Configurar SAML con AD FS

Puede configurar Servicios de federación de Active Directory (AD FS) como proveedor de identidad de SAML y añadir Tableau Cloud a sus aplicaciones de inicio de sesión único compatibles. Al integrar AD FS con SAML y Tableau Cloud, los usuarios pueden iniciar sesión en Tableau Cloud con sus credenciales de red habituales.

Notas: 

  • Estos pasos se refieren a una aplicación de terceros y están sujetos a cambios sin nuestro conocimiento. Si los pasos descritos aquí no coinciden con las pantallas que ve en la cuenta del IdP, puede usar los pasos de configuración de SAML, los genéricos y la documentación del IdP.
  • A partir de febrero de 2022, la autenticación multifactor (MFA) a través de su proveedor de identidad (IdP) de SSO SAML es un requisito de Tableau Cloud.

Requisitos previos

Antes de configurar Tableau Cloud y SAML con AD FS, su entorno debe tener lo siguiente:

  • Un servidor que ejecuta Microsoft Windows Server 2008 R2 (o posterior) con AD FS 2.0 (o posterior) y IIS instalado.

  • Le recomendamos que proteja el servidor de AD FS (por ejemplo, con un proxy inverso). Cuando el servidor de AD FS es accesible desde fuera del firewall, Tableau Cloud puede redirigir a los usuarios a la página de inicio de sesión hospedada por AD FS.

  • Una cuenta de administrador de sitio que usa la autenticación de TableauID. Si el inicio de sesión único de SAML produce errores, podrá seguir iniciando sesión en Tableau Cloud como administrador de sitio.

Paso 1: exportar metadatos de Tableau Cloud

  1. Inicie sesión en Tableau Cloud como administrador de sitio.

    Si tiene más de un sitio para Tableau Cloud, en la lista desplegable de sitios, seleccione el sitio en el que desea habilitar el SAML.

  2. Seleccione Configuración > Autenticación.
  3. En la pestaña Autenticación, seleccione Habilitar otro método de autenticación, seleccione SAML y, luego, haga clic en la flecha desplegable Configuración (necesaria).

    Configuración de autenticación

  4. En el Paso 1, Método 1: Exportar metadatos, haga clic en el botón Exportar metadatos para descargar un archivo XML que contiene el identificador de entidad de SAML de Tableau Cloud, la URL de ACS (Servicio de consumidor de aserciones) y el certificado X.509.

Paso 2: configurar AD FS para aceptar solicitudes de inicio de sesión de Tableau Cloud

La configuración de AD FS para aceptar solicitudes de inicio de sesión de Tableau Cloud es un proceso que consta de varios pasos y que comienza con la importación del archivo de metadatos XML de Tableau Cloud a AD FS.

  1. Realice una de las siguientes acciones para abrir el Asistente para agregar relación de confianza para usuario autenticado:

  2. Windows Server 2008 R2:

    1. Seleccione Menú Inicio > Herramientas administrativas > AD FS 2.0.

    2. En AD FS 2.0, en Relaciones de confianza, haga clic con el botón derecho en la carpeta Relaciones de confianza para usuario autenticado y, a continuación, haga clic en Agregar relación de confianza para usuario autenticado.

    Windows Server 2012 R2:

    1. Abra Server Manager y, a continuación, en el menú Herramientas, haga clic en Administración de AD FS.

    2. En Administración de AD FS, en el menú Acción, haga clic en Agregar relación de confianza para usuario autenticado.

  3. En el Asistente para agregar relación de confianza para usuario autenticado, haga clic en Inicio.

  4. En la página Seleccionar fuente de datos, seleccione Importar datos sobre el usuario de confianza de un archivo y, a continuación, haga clic en Buscar para ubicar su archivo de metadatos XML de Tableau Cloud. De forma predeterminada, este archivo se denomina samlspmetadata.xml.

  5. Haga clic en Siguiente y, en la página Especificar nombre visible, escriba un nombre y una descripción para la relación de confianza del usuario autenticado en los recuadros Nombre visible y Notas.

  6. Haga clic en Siguiente para omitir la página Configurar la autenticación multifactor ahora.

  7. Haga clic en Siguiente para omitir la página Elegir reglas de autorización de emisión.

  8. Haga clic en Siguiente para omitir la página Listo para agregar relación de confianza.

  9. En la página Terminar, seleccione la casilla de verificación Abrir el cuadro de diálogo Editar reglas de notificación para esta relación de confianza para usuario autenticado cuando se cierre el asistente y, a continuación, haga clic en Cerrar.

A continuación trabajará en el cuadro de diálogo Editar reglas de notificación para añadir una regla que garantice que las aserciones enviadas por AD FS coincidan con las aserciones que espera recibir Tableau Cloud. Como mínimo, Tableau Cloud necesita una dirección de correo electrónico. Sin embargo, el hecho de incluir el nombre y los apellidos aparte del correo electrónico garantizará que los nombres de usuario que se muestren en Tableau Cloud coincidan con los de la cuenta de AD.

  1. En el cuadro de diálogo Editar reglas de notificación, haga clic en Añadir regla.

  2. En la página Elegir tipo de regla, en Plantilla de regla de notificación, seleccione Enviar atributos LDAP como notificaciones y, a continuación, haga clic en Siguiente.

  3. En la página Configurar regla de notificación, en Nombre de la regla de notificación, introduzca un nombre que sea significativo para la regla.

  4. En la lista desplegable Almacén de atributos, seleccione Active Directory, complete la asignación tal y como se muestra más abajo y, a continuación, haga clic en Terminar.

  5. Para completar la asignación es necesario que los nombres coincidan exactamente (distinguiendo mayúsculas de minúsculas), por lo que es importante que compruebe lo que ha escrito. La tabla aquí muestra atributos comunes y asignaciones de reclamaciones. Verifique los atributos con su configuración específica de Active Directory.

    Nota: Tableau Cloud requiere el atributo NameID en la respuesta SAML. Puede proporcionar otros atributos para asignar nombres de usuario en Tableau Cloud, pero el mensaje de respuesta debe incluir el atributo NameID.

    Atributo LDAPTipo de notificación de salida

    Según la versión de AD FS:

    Nombre-Principal-Usuario
    o
    Correos electrónicos

     

    CorreoElectrónico
    o
    Dirección de correo electrónico

    Nombre-EspecificadoNombre
    ApellidoApellido

Si está ejecutando AD FS 2016 o una versión posterior, debe añadir una regla para pasar por todos los valores de las reclamaciones. Si está ejecutando una versión anterior de AD FS, pase al siguiente procedimiento para exportar metadatos de AD FS.

  1. Haga clic en Añadir regla.
  2. En el modelo Regla de reclamación seleccione Pasar por o Filtrar una reclamación recibida.
  3. En Nombre de regla de reclamación, introduzca Windows.
  4. En la ventana emergente Editar regla - Windows:
    • En Tipo de reclamación entrante, seleccione Nombre de cuenta de Windows.
    • Seleccione Pasar por todos los valores de la reclamación.
    • Haga clic en Aceptar.

Ahora exportará los metadatos de AD FS que importará después a Tableau Cloud. También deberá asegurarse de que los metadatos estén configurados y codificados correctamente para Tableau Cloud y comprobar otros requisitos de AD FS relativos a su configuración de SAML.

  1. Exporte los metadatos de federación de AD FS a un archivo XML y, a continuación, descargue el archivo desde https://<adfs server name>/federationmetadata/2007-06/FederationMetadata.xml.

  2. Abra el archivo de metadatos en un editor de texto como Sublime Text o Notepad++, y compruebe que está correctamente codificado como UTF-8 sin BOM.

    Si el archivo muestra algún otro tipo de codificación, guárdelo en el editor de texto con la codificación correcta.

  3. Compruebe que AD FS utiliza la autenticación basada en formularios. Los inicios de sesión se efectúan en una ventana del navegador, por lo que necesita configurar AD FS para que use de forma predeterminada este tipo de autenticación.

    Edite c:\inetpub\adfs\ls\web.config, busque la categoría, y desplace la línea de modo que aparezca la primera en la lista. Guarde el archivo para que IIS pueda volver a cargarlo automáticamente.

    Nota: Si no ve el archivo c:\inetpub\adfs\ls\web.config, quiere decir que IIS no está instalado ni configurado en el servidor AD FS.

  4. Configure otro identificador de usuario de confianza de AD FS. Esto permite al sistema usar una solución alternativa para posibles problemas de AD FS relacionados con el cierre de sesión de SAML.

    Aplique una de las siguientes opciones:

    Windows Server 2008 R2:

    1. En AD FS 2.0, haga clic con el botón derecho en el usuario de confianza que creó para Tableau Cloud antes y, luego, haga clic en Propiedades.

    2. En la pestaña Identificadores, en el cuadro Identificador de usuario de confianza, especifique https://<tableauservername>/public/sp/metadata y, a continuación, haga clic en Agregar.

    Windows Server 2012 R2:

    1. En Administración de AD FS, en la lista Relaciones de confianza para usuario autenticado, haga clic con el botón derecho en el usuario de confianza que creó para Tableau Cloud antes y, luego, haga clic en Propiedades.

    2. En la pestaña Identificadores, en el cuadro Identificador de usuario de confianza, especifique https://<tableauservername/public/sp/metadata y, a continuación, haga clic en Agregar.

    Nota: AD FS puede utilizarse con Tableau Server para una única parte que se base en la misma instancia. AD FS no puede utilizarse para múltiples partes que se basen en el mismo ejemplo, por ejemplo, múltiples sitios SAML de sitio o configuraciones a nivel de servidor y de sitio SAML.

Paso 3: importar los metadatos de AD FS a Tableau Cloud

  1. En Tableau Cloud, vuelva a Configuración > Autenticación.

  2. En el paso 4. Cargar metadatos en Tableau, en el cuadro Archivo de metadatos del IdP, especifique el nombre del archivo que ha exportado desde AD FS (FederationMetadata.xml).

  3. Omita el paso 5. Hacer coincidir los atributos.

    Acaba de crear una regla de notificación en AD FS para hacer coincidir los nombres de atributo con lo que Tableau Cloud espera encontrar.

  4. Haga clic en el botón Guardar cambios.

  5. Administrar usuarios siguiendo uno de estos pasos:

    • Si aún no ha agregado usuarios a su sitio, desde el panel izquierdo, navegue hasta la página Usuarios y haga clic en Agregar usuarios. Podrá añadir usuarios de forma manual o importe un archivo CSV que contenga la información de los usuarios. Para obtener más información, consulte Añadir usuarios a un sitio o Importar usuarios.

    • Si ya ha agregado usuarios a su sitio, desde el panel izquierdo, navegue hasta la página Usuarios, haga clic en Acciones junto a un usuario específico y haga clic en Autenticación. Cambie el método de autenticación a SAML y haga clic en el botón Actualizar.

  6. (Opcional) Vuelva a la página de Autenticación, pruebe el inicio de sesión SAML en 7. Pruebe la configuración haciendo clic en el botón Probar configuración.

    Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud con el tipo de autenticación SAML configurado.

Su sitio de Tableau Cloud ya está preparado para que los usuarios inicien sesión con AD FS y SAML. Estos tienen que ir igualmente a https://online.tableau.com, pero, al escribir su nombre de usuario , la página les redirigirá a la página de inicio de sesión de AD FS (al igual que en el anterior paso de prueba opcional) y les pedirá sus credenciales de AD.

Nota: Si recibe errores al probar el inicio de sesión SAML, vaya al paso 7. Pruebe la configuración de los pasos de configuración SAML de Tableau Cloud, haga clic en Descargar registro y emplee la información que aparece para solucionar el error.

Otros requisitos y consejos

  • Una vez configurada la integración de SAML entre AD FS y Tableau Cloud, deberá actualizar Tableau Cloud para que queden reflejados los cambios de usuario concretos que haga en Active Directory (por ejemplo, añadir o eliminar usuarios).

    Puede añadir usuarios de forma automática o manual:

    • Para añadir usuarios automáticamente: cree un script (con PowerShell, Python o un archivo por lotes) para enviar los cambios de AD a Tableau Cloud. El script puede utilizar tabcmd o la API de REST para interactuar con Tableau Cloud.

    • Para añadir usuarios manualmente: inicie sesión en la interfaz de usuario web de Tableau Cloud, vaya a la página Usuarios, haga clic en Añadir usuarios y, después, escriba los nombres de usuario o bien cargue un archivo CSV que contenga la información de dichos usuarios.

    Nota: Si quiere eliminar un usuario, pero quiere conservar sus recursos de contenido, modifique la propiedad del contenido antes de eliminar el usuario. Si elimina un usuario, también se eliminará el contenido que tenga.

  • En Tableau Cloud, el nombre de un usuario es su identificador único. Tal y como se describe en los pasos de configuración de AD FS para aceptar solicitudes de inicio de sesión de Tableau Cloud, los nombres de usuario de de Tableau Cloud deben coincidir con el nombre de usuario de almacenado en AD.

  • En Paso 2: configurar AD FS para aceptar solicitudes de inicio de sesión de Tableau Cloud ha añadido una regla de notificación en AD FS para que los atributos de nombre, apellidos y nombre de usuario de coincidan entre AD FS y Tableau Cloud. Como alternativa, puede seguir el paso 5. Hacer coincidir los atributos en Tableau Cloud para hacer lo mismo.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!