Habilitar la autenticación SAML en un sitio Cloud Manager o TCM


En este tema se explica cómo habilitar SAML en el sitio o Tableau Cloud Manager (TCM) y cómo seleccionar los usuarios de inicio de sesión único. También se ofrecen los pasos para cambiar de SAML a la autenticación predeterminada de Tableau. Antes de habilitar SAML, le recomendamos que revise los Requisitos de SAML para Tableau Cloud, incluidos los Efectos de cambiar el tipo de autenticación en Tableau Bridge.

Nota: Habilitar la autenticación SAML para TCM requiere una configuración e integración de aplicaciones independientes de Tableau Cloud.

En este tema se da por hecho que está familiarizado con la información de Autenticación y Funcionamiento de la autenticación SAML.

Información de configuración específica para cada IdP

Puede utilizar los pasos de las secciones siguientes de este tema con la documentación del IdP para configurar SAML para su sitio de Tableau Cloud o TCM. Puede obtener pasos de configuración específicos de los IdP siguientes:

Habilitar SAML

Para Tableau Cloud

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. En la pestaña Autenticación, haga clic en el botón Nueva configuración, seleccione SAML desde el menú desplegable Autenticación y luego escriba un nombre para la configuración.

    Captura de la configuración de autenticación del sitio de Tableau Cloud (nueva página de configuración)

    Nota: Las configuraciones creadas antes de enero de 2025 (Tableau 2024.3) no se pueden cambiar de nombre.

Para TCM

Como alternativa, en TCM haga lo siguiente:

  1. Inicie sesión en TCM como administrador de nube y seleccione Configuración > Autenticación.

  2. Seleccione el Habilitar un método de autenticación adicional y seleccione SAML desde el menú desplegable Autenticación.

  3. Haga clic en la flecha desplegable Configuración (requerida).

Pasos de configuración de SAML

Esta sección es una guía de los pasos de configuración que aparecen en la pestaña Autenticación de la página Configuración de Tableau Cloud o TCM.

Nota: Para completar este proceso también necesitará la documentación que le haya proporcionado su IdP. Busque temas sobre cómo configurar o definir un proveedor de servicios para una conexión SAML, o sobre cómo añadir una aplicación.

Paso 1: Exportar metadatos de IdP

Vaya a su IdP, inicie sesión en su cuenta de IdP y utilice las instrucciones proporcionadas en la documentación de su IdP para descargar los metadatos de su IdP. Los metadatos del IdP permiten a Tableau Cloud o TCM conectarse a su IdP.

En el paso 1, la documentación del IdP además le guiará para proporcionar metadatos a un proveedor de servicios. Le indicará que descargue un archivo de metadatos de SAML o mostrará código XML. Si muestra código XML, cópielo y péguelo en un nuevo archivo de texto y guarde este con la extensión .xml.

Paso 2: cargar metadatos en Tableau

Para Tableau Cloud, en la página Nueva configuración de Tableau Cloud, importe el archivo de metadatos (.xml) que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.

Para TCM, en la página Autenticación de TCM, importe el archivo de metadatos (.xml) que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.

Notas: 

  • Después de cargar los metadatos del IdP, tanto el campo ID de entidad de IdP y como el campo URL del servicio SSO de IdP se rellenan automáticamente.
  • Si edita la configuración, deberá cargar el archivo de metadatos para que Tableau sepa cómo utilizar el ID de entidad de IdP y la URL del servicio SSO correctos.
  • Puede utilizar el botón Borrar metadatos de IdP si necesita cargar un nuevo archivo de metadatos.
Paso 3: mapear atributos

Los atributos contienen información relacionada con la autenticación, la autorización y otros datos de un usuario en concreto.

Nota: Tableau Cloud o TCM requiere el atributo NameID en la respuesta SAML. Puede proporcionar otros atributos para asignar nombres de usuario en Tableau, pero el mensaje de respuesta debe incluir el atributo NameID.

  • Nombre de usuario: (obligatorio) escriba el nombre del atributo que almacena los nombres de los usuarios (direcciones de correo electrónico).

  • Dirección de correo electrónico: (opcional) escriba el nombre del atributo que contiene la dirección de correo electrónico que el IdP utiliza durante el proceso de autenticación para permitir que los usuarios reciban notificaciones en una dirección de correo electrónico diferente del nombre de usuario. El atributo de dirección de correo electrónico se utiliza únicamente para fines de notificación y no para iniciar sesión.

  • Nombre de visualización: (opcional, aunque recomendado) algunos IdP utilizan atributos diferentes para los nombres y los apellidos, mientras que otros almacenan el nombre completo en un atributo.

    Seleccione el botón que corresponde a la forma en que su IdP almacena los nombres. Por ejemplo, si el IdP combina el nombre y los apellidos en un atributo, seleccione Nombre de visualización y escriba el nombre del atributo.

    Captura de pantalla del paso 3 para configurar SAML de sitio para Tableau Cloud: mapear atributos

Paso 4: elegir la opción predeterminada para las vistas insertadas

Nota: Solo se aplica a Tableau Cloud.

Seleccione el método a través del cual se registran los usuarios en las vistas incrustadas. Las opciones son abrir una ventana emergente independiente que muestre el formulario de inicio de sesión del IdP o utilizar un marco flotante (iFrame).

Importante: Puesto que los iFrames pueden ser vulnerables a los ataques de tipo clickjack, no todos los IdP admiten el inicio de sesión mediante un iFrame. Mediante el clickjack, el atacante intenta hacer que los usuarios hagan clic o escriban contenido. Para ello, muestra la página que quiere atacar en una capa transparente sobre una página distinta. En el caso de Tableau Cloud, un atacante puede intentar capturar credenciales de usuario o lograr que un usuario autenticado cambie la configuración. Para obtener más información, consulte Clickjacking(El enlace se abre en una ventana nueva) (Ataque por redireccionamiento de UI, en inglés) en el sitio web de Open Web Application Security Project.

Si su IdP no permite iniciar sesión mediante un iFrame, seleccione Autenticar en otra ventana emergente.

Paso 4: Obtener metadatos de Tableau (TCM)

Para crear la conexión SAML entre TCM y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de TCM, seleccione uno de estos métodos. Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.

  • Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Cloud, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.

  • Seleccione Descargar certificado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Cloud, la URL de ACS y el certificado X.509 en ubicaciones independientes.

Paso 5: Obtener metadatos de Tableau (Tableau Cloud)

Para crear la conexión SAML entre Tableau Cloud y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de Tableau Cloud, seleccione uno de estos métodos: Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.

  • Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Cloud, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.

  • Seleccione Descargar certificado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Cloud, la URL de ACS y el certificado X.509 en ubicaciones independientes.

    Directrices para exportar o copiar metadatos desde Tableau Cloud.

Paso 5: Configurar el IdP (TCM)

Para el paso 5, utilice las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de TCM.

Paso 6: Configurar el IdP (Tableau Cloud)

Para el paso 6, utilice las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de Tableau Cloud.

Paso 6: Probar la configuración y solucionar problemas de SAML (TCM)

Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud o TCM con el tipo de autenticación SAML configurado.

Si no puede iniciar sesión correctamente en TCM, comience con los pasos de solución de problemas sugeridos en la página Autenticación. Si esos pasos no resuelven el problema, consulte Solución de problemas de SAML.

Paso 7: Probar la configuración y solucionar problemas de SAML (Tableau Cloud)

Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud o TCM con el tipo de autenticación SAML configurado.

Si no puede iniciar sesión correctamente en Tableau Cloud, comience con los pasos de solución de problemas sugeridos en la página Nueva configuración. Si esos pasos no resuelven el problema, consulte Solución de problemas de SAML.

Gestionar usuarios

Seleccione los usuarios existentes de Tableau Cloud o TCM o agregue usuarios nuevos para los que desee habilitar el inicio de sesión único.

Al agregar o importar usuarios, también se especifica el tipo de autenticación. En la página Usuarios, puede cambiar el tipo de autenticación de los usuarios en cualquier momento tras agregarlos.

Para obtener más información, consulte uno de los siguientes artículos:

Tipo de autenticación predeterminado para vistas incrustadas

Nota: Solo se aplica a Tableau Cloud.

  • Permitir que los usuarios elijan su tipo de autenticación

    Cuando se selecciona esta opción, solo se admitirá una ventana emergente. En esta ventana emergente, aparecen dos opciones de inicio de sesión donde haya una vista incrustada: un botón de inicio de sesión que usa la autenticación de inicio de sesión único (SSO) y un enlace para usar las credenciales de Tableau como alternativa.

    Consejo: Con esta opción, los usuarios tienen que saber qué opción de inicio de sesión deben elegir. Como parte de la notificación que envíe a los usuarios después de añadirlos al sitio con inicio de sesión único, avíseles del tipo de autenticación que deben usar para una serie de situaciones de inicio de sesión. Por ejemplo, vistas incrustadas, Tableau Desktop, Tableau Bridge, Tableau Mobile, etc.

  • Tableau con MFA

    Esta opción requiere que los usuarios inicien sesión usando credenciales de Tableau con autenticación multifactor aunque SAML esté habilitado en el sitio. Iniciar sesión en Tableau con MFA requiere que los usuarios establezcan un método de verificación para confirmar la identidad cada vez que inician sesión en Tableau Cloud. Para obtener más información, consulte Autenticación multifactor y Tableau Cloud.

  • Lista de configuraciones de autenticación

    Cuando se selecciona una opción de configuración, la forma en que los usuarios se registran en las vistas insertadas se determina mediante el ajuste establecido en el paso 6 para la configuración designada.

Uso de la autenticación de Tableau

Si un sitio o inquilino está configurado para SAML, puede cambiar la configuración del para solicitar que algunos o todos los usuarios inicien sesión usando las credenciales de Tableau.

  • Si no desea que un proveedor de identidad gestione la autenticación , o quiere que todos los usuarios inicien sesión con sus credenciales de Tableau, puede cambiar el tipo de autenticación en el nivel de sitio o inquilino. Consulte la sección Cambiar el tipo de autenticación del sitio más abajo.

  • Si desea dejar SAML habilitado para algunos usuarios, pero que otros usen Tableau, puede cambiar el tipo de autenticación en el nivel de usuario. Para obtener más información, consulte Definir el tipo de autenticación de usuario.

Cambiar el tipo de autenticación del sitio

Para Tableau Cloud

A partir de enero de 2025 (Tableau 2024.3), podrá habilitar varios tipos y métodos de autenticación en un sitio. Para cambiar la autenticación que desea que esté disponible en el sitio, habilite o deshabilite las configuraciones de autenticación.

  1. Inicie sesión en el sitio de Tableau Cloud como administrador de sitio.

  2. Seleccione Configuración > Autenticación.

  3. Deshabilite o habilite las configuraciones de autenticación para el sitio haciendo clic en el menú Acciones y seleccionando Desactivar o Activar.

Tras desactivar la configuración de SAML, se conservan los metadatos y la información del IdP. De esta forma, si desea volver a habilitarlo, no resulta necesario que vuelva a configurar la conexión SAML con el IdP.

Para TCM

  1. Inicie sesión en TCM como administrador de nube.

  2. Seleccione Configuración > Autenticación.

  3. Desmarque la casilla de verificación Habilitar un método de autenticación adicional.

Actualizar certificado SAML

Tableau proporciona el certificado utilizado para los metadatos del sitio de Tableau y no se puede configurar. Para actualizar el certificado para SAML , debe cargar un nuevo certificado en su IdP y volver a intercambiar los metadatos con Tableau Cloud.

Para Tableau Cloud

  1. Inicie sesión en el sitio como administrador de sitio y seleccione Configuración > Autenticación.

  2. En Tipos de autenticación, vaya a la configuración SAML que desea actualizar, haga clic en el menú Acciones y seleccione Editar.

  3. Abra una nueva pestaña o ventana e inicie sesión en la cuenta de IdP.

  4. Utilice las instrucciones proporcionadas por la documentación del IdP para cargar un nuevo certificado SAML.

  5. Descargue el nuevo archivo de metadatos XML que se proporcionará a Tableau Cloud.

  6. Vuelva a la página Editar configuración en Tableau Cloud y, en el paso 2, cargue el archivo de metadatos que descargó desde el IdP.

  7. Desplácese hacia abajo en la página y haga clic en el botón Guardar y continuar.

Para TCM

  1. Inicie sesión en TCM como administrador de nube y seleccione Configuración > Autenticación.

  2. En el menú desplegable Autenticación, seleccione SAML > Configuración (requerida).

  3. Abra una nueva pestaña o ventana e inicie sesión en la cuenta de IdP.

  4. Utilice las instrucciones proporcionadas por la documentación del IdP para cargar un nuevo certificado SAML.

  5. Descargue el nuevo archivo de metadatos XML que se proporcionará a TCM.

  6. Vuelva a la página Autenticación en TCM y, en el paso 2, cargue el archivo de metadatos que descargó desde el IdP.

  7. Desplácese hacia abajo en la página y haga clic en el botón Guardar y continuar.

Personalizar y controlar el acceso a los datos usando atributos de usuario

Los atributos de usuario son metadatos de usuario definidos por su organización. Los atributos de usuario se pueden utilizar para determinar el acceso en un modelo de autorización típico de control de acceso basado en atributos (ABAC). Los atributos de usuario pueden ser cualquier aspecto del perfil de usuario, incluidos los roles de trabajo, la pertenencia a departamentos, el nivel de gestión, etc. También pueden asociarse con contextos de usuario en tiempo de ejecución, como dónde inicia sesión el usuario o su preferencia de idioma.

Al incluir atributos de usuario en su flujo de trabajo, puede controlar y personalizar la experiencia del usuario a través del acceso a los datos y la personalización.

  • Acceso a datos: Los atributos de usuario se pueden utilizar para aplicar directivas de seguridad de datos. Esto garantiza que los usuarios solo vean la información que corresponda.
  • Personalización: Al pasar atributos de usuario como la ubicación y el rol, su contenido se puede personalizar para mostrar solo la información relevante para el usuario que accede a él, lo que le facilita encontrar la información que necesita.

Resumen de los pasos para pasar los atributos de usuario

El proceso de habilitar atributos de usuario en un flujo de trabajo se resume en los siguientes pasos:

  1. Habilitar la configuración de atributos de usuario
  2. Incluir atributos de usuario en la confirmación
  3. Asegúrese de que el autor del contenido incluya las funciones de atributos de usuario y los filtros pertinentes
  4. Revise el contenido

Paso 1: Habilitar la configuración de atributos de usuario

Por motivos de seguridad, los atributos de usuario solo se validan en un flujo de trabajo de autenticación cuando un administrador del sitio habilita la configuración del atributo de usuario.

  1. Inicie sesión en Tableau Cloud y haga clic en Configuración > Autenticación.

  2. En el encabezado Controle el acceso de los usuarios en los flujos de trabajo de autenticación, seleccione la casilla de verificación Habilitar la captura de atributos de usuario en los flujos de trabajo de autenticación.

Para obtener información sobre la configuración del sitio, consulte Controle el acceso de los usuarios en los flujos de trabajo de autenticación.

Paso 2: Incluir el atributo de usuario en la confirmación

Asegúrese de que la confirmación contiene los atributos de usuario.

Nota: Los atributos de la respuesta SAML están sujetos al límite de 4096 caracteres, a excepción de los atributos scope o scp. Si los atributos de la respuesta, incluidos los atributos de usuario, superan este límite, Tableau elimina los atributos y pasa el atributo ExtraAttributesRemoved en su lugar. A continuación, el autor del contenido puede crear un cálculo con el atributo ExtraAttributesRemoved para determinar cómo mostrar el contenido a los usuarios cuando se detecte el atributo.

Ejemplo

Supongamos que tiene un empleado, Fred Suzuki, que es un gerente ubicado en la región sur. Quiere asegurarse de que, cuando Fred revise los informes, solo pueda ver los datos de la región Sur. En un caso como este, puede incluir el atributo de usuario Region en la respuesta SAML como en el siguiente ejemplo.

<saml:Assertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
	<saml;Issuer">https://myidp.okta.com/saml</saml:Issuer">
   <saml;Subject">
	  <saml:NameId Format="urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress"fsuzuki@example.com</saml:NameID">
   <saml:AttributeStatement xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
  		<saml:Attribute Name="Region" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:unspecified">
  			<saml:AttributeValue">South</saml:AttributeValue">
    	</saml:Attribute">
   </saml:AttributeStatement">
</saml:Assertion">

Paso 3: Asegurarse de que el autor del contenido incluya funciones de atributo

Asegúrese de que el autor del contenido incluya las funciones de atributos de usuario y los filtros relacionados para controlar qué datos se pueden mostrar en su contenido. Para garantizar que las confirmaciones de atributos de usuario se pasan a Tableau, el contenido debe contener una de las siguientes funciones de atributos de usuario:

  • USERATTRIBUTE('attribute_name')
  • USERATTRIBUTEINCLUDES('attribute_name', 'expected_value')

La función que usa el autor del contenido depende de si se espera que los atributos de usuario devuelvan un valor único o varios. Para obtener más información sobre estas funciones y ver ejemplos de cada una, consulte Funciones de usuario(El enlace se abre en una ventana nueva) en la ayuda de Tableau.

Notas:

  • La vista previa del contenido con estas funciones no está disponible cuando se crea en Tableau Desktop o Tableau Cloud. La función devolverá NULL o FALSE. Para asegurarse de que las funciones de usuario funcionan como se espera, recomendamos al autor que revise las funciones después de poner el contenido a disposición.
  • Para asegurarse de que el contenido se representa como se espera, el autor del contenido podría considerar incluir un cálculo que use el atributo ExtraAttributesRemoved que 1) compruebe este atributo y 2) determine qué hacer con el contenido si lo hace, como mostrar un mensaje. Tableau solo añadirá el ExtraAttributesRemoved atributo y eliminará todos los demás atributos (excepto scp o scope) cuando los atributos del XML de SAML superen los 4096 caracteres. Esto es para garantizar un rendimiento óptimo y respetar las limitaciones de almacenamiento.

Ejemplo

Continuando con el ejemplo introducido en Paso 2: Incluir el atributo de usuario en la confirmación anterior, para pasar la confirmación de atributo de usuario “Región” a un libro de trabajo, el autor puede incluir USERATTRIBUTEINCLUDES. Por ejemplo, USERATTRIBUTEINCLUDES('Region', [Region]), donde “Region” es el atributo de usuario y [Region] es una columna de los datos. Con el nuevo cálculo, el autor puede crear una tabla con datos de gerentes y ventas. Cuando se agrega el cálculo, el libro de trabajo devuelve valores “Falso” como se esperaba.

Para mostrar solo los datos asociados con la región sur en el libro de trabajo insertado, el autor puede crear un filtro y personalizarlo para mostrar valores cuando la región sur sea “Verdadero”. Cuando se aplica el filtro, el libro de trabajo se queda en blanco como se esperaba, porque la función devuelve valores “Falso” y el filtro se personaliza para mostrar solo los valores “Verdadero”.

Paso 4: Revisar el contenido

Revise y valide el contenido.

Ejemplo

Para concluir el ejemplo del Paso 3: Asegurarse de que el autor del contenido incluya funciones de atributo anterior, puede ver que los datos de ventas de la vista están personalizados para Fred Suzuki porque su contexto de usuario es la región Sur.

Los administradores de las regiones representadas en el libro de trabajo deberían ver el valor asociado con su región. Por ejemplo, Sawdie Pawthorne, de la región Oeste, ve datos específicos de su región.

Los gerentes cuyas regiones no están representadas en el libro de trabajo ven un libro de trabajo en blanco.

Limitaciones y problemas conocidos

Hay algunos problemas conocidos y limitaciones que debe tener en cuenta al trabajar con funciones de atributos de usuario.

Imágenes en blanco con la API de REST de Tableau

Las solicitudes de la API de REST de Tableau Query Preview Image(El enlace se abre en una ventana nueva), Query Workbook Image(El enlace se abre en una ventana nueva) y Get Custom View Image(El enlace se abre en una ventana nueva) producen imágenes en blanco.

Limitaciones

  • Las funciones de atributos de usuario en fuentes de datos publicadas (.pds) no son compatibles.
  • Las funciones de atributos de usuario en los flujos de trabajo de Tableau Bridge no son compatibles.

Consulte también

Acceder a los sitios desde clientes conectados

Volver arriba
¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!