Habilitar la autenticación SAML en un sitio

En este tema se explica cómo habilitar SAML en el sitio y cómo seleccionar los usuarios de inicio de sesión único. También se ofrecen los pasos para cambiar de SAML a la autenticación predeterminada de Tableau (también llamada TableauID). Antes de habilitar SAML, le recomendamos que revise los Requisitos de SAML para Tableau Cloud, incluidos los Efectos de cambiar el tipo de autenticación en Tableau Bridge.

En este tema se da por hecho que está familiarizado con la información de Autenticación y Funcionamiento de la autenticación SAML.

Información de configuración específica para cada IdP

Puede utilizar los pasos de las secciones siguientes de este tema con la documentación del IdP para configurar SAML para su sitio de Tableau Cloud. Puede obtener pasos de configuración específicos de los IdP siguientes:

Habilitar SAML

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione Configuración > Autenticación.

  2. En la pestaña Autenticación, seleccione Habilitar otro método de autenticación, seleccione SAML y, luego, haga clic en la flecha desplegable Configuración (obligatoria).

    Captura de pantalla de la página de configuración de autenticación del sitio de Tableau Cloud

Pasos de configuración de SAML

Esta sección es una guía de los pasos de configuración que aparecen en la pestaña Autenticación de la página Configuración de Tableau Cloud.

Nota: Para completar este proceso también necesitará la documentación que le haya proporcionado su IdP. Busque temas sobre cómo configurar o definir un proveedor de servicios para una conexión SAML, o sobre cómo añadir una aplicación.

Paso 1: Exportar metadatos de Tableau

Para crear la conexión SAML entre Tableau Cloud y su IdP, debe intercambiar los metadatos necesarios entre los dos servicios. Para obtener metadatos de Tableau Cloud, seleccione uno de estos métodos: Consulte la documentación de configuración de SAML del IdP para confirmar la opción correcta.

  • Seleccione Exportar metadatos para descargar un archivo XML que contenga el identificador de entidad de SAML de Tableau Cloud, la URL del servicio consumidor de aserciones (ACS) y el certificado X.509.

  • Seleccione Descargar certificado si el IdP espera recibir la información necesaria de otro modo. Por ejemplo, si le solicita que introduzca el identificador de entidad de Tableau Cloud, la URL de ACS y el certificado X.509 en ubicaciones independientes.

    La siguiente imagen se ha editado para demostrar que esta configuración es la misma que la de Tableau Cloud y Tableau Server.

Paso 2 y Paso 3: pasos externos

En el paso 2, para importar los metadatos exportados en el paso 1inicie sesión en la cuenta de IdP y siga las instrucciones proporcionadas por la documentación del IdP para enviar los metadatos de Tableau Cloud.

En el paso 3, la documentación del IdP además le guiará para proporcionar metadatos a un proveedor de servicios. Le indicará que descargue un archivo de metadatos o mostrará código XML. Si muestra código XML, cópielo y péguelo en un nuevo archivo de texto y guarde este con la extensión .xml.

Paso 4: importar metadatos del IdP al sitio de Tableau

En la página Autenticación de Tableau Cloud, importe el archivo de metadatos que descargó del IdP o que configuró de forma manual a partir del XML proporcionado.

Paso 5: relacionar los atributos

Los atributos contienen información relacionada con la autenticación, la autorización y otros datos de un usuario en concreto.

Nota: Tableau Cloud requiere el atributo NameID en la respuesta SAML. Puede proporcionar otros atributos para asignar nombres de usuario en Tableau Cloud, pero el mensaje de respuesta debe incluir el atributo NameID.

  • Nombre de usuario: (obligatorio) escriba el nombre del atributo que almacena los nombres de los usuarios (direcciones de correo electrónico).

  • Nombre de visualización: (opcional, aunque recomendado) algunos IdP utilizan atributos diferentes para los nombres y los apellidos, mientras que otros almacenan el nombre completo en un atributo.

    Seleccione el botón que corresponde a la forma en que su IdP almacena los nombres. Por ejemplo, si el IdP combina el nombre y los apellidos en un atributo, seleccione Nombre de visualización y escriba el nombre del atributo.

    Captura de pantalla del paso 5 para configurar SAML de sitio para Tableau Cloud: atributos coincidentes

Paso 6: opciones de incrustación

Seleccione el método a través del cual se registran los usuarios en las vistas incrustadas. Las opciones son abrir una ventana emergente independiente que muestre el formulario de inicio de sesión del IdP o utilizar un marco flotante (iFrame).

Precaución: puesto que los iFrames pueden ser vulnerables a los ataques por secuestro de clics, no todos los IdP admiten el inicio de sesión mediante un iFrame. Mediante el clickjack, el atacante intenta hacer que los usuarios hagan clic o escriban contenido. Para ello, muestra la página que quiere atacar en una capa transparente sobre una página distinta. En el caso de Tableau Cloud, un atacante puede intentar capturar credenciales de usuario o lograr que un usuario autenticado cambie la configuración. Para obtener más información, consulte Clickjacking(El enlace se abre en una ventana nueva) (Ataque por redireccionamiento de UI, en inglés) en el sitio web de Open Web Application Security Project.

Si su IdP no permite iniciar sesión mediante un iFrame, seleccione Autenticar en otra ventana emergente.

Consulte también Tipo de autenticación predeterminado para vistas incrustadas

Paso 7: Probar la configuración y solucionar el problema

Le recomendamos que pruebe la configuración de SAML para evitar escenarios de bloqueo. Probar la conexión ayuda a asegurarse de haber configurado SAML correctamente antes de cambiar el tipo de autenticación de sus usuarios a SAML. Para probar la configuración correctamente, asegúrese de que haya al menos un usuario con el que pueda iniciar sesión y que ya esté aprovisionado en el IdP y agregado a su Tableau Cloud con el tipo de autenticación SAML configurado.

Si no puede iniciar sesión correctamente en Tableau Cloud, comience con los pasos de solución de problemas sugeridos en la página Autenticación. Si esos pasos no resuelven el problema, consulte Solución de problemas de SAML.

Gestionar usuarios

Seleccione los usuarios existentes de Tableau Cloud o agregue usuarios nuevos para los que desee habilitar el inicio de sesión único.

Al agregar o importar usuarios, también se especifica el tipo de autenticación. En la página Usuarios, puede cambiar el tipo de autenticación de los usuarios en cualquier momento tras agregarlos.

Para obtener más información, consulte Añadir usuarios a un sitio o Importar usuarios.

Tipo de autenticación predeterminado para vistas incrustadas

Habilitar SAML en el sitio permite especificar cómo los usuarios obtienen acceso a las vistas incrustadas en las páginas web.

  • Permitir que los usuarios elijan su tipo de autenticación

    Si selecciona esta opción, aparecen dos opciones de inicio de sesión donde haya una vista incrustada: un botón de inicio de sesión que usa la autenticación de inicio de sesión único y un enlace para usar TableauID como alternativa.

    Consejo: Con esta opción, los usuarios tienen que saber qué alternativa deben elegir. Como parte de la notificación que envíe a los usuarios después de añadirlos al sitio con inicio de sesión único, avíseles del tipo de autenticación que deben usar para una serie de situaciones de inicio de sesión. Por ejemplo, vistas incrustadas, Tableau Desktop, Tableau Bridge, Tableau Mobile, etc.

  • Tableau con MFA

    Esta opción requiere que los usuarios inicien sesión usando credenciales de Tableau con autenticación multifactor aunque SAML esté habilitado en el sitio. Iniciar sesión en Tableau con MFA requiere que los usuarios establezcan un método de verificación para confirmar la identidad cada vez que inician sesión en Tableau Cloud. Para obtener más información, consulte Autenticación multifactor y Tableau Cloud.

  • SAML

    Con esta opción, la forma en que los usuarios de SAML se registran en las vistas incrustadas se determina por el ajuste que selecciona en el anterior paso 6.

Uso de la autenticación de Tableau

Si un sitio está configurado para SAML, puede cambiar su configuración para solicitar que algunos o todos los usuarios inicien sesión usando las credenciales de Tableau.

  • Si no desea que un proveedor de identidad gestione la autenticación de un sitio, o quiere que todos los usuarios inicien sesión con sus credenciales de Tableau, puede cambiar el tipo de autenticación en el nivel de sitio.

  • Si desea dejar SAML habilitado para algunos usuarios, pero que otros usen Tableau, puede cambiar el tipo de autenticación en el nivel de usuario.

    Para obtener más información, consulte Definir el tipo de autenticación de usuario.

Cambiar el tipo de autenticación del sitio

  1. Inicie sesión en Tableau Cloud como administrador de sitio y seleccione el sitio.

  2. Seleccione Configuración > Autenticación.

  3. Elimine la casilla de verificación Habilitar un método de autenticación adicional.

Tras desactivar la configuración de SAML, se conservan los metadatos y la información del IdP. De esta forma, si desea volver a habilitarlo, no resulta necesario que vuelva a configurar la conexión SAML con el IdP.

Actualizar certificado SAML

Tableau proporciona el certificado utilizado para los metadatos del sitio de Tableau y no se puede configurar. Para actualizar el certificado para SAML , debe cargar un nuevo certificado en su IdP y volver a intercambiar los metadatos con Tableau Cloud.

  1. Inicie sesión en el sitio como y seleccione Configuración > Autenticación.

  2. En Tipos de autenticación, haga clic en la flecha desplegable Configuración (requerido).

  3. Abra una nueva pestaña o ventana e inicie sesión en la cuenta de IdP.

  4. Utilice las instrucciones proporcionadas por la documentación del IdP para cargar un nuevo certificado SAML.

  5. Descargue el nuevo archivo de metadatos XML que se proporcionará a Tableau Cloud.

  6. Vuelva a la página Autenticación en Tableau Cloud y, en el paso 4, cargue el archivo de metadatos que descargó desde el IdP.

  7. Haga clic en el botón Guardar cambios.

Consulte también

Acceder a los sitios desde clientes conectados

¡Gracias por sus comentarios!Sus comentarios se han enviado correctamente. ¡Gracias!