Configurar Tableau Cloud o TCM para OpenID Connect


Este tema describe cómo configurar Tableau Cloud o Tableau Cloud Manager (TCM) para que use OpenID Connect (OIDC) en el inicio de sesión único (SSO). Este es uno de los pasos del proceso. Los temas siguientes contienen información sobre cómo configurar y usar OIDC con Tableau Cloud o TCM.

  1. Descripción general de OpenID Connect

  2. Configurar el proveedor de identidades para OpenID Connect

  3. Configurar Tableau Cloud o TCM para OpenID Connect (se encuentra aquí)

Notas:

Requisitos

Parámetros

  • ID de cliente: Este valor lo emite el IdP y especifica un identificador para el Tableau Cloud o TCM registrados. Esto permite que el IdP sepa de dónde proviene la solicitud de autenticación.

  • Secreto del cliente: se trata de un token que Tableau Cloud o TCM usa para verificar la autenticidad de la respuesta por parte del IdP. Este valor debe conservarse de manera segura.

  • Configuración de URL: este valor especifica la dirección URL a la que redirige el IdP una vez que el usuario se ha autenticado. La URL debe incluir el host y el protocolo (por ejemplo, https://admin.okta.com/oauth2/default/.well-known/openid-configuration), aunque Tableau proporciona el extremo de la dirección. Esta URL especifica la ubicación del documento de detección de la configuración del proveedor que contiene los metadatos del proveedor de OpenID.

    Nota: Si su IdP no proporciona una URL de configuración, utilice una URL que termine con .well-known/openid-configuration. Para Tableau Cloud, considere usar los Métodos de autenticación de OpenID Connect(El enlace se abre en una ventana nueva) en la API de REST de Tableau para configurar OIDC.

Parámetros opcionales

Nota: Solo se aplica a Tableau Cloud.

Los siguientes parámetros opcionales se pueden configurar usando los métodos de autenticación OpenID Connect(El enlace se abre en una ventana nueva) en la API de REST de Tableau.

  • Solicitud: solicita al usuario una nueva autenticación y consentimiento. De forma predeterminada, el consentimiento del usuario está activado.

  • Alcance personalizado: valor personalizado relacionado con el usuario para consultar el IdP.

  • Autenticación del cliente: método de autenticación de punto final de token. Valor predeterminado: 'client_secret_basic' Se admite el valor 'client_secret_post'.

  • Valores esenciales del ACR: lista de valores esenciales de clase de referencia de contexto de autenticación utilizados para la autenticación.

  • Valores ACR voluntarios: lista de valores de clase de referencia de contexto de autenticación voluntarios utilizados para la autenticación.

Notificaciones

Para iniciar sesión correctamente en Tableau Cloud o TCM, debe aprovisionarse un usuario dado en el IdP OpenID Connect (OIDC), el cual se debe relacionar después con una cuenta de usuario de Tableau Cloud o TCM. OIDC usa un método basado en notificaciones para compartir atributos de cuenta de usuario con otras aplicaciones. Tableau Cloud o TCM utiliza las notificaciones del IdP para relacionar las cuentas de usuario del proveedor con las alojadas en Tableau Cloud o TCM. Las notificaciones incluyen atributos de cuenta de usuario como el correo electrónico, el nombre asignado, etc. Para comprender cómo asigna Tableau Cloud o TCM las notificaciones del IdP a las cuentas de usuario, consulte Información general sobre la autenticación.

Nota: Las notificaciones distinguen entre mayúsculas y minúsculas.

  • Nombre de usuario: de manera predeterminada, Tableau espera que el IdP pase la notificación username. En función de su proveedor de identidad, es posible que deba configurar Tableau Cloud para que utilice una notificación de IdP diferente. Nota: El nombre de usuario en Tableau es inmutable y no se puede actualizar en ningún momento.

  • Notificación de nombre: puede especificar el nombre o el nombre y los apellidos para recuperar el nombre para mostrar del usuario.

  • Notificación por correo electrónico: Opcionalmente, a partir de julio de 2025, puede especificar una dirección de correo electrónico que sea diferente del nombre de usuario. La reclamación de dirección de correo electrónico se utiliza únicamente para fines de notificación y no para iniciar sesión.

Habilitar el inicio de sesión único de OIDC

Paso 1: Configurar OpenID Connect

Para Tableau Cloud

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. En la pestaña Autenticación, haga clic en Nueva configuración, seleccione OpenID Connect (OIDC) y escriba un nombre para la configuración.

  3. Siga los pasos para configurar Tableau Cloud para la autenticación de OIDC mediante el siguiente procedimiento:

    1. En el paso 1, introduzca la información requerida de su IdP, incluido el ID de cliente, el secreto de cliente y la configuración de URL.

    2. En el paso 2, copie la URL de redirección de Tableau Cloud que pegará en el portal de su IdP para redirigir a los usuarios una vez se hayan autenticado.

    3. En el paso 3, introduzca las notificaciones para asegurarse de que tanto el nombre de usuario como el nombre para mostrar de los usuarios se asignan correctamente.

    4. En el paso 4, puede habilitar el cierre de sesión único (SLO) si su IdP lo admite.

    5. En el paso 5, puede elegir cómo se autenticarán los usuarios cuando accedan a la vista integrada: en una ventana emergente independiente o mediante un iFrame en línea.

      Nota: Puede seleccionar el tipo de autenticación para las vistas integradas en la sección Tipo de autenticación predeterminado para las vistas insertadas de la página Autenticación (debajo de los pasos de configuración de OIDC).

  4. Cuando haya terminado, haga clic en el botón Guardar cambios.

Nota: Al editar la configuración de OIDC, el secreto del cliente está oculto y es necesario volver a indicarlo antes de poder guardar cualquier cambio.

Para TCM

  1. Inicie sesión en TCM como administrador de nube y seleccione Configuración > Autenticación.

  2. En la pestaña Autenticación, seleccione la casilla de verificación Habilitar un método de autenticación adicional.

  3. Seleccione OpenID Connect (OIDC) desde el menú desplegable y haga clic en la flecha desplegable Configuración (requerida).

  4. Siga los pasos para configurar TCM para la autenticación de OIDC mediante el siguiente procedimiento:

    1. En el paso 1, introduzca la información requerida de su IdP, incluido el ID de cliente, el secreto de cliente y la configuración de URL.

    2. En el paso 2, copie la URL de redirección de TCM que pegará en el portal de su IdP para redirigir a los usuarios una vez se hayan autenticado.

    3. En el paso 3, introduzca las notificaciones para asegurarse de que tanto el nombre de usuario como el nombre para mostrar de los usuarios se asignan correctamente.

    4. En el paso 4, puede habilitar el cierre de sesión único (SLO) si su IdP lo admite.

  5. Cuando haya terminado, haga clic en el botón Guardar cambios.

Nota: Al editar la configuración de OIDC, el secreto del cliente está oculto y es necesario volver a indicarlo antes de poder guardar cualquier cambio.

Paso 2: Probar la configuración

Le recomendamos que pruebe la configuración para evitar bloqueos. Probar la configuración ayuda a asegurarse de haber configurado OIDC correctamente antes de cambiar el tipo de autenticación de sus usuarios a OIDC. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud o TCM con el tipo de autenticación OIDC configurado.

Nota: Si no está seguro de cuáles son las notificaciones, complete la configuración y pruébela. Al probar la configuración se mostrará en un nuevo panel con la información de las asignaciones de notificaciones, incluidas los notificaciones del nombre de usuario y el nombre para mostrar. Es posible que algunos IdP asignen una dirección de correo electrónico al nombre de usuario de Tableau.

Para Tableau Cloud

  1. En la pestaña Autenticación, mientras OpenID Connect (OIDC) está seleccionado, en el paso 6, haga clic en el botón Configuración de prueba. Aparece una nueva ventana con detalles sobre la configuración.

  2. Cuando termine, complete la configuración de OIDC agregando usuarios a su sitio siguiendo el paso a continuación.

Para TCM

  1. En la pestaña Autenticación, mientras OpenID Connect (OIDC) está seleccionado, en el paso 5, haga clic en el botón Configuración de prueba. Aparece una nueva ventana con detalles sobre la configuración.

  2. Cuando termine, complete la configuración de OIDC agregando usuarios a su inquilino siguiendo el paso a continuación.

Paso 3: Agregar usuarios al sitio de Tableau o TCM habilitado para OpenID Connect

Los pasos descritos en esta sección se realizan en la página Usuarios de Tableau Cloud o TCM.

  1. Después de completar los pasos anteriores, regrese a su sitio de Tableau Cloud o TCM.

  2. Desde el panel izquierdo, seleccione la página Usuarios.

  3. Siga el procedimiento descrito en uno de los siguientes temas:

Solución de problemas

Use las siguientes secciones para solucionar problemas de OpenID Connect (OIDC) en Tableau Cloud o TCM.

Muchos proveedores de identidad admiten el protocolo OIDC. El protocolo OIDC es un estándar abierto y flexible y, como tal, no todas las implementaciones del estándar son idénticas. La mayoría de los problemas que experimentan los administradores al configurar Tableau Cloud o TCM para OIDC se deben al modo en que los distintos proveedores de identidad implementan OIDC. Si experimenta errores al configurar OIDC con Tableau, se recomienda trabajar con el IdP para solucionarlos.

Iniciar sesión desde la línea de comandos

Para Tableau Cloud

Aunque Tableau Cloud esté configurado para usar OIDC, la autenticación de OIDC no se utiliza si inicia sesión en Tableau Cloud con tabcmd, la API de REST de Tableau(El enlace se abre en una ventana nueva) o la utilidad de línea de comando de Extracción de datos de Tableau(El enlace se abre en una ventana nueva) (incluida con Tableau Desktop).

Para TCM

De manera similar, incluso si TCM está configurado para usar OIDC, la autenticación OIDC no se utiliza cuando inicia sesión en la API de REST de Tableau Cloud Manager(El enlace se abre en una ventana nueva).

Error de inicio de sesión

En algunos casos, el inicio de sesión en Tableau Cloud o TCM puede fallar y mostrar el siguiente mensaje:

Error de inicio de sesión: la autenticación del proveedor de identidad no se realizó correctamente para el usuario <nombre de usuario_de_IdP>. No se encontró el usuario en Tableau Cloud.

Este error suele significar que los nombres almacenados en Tableau y los proporcionados por el IdP no coinciden. Para resolver esto, asegúrese de que los valores del nombre de usuario coincidan. Por ejemplo, si el nombre de usuario de Jane Smith está almacenado en el IdP como “jsmith@example.com”, también debe estar almacenado como “jsmith@example.com” en Tableau Cloud o TCM.

Personalizar y controlar el acceso a los datos usando atributos de usuario

Los atributos de usuario son metadatos de usuario definidos por su organización. Los atributos de usuario se pueden utilizar para determinar el acceso en un modelo de autorización típico de control de acceso basado en atributos (ABAC). Los atributos de usuario pueden ser cualquier aspecto del perfil de usuario, incluidos los roles de trabajo, la pertenencia a departamentos, el nivel de gestión, etc. También pueden asociarse con contextos de usuario en tiempo de ejecución, como dónde inicia sesión el usuario o su preferencia de idioma.

Al incluir atributos de usuario en su flujo de trabajo, puede controlar y personalizar la experiencia del usuario a través del acceso a los datos y la personalización.

  • Acceso a datos: Los atributos de usuario se pueden utilizar para aplicar directivas de seguridad de datos. Esto garantiza que los usuarios solo vean la información que corresponda.
  • Personalización: Al pasar atributos de usuario como la ubicación y el rol, su contenido se puede personalizar para mostrar solo la información relevante para el usuario que accede a él, lo que le facilita encontrar la información que necesita.

Resumen de los pasos para pasar los atributos de usuario

El proceso de habilitar atributos de usuario en un flujo de trabajo se resume en los siguientes pasos:

  1. Habilitar la configuración de atributos de usuario
  2. Incluir atributos de usuario en el JWT
  3. Asegúrese de que el autor del contenido incluya las funciones de atributos de usuario y los filtros pertinentes
  4. Revise el contenido

Paso 1: Habilitar la configuración de atributos de usuario

Por motivos de seguridad, los atributos de usuario solo se validan en un flujo de trabajo de autenticación cuando un administrador del sitio habilita la configuración del atributo de usuario.

  1. Inicie sesión en Tableau Cloud y haga clic en Configuración > Autenticación.

  2. En el encabezado Controle el acceso de los usuarios en los flujos de trabajo de autenticación, seleccione la casilla de verificación Habilitar la captura de atributos de usuario en los flujos de trabajo de autenticación.

Para obtener información sobre la configuración del sitio, consulte Controle el acceso de los usuarios en los flujos de trabajo de autenticación.

Paso 2: Incluir reclamaciones del atributo de usuario en el JWT

Asegúrese de que el token web JSON (JWT) contenga los atributos de usuario.

Nota: Los atributos del JWT están sujetos a un límite de 4096 caracteres, a excepción de los atributos scope o scp. Si los atributos del JWT, incluidos los atributos de usuario, superan este límite, Tableau eliminará los atributos y pasará el atributo ExtraAttributesRemoved en su lugar. A continuación, el autor del contenido puede crear un cálculo con el atributo ExtraAttributesRemoved para determinar cómo mostrar el contenido a los usuarios cuando se detecte el atributo.

Ejemplo

Supongamos que tiene un empleado, Fred Suzuki, que es un gerente ubicado en la región sur. Quiere asegurarse de que, cuando Fred revise los informes, solo pueda ver los datos de la región Sur. En un escenario como este, puede incluir el atributo de usuario Región en el JWT como en el siguiente ejemplo.

{
"iss":"https://myidp.okta.com/oauth2/default,
"sub": user,
"aud": "Tableau",
"email": "fsuzuki@example.com",
"email_verified": true,
"name": "Fred Suzuki",
"region": "South"
}

Paso 3: Asegurarse de que el autor del contenido incluya funciones de atributo

Asegúrese de que el autor del contenido incluya las funciones de atributos de usuario y los filtros relacionados para controlar qué datos se pueden mostrar en su contenido. Para garantizar que las notificaciones de atributos de usuario se pasen a Tableau, el contenido debe contener una de las siguientes funciones de atributos de usuario:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

La función que usa el autor del contenido depende de si se espera que los atributos de usuario devuelvan un valor único o varios. Para obtener más información sobre estas funciones y ver ejemplos de cada una, consulte Funciones de usuario(El enlace se abre en una ventana nueva) en la ayuda de Tableau.

Notas:

  • La vista previa del contenido con estas funciones no está disponible cuando se crea en Tableau Desktop o Tableau Cloud. La función devolverá NULL o FALSE. Para asegurarse de que las funciones de usuario funcionan como se espera, recomendamos al autor que revise las funciones después de poner el contenido a disposición.
  • Para asegurarse de que el contenido se representa como se espera, el autor del contenido podría considerar incluir un cálculo que use el atributo ExtraAttributesRemoved que 1) compruebe este atributo y 2) determine qué hacer con el contenido si lo hace, como mostrar un mensaje. Tableau solo agregará el atributo ExtraAttributesRemoved y eliminará todos los demás atributos (excepto scp o scope) cuando los atributos en el JWT excedan los 4096 caracteres. Esto es para garantizar un rendimiento óptimo y respetar las limitaciones de almacenamiento.

Ejemplo

Continuando con el ejemplo introducido en Paso 2: Incluir reclamaciones del atributo de usuario en el JWT anterior, para pasar la notificación de atributo de usuario “Región” a un libro de trabajo, el autor puede incluir USERATTRIBUTEINCLUDES. Por ejemplo, USERATTRIBUTEINCLUDES('Region', [Region]), donde “Region” es el atributo de usuario y [Region] es una columna de los datos. Con el nuevo cálculo, el autor puede crear una tabla con datos de gerentes y ventas. Cuando se agrega el cálculo, el libro de trabajo devuelve valores “Falso” como se esperaba.

Para mostrar solo los datos asociados con la región sur en el libro de trabajo insertado, el autor puede crear un filtro y personalizarlo para mostrar valores cuando la región sur sea “Verdadero”. Cuando se aplica el filtro, el libro de trabajo se queda en blanco como se esperaba, porque la función devuelve valores “Falso” y el filtro se personaliza para mostrar solo los valores “Verdadero”.

Paso 4: Revisar el contenido

Revise y valide el contenido.

Ejemplo

Para concluir el ejemplo del Paso 3: Asegurarse de que el autor del contenido incluya funciones de atributo anterior, puede ver que los datos de ventas de la vista están personalizados para Fred Suzuki porque su contexto de usuario es la región Sur.

Los administradores de las regiones representadas en el libro de trabajo deberían ver el valor asociado con su región. Por ejemplo, Sawdie Pawthorne, de la región Oeste, ve datos específicos de su región.

Los gerentes cuyas regiones no están representadas en el libro de trabajo ven un libro de trabajo en blanco.

Limitaciones y problemas conocidos

Hay algunos problemas conocidos y limitaciones que debe tener en cuenta al trabajar con funciones de atributos de usuario.

Imágenes en blanco con la API de REST de Tableau

Las solicitudes de la API de REST de Tableau Query Preview Image(El enlace se abre en una ventana nueva), Query Workbook Image(El enlace se abre en una ventana nueva) y Get Custom View Image(El enlace se abre en una ventana nueva) producen imágenes en blanco.

Limitaciones

  • Las funciones de atributos de usuario en fuentes de datos publicadas (.pds) no son compatibles.
  • Las funciones de atributos de usuario en los flujos de trabajo de Tableau Bridge no son compatibles.
Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!