Configurar SAML con Okta

Si usa Okta como proveedor de identidades SAML (IdP), puede usar la información de este tema para configurar autenticación SAML en el sitio de Tableau Cloud. También puede utilizar el tema Configurar SAML 2.0 para Tableau Cloud(El enlace se abre en una ventana nueva) en la documentación de Okta.

La integración SAML de Tableau Cloud con Okta admite SSO iniciado por el proveedor de servicios (SP), SSO iniciado por el proveedor de identidades (IdP) y cierre de sesión único (SLO).

Notas: 

  • Estos pasos se refieren a una aplicación de terceros y están sujetos a cambios sin nuestro conocimiento. Si los pasos descritos aquí no coinciden con las pantallas que ve en la cuenta del IdP, puede usar los pasos de configuración de SAML, los genéricos y la documentación del IdP.
  • A partir de febrero de 2022, la autenticación multifactor (MFA) a través de su proveedor de identidad (IdP) de SSO SAML es un requisito de Tableau Cloud.

Paso 1: abrir la configuración de SAML para Tableau Cloud

Para configurar la aplicación de Okta, tiene que usar información de la configuración de SAML para Tableau Cloud.

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. En la pestaña Autenticación, seleccione Habilitar otro método de autenticación, seleccione SAML y, luego, haga clic en la flecha desplegable Configuración (obligatoria).

    Captura de pantalla de la página de configuración de autenticación del sitio de Tableau Cloud

Paso 2: agregar Tableau Cloud a las aplicaciones de Okta

Los pasos descritos en esta sección se realizan en la consola de administrador de Okta.

  1. Abra un nuevo navegador e inicie sesión en la consola de administrador de Okta.

  2. En el panel izquierdo, seleccione Aplicaciones > Aplicaciones y haga clic en el botón Explorar el catálogo de aplicaciones.

  3. Busque y haga clic en "Tableau Cloud" y luego haga clic en el botón Agregar integración. Se abrirá la pestaña Configuración general.

  4. (Opcional) Si tiene más de un sitio de Tableau Cloud, edite el nombre del sitio en el campo Etiqueta de aplicación para ayudarle a diferenciar entre las instancias de aplicaciones de Tableau Cloud.

Paso 3: configurar SAML

Los pasos descritos en esta sección se realizan tanto en la consola de administrador de Okta como en los ajustes de configuración SAML de Tableau Cloud.

  1. En la consola de administrador de Okta, haga clic en la pestaña Asignaciones para agregar sus usuarios o grupos.

  2. Cuando acabe, haga clic en Listo.

  3. Haga clic en Inicio de sesión y en la sección Configuración, haga clic en Editar.

  4. (Opcional) Si desea habilitar el cierre de sesión único (SLO), haga lo siguiente:

    1. Seleccione la casilla de verificación Habilitar cierre de sesión único.

    2. Copie el valor "Single Logout URL" del archivo de metadatos de Tableau Cloud. Por ejemplo: <md:SingleLogoutService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://xxxx/public/sp/SLO/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"/>. Para obtener más información, consulte Configurar cierre de sesión único usando SAML con Okta(El enlace se abre en una ventana nueva) en la base de conocimientos de Tableau.

    3. En el cuadro de texto Configuración de inicio de sesión avanzada, indique el valor que copió en el paso b.

    4. Vuelva a los ajustes de configuración de SAML de Tableau Cloud, en el paso 1. Exporte los metadatos desde Tableau Cloud y haga clic en el botón Descargar certificado.

    5. Vuelva a la consola de administrador de Okta, junto a Certificado de firma, haga clic en Explorar y busque el archivo que descargó en el paso d.

    6. Seleccione el archivo y haga clic en el botón Subir.

    7. Cuando acabe, haga clic en Guardar.

  5. Vuelva a los ajustes de configuración de SAML de Tableau Cloud, en el paso 1. Método 2: Copie los metadatos, descargue el certificado y copie el ID de entidad de Tableau Cloud.

  6. Vuelva a la consola de administración de Okta y haga lo siguiente:

    1. Seleccione Aplicaciones > Aplicaciones, haga clic en la aplicación Tableau Cloud y luego seleccione la pestaña Inicio de sesión.

    2. Haga clic en Editar.

    3. En Configuración de inicio de sesión avanzada, en el cuadro de texto ID de entidad de Tableau Cloud, pegue la URL.

    4. Repita los pasos 7 y 8 para la URL del ACS de Tableau Cloud.

      Nota: Las opciones de configuración de SAML de Tableau Cloud aparecen en un orden diferente al de la página de configuración de Okta. Para evitar problemas de autenticación SAML, asegúrese de que el ID de entidad de Tableau Cloud y la URL del ACS de Tableau Cloud se introducen en los campos correctos de Okta.

    5. Cuando acabe, haga clic en Guardar.

  7. Vuelva a los Ajustes de configuración de SAML de Tableau Cloud, en el paso 1, Método 2: Copiar metadatos y descargar certificados, haga clic en el botón Descargar certificado.

  8. Vuelva a la aplicación Tableau Cloud en la consola de administrador de Okta, en la pestaña Inicio de sesión, haga clic en Editary haga lo siguiente:

    1. En Detalles de metadatos, copie la URL de metadatos.

    2. Pegue la URL en un nuevo navegador y guarde los resultados como un archivo usando el modelo "metadata.xml" predeterminado.

  9. De vuelta en los ajustes de configuración de SAML de Tableau Cloud, en 4. Cargar metadatos a Tableau Cloud, haga clic en el botón Seleccionar un archivo, seleccione el archivo metadata.xml para cargar el archivo. Esto llena automáticamente los valores ID de entidad de proveedor de identidad y URL del servicio SSO.

  10. Mapee los nombres de los atributos (afirmaciones) en la página Mapeos de perfiles de usuario de Tableau Cloud con los nombres de atributos correspondientes en 5. Vincule los atributos en la configuración de SAML de Tableau Cloud.

  11. En 7. Pruebe la configuración haciendo clic en el botón Probar configuración. Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud con el tipo de autenticación SAML configurado.

    Nota: Si la conexión falla, considere mantener el atributo NameID en Tableau tal como está.

Paso 4: agregar usuarios al sitio de Tableau habilitado para SAML

Si planea usar SCIM para aprovisionar a sus usuarios desde Okta, no los agregue manualmente a Tableau Cloud. Para obtener más información, consulte Configurar SAML con Okta. Si no está utilizando SCIM, siga los pasos a continuación para agregar usuarios a su sitio.

Los pasos descritos en esta sección se realizan en la página Usuarios de Tableau Cloud.

  1. Cuando termine con el Paso 3: configurar SAML, vuelva a su sitio de Tableau Cloud.

  2. Desde el panel izquierdo, navegue hasta la página Usuarios.

  3. Siga el procedimiento descrito en el tema Añadir usuarios a un sitio.

Paso 5: habilitar la inserción de iFrame (opcional)

Después de habilitar SAML en el sitio, necesita especificar cómo iniciarán sesión los usuarios para obtener acceso a las vistas insertadas en páginas web. Estos pasos configuran Okta para permitir la autenticación con un marco en línea (iFrame) para visualizaciones insertadas. La inserción de marcos flotantes puede ofrecer una mejor experiencia de usuario al iniciar sesión en las visualizaciones insertadas en vistas. Por ejemplo, si un usuario ya está autenticado con su proveedor de identidad y la inserción de iFrame está habilitada, el usuario se podría autenticar sin problemas con Tableau Cloud al navegar por páginas con visualizaciones insertadas.

Aviso: IFrame puede ser vulnerables a los ataques por secuestro de clics. El secuestro de clics es un tipo de ataque dirigido a páginas web en el que el atacante intenta hacer que los usuarios hagan clic o escriban contenido mostrando la página que quiere atacar en una capa transparente sobre una página no relacionada. En el contexto de Tableau Cloud, alguien puede intentar perpetrar un ataque por secuestro de clics para capturar credenciales de usuario o para lograr que un usuario autenticado cambie la configuración. Para obtener más información sobre los ataques por secuestro de clics, consulte Secuestro de clics(El enlace se abre en una ventana nueva) (Ataque por redireccionamiento de UI, en inglés) en el sitio web de Open Web Application Security Project.

  1. Inicie sesión en su consola de administrador de Okta.

  2. En el panel izquierdo, seleccione Personalizaciones > Otro y vaya a la sección Inserción de IFrame.

  3. Haga clic en Editar, seleccione la casilla de verificación Permitir la inserción de iFrame y luego haga clic en Guardar.

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!