta de enlace del IdP.

3. Se solicitan credenciales al usuario y se le autentica correctamente con el IdP. El IdP responde con una URL de redirección de nuevo a Tableau Cloud. La URL de redirección incluye un código de autorización para el usuario.

4. El cliente es redirigido a Tableau Cloud y presenta el código de autorización.

5. Tableau Cloud presenta el código de autorización del cliente al IdP junto con sus propias credenciales de cliente. Tableau Cloud también es cliente del IdP. El objetivo de este paso es evitar las suplantaciones y los ataques "man-in-the-middle".

6. El IdP indica un token de acceso y un token de ID a Tableau Cloud.

  • Validación JSON Web Token (JWT): de forma predeterminada, Tableau Cloud lleva a cabo una validación del JWT del IdP. Durante la detección, Tableau Cloud recupera las claves públicas especificadas por jwks_uri en el documento de detección de la configuración del IdP. Tableau Cloud comprueba el vencimiento del token del ID y, luego, verifica la firma web JSON (JWS), el emisor (IdP) y el ID de cliente. Para obtener más información sobre el proceso de JWT, consulte la documentación de OIDC, , 10(El enlace se abre en una ventana nueva). Firmas y cifrado(El enlace se abre en una ventana nueva), y el estándar propuesto de IETF, JSON Web Token(El enlace se abre en una ventana nueva). Se recomienda dejar habilitada la validación JWT, a menos que su IdP no sea compatible.

  • El token de ID es un conjunto de pares de atributo-clave para el usuario. Estos pares de clave se denominan notificaciones. Este es un ejemplo de notificación de IdP para un usuario:

    "sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",

7. Tableau Cloud identifica al usuario de las notificaciones del IdP y completa la solicitud del paso 1.Tableau Cloud se puede configurar para utilizar diferentes reclamos para este proceso. Consulte Requisitos.

8. Tableau Cloud autoriza al usuario.

Funcionamiento de Tableau Cloud con OpenID Connect

OpenID Connect (OIDC) es un protocolo flexible que admite numerosas opciones para la información que se intercambia entre un proveedor de servicios (en este caso Tableau Cloud) y un proveedor de identidad. En la siguiente lista se proporciona información sobre la implementación de OIDC en Tableau Cloud. Esta información le puede ayudar a saber qué tipos de información envía y espera Tableau Cloud, así como a configurar un IdP.

  • Tableau Cloud solo admite el flujo del código de autorización de OpenID, como se describe en la especificación final para OpenID Connect(El enlace se abre en una ventana nueva) en la documentación de OpenID Connect.

  • Tableau Cloud se basa en el uso de descubrimiento o una URL de proveedor para recuperar los metadatos del IdP.

  • Tableau Cloud solo admite los métodos de autenticación de cliente client_secret_basic (default) y client_secret_post y otros parámetros indicados en las especificaciones de OpenID Connect. Esto solo se puede configurar usando la API de REST de Tableau.

Pertenencia a grupos dinámicos mediante confirmaciones OIDC

A partir de junio de 2024, si se configura la autenticación OIDC y se habilita la configuración de la capacidad, puede controlar dinámicamente la pertenencia del grupo a través de notificaciones personalizadas incluidas en el token web JSON (JWT) enviado por el proveedor de identidad (IdP).

Cuando se configura, durante la autenticación del usuario, el IdP envía la confirmación OIDC que contiene dos declaraciones de pertenencia de grupo personalizadas: grupo (https://tableau.com/groups) y nombres de grupos (por ejemplo, "Grupo1" y "Grupo2") para incluir al usuario. Tableau valida la confirmación y luego habilita el acceso a los grupos y al contenido cuyos permisos dependen de esos grupos.

Para obtener más información, consulte Pertenencia a grupos dinámicos mediante confirmaciones

JWK de ejemplo

"sub"                     : "7gYhRR3HiRRCaRcgvY50ubrtjGQBMJW4rXbpPFpg2cptHP62m2sqowM7G1LwjN5"
"email"                   : "alice@example.com",
"email_verified"          : true,
"name"                    : "Alice Adams",
"given_name"              : "Alice",
"family_name"             : "Adams",
"https://tableau.com/groups": ["Group1", "Group2"]
Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!